收藏
下载资源

usbkey_图文

上传人:小** 文档编号:55108397 上传时间:2018-09-24 格式:PPT 页数:88 大小:7.40MB
返回 下载 相关 举报
usbkey_图文_第1页
第1页 / 共88页
usbkey_图文_第2页
第2页 / 共88页
usbkey_图文_第3页
第3页 / 共88页
usbkey_图文_第4页
第4页 / 共88页
usbkey_图文_第5页
第5页 / 共88页
点击查看更多>>
资源描述

《usbkey_图文》由会员分享,可在线阅读,更多相关《usbkey_图文(88页珍藏版)》请在金锄头文库上搜索。

1、中国石油身份管理与认证项目 培训,信息技术部 主讲人:王宁,目 录,一、项目背景和实现目标 二、USBkey和身份管理与认证平台介绍 三、数字证书的管理流程 四、身份管理与统一认证系统安装和使用,初步印象,插入USBKEY 输入PIN码 单点登录,点击对应的图标,可以直接在弹出的页面中使用应用系统。,电子邮件系统,IAM系统,IMS系统,单点登录页面,应用服务列表,项目背景(一),国家相关文件要求加强信息安全保障工作,建立完善的信息安全保障体系,并提出了对关键信息系统实施等级保护的要求; 美国萨班斯法案对上市公司提出了信息安全相关的内部控制要求; 中国石油“十五”和“十一五”信息技术总体规划,

2、要求提高主要应用系统信息安全保障能力,保证网络与信息系统安全和可靠的运行; 集团公司领导非常重视信息安全工作,提出力争在35年内基本建成信息安全保障体系的目标,并专门立项编制中国石油信息安全总体规划; 中国石油信息安全总体规划参照国际最佳实践、结合中国石油实际情况,提出了信息安全保障体系架构,规划了11个信息安全项目,“身份管理与认证项目”是其中重要的技术类项目之一。,项目背景(二),身份管理与认证项目建设是应对用户身份与认证相关安全威胁的需要: 切实存在的信息安全威胁 某些应用系统用户设置了过于简单的口令,无法保证这些用户登录系统认证的安全性; 某些应用系统身份管理与认证的管理方式与实现流程

3、不够完善,从而造成在应用系统中存在大量孤儿帐号,为系统的安全性带来极大隐患。,统一的强认证实现技术基础,与集中的帐号、口令管理机制,不仅能够有效解决当前存在的弱口令、孤儿帐号等“老大难”问题,而且通过集中、统一的实现方式为中国石油信息技术应用环境建立起安全可靠的信息安全“基准线”。,案例: 在近期的一次安全检查中,发现某些应用中存在大量弱口令帐号,如111111、123456等; 通过实验,在应用的网络层面进行监听,能够搜集获取明文口令; 在对某应用系统进行帐号梳理的过程中,发现该系统内存在已离职人员的帐号依然有效的情况;,项目背景(三),由于目前的帐号管理混乱,无法确定哪些帐号唯一的对应一个

4、具体人员,因此,无法关联该人员的信任凭证(USBKEY证书),从而无法实现人员帐号的强认证。 若为每个信息系统帐号颁发一个USBKEY不具有可操作性。,对于各应用系统,在与集中身份管理与统一认证平台集成后,能够做到: 用户通过单点登录,更为方便和安全的访问应用系统,并可不经重复认证直接访问其他应用系统; 关键与重要用户使用比口令更安全易用的USBKey登录应用系统; 集中实现各应用系统用户帐号的电子化流程管理,并与员工信息的变化联动,大幅提高应用系统帐号管理的时效性; 及时发现用户帐号安全隐患,及时处理身份与访问相关安全问题; 通过本平台的身份管理功能,有助于对应用系统用户帐号进行梳理和检查,

5、及时发现和处理孤儿帐号,加强帐号管理力度。,实现目标,系统集成的范围: 中国石油总体规划的39个应用系统,及地区公司自建的部分重要信息系统; 用户范围: 涵盖中国石油所有信息系统用户。 功能范围: 集中身份管理、统一认证和单点登录; 权限管理与细粒度访问控制仍在各系统中自行管理。,建设范围,2011年推广范围,身份管理与认证项目2011年推广工作覆盖了26个应用系统(红字为辽阳石化要推广的系统),包括:,2011年计划安排,双轨运行阶段:通过我们的身份认证平台用USBkey登陆或者通过原来端口输入用户名密码的方式登陆都可以。 单轨运行阶段:只能通过身份认证平台使用USBkey登陆,原端口关闭。

