1、统一身份认证项目建设说明书*集团统一身份认证项目建设说明书2018 年 07 月第一章. 概述1.1.项目名称XX控股集团统一身份认证项目1.2.项目背景随着近年XX控股集团信息化的深入建设,应用系统的数量不断增加,用户数量快速增长,目前集团旗下企业员工总数已过万,用户管理存在的安全和效率等问题越发突出。从安全角度来看,没有形成全集团的统一用户安全策略,用户信息和员工信息没有形成有效关联;从业务角度来看,用户管理流程、制度、规则不完全统一,用户虽然实现单点登录,但是认证的安全性不高;从架构角度来看,迫切需要通过建设相应的标准体系来规范未来各应用系统的建设,解决全集团信息化资产的统一访问策略和统
2、一访问控制问题。应用账号管理方面,账号管理是由各业务部门独自手工管理,未与人力资源系统联动。在员工岗位变化、调动或离职后,难以做到在每个应用系统中都及时调整权限,禁 用或注销其用户账号,从而导致部分应用系统长期存在着一些无人使用的“幽灵”账号,成为不可忽视的全隐患。这种孤岛式的用户和权限管理模式也造成信息安全审计的困难。由于 IT员工数量的限制,存在着诸如开发职责与运维职责未分离,操作系统管理职责与应用系统管理职责未分离的情况。这类情况给核心系统带来了严重的安全隐患。业务数据安全方面,业务部门对业务信息的归属和管理方面一直存在着所有权和管理权不清、权利业务不清、管理职责不清的问题,特别是跨部门
3、流程或非经常性流程中涉及到的信息资产,存在职责不清问题。有些公司存在着应用系统用户权限的授予并未遵守最小权限原则,造成访问权限过大的情况,且未建立或严格执行系统访问权限定期审核清理制度。应用系统用户的口令策略上也存在着一定的问题,如使用弱口令等。上述问题都可以通过建立一个统一集中、完善有效、持续运作的统一身份安全管理平台来有效改善。从用户角度来讲,每个用户只需一个用户名,一个密码即可访问所有其拥有访问权限的业务系统的目的;从管理的角度讲,可在统一平台上实现对用户的身份生命周期管理,认证与授权管理,以及集中审计。现就该平台如何能够有效提升公司的企业信息化管理水平,降低管理中的安全隐患问题,从而达
4、到更加有效、安全地支撑业务的长远发展做概要性说明。因此,XX控股集团需要通过建立统一身份安全管理平台,实现对用户身份全生命周期的集中控制,改善用户体验,促进应用系统的账号管理规范化和标准化。统一身份安全管理平台是XX控股集团应用整合架构中的基础项目。其基础性在于它所整合的是任何应用系统中最基础的元素用户。与小型企业不同,对用户的整合管理能为XX控股集团带来IT 管理上的巨大收益。 统一身份安全管理平台作为主数据系统的拓展平台,建议项目实施期间优先考虑接入集成后效果最为显著的应用,即用户多、影响大的集团类应用(总部应用),例如资金管理系统、ERP 系统、门户系统、HR系统等,对于新建的应用按照集
5、成规范也优先考虑接入。对于面临升级的应用以及用户量少且仅限于部门内部使用的应用,则建议暂缓接入。项目实施可按分批分次的策略进行实施接入,逐步的扩大应用范围。1.3.总体目标建立全集团用户身份管理体系,实现用户的全生命周期管理通过和人力资源系统接驳,当人力资源系统进行员工调岗、离职等人事事件操作时候,系统将会对用户名下的应用访问权限进行门户推送,由原部门负责人审核是否保留相应权限,由相应系统管理员执行。例如:权限禁用或保留等。建立全集团应用的统一访问入口,实现用户方便快捷的应用访问门户平台将会提供全集团应用的统一访问入口,用户认证成功后将可通过该入口访问其有权访问的各类应用系统,同时应用系统间实
