單點登錄系統在電力企業(yè)的應用分析

申請免費試用、咨詢電話：400-8352-114

電力企業(yè)決定實行單點登錄

某發(fā)電有限責任公司（以下簡稱某發(fā)電公司）是中外合資的大型現代化火力發(fā)電企業(yè)，在目前應用的12個業(yè)務系統中，均為直接用于生產管理或企業(yè)管理的系統，每個員工在工作過程中都會經常使用與自身業(yè)務相關的多個應用系統，一般為4~5個，包括用于日常辦公的OA系統、郵件系統、簽到管理系統和日報綜合查詢系統等，當前的這種用戶管理方式存在以下問題：1、用戶使用不便、降低了工作效率2、身份認證方式單一3、管理員工作量大，工作負擔較重4、缺少必要的登錄認證審計，對操作行為無法進行監(jiān)控隨著企業(yè)信息化水平的不斷提高，對信息資產的安全保護要求也在不斷提高，單點登錄技術有效地解決了企業(yè)在用戶帳號管理中存在的問題，然而企業(yè)應用在不斷發(fā)展要求企業(yè)不僅要解決帳號管理問題，同時要解決企業(yè)的強認證問題、統一和分級授權問題、安全審計問題，即進行4A管理，建設統一的安全管理平臺，單點登錄系統是企業(yè)建設統一安全管理平臺的第一步，在此基礎上，通過系統提供的開放式的接口和模塊化的平臺設計，可以實現企業(yè)的4A管理，包括：強認證已經部署的單點登錄系統支持用戶名/口令認證方式，可以通過擴展增加強認證方式，如數字證書和動態(tài)口令。數字證書方式：可以建設一套CA證書認證系統，為公司用戶簽發(fā)數字證書，提高用戶身份認證強度，并可增強業(yè)務系統的安全性，如安全網站保護、安全電子郵件、智能卡登錄等。動態(tài)口令方式：通過對已有的身份認證服務軟件進行升級或安裝新的身份認證服務軟件可以支持動態(tài)口令認證。細粒度和分級的資源授權通過對單點登錄門戶系統進行升級，以支持功能模塊級、目錄級、文件級、數字庫表級、記錄級、字段級等的權限控制。并根據用戶的屬性確定用戶的授權權限，以實現資源的分級授權管理。安全審計單點登錄系統實現了對用戶的登錄行為的審計日志記錄，可以利用關聯分析和數據挖掘技術進行更深度的審計，統一各應用系統的日志格式，將一系列的安全事件進行關聯分析，并以報表和回放的方式提供給管理員，幫助管理員對安全事件進行分析，避免安全事故的發(fā)生。

某發(fā)電有限責任公司（以下簡稱某發(fā)電公司）是中外合資的大型現代化火力發(fā)電企業(yè)，總投資30多億元人民幣，規(guī)劃總裝機容量為120萬千瓦，分兩期建設，其中第一期建設完成裝機容量為2×30萬千瓦燃煤發(fā)電機組，分別于1995年12月底和1996年11月底投入正式運營。二期建設于2003年開始，完成裝機容量為2×30萬千瓦燃煤供熱發(fā)電機組，于2005年初建成投產。公司兩期建設完成之后擁有員工1000人左右，其中生產人員占75%，其他為企業(yè)管理人員和附屬企業(yè)人員。

公司信息系統自1996年開始建設并運行，為公司生產經營提供了現代化的管理手段，在對該發(fā)電公司的應用系統的深入調查和分析后，了解到目前正在使用的應用系統共有12個，由于開發(fā)的時間不同，各應用系統采用的開發(fā)技術和架構也有很大的差異，具體情況如下表所示。

序號架構應用系統名稱層次結構用戶密碼情況客戶端情況

1B/SEAM系統（企業(yè)資產管理）JSP，JAVA+Weblogic6。1+oracle9i采用ORACLE用戶JVM

2B/SOA（辦公自動化）（ASP。net+IIS6。0+oracle9i）用戶存在數據庫用戶表中，密碼加密存儲下載控件

3B/S郵件系統PHP+MYSQL用戶存在數據庫用戶表中，密碼加密存儲

4B/S公司領導綜合查詢ASP+IIS+oracle9i用戶存在數據庫用戶表中，密碼明碼存儲

5B/S實時數據ASP+IIS+oracle9i無需用戶登錄

6B/S簽到管理JSP，JAVA+Weblogic6。1+oracle9i無需用戶登錄

7B/S電視監(jiān)控系統PB（控件）+ASP+IIS+MYSQL用戶存在數據庫用戶表中，密碼明碼存儲下載控件

8C/S燃料管理系統pb6。5+oracle9i用戶存在數據庫用戶表中，密碼明碼存儲

9C/S生產統計管理pb6。5+oracle9i用戶存在數據庫用戶表中，密碼明碼存儲

10C/SDr。com計費網關系統ACCESS數據庫用戶存在數據庫用戶表中，密碼加密存儲

11C/S基礎指標數據錄入pb6。5+oracle9i用戶存在數據庫用戶表中，密碼明碼存儲

12C/S日報綜合查詢pb6。5+oracle9i用戶存在數據庫用戶表中，密碼明碼存儲

由上表可以看出，應用系統中采用C/S架構與B/S架構的應用各占近一半的比例，對于C/S架構的應用來說，用戶都需要安裝客戶端程序，部分B/S架構的應用還需要下載控件，用戶在登錄各個應用時，需要分別輸入用戶名和口令。