6、,身份认证项目组主导 地区公司协助,地区公司主导 应用系统项目组协助,身份认证项目组负责,地区公司负责,地区公司负责,身份认证项目组技术支持,地区公司负责,地区公司负责,身份认证项目组负责,业务部门/ 专业分公司主导,身份认证项目组主导 应用系统项目组协助,目 录,一、项目背景和实现目标 二、USBkey和身份管理与认证平台介绍 三、数字证书的管理流程 四、身份管理与统一认证系统安装和使用,USBKey介绍,USBKey是一种形似U盘的便携式硬件设备,主要用来存储密钥和数字证书,设备自带计算和存储功能,使用时需要通过USB接口与计算机连接。USBKey内的智能芯片包括嵌入式处理器和微型操作系统

7、,可以在设备内部进行各种运算,能根据内置的公钥算法自动生成密钥对。USBKey中储存的私钥数据不能被导出到计算机中,相关的各种认证和计算也直接在设备内部完成,不受PC系统环境安全性的影响,从而有效保证了数字证书使用过程中的安全性。,数字证书,PKI系统(CA系统)的产物 数字证书是PKI技术的现实载体,通过数字证书我们可以实现身份认证、信息加密、签名等一系列的安全操作 网络世界的电子身份证 与现实世界的身份证类似 能够证明个人、团体或设备的身份 包含姓名、地址、公司、电话号码、Email地址、 与身份证上的姓名、地址等类似 包含所有者的公钥 拥有者拥有证书公钥对应的私钥 由可信的颁发机构颁发

8、比如身份证由公安局颁发一样 颁发机构对证书进行签名 与身份证上公安局的盖章类似 可以由颁发机构证明证书是否有效 可防止擅改证书上的任何资料 以后提到申请数字证书就是申请USBkey,单点登录:实现了被集成应用系统之间的身份认证互信机制,用户经过统一身份认证之后,即可访问该用户拥有访问权限的全部应用系统; 强认证:在符合国家相关标准的公共密钥体系基础设施(PKI)的支撑下,基于严谨的加密算法与密钥管理机制,实现高安全性的USBKey数字证书认证方式。,2.1 身份管理与认证系统的功能,身份管理与认证系统的功能,集中身份管理:实现中国石油员工与各应用系统帐号的对应,方便掌握人员所拥有的各应用系统的

9、信息,在人员状态(离职、职位变更、调动等)发生变化时,能够及时对帐号进行相应操作(增加、冻结、修改)。 电子审批:IAM系统根据不同业务应用需要,可灵活定义多种用户身份管理的审批流程。,用户帐号创建流程,用户身份信息变更联动机制,实现了电子签名、安全巡检和审计追踪等功能,确保用户帐号操作的可稽核性,身份与帐号信息的完整性,能够及时发现对于用户帐号属性的非法篡改。,身份管理与认证系统的功能,SAP GUI,SAP Portal,保持桌面单点登录软件处于登录状态,集成效果展示,目 录,一、项目背景和实现目标 二、USBkey和身份管理与认证平台介绍 三、数字证书的管理流程 四、身份管理与统一认证系

10、统安装和使用,数字证书管理,中国石油PKI系统数字证书管理(也就是USBkey) 规范涵盖了涉及证书操作的各种工作流程,分别对应7种用户数字证书业务,分个人申请和批量申请表。 普通用户涉及到的证书操作均按照以下业务流程办理: 证书新办流程:新办证书业务 证书冻结流程:冻结证书业务 证书解冻流程:解冻证书业务 证书更新流程:更新证书业务 证书注销流程:注销证书业务 证书补办流程:补办证书业务 证书解锁流程:解锁证书业务 办理地点:信息技术部二楼系统运行部209室。 办理所需时间:一到两个工作日。 申请人:用户本人或找代办人办理。,普通个人用户,用户服务申请表填写步骤和要求,1、在相应需申请业务前

11、的 “” 处打勾; 2、填写申请人基本信息; 3、如果是其他人代办,需填写代办人资料; 4、主管领导(处级)签字,盖本单位公章; 5、签名处请用钢笔或圆珠笔手写; 6、用户在申请时,须出示办理人身份证原件,并提供复印件一份;(办理人指:到系统运行部递交申请表的人) 7、证书有效期从受理之日起计算,证书有效期将签发在该证书中; 8、签收人必须是办理人,否则签收人也要提供身份证原件及复印件;,批量用户服务申请表,批量用户申请表填写步骤和要求,1、填写应用系统名称无特殊要求可以不填; 2、填写申请人基本信息; 4、主管领导(处级)签字,盖本单位公章; 5、签名处请用钢笔或圆珠笔手写; 6、用户在申请

