论文部分内容阅读
摘 要:该文阐述了中石油集团公司推广的基于USB key的身份认证项目的背景意义,以及在企业中发挥中的作用,并对项目在企业中的应用效果进行了分析,并为该项目的下一步推广提出了建议。
关键词:信息化;安全;身份认证;USB key
中图分类号:TP393.08
1 引言
随着互联网和电子商务的发展,USB key作为网络用户身份识别和数据保护的“电子钥匙”,正在被越来越多的用户所认识和使用。2010年末,中石油集团公司开始启动身份认证项目,逐步推进在身份管理与认证平台集成各应用系统,使得用户能够经过身份认证后,可以实现单点登录,为提升企业信息安全发挥了重要的作用。
2 项目背景
随着信息化的快速发展,中石油集团公司认识到信息化对企业生产和管理的重要性,开始在信息化上展开工作并加大投入。近年来,统一实施了电子邮件、生产管理、ERP、人力资源、HSE、合同、档案、OA和财务等信息管理系统,逐步实现企业的生产、管理等诸多业务电子化、无纸化,期望借助信息化的平台,为企业提供新的管理手段与模式,来提高企业的管理效率,加快企业的发展。
这些应用系统采用不同的技术开发,实现的功能千差万别,出于安全考虑,每个系统都要鉴别使用者的身份,都要求用户输入用户名和密码。用户在日常工作中要记住每个系统的用户名和密码,在系统日益增多的情况下,很多用户常会设置简单易记的弱口令,这非常不利于系统的安全。另一方面,某些应用系统身份管理与认证的管理方式与实现流程不够完善,从而造成在应用系统中存在大量孤儿账号,为系统的安全性带来极大隐患。如今网络上的木马盗号违法行为盛行,只要计算机联网,几乎每一台电脑都可能遭受到攻击,而传统使用的静态密码(用户名+密码)被认为是极度危险的身份认证手段,所以对重要而敏感的网上身份认证的安全必然引起我们的重视。
综上所述,在今天企业信息化的发展形势下,简单的用户密码验证方式已经暴露出很多问题,给管理和安全上带来很大隐患,所以统一推行基于USB key的身份认证平台,集中的账号、口令管理机制,为中国石油信息技术应用环境建立起安全可靠的信息安全“基准线”。
3 平台功能介绍
身份管理与访问控制系统能够集中身份管理、授权管理、单点登录和强认证。
集中身份管理:实现中国石油员工与各应用系统账号的对应,方便掌握人员所拥有的各应用系统的信息,在人员状态(离职、职位变更、调动等)发生变化时,能够及时对账号进行相应操作(增加、冻结、修改)。
授权管理:根据不同业务应用需要,可灵活定义多种用户身份管理的审批流程。
单点登录:实现了被集成应用系统之间的身份认证互信机制,用户经过统一身份认证之后,即可访问该用户拥有访问权限的全部应用系统;
强认证:在符合国家相关标准的公共密钥体系基础设施的支撑下,基于严谨的加密算法与密钥管理机制,实现高安全性的USB key数字证书认证方式。
图3.1 USB key 平台功能示意图
4 身份认证平台的应用分析
4.1 USB key有效提高了系统用户账号安全性。
中石油推广的信息系统越来越多,每套系统都有一套独立的账号和密码,一个用户常常拥有多个系统的账号,经常出现用户名和密码混淆或忘记的情况,或者为了避免忘记,所有的系统设置简单易记的弱口令,然而对于ERP、人力资源、合同等具有企业重要信息的系统,如果密码泄露,将会导致公司内部的重要保密信息泄露,直接影响企业的正常发展。通过推行基于USB key的身份认证平台后,使用USB key数字证书和PIN口令的双因素认证,提高了系统登录认证强度,消除了用户名、密码在网上传输时被监听和截获的风险,有效满足了信息系统登记保护和萨班斯法案相关要求,同时实现了各应用系统的单点登录功能,使用户不需再记忆多套用户名和密码。
