單點(diǎn)登錄系統(tǒng)在電力企業(yè)的應(yīng)用分析

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

電力企業(yè)決定實(shí)行單點(diǎn)登錄

某發(fā)電有限責(zé)任公司（以下簡(jiǎn)稱某發(fā)電公司）是中外合資的大型現(xiàn)代化火力發(fā)電企業(yè)，在目前應(yīng)用的12個(gè)業(yè)務(wù)系統(tǒng)中，均為直接用于生產(chǎn)管理或企業(yè)管理的系統(tǒng)，每個(gè)員工在工作過(guò)程中都會(huì)經(jīng)常使用與自身業(yè)務(wù)相關(guān)的多個(gè)應(yīng)用系統(tǒng)，一般為4~5個(gè)，包括用于日常辦公的OA系統(tǒng)、郵件系統(tǒng)、簽到管理系統(tǒng)和日?qǐng)?bào)綜合查詢系統(tǒng)等，當(dāng)前的這種用戶管理方式存在以下問(wèn)題：1、用戶使用不便、降低了工作效率2、身份認(rèn)證方式單一3、管理員工作量大，工作負(fù)擔(dān)較重4、缺少必要的登錄認(rèn)證審計(jì)，對(duì)操作行為無(wú)法進(jìn)行監(jiān)控隨著企業(yè)信息化水平的不斷提高，對(duì)信息資產(chǎn)的安全保護(hù)要求也在不斷提高，單點(diǎn)登錄技術(shù)有效地解決了企業(yè)在用戶帳號(hào)管理中存在的問(wèn)題，然而企業(yè)應(yīng)用在不斷發(fā)展要求企業(yè)不僅要解決帳號(hào)管理問(wèn)題，同時(shí)要解決企業(yè)的強(qiáng)認(rèn)證問(wèn)題、統(tǒng)一和分級(jí)授權(quán)問(wèn)題、安全審計(jì)問(wèn)題，即進(jìn)行4A管理，建設(shè)統(tǒng)一的安全管理平臺(tái)，單點(diǎn)登錄系統(tǒng)是企業(yè)建設(shè)統(tǒng)一安全管理平臺(tái)的第一步，在此基礎(chǔ)上，通過(guò)系統(tǒng)提供的開放式的接口和模塊化的平臺(tái)設(shè)計(jì)，可以實(shí)現(xiàn)企業(yè)的4A管理，包括：強(qiáng)認(rèn)證已經(jīng)部署的單點(diǎn)登錄系統(tǒng)支持用戶名/口令認(rèn)證方式，可以通過(guò)擴(kuò)展增加強(qiáng)認(rèn)證方式，如數(shù)字證書和動(dòng)態(tài)口令。數(shù)字證書方式：可以建設(shè)一套CA證書認(rèn)證系統(tǒng)，為公司用戶簽發(fā)數(shù)字證書，提高用戶身份認(rèn)證強(qiáng)度，并可增強(qiáng)業(yè)務(wù)系統(tǒng)的安全性，如安全網(wǎng)站保護(hù)、安全電子郵件、智能卡登錄等。動(dòng)態(tài)口令方式：通過(guò)對(duì)已有的身份認(rèn)證服務(wù)軟件進(jìn)行升級(jí)或安裝新的身份認(rèn)證服務(wù)軟件可以支持動(dòng)態(tài)口令認(rèn)證。細(xì)粒度和分級(jí)的資源授權(quán)通過(guò)對(duì)單點(diǎn)登錄門戶系統(tǒng)進(jìn)行升級(jí)，以支持功能模塊級(jí)、目錄級(jí)、文件級(jí)、數(shù)字庫(kù)表級(jí)、記錄級(jí)、字段級(jí)等的權(quán)限控制。并根據(jù)用戶的屬性確定用戶的授權(quán)權(quán)限，以實(shí)現(xiàn)資源的分級(jí)授權(quán)管理。安全審計(jì)單點(diǎn)登錄系統(tǒng)實(shí)現(xiàn)了對(duì)用戶的登錄行為的審計(jì)日志記錄，可以利用關(guān)聯(lián)分析和數(shù)據(jù)挖掘技術(shù)進(jìn)行更深度的審計(jì)，統(tǒng)一各應(yīng)用系統(tǒng)的日志格式，將一系列的安全事件進(jìn)行關(guān)聯(lián)分析，并以報(bào)表和回放的方式提供給管理員，幫助管理員對(duì)安全事件進(jìn)行分析，避免安全事故的發(fā)生。

