解决方案
当前位置: 首页 > 解决方案 > 通用行业解决方案
应用系统统一认证单点登录解决方案

一、用户背景

某人寿保险股份有限公司于2007年11月经中国保险监督管理委员会批准设立,是一家全国性的专业寿险公司。现有注册资本101.3亿元,总资产超过770亿元。公司总部设在北京,在全国设有22家省级分公司,开设各级分支机构244家。

二、用户需求

  1. 方便性需求
    • 1) 由于要访问多个系统以开展日常工作,工作人员需记忆多个系统的用户名及口令以实现对系统的合法访问(部分系统为保证口令的安全性要定期更换口令),导致密码容易被遗忘,非常的不方便;
    • 2) 业务系统用户需要输入网址访问多个业务系统,与从一个统一门户(集中展现所被登录的业务系统)进行登录相比,便利性较低。
  2. 安全性需求
    • 1) 由于需记忆多个系统的用户名及口令,导致工作人员容易忘记密码或将密码设置为简单易记的口令,带来安全隐患,弱口令即是系统的严重安全漏洞。系统需要提供更安全的身份认证机制,如数字证书或动态口令认证;
    • 2) 各应用系统中系统用户仅对应访问系统的角色而非访问系统的自然人,导致存在幽灵账户问题(系统用户对应不到自然人,不能以自然人的变动为前提对账户进行变更),存在安全隐患;
    • 3) 员工离职或职位变动时,无法第一时间通知所有业务应用系统管理员进行相关操作,导致系统中所对应的帐号无法及时被删除或停用,用户访问权限不能及时得到有效控制,有可能产生非授权访问情况,即执行非法的业务操作,造成企业损失;
    • 4) 对远程传输的数据进行加密,确保数据传输的机密性。
  3. 可审计性需求
  4. 面对数量庞大而复杂的各种应用系统和应用访问人员,由安全隐患导致安全事故后如何快速定位责任人,进行审计和追溯是企业面临的普遍问题。

三、解决方案

  1. 建设数字证书认证服务器,解决服务器和个人用户身份真实性的问题。具体建设方案如下:
    • 1) 证书服务器负责证书的全生命周期管理,部署在独立的基础认证域;
    • 2) 为安全认证网关颁发服务器证书,为个人用户颁发个人证书。登录时,实现双向验证,确保安全认证网关身份和个人身份的真实性;
    • 3) 个人证书存储于USB KEY,确保私钥的安全。USB KEY是带有密码芯片算法的KEY,存储量大于等于64K。
  2. 建设安全认证网关,解决身份认证、访问控制、传输加密问题,实现统一认证和单点登录。具体建设方案如下:
    • 1) 安全认证网关部署在防火墙之后,热备部署。部署中心化、简单化,不改变整体网络的结构;
    • 2) 对互联网发布的应用服务器全部在安全认证网关的保护之下,用户远程登陆,通过安全认证网关的身份认证后,在授权范围内访问有权限的应用服务;
    • 3) 所有传输的数据全部进行加密,保证数据的完整性和机密性,防止被黑客窃听和截取;
    • 4) 实现统一认证和单点登录,提高用户的操作便捷性,带来良好的用户体验。

四、网络拓扑

应用安全设备部署拓扑图

五、用户收益

  1. 实现系统的单点登陆:系统实现一次登陆后,即可访问所有接入该系统并有权访问的应用系统,无需再次输入原有系统的账号和口令。
  2. 实现统一的身份认证:系统提供一个统一的身份认证源,建立集中的身份管理平台。提供强身份认证的方式,并为各应用系统提供身份认证服务。
  3. 实现统一的访问授权:系统实现统一的访问授权(非业务授权),为每个用户按照不同的安全策略授权,以决定其在什么样的条件下可以访问某个系统,对接入应用实行基于角色的授权管理。
  4. 实现统一的访问审计:系统统一记录每个用户登陆各个应用系统中的活动并保证完整记录,详细记录管理人员和普通用户的使用过程,从而建立一套全面的、有效的回溯和追查机制。对所有系统的访问情况统计分析,清晰掌握系统的访问状况。
  5. 实现通讯加密:所有传输的数据全部进行加密,保证数据的完整性和机密性,防止被黑客窃听和截取。