4.2 USB key能够体现人岗与系统匹配的科学管理。
推进身份认证系统后,实现“一人一key”的管理与使用模式,原先因为部分用户常常因为出差或对系统功能不够熟悉,而将账号和密码交由其他人来进行处理业务,这对账号的使用存在了一定的风险,尤其是权限比较高的账号,更会出现管理漏洞的出现,这违反了信息系统建设的初衷,而且也不符合内控体系的岗位职责分离规定。通过USB key登陆平台后,因为USB key涉及的系统很多,成为办公的必备工具,而且该登陆平台将各系统集成后,直接减少了逐个登陆系统的繁琐,简化了工作程序,用户对系统的抵触心理会大大减弱,经过阶段性运行后,发现通过USB key的使用有效消除了应用系统中存在的多人共用账号问题。
4.3 USB key身份认证规范了系统账号身份管理。
近些年来,各信息系统的账号都是在系统中自行创建的,虽然在创建过程中本着实名制的原则,但从账号管理的角度来说,没有与人力资源系统相关联,仅凭员工的了解和自觉,所以还存在较大的漏洞。通过集中统一的用户身份管理平台,与人力资源管理系统(HR)中员工和组织机构信息变化联动,有效提高应用系统用户账号管理的时效性,同时,也有效解决了应用系统用户物理身份和数字身份的一致性问题,实现了用户账号的实名制管理及审计。
5 USB key身份认证项目推进的建议
5.1 增强USB key平台的稳定性
系统集成到身份管理与认证平台以后,该平台成了系统的登陆出口,因此系统的稳定性直接影响着信息系统的使用,而这些系统都是重要的系统,直接影响着企业的正常管理工作,因此,USB key的稳定性极其重要,需要进一步加强系统的后台运维,保持与各集成的应用系统保持顺畅的沟通,以有效解决出现的问题。另外也要扩充后台服务器的数量,以及增加服务器的分布点,提高系统的响应速度,这样才能满足企业内部庞大用户量的状态,尤其是年末大量用户集中登陆时,能确保服务器的承受能力,保持系统的稳定运行。
5.2 加入用户提醒管理
每个系统都有一套账号,各应用系统集成到身份认证系统后,便于用户身份的识别,而且用户信息直接与人力资源系统相关联,对于用户在调岗或退休等情况发生时,在各应用系统中的身份信息需要同时调整才符合内控体系的要求。当USB key用户因为调岗或离职时,人力资源信息系统的信息一旦发生变化,相关信息就能传输到USB key管理平台,提醒管理员能够及时督促各应用系统的账号信息进行调整,真正起到保持USB key用户身份与各应用系统的岗位职责保持最新数据,真正发挥身份管理的作用。
5.3 规范USB key的管理
随着应用系统的推广,今后USB key将是集成用户系统的强大平台,涉及的用户数量也将会越来越多,因此对于USB key的管理更是日趋重要。地区公司和分公司都要规范USB key的管理,把USB key的申请、处理密码、注销和回收等流程进行规范,这样不仅能够保证USB key处于良好运转状态,还能保证资源的有效利用。
5.4 强化终端用户培训
终端用户是USB key的持有者,由于目前的USB key还需要安装驱动、自映射等操作,所以对于处于基层的员工或年龄较大的员工来说,操作起来较为困难,因此对于终端用户采取不同形式的培训,使得用户能够自我实现USB key的相关操作,而非依赖于信息管理人员,这样员工的办公水平才会不断提高,基层信息化的发展才会进一步发展。
参考文献:
[1]李立.统一身份认证系统的设计与实现[D].电子科技大学,2012.
[2]赵伟华,刘月.基于Ukey的内网安全管控平台关键技术研究[J].计算机应用与软件,2010,10.