12、时,须出示办理人身份证原件,并提供复印件一份;(办理人是指到系统运行部递交申请表的人) 7、证书有效期从受理之日起计算,证书有效期将签发在该证书中; 8、签收人必须是办理人,否则签收人也要提供身份证原件及复印件;,外部用户申请表单个用户,外部用户申请表批量申请,外部用户申请表批量申请附加表,填表要求,1、主管领导(处级)签字,盖本单位公章; 2、签名处请用钢笔或圆珠笔手写; 3、用户在申请时,须出示办理人身份证原件,并提供复印件一份;(办理人是指到系统运行部递交申请表的人) 4、签收人必须是办理人,否则签收人也要提供身份证原件及复印件; 其他要求请参考: 中国石油身份管理与统一认证服务平台外部

13、用户主帐号开通暨数字证书申请说明,办理流程说明,新办证书:办理条件:所有使用信息系统的员工,如果需要数字证书服务,本人或主 管部门均可向录入员提出新办数字证书申请。办理效果:应用系统用户领取到存有数字证书的USBkey。,办理流程说明,证书冻结:办理条件:1、USBkye丢失,不确定能否找会。2、出于安全管理或其他工作需要可提出冻结申请。办理效果:冻结后的证书(USBkey) 暂时无法使用。,办理流程说明,证书解冻:办理条件:用户需要将原来冻结的USBkey重新启用,可申请解冻。办理效果:冻结的USBkey 恢复正常使用。,办理流程说明,证书注销:办理条件:1、员工离职;2、工作上已不需要US

14、Bkey;3、其他安全考虑。 办理效果:注销后用户的证书信息在系统中清除,USBkey不可用。,办理流程说明,证书更新:办理条件:证书所包含的信息内容发生变更时,可以对证书进行更新。 办理效果:可更改有效期限、身份证号、域用户名、单位代码、单位名 称。,办理流程说明,证书补办:办理条件:1、USBkey丢失后确认无法找回;2、USBkey 损坏。办理效果:用户获得一个新的USBkey,用户原有证书会自动注销。,办理流程说明,证书解锁:办理条件:1、输入错误口令次数超过设定值 (8次)。2、忘记口令。办理效果:解锁后用户口令被重置为初始口令“88888888”。,办理过程注意事项,在办理证书更新

15、、注销、补办、解锁时,如USBkey未丢 失,办理时必须携带USBkey才能进行相关操作。,目 录,一、项目背景和实现目标 二、USBkey和身份管理与认证平台介绍 三、数字证书的管理流程 四、身份管理与统一认证系统安装和使用,中国石油身份管理与统一认证系统安装与使用步骤,首先根据应用系统类型选择安装步骤: 普通用户:普通用户一般为BS结构( 浏览器/服务器结构),原系统只需通过浏览器登陆的系统:如信息化管理平台IMS、邮件系统。ESSO用户: 一定为CS结构(客户机/服务器结构)原系统需安装客户端才能登陆的系统:如ERP,HR等。 注:两者的区别为ESSO用户需多安装一个E-SSO软件,并保

16、留原客户端软件。,普通用户安装标准流程,1. 普通用户系统安装登陆流程,1.普通用户系统安装登陆流程,1.普通用户系统安装登陆流程,1.普通用户系统安装登陆流程,1.普通用户系统安装登陆流程,ERP系统用户安装标准流程,1. ESSO用户安装登陆流程,1. ESSO用户安装登陆流程,1. ESSO用户安装登陆流程,1. ESSO用户安装登陆流程,1. 标准安装流程-安装过程中常见问题解决,1. 标准安装流程-安装过程中常见问题解决,1. 标准安装流程-安装过程中常见问题解决,1. 标准安装流程-安装过程中常见问题解决,1. 标准安装流程-安装过程中常见问题解决,1. 标准安装流程 统一下载地址,http:/pc 资源下载/身份管理与认证项目栏目,http:/pc 控件下载指南,第一步 登录身份管理与认证服务平台1)用户插入USBKey设备,打开IE浏览器登录https:/pc地址或双击桌面“中国石油身份管理与统一认证平台”快捷方式图标。,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 宣传企划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号