服务
随着电信行业业务规模的逐步扩大,信息系统的建设也在逐步完善以快速响应业务部门及客户的处理需求,目前电信业已经形成了由大量的网络设备、操作系统、数据库系统、应用系统构成的信息系统运行环境,业务开展对信息系统的依赖程度也日益增加,员工必须访问多个系统以完成必要的日常工作,信息系统在提高业务处理效率的同时,也为员工的使用带来了一些不便之处,并增加了很多安全风险。
安全认证解决方案可以实现使用数字化的用户身份,确保只有经过授权的用户才能对相关的应用系统进行操作,使最终用户仅需申请一次唯一的用户ID,仅需一次身份认证就可以访问所有授权的设备、应用系统。安全认证系统建成可以形成统一的安全认证服务构架,为以后新增加的业务系统提供全面的安全认证服务,确保业务系统的安全性。
1、实现用户的统一认证和强认证,包括数字证书、动态口令令牌等多种强认证方式。
2、实现用户单点登录,即实现用户输入一次帐户和密码就可以访问所有被授权的应用系统。
3、实现统一接入和管控用户对各应用系统的访问行为。
4、实现对用户生命周期的统一管理,保障用户帐号与用户身份状态的一致性,例如实现离职用户的主从帐号一次性整体清除等。
5、实现用户密码策略的统一集中管理,可以自动化实现密码按照指定的密码规则进行定期修改。
6、本方案的建设实现对诸如BOSS、客户服务、经营分析、网络支持设备等业务支撑系统的整合;更多的使用MIS、OA系统,实现公文高效流转和审批;开辟诸如SP服务、电子充值服务、移动商务等更多的增值服务,维系并发展客户。
(1)如何解决系统间壁垒的打破所带来信息互访的安全问题;
(2)如何保证计费系统数据记录真实准确、经营分析数据被由可靠授权人调取;
(3)如何保证MIS、OA系统公文流转的安全性、机密性;
(4)如何对非法SP内容进行有效追溯;
(5)如何对电子商务提供有效的法律保障。
一、统一身份管理
1、身份管理主要实现对用户数字化统一身份的管理,每个身份都能够唯一标识用户的自然人身份。
2、身份管理包括生命周期管理、基本属性管理、时效性管理、状态管理、认证策略管理、密码强度管理等。
3、实现统一的身份管理是实现统一认证、单点登录的基础。
二、资源帐号管理
1、资源帐号管理主要实现对设备、应用系统的帐号管理,实现对资源帐号的集中化管理。
2、资源帐号管理包括生命周期管理、基本属性管理、时效性管理、密码强度管理等。
三、统一认证
1、统一认证主要实现用户对设备、应用系统的统一安全认证,保证访问的安全性。
2、统一认证实现了一个对所有设备、应用系统的统一认证入口,在认证时加入强认证方式,如证书、令牌等方式,增强认证的安全性。
3、统一认证支持的强认证方式包括:PKI证书、动态口令令牌、一次性短信认证、生物认证等多种认证手段。
4、统一认证是基于统一身份管理的认证,可以准确定位认证用户的数字化身份,确保系统的安全。
四、单点登录
1、单点登录主要实现用户对设备、应用系统的单点登录,即用户只需经过统一认证,再登录权限范围内的设备、应用系统时,不需要再经过认证,可以直接登录。
2、单点登录是通过用户的统一身份和资源帐号的映射授权关系来确定用户是否拥有登录该资源的权限,是一种实体级授权关系,即用户只可以看到自己有权限访问的资源,完全避免了越权访问行为的发生。
3、单点登录的过程是被系统审计的,用户的所有访问行为都会被系统记录,配合用户的统一身份,形成不可抵赖性的安全审计依据。
五、安全审计
1、安全审计主要实现对用户所有认证、访问行为的记录,形成统一的审计日志。
2、安全审计的所有审计日志会关联用户的统一身份,形成可以关联自然人身份的审计日志。
3、安全审计可以提供用户认证、访问行为的统计报表、行为分析等功能。
六、保障机制
1、旁路部署机制:系统采用旁路部署机制,一旦出现故障,不会影响业务系统使用。
2、备份机制:系统采用双机或集群的方式部署,所有数据定期备份,保证业务的连续性和数据的完整性。
3、应急机制:系统提供应急机制,一旦出现故障,应急系统启动,用户可以通过应急系统继续进行统一认证和单点登录,不会影响业务系统的使用。
1、系统整体采用松耦合设计,各个功能服务独立部署运行,扩展性好、部署灵活,任何服务故障不会影响整个系统的运行。
2、系统支持多种认证方式,并与多种令牌、证书等第三方认证产品有过结合实施经验。
3、系统为有自主知识产权的自有开发产品,可以进行灵活的定制开发、二次开发。
4、系统提供整体的安全认证服务构架,对现有业务系统改造小,可以对以后新增的业务系统提供统一的认证服务,增强整体业务系统的安全性。
5、系统的旁路部署机制、备份机制和应急机制可以确保业务系统的连续性、数据的完整性。
甘肃移动业务支撑4A安全管理平台项目。
