企业统一身份证认证平台建设方案.pdf

企业统一身份证认证平台建设方案 目 录 1 概述 4 1.1 现状及存在的问题 1.2 面临的挑战 1.3 解决问题的办法 1.4 建设目标 . 2 企业对身份认证的需求分析 6 3 建议解决方案 7 3.1 方案设计的主要依据 3.2 采用的技术标准 3.3 解决方案实现原理 3.4 解决方案示意图 3.5 方案说明 . 3.5.1 互联网接入 3.5.2 网络接入 3.5.3 桌面系统登录 . 3.5.4 内部应用信息系统登录和交易 14 3.5.5 IT 运维 . 3.6 关于动态密码的安全性 . 3.7 关于用户体验 3.8 关于交易责任厘清 3.9 关于与应用系统的整合 . 3.10 关于账户管理 3.11 安全性与可靠性说明 . 3.11.1 安全性保证 . 3.11.2 可靠性保证 . 3.12 方案实施后的意义 . 4 实施方案 2 7 4.1 关于部署方案 －2－ 4.2 客户化程序开发 4.3 系统测试 . 4.4 技术培训和业务培训 . 4.5 系统升级维护 －3－ 1 概 述 1.1 现状 及存 在的 问 题 制造企业信息化的两个现状和发展趋势值得关注： 1 ） 企业的办公和业务运营越来越依赖 IT 技术实现，如 ERP、OA、Email 等。 2 ） 办公业务信息化系统基于互联网平台实现，如移动办公、供应商服务系统、销售渠道系统等。 鉴于以上现状和趋势，密码安全或者说身份认证、账户信息统一管理等问题凸显出来。一般来讲， 企业账户管理和身份认证主要涉及以下几个层面： 1) 从互联网接入企业内网层面 （业务系统基于互联网平台已是标准部署方案） ，方式主要为 VPN 接入，角色涉及某些内部员工（移动办公）、供应商（接入 ERP 系统或者供应商服务系统）、 门店（接入 ERP 系统）等。 2) Windows 桌面接入层面，即登录 Windows 系统或者登录 AD 。 3) 应用系统层面，如 OA、ERP、邮件系统等。 4) IT 支撑平台的维护层面，包括网络设备、服务器主机以及数据库系统。 企业一般采用 AD 实现多个应用系统的账户管理、身份认证和统一授权。 AD 解决了密码加密存储 的问题，以及统一授权的问题。但是，由于 AD 采用静态密码认证，并没有解决强身份认证的问题。 1.2 面临 的挑 战 由于人的惰性、 安全意识和安全习惯等因素， 以及计算机网络特别是互联网固有的不安全性， 静态 密码在网络上容易泄露丢失、极易被猜测，这一问题并不能通过 AD 解决。 责任方面，按照密码安全管理制度，需要设置足够复杂的密码（ 8 位以上，数字、字母甚至字符混 合）、定期修改（一般要求 1 个月更新一次），由于人固有的惰性，以及安全意识和习惯的缺失，这 一制度实际上很难实施，特别是针对高权限账户（如领导）。一旦因密码泄密发生非授权访问、泄密和 违规操作，责任还是在 IT 部