2023年企业信息门户与统的用户安全认证体系.docx

企业信息门户与统一的用户安全认证体系 0引言 国家电网公司信息化“SG186〞工程的建设规划和一体化平台的总体架构设计，其中一个重点是：要建立一个信息共享、安全可靠的企业门户；同时在国家电网公司全网建设统一目录管理系统，为八大业务应用及其他应用系统提供用户认证、账号供给、单点等根底支撑效劳。 因电力企业信息化建设起步较早，原来大都以部门业务为条线进行建设，没有采用统一的技术架构，限制了系统之间的信息共享和信息交换，形成企业的信息孤岛。同时，不同的应用系统拥有相对独立的用户管理体系，缺乏一种有效的资源访问管理机制，导致用户管理比拟混乱。在此情况下，可建立企业信息门户和用户安全认证体系，提供统一的信息访问渠道。 企业信息门户(以下简称企业门户)，是访问各种信息和应用系统的统一人口，用于访问分布在企业内各种格式，各种来源的内容，集成各种现有业务应用系统(财务管理、营销管理、OA等)，用户可通过企业门户与其他人共享信息、通信和协同工作。河南省电力公司已经通过对信息资源的整合，建立了公司统一的企业门户和用户安全认证体系，为各业务应用系统提供了一个方便、快捷的数据交换平台，并为每一位员工提供了可个性化定制的个人工作平台。 1电力企业门户的组成 电力企业门户总体架构可分为3个层次：用户接人层、门户系统和企业应用系统。如图1所示。 1.1用户接人层 企业门户支持各种有线、无线的网络接人方式，用户既可以用PC机、也可通过PDA 等移动终端访问企业门户。 1.2门户系统 提供用户访问的安全控制手段、个性化定制、内容管理、协同力、公和门户相关效劳功能等应用，具体包括： (1)用户管理：提供企业门户用户信息的管理手段，建立电力企业统一的目录系统，为实现通过门户访问企业内资源的单一机制提供人员信息根底。 (2)认证管理：支持多种认证方式，包括静态密码、动态密码、数字证书等，对用户访问进行身份认证。同时可以直接利用已有系统中的用户帐户信息进行身份认证。 (3)系统与安全管理：企业门户所承载的应用与内容大多数都是企业的敏感信息，系统安全是需要首先考虑的问题。通过认证、加密、授权等3个方面确保接人企业门户的业务应用系统的安全;同时，采用负载均衡、容灾、备份等措施保证企业门户自身的高效和安全可靠。 (4)访问策略管理：为用户访问企业门户提供信息访问权限控制、访问渠道管理等多种功能，少l定义个性化效劳的访问策略。如员上对内部的各种应用和信息是否在其门户桌面上可见，是否允许其访问等，就是通过策略管理来实现的。策略管理是门户其他功能(安全、个性化展示、定制等)的根底。 (5)个性化效劳：在系统统一控制管理的根底上，为员工提供个性化的管理平台。访问者可以根据自身工作性质和对企业资源的访问需求，设置个性化的访问界面，并通过这种个性化的效劳查阅、管理相关信息。 (6)内容管理：企业门户可以对各种结构化和非结构化的数据(如业务数据、网站新闻等)进行处理，识别各种关系型和OLAP类型的数据库。 (7协同办公：提供在线人员感知、即时消息、网络会议室等功能和信息。 (8)搜索效劳：企业门户不但可以整合Tnternet上的各种搜索引擎，也可对门户中的信息进行综合搜索。 (9)虚拟门户：企业门户提供在一个物理实体上建立多个虚拟门户的功能，使公司各部门、下属单位都可以建立自己的门户。举例来讲，假设在某个网省公司。已经实现了大多数业务应用系统数据的大集中，并且在省公司也建立了规模相对较大的企业门户，在这种情况下，其下属单位就不必再建设自己单独的门户，而是直接利用省公司门户的物理设备，采用虚拟门户的方式来访问相关信息。利用虚拟门户将明显减少建设资金的投入。 1.3企业应用系统 企业应用系统包括电力企业内部原有的各应用系统，它们主要通过单点和应用集成来实现门户内容的整合。 2统一的用户安全认证体系 2.1统一用户目录 统一用户日录是用户安全认证体系的根底。