6、现安全可靠的单点登录功能,现需实现对附件25套列表系统进行单点登录。建立多安全级别的认证系统,实现用户访问应用的安全保障门户应该具备多种安全级别的认证方式, 应用将根据各自的安全强度要求选择相应的认证方式级别,以此来保障高安全级别业务系统的安全保护要求,实现高安全级别业务二次认证,例如人脸等生物特质手段。 初步建立审计体系,实现以用户为基点的应用访问审计平台将会对用户的应用访问权限进行集中管理,同时对用户的认证及用户的应用访问情况进行记录和审计,以此帮助管理人员快速了解XX控股集团应用体系的用户访问和使用情况,杜绝安全风险。第二章. 项目内容2.1.解决方案说明统一身份安全管理平台的核心是通过
7、建立一个集中的统一访问控制和用户身份管理平台,实现用户的统一认证入口和应用系统基于标准化管理流程的用户账户与访问控制的统一管理,并制定一套相应的技术管理接口规范,为将来XX控股集团业务进一步壮大、新增应用系统的建设提供统一的标准,为提升信息化管理水平与完善风险管控机制提供必要的基础与保障。统一身份安全管理平台项目建设的主要目标包括 5 个方面:1、完成集团内各系统的权限列表信息统计,通过BI查看展示。2、在现有单点登录基础上,实现资金管理等系统进行人脸识别二次认证。3、实现集团内人员岗位或部门组织发生变动时,通过门户推送消息告知原部门负责人,变动人员现有权限列表信息,将各系统中现存权限在门户流
8、程中展示,并在部门负责人确认后通知涉及系统管理员。4、单点登录各系统访问日志管理,对访问时间、MAC和IP进行记录。5、对未进入门户实现单点登录的系统进行改造,实现25套系统的单点登录。2.2.项目建设规划统一身份安全管理平台将打破资金管理系统、门户系统、ERP 系统等系统独自进行认证和账号管理的格局,建立统一的认证和账号管理。在实际建设的过程中,将根据总体规划定目标、分布实施定效益的原则进行建设。2.3.需求分析统一身份安全管理平台的建设应该实现集团的门户系统、邮件系统、人力资源系统等应用系统的用户身份信息统一供应、统一存储、统一认证及审计管理等功能,并根据统一身份和认证业务的特点进行相应的
9、制度和规范的建设,以形成保障XX控股集团业务用户身份和账号安全的完整体系,因此平台的建设需满足以下需求:2.3.1.业务功能需求这部分太复杂,简单描述即可。2.3.1.1.身份管理功能需求通过门户统一身份平台的搭建,实现从统一身份源将用户的信息基于工作流自动供应(或者同步)至其他应用系统中。提供集团应用系统的身份(或者同步)管理, 可以灵活定义如访问授权的审批流程等工作流,其管理策略、工作流和账号记录等数据都将存储于数据库中。具体需求如下:实现统一管理应用系统的用户类型账户,包括内部职员、其他用户、移动 App用户等用户类型;建立集中用户身份信息库,收集、筛选所有系统的用户属性信息,做到用户身
10、份信息聚合;构建符合某集团业务管理模式的用户账户管理流程,为各应用系统提供身份供应;结合组织机构调整、新进职员等人事业务实现统一组织机构和用户账户信息全生命周期的实时管理;实现用户账号与目标系统的用户身份同步功能,实现用户管理的审计功能,提供用户用户修改、用户账号状态变更、各类账号的统计、各类操作的统计等审计报告; 2.3.1.2 用户管理 人员内部调动或组织机构调整时,用户权限推送预警; 用户行为审计,实时监控用户登录行为。2.3.1.3 身份认证及单点登录需求随着业务的发展,应用越来越多,种类越来越复杂,因此统一身份安全管理平台需在提供多种集成方式的基础上提供对多种强认证方式的支持扩展,包
