雷电防护技术
**集团
2018 年07 月
第一章. 概述
1.1.项目名称
XX控股集团统一身份认证项目
1.2.项目背景
随着近年XX控股集团信息化的深入建设,应用系统的数量不断增加,用户数量快速增长,目前集团旗下企业员工总数已过万,用户管理存在的安全和效率等问题越发突出。从安全角度来看,没有形成全集团的统一用户安全策略,用户信息和员工信息没有形成有效关联;从业务角度来看,用户管理流程、制度、规则不完全统一,用户虽然实现单点登录,但是认证的安全性不高;从架构角度来看,迫切需要通过建设相应的标准体系来规范未来各应用系统的建设,解决全集团信息化资产的统一访问策略和统一访问控制问题。 应用账号管理方面,账号管理是由各业务部门独自手工管理,未与人力资源系统联动。在员工岗位变化、调动或离职后,难以做到在每个应用系统中都及时调整权限,禁用或注销其用户账号,从而导致部分应用系统长期存在着一些无人使用的“幽灵”账号,成为不可忽视的全隐患。这种孤岛式的用户和权限管理模式也造成信息安全审计的困难。由于IT员工数量的限制,存在着诸如开发职责与运维职责未分离,操作系统管理职责与应用系统管理职责未分离的情况。这
nadh
类情况给核心系统带来了严重的安全隐患。
业务数据安全方面,业务部门对业务信息的归属和管理方面一直存在着所有权和管理权不清、权利业务不清、管理职责不清的问题,特别是跨部门流程或非经常性流程中涉及到的信息资产,存在职责不清问题。有些公司存在着应用系统用户权限的授予并未遵守最小权限原则,造成访问权限过大的情况,且未建立或严格执行系统访问权限定期审核清理制度。应用系统用户的口令策略上也存在着一定的问题,如使用弱口令等。
上述问题都可以通过建立一个统一集中、完善有效、持续运作的统一身份安全管理平台来有效改善。从用户角度来讲,每个用户只需一个用户名,一个密码即可访问所有其拥有访问权限的业务系统的目的;从管理的角度讲,可在统一平台上实现对用户的身份生命周期管理,认证与授权管理,以及集中审计。现就该平台如何能够有效提升公司的企业信息化管理水平,降低管理中的安全隐患问题,从而达到更加有效、安全地支撑业务的长远发展做概要性说明。
因此,XX控股集团需要通过建立统一身份安全管理平台,实现对用户身份全生命周期的集中控制,改善用户体验,促进应用系统的账号管理规范化和标准化。统一身份安全管理平台是XX控股集团应用整合架构中的基础项目。其基础性在于它所整合的是任何应用系统中最基础的元素——用户。与小型企业不同,对用户的整合管理能为XX控股集团带来IT 管理上的巨大收益。
统一身份安全管理平台作为主数据系统的拓展平台,建议项目实
施期间优先考虑接入集成后效果最为显著的应用,即用户多、影响大的集团类应用(总部应用),例如
资金管理系统、ERP 系统、门户系统、HR系统等,对于新建的应用按照集成规范也优先考虑接入。对于面临升级的应用以及用户量少且仅限于部门内部使用的应用,则建议暂缓接入。项目实施可按分批分次的策略进行实施接入,逐步的扩大应用范围。
1.3.总体目标
建立全集团用户身份管理体系,实现用户的全生命周期管理
通过和人力资源系统接驳,当人力资源系统进行员工调岗、离职等人事事件操作时候,系统将会对用户名下的应用访问权限进行门户推送,由原部门负责人审核是否保留相应权限,由相应系统管理员执
行。例如:权限禁用或保留等。
建立全集团应用的统一访问入口,实现用户方便快捷的应用访问门户平台将会提供全集团应用的统一访问入口,用户认证成功后将可通过该入口访问其有权访问的各类应用系统,同时应用系统间实现安全可靠的单点登录功能,现需实现对附件25套列表系统进行单点登录。
建立多安全级别的认证系统,实现用户访问应用的安全保障门户应该具备多种安全级别的认证方式,应用将根据各自的安全强度要求选择相应的认证方式级别,以此来保障高安全级别业务系统的安全
高顺青保护要求,实现高安全级别业务二次认证,例如人脸等生物特质手段。初步建立审计体系,实现以用户为基点的应用访问审计中华菊头蝠
平台将会对用户的应用访问权限进行集中管理,同时对用户的认证及用户的应用访问情况进行记录和审计,以此帮助管理人员快速了解XX控股集团应用体系的用户访问和使用情况,杜绝安全风险。
第二章.项目内容
预警机的作用2.1.解决方案说明
统一身份安全管理平台的核心是通过建立一个集中的统一访问控制和用户身份管理平台,实现用户的
统一认证入口和应用系统基于标准化管理流程的用户账户与访问控制的统一管理,并制定一套相应的技术管理接口规范,为将来XX控股集团业务进一步壮大、新增应用系统的建设提供统一的标准,为提升信息化管理水平与完善风险管控机制提供必要的基础与保障。
公称直径统一身份安全管理平台项目建设的主要目标包括 5 个方面:
1、完成集团内各系统的权限列表信息统计,通过BI查看展示。
2、在现有单点登录基础上,实现资金管理等系统进行人脸识别二次认证。
3、实现集团内人员岗位或部门组织发生变动时,通过门户推送消息告知原部门负责人,变动人员现有权限列表信息,将各系统中现存权限在门户流程中展示,并在部门负责人确认后通知涉及系统管理员。