各應用系統在用戶管理方式、登錄認證管理、資源授權方式和系統審計方式上的現狀如下：

1、用戶管理方式

業(yè)務系統都有自己獨立的用戶管理模塊，同一用戶在各個業(yè)務系統分別有不同的帳號，即一個用戶有多個帳號，在登錄業(yè)務系統需要輸入相應系統的用戶帳號。

2、登錄認證方式

業(yè)務系統都有自己獨立的登錄認證實現，基本上都是采用輸入用戶帳號/口令的弱驗證方式進行認證，沒有更強的身份認證機制（如數字證書、動態(tài)口令）。

3、資源授權方式

各個業(yè)務系統的資源授權訪問控制都是由各個業(yè)務系統內部完成的，系統模塊級的控制、文件級的控制、用戶訪問權限都是由各個業(yè)務系統管理員事先配置，沒在實現資源的集中和分級授權。

4、系統審計方式

部分業(yè)務系統具備一定的系統審計功能，但在進行用戶登錄認證審計方面并不是很完整，格式也不統一，系統管理員不能統一集中地對用戶登錄認證審計日志進行維護和管理。

某電力企業(yè)決定實行單點登錄的原因

在目前應用的12個業(yè)務系統中，均為直接用于生產管理或企業(yè)管理的系統，每個員工在工作過程中都會經常使用與自身業(yè)務相關的多個應用系統，一般為4~5個，包括用于日常辦公的OA系統、郵件系統、簽到管理系統和日報綜合查詢系統等，當前的這種用戶管理方式存在以下問題：

1、用戶使用不便、降低了工作效率

同一用戶在各個業(yè)務系統分別有不同的帳號，即一個用戶有多個帳號，用戶在完成一項完整的業(yè)務操作時，可能需要登錄多個業(yè)務系統，輸入多次帳號和口令來完成，從而降低了工作效率。

2、身份認證方式單一

公司內的所有業(yè)務系統的身份認證方式都為”用戶名+密碼“，認證方式單一且認證強度低。對于一些安全性要求較高的系統可能需要更高強度的認證方式。

3、管理員工作量大，工作負擔較重

分散的管理方式，決定了不同的業(yè)務系統都需要配備管理員，當一個新的工作人員到崗后，所有相關的業(yè)務系統管理員都需要為該工作人員進行帳號的創(chuàng)建、權限的分配等管理工作；當有人員變動時，需要相關業(yè)務系統的管理員都進行帳號的創(chuàng)建、刪除等工作。另外，由于同一用戶有多個用戶名和密碼，而往往用戶可能會忘記一些用戶名和密碼，這都需要管理員重新初始化密碼。從總體上看，這些都增加了管理人員的工作負擔。

4、缺少必要的登錄認證審計，對操作行為無法進行監(jiān)控

部分應用系統具有簡單的審計功能，各系統的審計日志相互獨立，且日志格式各不相同，當一項操作行為發(fā)生時，無法進行完整的審計，審計信息也無法進行關聯。

針對這種狀況，該公司提出需要建立單點登錄門戶系統，為用戶提供統一的認證訪問入口，實現統一用戶管理、統一認證和審計的目標。

某電力企業(yè)單點登錄解決方案概述

單點登錄門戶系統在技術實現時可分為兩個層次，上層為（單點登錄門戶）網站系統，位于最前端，直接面對用戶；下層為（單點登錄門戶）支撐系統，位于各業(yè)務系統之下，為業(yè)務系統提供統一的用戶管理和身份認證支撐。

各部分的功能如下：

單點登錄門戶網站

單點登錄門戶網站為公司員工提供訪問業(yè)務應用系統的統一入口，負責與用戶身份認證系統連接驗證用戶身份，并根據相應權限顯示可以訪問的業(yè)務系統。

統一用戶管理系統

統一用戶管理系統負責對公司信息系統的所有用戶信息進行統一管理，創(chuàng)建統一的用戶登錄帳號，其他業(yè)務系統的用戶帳號需要同該系統的用戶登錄帳號進行綁定。

統一身份認證系統

統一身份認證系統負責對用戶的身份進行集中驗證，支持用戶名/口令、數字證書（USB密碼鑰匙）的認證方式，支持的認證方式可擴展。

集中登錄審計系統

集中登錄審計系統負責將用戶的登錄事件記錄到日志審計庫中，審計系統可以針對特定的用戶進行集中的登錄審計。

統一接口規(guī)范

統一接口規(guī)范是單點登錄門戶系統提供的與業(yè)務系統進行集成的接口標準，支持C/C++、COM、Java等語言和規(guī)范，支持與C/S和B/S架構的應用系統整合，業(yè)務系統通過調用該規(guī)范使用信息門戶系統提供的統一用戶管理、統一身份認證和登錄審計等功能。