11、括证书、动态口令、指纹识别等,以保证用户统一登录的安全。通过统一访问控制平台的建立,各应用系统实现用户统一认证、单点登录。要能够提供统一的认证方式和认证等级的管理;提供与认证相关的统一的认证策略,以满足不同系统认证服务的业务规则的需要。具体需求点如下:实现不同应用系统之间的单点登录和单点登出; 针对关键应用系统,同时使用统一认证及本系统提供的认证两种方式,保证在统一用户管理和认证平台失效的情况下,应用系统的正常使用;要求访问控制平台能够做到访问控制、完善的监控审计、日志报送、支持分权管理、完全的网络兼容性和应用兼容性、及自身的高安全性; 对已整合的应用,提供界面友好的应用统一入口; 能够实现不
12、同类型的应用系统的接入,包括易于改造接入的应用系统、不易于改造的应用系统和不能改造的应用系统的改造接入;2.3.1.4支持多种认证方式统一身份安全管理平台提供主流的多种认证类型和模块,例如静态密码+人脸识别。2.3.1.5权限管理需求应用系统的权限通常分为账号权限和业务权限两大类。账号权限指用户具有访问应用系统的登录账号,业务权限则为用户所拥有的与应用相关的细粒度权限,例如应用系统角色、功能权限、数据权限等,业务权限决定了用户登录应用系统之后能做的业务操作。在实现了应用单点登录和账号统一管理的基础上,并提供角色挖掘、权限互斥、审计报表等服务。具体需求如下:通过统一的授权界面显著提高业务应用系统
13、的账户授权的时效性和准确性,从而增强系统安全性;对业务应用系统的权限进行集中梳理,实现更精准的权限预警和控制; 对访问内容和授权操作进行详细的跟踪审计,并提供完整的报表,从而强化合规性; 建立用户权限库,实时可对用户各系统权限状况进行查询。2.3.1.7集中审计需求根据政策安全要求,统一身份安全管理平台需要具备相关的审计功能,对用户管理和访问控制中的关键流程、操作进行审计。2.3.1.8账号管理审计需求由于目前人力资源系统、门户系统、邮件系统等应用系统的账号为各应用系统独立建立、维护,没有进行统一管理,用户在系统中的账号无法与实际用户相关联的情况普遍存在。例如有的用户由于岗位变动,实际已经不需
14、要此系统权限,但在系统中未及时回收;或者某用户离职,但其应用系统账号未及时删除,导致这些用户仍能访问应用系统中的核心数据,从而带来严重的安全隐患。为此,统一身份安全管理平台在账号管理安全方面须满足对不合规账号进行管理和审计。账号合规检查需求统一身份安全管理平台支持对应用系统账号进行合规性审查,账号合规性审查应支持以下功能: 检测应用系统子账号总数; 检测应用系统已绑定账号数; 检测活动账号和非活动账号; 检查账号信息与统一身份安全管理平台中用户信息的一致性。安全审计需求根据安全要求,统一身份安全管理平台需要具备相关的审计功能,对用户管理和访问控制中的关键流程、操作进行审计,具体需求如下:审计应
15、覆盖到用户管理与访问控制的每个环节; 审计应记录应用系统重要的安全相关事件,包括重要用户行为、系统资源的异常使用、授权操作、重要系统功能的执行和账号、用户数据及组织架构的变更等;相关事件的记录应包括日期和时间、类型、主体标识、客体标识、IP、mac等等;建立综合审计展示视图,将审计信息进行集中展现和展示,根据记录数据进行分析,可生成审计报表,并对特定事件,提供指定方式的报警;单独设置安全审计管理员角色,使其与管理权限完全独立;对管理员实现基于角色的最小化授权,不同的管理员只能查询到自己管辖的应用系统范围的日志访问信息;在审计日志记录上,要求所有日志按照标准结构化数据记录,便于审计。2.3.1.