它是个独立的目录系统，可扩展、可纵向连接。为保证一致性，使日录信息能在公司系统内进行同步，应进行目录树结构和目录schema的统一规划设计。 2.2身份认证 身份认证是指通过多种方式对用户身份进行验证，确保个人身份的真实性。 用户安全认证方式分为根本认证、表单认证、Kerberos认证、客户证书认证、IITTP头认证、工P认证等。其中根本认证、表单认证、Kerberos认证、客户证书认证主要为最终用户提供;IITTP头和IP地址认证主要用于计算机已经处于安全级别比拟高的位置，简化认证流程。 (1)根本认证(BasicAuthenticate):是按照rfc2616(超文本传输协议 /1.1)标准要求，由认证效劳器向客户端发送“WWW-Authenticate〞头，客户端将用户名和密码提供给认证机制的标准方法。由于传输的密码没有加密，通常需要和 S配合使用.以提高安全性。 (2)表单认证:因为大多数B/S系统都采用了表单的方式来提交用户身份的认证请求，所以这种用法最多。这种方法可从认证效劳器产生定制的HTML表单，而不是在根本认证期间产生标准的提示。 (3)Kerberos认证:几乎所有的LDAP效劳器都支持Kerberos认证，采用Kerberos认证的好处是用户密码不会在网络上传送，防止密码泄露。如WindowsActiveDirectory支持Kerberosv5认证协议，采用Kerberos认证主要是解决Windows域用户自动认证问题。Windows的用户可以将Kerberos票据发送到认证效劳器，认证效劳器再联系ActiveDirectory，实现用户自动认证。 (4)客户证书认证:是利用SSL协议，由客户出示客户证书来到达识别用户身份的目的。客户证书可以导入IE浏览器。为了加强安全性，客户证书还可存放在U盘或智能片中以防止被盗用。客户证书中包含有客户所处目录效劳器(LDAY)的位置信息，目录效劳器也可以存放有客户证朽，当认证成功时，认证效劳器可以获取一个用于说明用户身份的凭证，根据凭证授予该用户的许可权和权限。由于客户证书采用公私钥机制，用户不需要记忆自己的密码，身份识别信息不容易被盗用，安全性较高。在河南电力OA系统中，有一局部重要用户拥有数字证书，采用的就足这种认证方式。 (5) 头认证:客户机提供的信息通过定制的 头传递给认证效劳器，认证效劳器信任此定制的 头数据是先前认证的结果，并由认证模块来进行认证。 (6)IP认证:IP认证主要用来简化认证手续或对计算机设备认证。由于IP地址容易伪造，所以IP认证主要用于企业内部等网络安全级别已经比拟高的场合。认证效劳器使用 -request参数确定计算机的身份。 3单点系统的应用 单点(SingleSignOn，简称为SSO)功能是企业门户中统一用户安全认证体系的典型应用。简单地讲，单点指的是:1次，即可访问多个应用系统。 企业门户中，统一的用户安全认证体系，包含3个重要的组成局部:统一用户管理、用户授权管理和单点的接入。 3.1统一用户管理 在整个单点系统中占据重要地位，而一个真工意义上的统一用户管理平台必须具备数据统一、效劳统一、管理统一、同步用户数据等功能。 数据统一：包含目录结构和格式的统一规划和初始化数据的清理；效劳统一:提供标准化效劳，用于目录系统内部以及外部应用系统和目录系统之间的交互；管理统一:使用尽量少的业务人口来进行用户数据的维护，以确保用户数据的唯一性；用户数据同步:包含不同业务应用系统之间用户信息的同步，以及跨域认证时不同目录树之间用户数据的同步。 对于它的部署方式，般可以在公司系统内建立统一的身份目录，有选择地进行横向、纵向的用户信自、同步，为单点提供人员信息根底。 河南省电力公司企业门户于2023年正式投入运行。对于企业门户用户的管理，刚开始以人力资源管理系统作为权威数据源，企业门户的用户来源于人力资源。