IT数据安全技术方案.docxVIP

第 第 PAGE #页 IT数据安全技术方案 民航业信息系统 ￡01 ,迷早犁謡嶙咨节举饗麻TZ7 戏 善点谊鱗专丁辫蕨芻五蛆］非＞77 ZC 孝貞谊鴛专斗漑様粉虫y丰T77 ” .叢二二摆专丁券滎蹲凄*不777 廿 漆播导止帝晶与嶙革毛举爵海7Z7 哉 後鞏号去爵易与谢淬罗矛奪燃TI W 寧軍卉快#导＞77 b 澎辭g fri 9 潛伊源君777 ￡ 学着粱丑777 ￡ 彿盘*市亚史尋也TI 1.1 .可信认证中心建设 示范要点 在信息安全体系中，用户安全是非常重要的一个方面。对于企业信息系统来 说，用户安全漏洞可能导致企业信息系统用户账号被盗用，被破解；进而导致民 航旅客数据，配载数据等被篡改；从而带来更加严重的国家安全问题。因此，加 强企业信息系统的用户安全迫在眉睫。可信认证中心的建设要求主要分为以下几 个方面： 用户身份管理平台 ?能够实现集中管理分布在多个系统中的用户帐号信息，例如：数据库和 LDAP库中的用户信息。 ?能够支持应用系统的自治用户管理模式，应用端自治用户管理的结果在 IAM端可见。例如：应用端可以保留并通过自己的用户管控模块创建和变 更帐号，但IAM平台可以通过帐号回收等机制，定时从应用端获得釆集其 帐号配置信息，更新到IAM系统的用户管理数据库中。 ?提供WEB环境的用户身份管理与注册功能。 ?提供开放的API,支持Java或WebSeivices等技术。 ?支持对现有资源中用户信息的整合和同步，例如实时同步存放于数据库 中的用户信息。 ?能够管理用户的身份信息，可以集中管理应用系统中的用户，包括批量 建立、删除用户等。 ?能够提供用户身份的建立、更新、注销的全生命周期管理机制与功能。 ?提供工作流管理的信息同步、用户密码管理以及密码的自助式服务，用 户可以通过Web界面修改其在多个系统中帐号ID的密码，并可做到多帐 号ID的密码同步。 ?对于同一个用户在不同系统中使用不同帐号ID的情况，能够按需要提供 第 第 PAGE #页 第 第 PAGE #页 统一的用户和密码管理功能。 ?提供用户与数据库的身份同步，能够将权威数据源系统中的用户信息同 步至目录服务系统。 ?能够根据制定的策略将用户信息下发至各应用系统，实现帐号的自动创 建、变更、销户，取代现有的人工方式的帐号管理模式。 ?支持从应用系统将大量用户信息通过批量导入的方式导入至身份管理系 统。 ?提供必要的单向不可逆加密算法，用于保证用户密码口令的安全性。 ?提供必要的加密方法，用于保证在用户信息传播过程中通讯的安全性。 ?针对身份管理中用户身份信息的创建、修改、更新、删除、查询检索、 同步等管理操作都须被审计，审计信息保存于后台数据库中便于统计分析。 ?支持多种操作系统，包括Unix、Windows和Linux平台。 ?能够提供并支持集群的管理、控制与同步功能，支持负载均衡与实时故 障切换的高可用配置，保证系统的高可靠性和高可用性。 ?提供用户帐号配置信息查询接口，在信息安全策略的限制下，供应用系 统提取用户信息。 ?能够提供用户的分级管理功能。 ?统一认证系统能够支持或扩展支持包括PKI/CA认证(X.509Y3)、动态 口令、智能卡、生理特征、用户名和密码等多种认证方式，能够正确地识 别访问操作的主体身份，提供合适身份信息。 ?统一认证系统能够与PKI/CA体系实现结合，釆用基于数字证书技术进 行身份认证，实现统一身份认证与高强度的安全性要求。 ?统一认证系统能够提供跨域的联合与级联认证功能，用户可以跨域进行 身份信息认证并访问门户和应用系统资源，能够支持联邦用户身份认证功 能(FederatedIdentity)的扩展能力。 ?认证服务提供主路与旁路两种整合模式，为应用系统实现认证和单点登 录功能提供灵活多样的整合手段。 ?能够提供管理、认证的服务及API,支持Java, C/C++语言。 ?能够提供基于时间和IP对资源的访问控制策略。 ?支持多种客户端的接入，例如：Web浏览器、移动终端应用等。 ?能够提供并支持集群的管理、控制与同步功能，支持负载均衡与实时故 障切换的高可用配置，认证可以支持目录服务器集群，当其中一台LDAP 服务器无法访问时自动切换到另外一台，保证系统的高可靠性和髙可用性。 ?支持通过外部认证接口开发定制认证模块。 ?能够跟踪用户的登录过程，并使用安全认证策略来提高登录的安全性， 如定义允许登录尝试失败的次数，若超过尝试次数，用户即被锁死。 单点登录要求 ?支持B/S应用的单点登录功能，支持航信业务应用单点登录功能。 ?提供B/S应用的单点登录功能，支持跨域单点登录。 ?提供开放的API,支持Java、JavaScript等。 ?支持不同类型的用户验证方法，如PKI/CA认证(X.509V3)、IP地址、