16、2.制度与规范建设需求为了规范应用的接入流程,增强平台的易用性与安全性,同时降低运维和管理的成本,应形成与统一身份安全管理平台对应的“应用接入和集成规范”、“账号管理流程 和办法”“安全标准和接口规范”和“系统运维管理制度”:应用接入和集成规范主要指导应用如何与统一身份安全管理平台进行集成。用户和账号管理流程和办法规范在统一身份安全管理平台上管理账号的流程,通过技术手段支撑账号管理的工作。制定用户信息管理规范,建立用户信息统一编码体系,采用规范的编码的方式注册。角色权限规范为平台定义不同的角色,制定统一角色命名标准和规范,制定统一权限命名管理规范。安全标准和接口规范为账号管理、认证、访问控制、
17、单点系统运维管理制度从操作系统到应用系统的运维管理制度、方法以及相关系统和数据的备份、监控方法。 满足XX接口集成标准要求。 满足XX主数据标准要求。2.3.1.3.用户认证支持平台支持用户名/密码认证:即支持应用系统基于统一的用户名/密码实现满足安全要求的用户身份认证,可以按需设置密码长度、复杂度,支持强制要求对密码进行定期修改,同时支持在设定的时间和密码尝试次数后,可启用账号自动锁定策略;支持多因素认证,包括支持 CA 、人脸识别的认证方式集成;支持对登录认证信息在生成、传输和存储等环节的安全保密,有效防止篡改、重放等攻击。2.3.1.4.网络需求 支持分布式部署和管理,包括分布式部署以及
18、该部署下的配置、监控、审计等; 支持 IE11、Chrome、360 等多种浏览器; 需要保证系统安全稳定,提供软硬件解决方案。 对于接入办公网络的电脑,可以访问所有业务应用和外网。通过 wifi 网络接入的笔记本、手机等设备,需要对业务入口进行权限控制和权限管理。通过不同入口进入网络的设备,能访问的效果不同。2.3.1.5.扩展性要求平台的设计应采用分层的模块化结构,以达到设置修改灵活,扩充方便,适应业务的发展变化。软、硬件平台应具有良好的可扩展能力,能够方便地进行系统升级和更新, 以适应各种不同业务的不断发展。平台的数据库、应用软件、认证模块可以灵活的集中或分散部署,并且可以实现负载均衡对
19、外提供服务。2.3.1.6.容灾备份要求本项目技术方案设计应包含灾备系统中统一用户安全管理平台的设计,待条件成熟时可依据方案进行实施。2.3.1.7.性能需求统一身份安全管理平台是门户系统、ERP系统、人力资源系统等应用系统用户身份认证和用户身份信息管理的基础性平台,需要高可靠性、稳定性的网络交换系统、服务器存储系统、数据库管理系统、应用中间件等软硬件支撑系统作为支撑。支撑系统的性能需求包括: 可靠性需求。系统应保障 7*24 小时可用; 系统响应时间应能满足各类不同应用的时效性要求; 系统保障对数据存储量、数据处理量和数据吞吐量需求的有效支撑; 系统满足对数据的完整性、一致性、真实性等数据质
20、量的要求; 系统能够平稳地实现存储、管理、同步等操作。用户和账号的管理可以实现准实时,即在完成所有的审批流程之后,可以在第一时间完成在各个系统的账号部署; 应该能够在用户量有较大增加的情况下,动态地扩展认证服务器群,从而满足对认证请求的性能要求。2.3.2.安全需求统一身份安全管理平台按照信息安全系统标准建立。在集团整体信息安全框架内, 统一身份安全管理平台遵循统一的信息安全管理相关策略、制度,在物理安全、应用安全、数据安全、网络安全和主机安全等基础性安全建设内容基础上,在应用系统身份鉴别、访问控制、关键操作抗抵赖、通信安全、剩余信息保护和资源控制等方面加强安全保护,最终实现业务安全的目标。具
