3、方案设计
提出中国石油认证与授权管理的总体技术架构，进行认证和授权产品的市场分析，并给出相应的路标规划和实施计划。
本报告是系统设计的第三部分。
1
本报告是中国石油制定信息安全政策与标准项目中认证与授权系统设计的第三部分，目的是提出中国石油认证与授权管理的总体技术架构，进行认证和授权产品的市场分析，并给出相应的路标规划和实施计划。报告包含以下内容：
9.3.1基于角色、基于政策的访问管理114
9.3.2X.509 PMI简介114
9.3.3SAML简介114
前
中国石油天然气股份有限公司（以下简称“中国石油”）认证和授权系统设计由三部分组成：
1、现状报告
分析中国石油认证与授权的现状及存在的问题，为下一步方案设计提供参考。
2、需求分析报告
对中国石油认证与授权管理建设进行分析和展望，并提供可行的建设思路。
4.2集成设计28
4.2.1概述28
4.2.2集成的内容29
4.2.3集成的模式32
4.2.4数据流设计33
4.3数据设计35
4.3.1概述35
4.3.2组织和组织单元对象37
4.3.3人员对象38
4.3.4其它对象39
4.3.5附：Schema设计介绍39
4.4逻辑设计41
4.4.1概述41
4.4.2后缀选择42
8.3.5投资估算97
9附：认证与授权技术概述98
9.1目录服务技术概述98
9.1.1目录服务及发展简介98
9.1.2LDAP的工作过程98
9.1.3LDAP模型99
9.2认证管理技术概述103
9.2.1认证方式103
9.2.2PKI技术简介107
9.2.3国内PKI标准化现状113
9.3访问管理技术概述114
现状与需求概述
总体逻辑架构
目录服务与身份管理逻辑架构
认证管理逻辑架构
访问管理逻辑架构
产品的依赖越来越大，信息已成为现代企业的一种重要资产。
为保证中国石油信息系统的安全、健康、持续发展，降低信息技术给业务带来的威胁和风险，保证信息建设取得最大化的效益，根据中国石油信息化建设总体规划，中国石油开始实施制订信息安全政策和标准项目。
7.1.4访问管理74
7.2认证与授权产品市场分析74
7.2.1目录服务74
7.2.2身份管理76
7.2.3认证管理77
7.2.4访问管理78
7.3认证和授权管理产品供应商简要分析80
7.3.1IBM80
7.3.2Microsoft81
7.3.3Sun81
7.3.4Novell82
7.3.5CA83
4.7.3访问控制56
4.7.4加密57
4.7.5审计跟踪57
5认证管理57
5.1概述57
5.2PKI设计58
5.2.1概述58
5.2.2密钥的生成及存储59
5.2.3证书的生成60
5.2.4证书的合法性验证61
5.2.5交叉认证62
5.2.6证书政策62
5.2.7PKI实施策略63
5.3多认证体系65
1.信息存储
电子邮件、企业信息门户公用用户存储信息，其它系统各自独立
用户注册/注销过程缺乏统一管理，围绕不同的应用将形成若干安全孤岛。
管理成本增高
随着中国石油应用数量的增加，系统用户维护工作量将急剧增大，管理成本将不断增高。另一方面，各应用维护独立的用户信息，将不利于用户信息的标准化，不利于信息的共享。
中国石油信息系统认证与授权管理
方案设计
中国石油制订信息安全政策与标准项目组
2021年4月1日
目 录
前言6
1概述7
1.1项目背景7
1.2项目目的8
2现状概述9
2.1身份管理9
2.1.1现状分析与改进推荐9
2.1.2解决方案15
2.2认证管理15
2.2.1现状概述15
2.2.2解决方案17
2.3访问管理17
4.4.3目录分支结构43
4.4.4条目RDN选择46
4.5物理设计47
4.5.1概述47
4.5.2数据划分48
4.5.3目录数据库的物理分布49
4.6复制设计50
4.6.1概述50
4.6.2复制的内容51
4.6.3复制的模式51
4.6.4复制的频度53
4.7安全设计54
4.7.1概述54
4.7.2密码政策55
1.2
认证和授权系统设计是中国石油制订信息安全政策和标准项目的一部分。其目的是通过对中国石油认证和授权的现状进行评估，结合行业发展趋势和最佳实践为中国石油设计出既有可操作性，又具备前瞻性的认证和授权的技术架构，并给出相应的投资预估和实施计划。
2
2.1
2.1.1
标题
中国石油现状
主要影响与问题分析
改进推荐
在中国石油众多的信息安全风险中，用户管理的安全风险尤为突出，如内部人员可随意访问重要业务信息、无法有效控制外部人员未经授权的访问、对远程用户缺乏安全访问控制机制、多种应用导致用户信息过多而难以记忆等。要合理地约束和消除这些风险，中国石油认证与授权管理建设势在必行。其中，认证的目的是正确地识别用户的身份，授权的目的是为了使用户能且只能访问被授权访问的资源。
6访问管理66
6.1概述66
6.2对桌面资源的访问管理67
6.3对Web资源的访问管理67
6.3.1访问者描述69
6.3.2资源描述69
6.3.3规则描述70
6.4对C/S应用的访问管理71
7产品技术分析71
7.1认证与授权管理产品分类71
7.1.1目录服务72
7.1.2身份管理72
7.1.3认证管理73
7.3.6PKI供应商83
8路标规划84
8.1实施风险分析84
8.1.1风险分析84
8.1.2风险评估87
8.2分阶段路标规划88
8.2.1阶段定义88
8.2.2实施路标91
8.3第一阶段实施计划91
8.3.1第一阶段实现的功能91
8.3.2第一阶段技术架构92
8.3.3项目计划92
8.3.4所需资源97
用户使用不便
一名中国石油系统用户可能存在大量系统用户名/密码，不易记忆。某些用户为了记住不同系统的用户名和密码，往往将其写在纸上，甚至放在桌面上，这将大大提高安全风险。
缺乏统一的组织进行管理
中国石油的不同应用往往是由不同的部门进行维护。当应用维护各自的用户信息时，将很难建立统一的组织进行用户信息的统一管理，将很难保证用户信息的准确性、一致性和保密性。
2.3.1现状概述17
2.3.2解决方案18
3总体架构19
3.1认证与授权在信息技术总体架构中所处的位置19
3.2认证与授权管理设计原则19
3.3认证与授权管理的概念模型21
3.3.1中国石油认证与授权管理需求概述21
3.3.2认证与授权管理概念模型22
3.4总体架构26
4目录服务与身份管理27
4.1概述27