某發(fā)電有限責(zé)任公司（以下簡(jiǎn)稱某發(fā)電公司）是中外合資的大型現(xiàn)代化火力發(fā)電企業(yè)，總投資30多億元人民幣，規(guī)劃總裝機(jī)容量為120萬(wàn)千瓦，分兩期建設(shè)，其中第一期建設(shè)完成裝機(jī)容量為2×30萬(wàn)千瓦燃煤發(fā)電機(jī)組，分別于1995年12月底和1996年11月底投入正式運(yùn)營(yíng)。二期建設(shè)于2003年開始，完成裝機(jī)容量為2×30萬(wàn)千瓦燃煤供熱發(fā)電機(jī)組，于2005年初建成投產(chǎn)。公司兩期建設(shè)完成之后擁有員工1000人左右，其中生產(chǎn)人員占75%，其他為企業(yè)管理人員和附屬企業(yè)人員。

公司信息系統(tǒng)自1996年開始建設(shè)并運(yùn)行，為公司生產(chǎn)經(jīng)營(yíng)提供了現(xiàn)代化的管理手段，在對(duì)該發(fā)電公司的應(yīng)用系統(tǒng)的深入調(diào)查和分析后，了解到目前正在使用的應(yīng)用系統(tǒng)共有12個(gè)，由于開發(fā)的時(shí)間不同，各應(yīng)用系統(tǒng)采用的開發(fā)技術(shù)和架構(gòu)也有很大的差異，具體情況如下表所示。

序號(hào)架構(gòu)應(yīng)用系統(tǒng)名稱層次結(jié)構(gòu)用戶密碼情況客戶端情況

1B/SEAM系統(tǒng)（企業(yè)資產(chǎn)管理）JSP，JAVA+Weblogic6。1+oracle9i采用ORACLE用戶JVM

2B/SOA（辦公自動(dòng)化）（ASP。net+IIS6。0+oracle9i）用戶存在數(shù)據(jù)庫(kù)用戶表中，密碼加密存儲(chǔ)下載控件

3B/S郵件系統(tǒng)PHP+MYSQL用戶存在數(shù)據(jù)庫(kù)用戶表中，密碼加密存儲(chǔ)

4B/S公司領(lǐng)導(dǎo)綜合查詢ASP+IIS+oracle9i用戶存在數(shù)據(jù)庫(kù)用戶表中，密碼明碼存儲(chǔ)

5B/S實(shí)時(shí)數(shù)據(jù)ASP+IIS+oracle9i無(wú)需用戶登錄

6B/S簽到管理JSP，JAVA+Weblogic6。1+oracle9i無(wú)需用戶登錄

7B/S電視監(jiān)控系統(tǒng)PB（控件）+ASP+IIS+MYSQL用戶存在數(shù)據(jù)庫(kù)用戶表中，密碼明碼存儲(chǔ)下載控件

8C/S燃料管理系統(tǒng)pb6。5+oracle9i用戶存在數(shù)據(jù)庫(kù)用戶表中，密碼明碼存儲(chǔ)

9C/S生產(chǎn)統(tǒng)計(jì)管理pb6。5+oracle9i用戶存在數(shù)據(jù)庫(kù)用戶表中，密碼明碼存儲(chǔ)

10C/SDr。com計(jì)費(fèi)網(wǎng)關(guān)系統(tǒng)ACCESS數(shù)據(jù)庫(kù)用戶存在數(shù)據(jù)庫(kù)用戶表中，密碼加密存儲(chǔ)

11C/S基礎(chǔ)指標(biāo)數(shù)據(jù)錄入pb6。5+oracle9i用戶存在數(shù)據(jù)庫(kù)用戶表中，密碼明碼存儲(chǔ)

12C/S日?qǐng)?bào)綜合查詢pb6。5+oracle9i用戶存在數(shù)據(jù)庫(kù)用戶表中，密碼明碼存儲(chǔ)

由上表可以看出，應(yīng)用系統(tǒng)中采用C/S架構(gòu)與B/S架構(gòu)的應(yīng)用各占近一半的比例，對(duì)于C/S架構(gòu)的應(yīng)用來(lái)說(shuō)，用戶都需要安裝客戶端程序，部分B/S架構(gòu)的應(yīng)用還需要下載控件，用戶在登錄各個(gè)應(yīng)用時(shí)，需要分別輸入用戶名和口令。