21、体安全需求如下: 系统安全要求由于统一身份安全管理平台处于用户数据管理的核心位置,必须保证其自身系统的安全性。 统一身份安全管理平台在设计过程中的内部流程、开发规范、接口规范必须符合企业相关的安全规范和安全要求; 统一身份安全管理平台必须采用安全的操作系统和应用软件,根据需要对主机操作系统进行定期安全加固; 统一身份安全管理平台在设计中,应避免不必要的信任关系,尽量使高安全级别的系统访问低安全级别系统,避免存在一定安全隐患的系统将风险转移到高优先级的系统。 数据安全要求 统一身份安全管理平台的数据生成、存储、使用必须是符合企业相关的安全规范, 有明确的数据安全访问、存储、备份机制; 统一身份安
22、全管理平台中的敏感性数据,如用户信息、密码信息、审计信息等支持加密方式存储。加密算法的类型必须考虑与其他身份管理模块之间的配合通信。2.4.总体建设方案统一身份安全管理平台是在已具备一定 IT 规模的情况下,对全集团 IT 系统的用户管理实施基础性的改造,其主体工作不仅包括建立统一访问控制平台,再造用户管理流程,为新应用系统提供标准化的用户管理服务,同时还包括对原有应用系统的改造。通过访问控制平台的建立,对应用系统的访问进行了整合,建立集中的认证管理机制,面向全集团提供集中的认证管理服务。可提供统一的认证方式和认证等级的管理; 不同认证方式下的不同种类的认证凭证管理(静态口令、生物特征等),包
23、括认证凭证的完整生命周期管理和用户使用认证凭证的管理流程;提供与认证相关的统一的认证策略,以满足不同系统认证服务的业务规则的需要。因此,统一身份安全管理平台项目计划实现在全集团信息系统范围内打破各系统独自进行用户管理和访问权限控制的格局,建立统一的用户管理、认证管理,从而实现用户的统一身份管理、统一认证及单点登录。结合当前现状以及同业类似项目的建设经验,本着从全局、成体系。建立统一身份安全管理平台,为应用系统提供标准化的认证服务和用户管理,并完成典型应用系统的用户管理集成工作;实现权限预警、事中报警、事后追踪。实现全面应用推广,主要是面向所有应用系统进行用户管理集成工作。整体解决方案架构图如下
24、:2.5.整体逻辑架构整体逻辑架构图2.5.1.统一访问控制平台逻辑结构统一访问控制平台的目的是解决用户访问内部各应用系统的统一认证,保证应用系统的安全性,并实现单点登录功能,给最终用户访问各业务应用系统提供良好的体验。访问管理平台能够根据各域的安全级别要求,以及不同应用系统的安全等级,定义不同的认证方式。统一访问控制平台包括以下逻辑组件: 认证及单点登录服务 即访问管理服务器,为应用访问提供认证和授权控制。作为服务端,接收所有应用端的访问请求、产生和校验相应的 SSOToken,并保证与各应用间的安全通讯。同时认证及单点登录服务可以通过相应接口与各种认证方式的服务进行对接,例如动态口令服务、
25、指纹服务等,以提供给应用系统不同安全强度的认证方式服务。统一应用访问入口即集中的应用展示面板,为访问应用提供统一的实现单点登录和单点登出的登录界面和退出界面,包括强认证入口。同时,提供自服务界面,如 SSO 应用列表、密码修改、密码重置、个人资料修改等服务,其中,密码修改、密码重置和个人资料修改将通过调用统一身份管理平台的接口实现。统一应用访问入口部署在单独的服务器上。2.5.2.统一身份管理平台逻辑结构搭建统一身份管理平台的目的是解决公司内部各应用系统的统一身份管理,其内部用户身份来源于人事系统,通过在统一身份管理平台自动将用户帐号权限信息列表发送原部门负责人预警,并在审批后由相应管理员进行
26、下一步操作。结合统一身份管理平台结构,详细的设计包括三个层面,即展示层、服务层和目标应用层。分别说明如下: 展示层通过门户展现该用户的现有权限等相关信息,展现部门负责人审批意见,通过查看更多权限可在弹窗中查看用户全部系统权限。并可通过系统、角色进行相应检索,权限列表直接从BI进行查询建立。 服务层 BI系统权限库的核心层面,通过提取各系统数据库SQL权限视图信息,建立包括身份管理应用服务和数据仓库。 目标应用层流程示意图以主数据为主要的身份源,通过配置身份协调(Reconciliation)自动从人力资源系统将企业内部身份信息同步至统一身份管理平台。人员调岗或者发生岗位变更时自动触发门户查询用
