维普资讯 http://www.cqvip.com 技术圈 视点 认证和授权体系趋于统一 ★撰稿/本刊记者黄昆 -认证和访问控制机制的统一将是业务系统整合的基础支持, _建立一个统一的身份认证和授权管理体系愈发重要。 系统身份认证的标准接口和统一策略, 这为后期实施统一认证提供了基础的 准备。 通过一期项目的实施,建行可以向 用户身份管理和授权管理的基础上为 用户再次定制,使信息系统提供统一 的身份认证,并使访问控制服务符合 银行自身特点。和通用系统不同的是, 这种模式更紧密地和企业结合,因适 应用系统提供认证服务,屏蔽不同认证 方式和认证产品的差异,建立适应建行 合业务,会提高用户管理效率和信息 系统的安全性。 在管理方面,通过长天科技统一 认证授权平台的建设,建行通过统一 各种信息系统的认证服务接口,避免认 证基础设施的重复开发。 2006年,长天科技实施了项目二期 工程,目的是要在一期成果上进一步 的认证与授权平台,整合全行信息系 统安全服务的资源,使全行的身份认 证安全等级提高,用户身份信息管理、 授权信息管理、身份认证和访问控制 规范化,对竞争日趋明显的商业银行 来说,提高了全行整体IT资产的风险 防范能力。 在业务方面,各信息系统可以进行 多种认证方式的身份认证,采用统一的 用户身份信息管理,与业务流程无关的 访问管理,逐步使信息系统用户身份信 息进行整合,最终实现面向用户的认证 项目重视统一 作为一个大型的商业银行,建行信 息系统的应用已经深入到几乎所有的核 心业务和大部分的管理当中。由于其信 息系统建设时间各不相同,使用的技术 平台、设计架构和采用的认证和授权的 机制及实现也各不相同,因此,信息的 安全问题就日益凸显。 因此,建行需要建立统一的认证 完善系统架构。如建立统一访问管理 机制,为应用系统提供统一、标准、规 范的身份认证、身份管理和访问控制 机制。提供单点登录服务,整合信息系 统安全服务资源,提高全行的认证安 全等级。 二期方案是以项目一期身份管理、 统一认证和强认证为基础,实现基于 B/S应用和基于C/S应用的SSO(单点 登录),提供内部员工、柜员的单点登 录。另外,建立统一询问管理机制,为 信息系统提供统一的、标准规范的访问 管理机制。 和授权机制以及统一的服务基础设施, 实现用户身份信息的规范化和统一管 理,并要保证认证和访问控制机制及 服务的统一,为业务系统的整合提供 基础支持,以此加强信息安全风险的 防范能力。 从2005年开始,建行就开始其信息 和授权服务。圈卫 关于统・的身份管理系统 统一认证和授权 从前两期的项目应用来看,建行规 范了用户身份管理和认证管理,为信息 系统提供统一的多种认证方式的认证服 务,统一用户身份信息管理使内部员工 单点登录即可,而且制订了应用系统接 统一身份认证管理系统为众多业务 系统提供统一的身份认证服务 降低维 护管理成本和工作量 提高了用户使用 的方便性 提高了应用系统的安全性 一 般来说.统一的身 份认证和授权系统童 括 统一用户管理 统一认证服务 统 一系统认证授权平台项目(UAAP)一期 建设,为建行内系统和网络应用建立统 一的认证流程。 当时CA系统和各种动态口令系统 的应用,为各种应用提供证书和动态口 令认证机制,并建立了应用系统、网络 入及访问管理标准规范。 该认证授权平台的特点是在统一 授权管理、统一资源管理.统一安全 帝 考 52 2007 11 12责任编辑.李晓慧lixi ̄u-@ccu,com cn