作者简介:王晓霞(1981.10-),女,山东省青岛市人,中石油集团渤海钻探钻井技术服务分公司信息管理中心副主任,工程师,MBA硕士。
作者单位:中国石油集团渤海钻探钻井技术服务分公司,天津 300280
关键词:信息化;安全;身份认证;USB key
中图分类号:TP393.08
1 引言
随着互联网和电子商务的发展,USB key作为网络用户身份识别和数据保护的“电子钥匙”,正在被越来越多的用户所认识和使用。2010年末,中石油集团公司开始启动身份认证项目,逐步推进在身份管理与认证平台集成各应用系统,使得用户能够经过身份认证后,可以实现单点登录,为提升企业信息安全发挥了重要的作用。
2 项目背景
随着信息化的快速发展,中石油集团公司认识到信息化对企业生产和管理的重要性,开始在信息化上展开工作并加大投入。近年来,统一实施了电子邮件、生产管理、ERP、人力资源、HSE、合同、档案、OA和财务等信息管理系统,逐步实现企业的生产、管理等诸多业务电子化、无纸化,期望借助信息化的平台,为企业提供新的管理手段与模式,来提高企业的管理效率,加快企业的发展。
这些应用系统采用不同的技术开发,实现的功能千差万别,出于安全考虑,每个系统都要鉴别使用者的身份,都要求用户输入用户名和密码。用户在日常工作中要记住每个系统的用户名和密码,在系统日益增多的情况下,很多用户常会设置简单易记的弱口令,这非常不利于系统的安全。另一方面,某些应用系统身份管理与认证的管理方式与实现流程不够完善,从而造成在应用系统中存在大量孤儿账号,为系统的安全性带来极大隐患。如今网络上的木马盗号违法行为盛行,只要计算机联网,几乎每一台电脑都可能遭受到攻击,而传统使用的静态密码(用户名+密码)被认为是极度危险的身份认证手段,所以对重要而敏感的网上身份认证的安全必然引起我们的重视。
综上所述,在今天企业信息化的发展形势下,简单的用户密码验证方式已经暴露出很多问题,给管理和安全上带来很大隐患,所以统一推行基于USB key的身份认证平台,集中的账号、口令管理机制,为中国石油信息技术应用环境建立起安全可靠的信息安全“基准线”。
3 平台功能介绍
身份管理与访问控制系统能够集中身份管理、授权管理、单点登录和强认证。
集中身份管理:实现中国石油员工与各应用系统账号的对应,方便掌握人员所拥有的各应用系统的信息,在人员状态(离职、职位变更、调动等)发生变化时,能够及时对账号进行相应操作(增加、冻结、修改)。
授权管理:根据不同业务应用需要,可灵活定义多种用户身份管理的审批流程。
单点登录:实现了被集成应用系统之间的身份认证互信机制,用户经过统一身份认证之后,即可访问该用户拥有访问权限的全部应用系统;
强认证:在符合国家相关标准的公共密钥体系基础设施的支撑下,基于严谨的加密算法与密钥管理机制,实现高安全性的USB key数字证书认证方式。
图3.1 USB key 平台功能示意图
4 身份认证平台的应用分析
4.1 USB key有效提高了系统用户账号安全性。
中石油推广的信息系统越来越多,每套系统都有一套独立的账号和密码,一个用户常常拥有多个系统的账号,经常出现用户名和密码混淆或忘记的情况,或者为了避免忘记,所有的系统设置简单易记的弱口令,然而对于ERP、人力资源、合同等具有企业重要信息的系统,如果密码泄露,将会导致公司内部的重要保密信息泄露,直接影响企业的正常发展。通过推行基于USB key的身份认证平台后,使用USB key数字证书和PIN口令的双因素认证,提高了系统登录认证强度,消除了用户名、密码在网上传输时被监听和截获的风险,有效满足了信息系统登记保护和萨班斯法案相关要求,同时实现了各应用系统的单点登录功能,使用户不需再记忆多套用户名和密码。
4.2 USB key能够体现人岗与系统匹配的科学管理。