27、户列表权限,并将权限列表展现部分至门户流程,交原部门负责人审批,部门负责人可通过门户提供的网址进行该员工当前所有权限列表信息查询,在部门负责人审批后通知相应系统管理员进一步操作。第三章. 项目实施计划3.1.项目建设期XX控股集团统一身份安全管理平台的建设是一个持久化的系统工程,需根据XX控股集团的业务发展不断调整和完善,以全面支撑企业业务和战略发展规划的需要。根据XX控股集团的现状,一期建立以主数据为的统一身份存储,搭建统一认证平台,提供统一认证服务,建立统一应用导航,提供统一的访问入口,实现单点登录及资金管理系统二次认证;搭建身份管理系统,实现内部帐号集中管理,接入集团邮件、门户、ERP
28、等应用;实现基本的权限BI报表和访问审计;梳理和制定内部用户管理规范。针对以上实施内容,预计实施周期为 个月。3.2.项目建设项本项目需要包含以下建设项:1、完成集团内X套系统的权限列表信息统计,通过BI查看展示,可根据角色、系统、人员等信息查询,可统计相应权限拥有人数量。2、在现有单点登录基础上,实现在通过单点登录基本的令牌方式认证后,进行资金管理系统人脸识别二次认证,。3、建立BI权限报表中心,实现集团内人员岗位或部门组织发生变动时,通过门户推送人员现有权限部分列表信息到部门负责人,通过点击更多可展现全部权限(直接读取BI数据库),并在部门负责人确认后通知涉及系统管理员。4、实现对单点登录
29、各系统进行访问日志管理,对人员访问时间、异常访问、访问失败及各系统各时间段访问量进行分析统计展示。3.3.项目实施策略根据经验总结归纳实施方法、实施步骤、实施策略,形成本期项目的实施规范,指导完成相关实施工作。3.3.1.实施流程根据应用集成工作步骤和方法,实施团队应完成应用调研、应用集成方案制定、应用账号梳理、配合应用开发改造、集成联调、上线运行,结合实施工作及规范,各项完成工作说明如下:实施准备阶段 应用调研 通过调研了解应用系统的开发语言、账号规则、建设方式、是否可开发改造等基本信息,根据调研结果初步确定拟采用的集成方式。 数据梳理梳理应用系统的账号信息,由各系统根据要求提供SQL视图。
30、由数据分析部建立统一模型,进行相应数据提取。实施方案主要明确实施目标、范围、平台部署架构方案、实施策略、步骤、分工界面及验收指标等内容。集成开发 应用系统完成身份认证和账号供给集成开发改造,实现应用账号同步及统一身份认证单点登录。集成测试包括身份认证接口联调测试和账号供给接口联调测试。应用系统根据测试用例,统一身份安全管理平台测试环境中进行测试,分别测试验证应用账号同步及身份认证单点登录、二次认证实现效果。权限预警搭建BI权限报表中心,实现人员调岗、调部门等自动触发流程进行接口设计,实现门户推送相关权限列表信息。日志审计 建立BI日志分析模块,对单点登录各系统进行访问日志管理,对人员访问时间、
31、异常访问、访问失败及各系统各时间段访问量进行分析统计展示。用户配合的重点工作用户统一身份安全管理平台的推广实施属于集成类型项目实施工作,不仅仅需要实施团队完成相应的本职工作,还需要协调用户方配合,才能更有效的完成集成、上线工作,根据实施工作的内容,用户方需要重点配合如下工作: 落实应用管理员及应用接入数量、范围、进度要求 落实各应用系统接口人及集成、联调测试工作安排 组织协调部门及相关领导确认应用系统账号梳理结果 测试环境和生产环境准备,主要包括软硬件环境、应用系统访问端口开通等3.3.2.实施原则项目要求以成熟软件产品为基础,基于XX控股集团各业务和管理系统的数据特色、相 关制度要求以及项目规划阶段所制定的高阶需求,细致开展软件产品客户化的差异分析, 并在产品差异分析的基础上以客户化开发方式进行系统实施,尽可能缩短项目实施周期, 降低项目实施的风险。3.3.3.应用集成策略XX控股集团统一身份安全管理平台以服务接口的形式实现对应用的集成,接口分为账号管