各應(yīng)用系統(tǒng)在用戶管理方式、登錄認(rèn)證管理、資源授權(quán)方式和系統(tǒng)審計(jì)方式上的現(xiàn)狀如下：

1、用戶管理方式

業(yè)務(wù)系統(tǒng)都有自己獨(dú)立的用戶管理模塊，同一用戶在各個(gè)業(yè)務(wù)系統(tǒng)分別有不同的帳號(hào)，即一個(gè)用戶有多個(gè)帳號(hào)，在登錄業(yè)務(wù)系統(tǒng)需要輸入相應(yīng)系統(tǒng)的用戶帳號(hào)。

2、登錄認(rèn)證方式

業(yè)務(wù)系統(tǒng)都有自己獨(dú)立的登錄認(rèn)證實(shí)現(xiàn)，基本上都是采用輸入用戶帳號(hào)/口令的弱驗(yàn)證方式進(jìn)行認(rèn)證，沒有更強(qiáng)的身份認(rèn)證機(jī)制（如數(shù)字證書、動(dòng)態(tài)口令）。

3、資源授權(quán)方式

各個(gè)業(yè)務(wù)系統(tǒng)的資源授權(quán)訪問(wèn)控制都是由各個(gè)業(yè)務(wù)系統(tǒng)內(nèi)部完成的，系統(tǒng)模塊級(jí)的控制、文件級(jí)的控制、用戶訪問(wèn)權(quán)限都是由各個(gè)業(yè)務(wù)系統(tǒng)管理員事先配置，沒在實(shí)現(xiàn)資源的集中和分級(jí)授權(quán)。

4、系統(tǒng)審計(jì)方式

部分業(yè)務(wù)系統(tǒng)具備一定的系統(tǒng)審計(jì)功能，但在進(jìn)行用戶登錄認(rèn)證審計(jì)方面并不是很完整，格式也不統(tǒng)一，系統(tǒng)管理員不能統(tǒng)一集中地對(duì)用戶登錄認(rèn)證審計(jì)日志進(jìn)行維護(hù)和管理。

某電力企業(yè)決定實(shí)行單點(diǎn)登錄的原因

在目前應(yīng)用的12個(gè)業(yè)務(wù)系統(tǒng)中，均為直接用于生產(chǎn)管理或企業(yè)管理的系統(tǒng)，每個(gè)員工在工作過(guò)程中都會(huì)經(jīng)常使用與自身業(yè)務(wù)相關(guān)的多個(gè)應(yīng)用系統(tǒng)，一般為4~5個(gè)，包括用于日常辦公的OA系統(tǒng)、郵件系統(tǒng)、簽到管理系統(tǒng)和日?qǐng)?bào)綜合查詢系統(tǒng)等，當(dāng)前的這種用戶管理方式存在以下問(wèn)題：

1、用戶使用不便、降低了工作效率

同一用戶在各個(gè)業(yè)務(wù)系統(tǒng)分別有不同的帳號(hào)，即一個(gè)用戶有多個(gè)帳號(hào)，用戶在完成一項(xiàng)完整的業(yè)務(wù)操作時(shí)，可能需要登錄多個(gè)業(yè)務(wù)系統(tǒng)，輸入多次帳號(hào)和口令來(lái)完成，從而降低了工作效率。

2、身份認(rèn)證方式單一

公司內(nèi)的所有業(yè)務(wù)系統(tǒng)的身份認(rèn)證方式都為”用戶名+密碼“，認(rèn)證方式單一且認(rèn)證強(qiáng)度低。對(duì)于一些安全性要求較高的系統(tǒng)可能需要更高強(qiáng)度的認(rèn)證方式。

3、管理員工作量大，工作負(fù)擔(dān)較重

分散的管理方式，決定了不同的業(yè)務(wù)系統(tǒng)都需要配備管理員，當(dāng)一個(gè)新的工作人員到崗后，所有相關(guān)的業(yè)務(wù)系統(tǒng)管理員都需要為該工作人員進(jìn)行帳號(hào)的創(chuàng)建、權(quán)限的分配等管理工作；當(dāng)有人員變動(dòng)時(shí)，需要相關(guān)業(yè)務(wù)系統(tǒng)的管理員都進(jìn)行帳號(hào)的創(chuàng)建、刪除等工作。另外，由于同一用戶有多個(gè)用戶名和密碼，而往往用戶可能會(huì)忘記一些用戶名和密碼，這都需要管理員重新初始化密碼。從總體上看，這些都增加了管理人員的工作負(fù)擔(dān)。

