1、前言 随着信息化的迅猛发展,越来越多的企业开始了信息化之路。一些大型企业更是纷纷上马了MIS、工单管理系统、工单管理软件、Notes等等系统,逐步实现企业的生产、管理、电子商务等诸多业务无纸化。期望借助信息化的平台,提升企业的效率,加快企业的发展。然而,随着越来越多信息系统的部署,我们却发现企业生产效率并未达到预期的提高。相反,纷繁复杂的系统登录大量占用了员工的时间,而员工登录的混乱更是给化带来严重的安全漏洞。 2、高信息化=低效率? 下面是一个典型的企业信息系统部署示意图: 我们可以看到,该企业的信息系统主要包括三大块:应用服务系统、业务生产系统和外部服务系统。 应用服务系统包括工单管理软件、MIS、工单管理系统、Notes等;业务生产系统为各业务部门所用;外部服务系统主要提供如DNS、E-MAIL、WEB等服务。这些服务共由5台UNIX服务器、20台WindowNT服务器支撑,此外还包括数据库系统、邮件系统和多台网络设备。 企业共有员工约1000人,由5名系统管理员按照部门、级别等分为若干等级,分别拥有访问不同系统的权限。同时,该企业还有若干个分支机构和大量的外出人员需要随时访问企业信息系统。 考虑到安全因素,对于每个系统要求分别使用不同的密码,同时要保证密码的长度和复杂度。此外,每个密码还要定期更换,以防止被破解或丢失。 如此众多的系统和密码给企业的信息安全造成了严重的漏洞。一方面,系统管理员为了维护这些系统,每个人往往需要记忆大量复杂的密码。有的管理员甚至将密码记录在文件或笔记中,使得密码的管理变得很随意。而对于用户权限的改变与经常性的密码丢失,管理员需要耗费大量的时间进行确认、修改与恢复。另一方面,企业的用户为了每天访问大量的系统,也要记忆大量的密码。一旦密码丢失,就无法登录系统开展业务,只能等待系统管理员确认身份、恢复密码。然而从规章制度上去限制用户的这些行为优势不现实的。因此极大降低了企业的运营效率。 3、基本原则 企业最初的投资并未获得相应地回报,反而给企业的信息安全造成严重地漏洞,影响员工的工作效率。因此,解决单点登录、身份识别和信息安全访问的问题就迫在眉睫。 然而,如何解决这个问题和花多大代价来解决是我们在实施项目时必须考虑的因素。由于现有系统的前期投资巨大,且经过一段时间的应用,系统与公司业务的结合也十分紧密,因此,我们提出了以下基本原则: (1)、产品的实施要循序渐进地进行,不可大范围地影响公司日常业务的运行; (2)、方案可以快速地部署,且对原有系统的改动尽可能地小; (3)、尽量利用和发掘原有系统的功能和应用,降低企业拥有成本; (4)、系统的实施可有效提高现有系统的登录效率和安全,且对日后新系统的加入有较好地扩展性。 4、让高信息化=高效率 我们通过与北京国富安电子商务安全认证有限公司合作对现有系统进行分析后,形成了一套适合于大型企业信息系统单点登录的安全解决方案。该系统是以国富安SSO-GATE单点登录产品为中心,通过分阶段地部署,为改进企业信息系统提供了以下功能: (1)、一次登录即可安全访问所有信息系统; (2)、基于数字证书的身份认证,确保用户身份的安全; (3)、根据用户身份信息,自动完成各系统的权限分配; (4)、构建信息加密通道,确保信息传输的安全; (5)、支持所有的业务系统、平台、服务器或客户端,完全兼容现有信息系统; (6)、对原有系统做到改动最小,最大可能地减小对企业经营的影响; (7)、全面的日志审计:精确地记录用户的日志,可按日期、地址、用户、资源等信息对日志进行查询、统计和分析。审计结果通过Web界面以图表的形式展现给管理员; (8)、双机热备:通过双机热备功能,提高系统的可用性,满足企业级用户的需求; (9)、良好的扩展性,可随时加入新的系统。 通过较短周期地实施,系统的网络部署如下图所示: 通过在企业网主节点部署GFASSO-GATE,使来自企业内部和外部的所有访问都通过SSO-GATE来确认和分配权限,实现统一环境的单点登录。用户对系统的访问摆脱了过去记忆复杂密码的烦恼,将所有的信息都集中到安全管理中心,由安全管理中心自动完成复杂的身份验证与权限分配过程。 4.1体系结构: 该系统主要包括三大模块:单点登录模块、身份认证模块和权限管理模块。 4.1.1单点登录模块: 1.统一授权服务器。它决定着用户是否可以登录以及他们可以访问哪些资源。它通过安全地管理用户身份标识并自动对企业后台应用提交正确的用户标识来完成本功能。它简化了最终用户的登录过程,通过引入数字证书和身份访问硬件令牌的双因素认证,减少了各种密码、口令等信息的管理工作量,并增强了总体应用的安全性。 ·数据库存储了所有关于用户、组、资源、应用、登录参数和访问控制规则等信息。支持LDAP、RADIUS、WindowsActiveDirectory和本地信息库等。同时还可以通过扩展接口,与用户合作集成现有的应用系统身份信息数据库作为SSO应用软件系统的用户数据库。 ·登录会话信息统一保存管理,提供用户登录应用操作时所需要保存的信息。 2.客户端软件安装运行于每一个使用SSO-GATE系统的终端。客户端软件的功能有: ·与SSO-GATE进行通讯,对访问用户进行双因素身份验证。 ·统一访问最终用户被授权使用的应用。 ·执行登录会话并使用户登录所授权应用。 ·SSO-GATE与客户端软件搭配使用,可以通过强认证+单点登录实现任意应用系统的统一安全登录与管理。 4.1.2身份认证模块 认证服务 客户端通过数字证书+USBKey的双因素认证方式登录,认证服务器确认用户身份是否合法,鉴权,然后才允许访问授权的应用系统,以达到安全登录和访问的目的。 4.1.3权限管理模块 授权服务基于PMIAA基础设施颁发的标准X.509V3证书,完成用户权限的分配、管理、存储、分发和撤销等功能。当然,也可根据用户的实际情况,使用原有授权系统,以满足不同的用户环境。 4.2改进的登录过程 在系统实施过程中,由管理员将原来需要用户记忆的各种登录过程、用户名和口令等信息集中记录在服务器的数据库中; 最终用户在登录任何应用系统之前,首先在要登录身份认证服务器,获得该系统的安全认证后,系统自动从数据库中取出该用户被授权登录的系统信息和过程记录进行登录,无需用户再次进行登录。自动完成用户名称、口令等信息的输入,完成对目标应用系统的登录过程。同时,企业对个别极度敏感的系统,还可以要求进行二次验证,以保证系统的绝对安全。 从最终用户的角度看,他开机后首先要做的是通过客户端登录单点登录系统。登录完成后,可以和原来访问方式一样去访问应用系统,单点登录SSO-GATE会在鉴权后帮助用户自动提交标识信息进行登录,在不进行任何额外输入的情况下,就可以进入应用系统。也就是实现了“一人一个身份标识”登录所有后台系统的管理模式。 4.3逐步推进 由于在系统实施中需要对原系统作少许必要的改动,为了不影响原系统的正常运行,国富
信息发布:广州名易软件有限公司 http://www.myidp.net
|