推进身份认证系统后,实现“一人一key”的管理与使用模式,原先因为部分用户常常因为出差或对系统功能不够熟悉,而将账号和密码交由其他人来进行处理业务,这对账号的使用存在了一定的风险,尤其是权限比较高的账号,更会出现管理漏洞的出现,这违反了信息系统建设的初衷,而且也不符合内控体系的岗位职责分离规定。通过USB key登陆平台后,因为USB key涉及的系统很多,成为办公的必备工具,而且该登陆平台将各系统集成后,直接减少了逐个登陆系统的繁琐,简化了工作程序,用户对系统的抵触心理会大大减弱,经过阶段性运行后,发现通过USB key的使用有效消除了应用系统中存在的多人共用账号问题。
4.3 USB key身份认证规范了系统账号身份管理。
近些年来,各信息系统的账号都是在系统中自行创建的,虽然在创建过程中本着实名制的原则,但从账号管理的角度来说,没有与人力资源系统相关联,仅凭员工的了解和自觉,所以还存在较大的漏洞。通过集中统一的用户身份管理平台,与人力资源管理系统(HR)中员工和组织机构信息变化联动,有效提高应用系统用户账号管理的时效性,同时,也有效解决了应用系统用户物理身份和数字身份的一致性问题,实现了用户账号的实名制管理及审计。
5 USB key身份认证项目推进的建议
5.1 增强USB key平台的稳定性
系统集成到身份管理与认证平台以后,该平台成了系统的登陆出口,因此系统的稳定性直接影响着信息系统的使用,而这些系统都是重要的系统,直接影响着企业的正常管理工作,因此,USB key的稳定性极其重要,需要进一步加强系统的后台运维,保持与各集成的应用系统保持顺畅的沟通,以有效解决出现的问题。另外也要扩充后台服务器的数量,以及增加服务器的分布点,提高系统的响应速度,这样才能满足企业内部庞大用户量的状态,尤其是年末大量用户集中登陆时,能确保服务器的承受能力,保持系统的稳定运行。
5.2 加入用户提醒管理
每个系统都有一套账号,各应用系统集成到身份认证系统后,便于用户身份的识别,而且用户信息直接与人力资源系统相关联,对于用户在调岗或退休等情况发生时,在各应用系统中的身份信息需要同时调整才符合内控体系的要求。当USB key用户因为调岗或离职时,人力资源信息系统的信息一旦发生变化,相关信息就能传输到USB key管理平台,提醒管理员能够及时督促各应用系统的账号信息进行调整,真正起到保持USB key用户身份与各应用系统的岗位职责保持最新数据,真正发挥身份管理的作用。
5.3 规范USB key的管理
随着应用系统的推广,今后USB key将是集成用户系统的强大平台,涉及的用户数量也将会越来越多,因此对于USB key的管理更是日趋重要。地区公司和分公司都要规范USB key的管理,把USB key的申请、处理密码、注销和回收等流程进行规范,这样不仅能够保证USB key处于良好运转状态,还能保证资源的有效利用。
5.4 强化终端用户培训
终端用户是USB key的持有者,由于目前的USB key还需要安装驱动、自映射等操作,所以对于处于基层的员工或年龄较大的员工来说,操作起来较为困难,因此对于终端用户采取不同形式的培训,使得用户能够自我实现USB key的相关操作,而非依赖于信息管理人员,这样员工的办公水平才会不断提高,基层信息化的发展才会进一步发展。
参考文献:
[1]李立.统一身份认证系统的设计与实现[D].电子科技大学,2012.
[2]赵伟华,刘月.基于Ukey的内网安全管控平台关键技术研究[J].计算机应用与软件,2010,10.
作者简介:王晓霞(1981.10-),女,山东省青岛市人,中石油集团渤海钻探钻井技术服务分公司信息管理中心副主任,工程师,MBA硕士。
作者单位:中国石油集团渤海钻探钻井技术服务分公司,天津 300280