【精选】1、集团公司身份管理与认证项目介绍.ppt

为什么要做（必要性）； 安全威胁性： 如：进不来、拿不走、赖不掉 有威胁 因为存在必要的口令策略，存在弱口令，影响系统群的口令安全，通过简单的程序可以捕获这些弱口令 帐号：孤儿帐号 例子在右边，如：简单的密码（） 实现的目标是什么： 1、实现后对所有信息系统的好处是什么 2、实现后对HR系统的某些好处 通过项目实施建立身份管理与统一认证服务团队 完善身份管理与统一认证相关的管理办法与实施细则 与HR系统的配合， 时间点：当前时间是否是最佳合适时间，HR是试点中第一个对接系统，还是最后一个；是否目前马上就要做。 与HR系统的配合， 时间点：当前时间是否是最佳合适时间，HR是试点中第一个对接系统，还是最后一个；是否目前马上就要做。 在集成接口层后再加一层，各应用系统自行决定权限分配。 IAM帐号管理只针对帐号信息的增、删、改、查；具体的权限由各应用系统自己决定； 集中用户身份管理过程: 用户身份信息获取：①HR员工信息利用程序接口，将HR系统数据通过公共数据编码平台（MDM）系统自动同步到本系统中；②非HR用户则利用自开发的统一用户管理平台，人工注册到本系统中； 完成帐号同步，通过集中身份管理子系统向各业务信息系统推送回收帐号，实现同步； 实现统一帐号管理，通过集中身份管理子系统实现用户主帐号的全生命周期管理。 用户访问过程: 通过统一安全机制完成用户访问过程：用户通过嵌入在集团门 户的身份管理与访问控制系统实现对各集成信息系统访问的单点登录。 包括两部分逻辑：集中用户身份管理过程 和 用户访问过程 用户身份管理包含了三个部分：用户身份信息获取、帐号同步、统一帐号管理。 第一部分，用户身份信息获取：实现了对HR员工和非HR人员的的身份信息获取，HR人员是通过HR系统到公共数据编码平台（MDM），再利用程序接口自动同步到本系统的集中身份管理子系统中。 非HR人员则……，实现了人员身份信息的集中管理。 完成帐号同步…… 在“用户身份信息获取”和“完成帐号同步”两部分基础上，进行对用户帐号的全生命周期管理。 IAM帐号管理只针对帐号信息的增、删、改、查；具体的权限由各应用系统自己决定； 集中用户身份管理过程: 用户身份信息获取：①HR员工信息利用程序接口，将HR系统数据通过公共数据编码平台（MDM）系统自动同步到本系统中；②非HR用户则利用自开发的统一用户管理平台，人工注册到本系统中； 完成帐号同步，通过集中身份管理子系统向各业务信息系统推送回收帐号，实现同步； 实现统一帐号管理，通过集中身份管理子系统实现用户主帐号的全生命周期管理。 用户访问过程: 通过统一安全机制完成用户访问过程：用户通过嵌入在集团门 户的身份管理与访问控制系统实现对各集成信息系统访问的单点登录。 包括两部分逻辑：集中用户身份管理过程 和 用户访问过程 用户身份管理包含了三个部分：用户身份信息获取、帐号同步、统一帐号管理。 第一部分，用户身份信息获取：实现了对HR员工和非HR人员的的身份信息获取，HR人员是通过HR系统到公共数据编码平台（MDM），再利用程序接口自动同步到本系统的集中身份管理子系统中。 非HR人员则……，实现了人员身份信息的集中管理。 完成帐号同步…… 在“用户身份信息获取”和“完成帐号同步”两部分基础上，进行对用户帐号的全生命周期管理。 建议用语言说明下，图删除，把这部分内容放到应急预案中。 灾备五级的要求： * 中国石油身份管理与认证项目介绍 集团公司身份管理与认证项目组 2010年11月 项目概述 IAM系统简介 PKI系统简介 下一步工作计划 目录 1.1项目背景 1.2 实现目标 1.3 建设范围 1.4 项目进展 1.1 项目背景（一） 国家相关文件要求加强信息安全保障工作，建立完善的信息安全保障体系，并提出了对关键信息系统实施等级保护的要求； 美国萨班斯法案对上市公司提出了信息安全相关的内部控制要求； 中国石油“十五”和“十一五”信息技术总体规划，要求提高主要应用系统信息安全保障能力，保证网络与信息系统安全和可靠的运行； 集团公司领导非常重视信息安全工作，提出力争在3－5年内基本建成信息安全保障体系的目标，并专门立项编制《中国石油信息安全总体规划》； 《中国石油信息安全总体规划》参照国际最佳实践、结合中国石油实际情况，提出了信息安全保障体系架构，规划了11个信息安全项目，“身份管理与认证项目”是其中重要的技术类项目之一。 1.1 项目背景（二） 身份管理与认证项目建设是应对用户身份与认证相关安全威胁的需要： 切实存在的信息安全威胁 某些应用系统用户设置了过于简单的口令，无法保证这些用户登录系统认证的安全性； 某些应用系统身份管理与