也就是说，只有当人力资源系统中的用户发生变化时，用户变更信息、才会同步到企业门户的LDAP效劳器中，企业门户中的用户才会随着变化。但在实际应用中，发现人力资源系统用户信息的变更不太及时，影响了门户用户的正常。而OA系统的用户信息、相对更新速度快，也比拟准确，所以改将OA系统作为权威数据源，实际效果良好。 3.2用户授权管理 用户授权有3种方式:规那么授权、委托授权和开通效劳。 (1)规那么授权是指基于规那么的授权，系统可以根据商业规那么和用户属性，动态地授权用户对门户资源的访问。 (2)委托授权为Portlet、用户、授权等实现委托管理，委托授权效劳判断用户是否有访问后台资源权限，是由ACL和被管理资源以及它们之间的对应关系共同来完成的。 (3)开通效劳是指新员工人职、职位变迁飞员工离职等这些所有的变化时，都涉及到对用户在各个应用系统中的权限变化，在统一的开通效劳中进行修改配置，从而可以实现用户的生命周期管理和资源的生命周期管理。 3.3接入方式 目前电力企业内部各应用系统从技术架构上可以分为B/S和C/S两大类，随着信息技术的开展，基于B/S结构的Web应用逐步成为以后应用开发的主流技术。下面，只对B/S应用系统在单点系统中的接入方式做分析。接人方式大致分为3种，分别对应于不同的情况:对企业内部应用，可采用模拟应用系统的方式；对互联网应用，可使用用户自助的接人方式；对企业门户级联等其他有特殊要求的应用，就可以采用第3种方式，改造原有应用系统的认证方式。 3.3.1模拟应用系统 (1)自动填表应用系统：对于大多数B/S应用系统，通常会提供一个表单页面作为系统的页面。在用户通过单点系统的身份认证后，当用户第1次访问某应用系统时，系统要求在表单中输入身份证明，如果这些信息是准确的，那么会被自动存储在单点系统中。以后，当用户通过单点系统的身份认证再次访问该应用系统时，单点系统会自动将用户名和密码填人表单并提交页面，使用户自动该应用系统。在河南电力企业门户中，对企务信、财务管理、电力营销、生产MIS等大多数应用系统采用了这种自动填表的方式。 (2)发送 头应用系统:在用户通过单点系统身份认证后，单点系统将包含用户身份信息的 头发送到应用系统，应用系统获取 头中的用户身份信息，决定是否允许用户。通过 头，既可以利用 协议中规定的根本认证方式应用系统，也可以使用单点系统与应用系统之间约定的头信息。在河南电力企业门户中，OA系统和企业门户事先约定了一定格式的 头信息，OA系统的普通用户采用了IITTP头的方式来接人单点系统。 以上介绍的这2种方式，用户信息可以在内部的各业务应用系统中获得，用户可以纳入统一目录管理之中，由统一目录进行不同业务应用之间用户信息的同步。下面要介绍的用户自助方式主要适用于无法收集用户信息，且无法进行改造的系统。 3.3.2用户自助 对于互联网邮件系统，它们都具备私有的用户管理机制，而比无法对其进行改造。为了实现这些邮件系统的单点，可以对不同的邮件系统的Web页面进行分析，开发统一的邮件系统关联模块，模拟邮件用户的功能。门户用户使用时，首先需要在该模块中设置个人的用户名和密码，当用户通过邮件的单点功能该邮件系统时，模块得到用户预先设置的用户名和密码，随后发起请求尝试邮件系统。当然，每次用户修改夸录密码，需要在该模块中再次修改密码。 通过用户自助的方式，河南省电力公司成功整合了网易、新浪、雅虎、HotMail等多种常用的互联网邮件系统。 3.3.3改造原应用系统的认证模块 对于有特殊要求的应用，可以改造原应用系统的认证模块，利用门户系统提供的统一认证平台实现不同业务应用系统的单点。 在实施河南省电力公司与国家电网公司企业门户级联时，采用了这种方式，即把河南省电力公司企业门户的认证模块进行了相应修改，来适应国家电网公司统的要求。 4结语 总的来讲，有了统一的用户安个认证体系做根底，分析各应用系统的特点，选择适宜的方法，对应用系统进行加工和