4、缺少必要的登錄認(rèn)證審計(jì)，對(duì)操作行為無(wú)法進(jìn)行監(jiān)控

部分應(yīng)用系統(tǒng)具有簡(jiǎn)單的審計(jì)功能，各系統(tǒng)的審計(jì)日志相互獨(dú)立，且日志格式各不相同，當(dāng)一項(xiàng)操作行為發(fā)生時(shí)，無(wú)法進(jìn)行完整的審計(jì)，審計(jì)信息也無(wú)法進(jìn)行關(guān)聯(lián)。

針對(duì)這種狀況，該公司提出需要建立單點(diǎn)登錄門戶系統(tǒng)，為用戶提供統(tǒng)一的認(rèn)證訪問(wèn)入口，實(shí)現(xiàn)統(tǒng)一用戶管理、統(tǒng)一認(rèn)證和審計(jì)的目標(biāo)。

某電力企業(yè)單點(diǎn)登錄解決方案概述

單點(diǎn)登錄門戶系統(tǒng)在技術(shù)實(shí)現(xiàn)時(shí)可分為兩個(gè)層次，上層為（單點(diǎn)登錄門戶）網(wǎng)站系統(tǒng)，位于最前端，直接面對(duì)用戶；下層為（單點(diǎn)登錄門戶）支撐系統(tǒng)，位于各業(yè)務(wù)系統(tǒng)之下，為業(yè)務(wù)系統(tǒng)提供統(tǒng)一的用戶管理和身份認(rèn)證支撐。

各部分的功能如下：

單點(diǎn)登錄門戶網(wǎng)站

單點(diǎn)登錄門戶網(wǎng)站為公司員工提供訪問(wèn)業(yè)務(wù)應(yīng)用系統(tǒng)的統(tǒng)一入口，負(fù)責(zé)與用戶身份認(rèn)證系統(tǒng)連接驗(yàn)證用戶身份，并根據(jù)相應(yīng)權(quán)限顯示可以訪問(wèn)的業(yè)務(wù)系統(tǒng)。

統(tǒng)一用戶管理系統(tǒng)

統(tǒng)一用戶管理系統(tǒng)負(fù)責(zé)對(duì)公司信息系統(tǒng)的所有用戶信息進(jìn)行統(tǒng)一管理，創(chuàng)建統(tǒng)一的用戶登錄帳號(hào)，其他業(yè)務(wù)系統(tǒng)的用戶帳號(hào)需要同該系統(tǒng)的用戶登錄帳號(hào)進(jìn)行綁定。

統(tǒng)一身份認(rèn)證系統(tǒng)

統(tǒng)一身份認(rèn)證系統(tǒng)負(fù)責(zé)對(duì)用戶的身份進(jìn)行集中驗(yàn)證，支持用戶名/口令、數(shù)字證書（USB密碼鑰匙）的認(rèn)證方式，支持的認(rèn)證方式可擴(kuò)展。

集中登錄審計(jì)系統(tǒng)

集中登錄審計(jì)系統(tǒng)負(fù)責(zé)將用戶的登錄事件記錄到日志審計(jì)庫(kù)中，審計(jì)系統(tǒng)可以針對(duì)特定的用戶進(jìn)行集中的登錄審計(jì)。

統(tǒng)一接口規(guī)范

統(tǒng)一接口規(guī)范是單點(diǎn)登錄門戶系統(tǒng)提供的與業(yè)務(wù)系統(tǒng)進(jìn)行集成的接口標(biāo)準(zhǔn)，支持C/C++、COM、Java等語(yǔ)言和規(guī)范，支持與C/S和B/S架構(gòu)的應(yīng)用系統(tǒng)整合，業(yè)務(wù)系統(tǒng)通過(guò)調(diào)用該規(guī)范使用信息門戶系統(tǒng)提供的統(tǒng)一用戶管理、統(tǒng)一身份認(rèn)證和登錄審計(jì)等功能。