《卫生统一身份认证应用解决方案》由会员分享,可在线阅读,更多相关《卫生统一身份认证应用解决方案(43页珍藏版)》请在金锄头文库上搜索。
1、卫生统一身份认证应用解决方案卫生统一身份认证应用解决方案目 录第1章.总论41.1 背景41.2 应用现状4第2章.平台需求分析62.1 现实的业务需求62.1.1 统一身份管理62.1.2 统一交互界面62.1.3 集中授权和审计62.1.4 高强度访问控制72.1.5 数据保全服务72.1.6 便捷客户体验72.2 更高的管理要求72.2.1 集中管理、统一配置72.2.2 提升信息安全防护水平72.2.3 强化业务操作责任认定82.3 国内统一身份认证服务平台应用现状82.3.1 典型案例82.3.2 其他行业9第3章.统一身份认证服务平台的建设目标113.1 整体目标113.2 业务目
2、标113.3 管理目标123.4 技术目标12第4章.统一身份认证服务平台安全解决方案144.1 系统总体设计144.1.1 总体设计思想144.1.2 平台总体介绍144.1.3 平台总体逻辑结构164.1.4 平台总体部署164.2 平台功能说明174.3 集中用户管理174.3.1 管理服务对象184.3.2 用户身份信息设计194.3.2.1 用户类型194.3.2.2 身份信息模型204.3.2.3 身份信息的存储214.3.3 用户生命周期管理214.3.4 用户身份信息的维护224.4 集中证书管理224.4.1 集中证书管理功能特点224.5 集中授权管理244.5.1 集中授
3、权应用背景244.5.2 集中授权管理对象254.5.3 集中授权的工作原理264.5.4 集中授权模式264.5.5 细粒度授权274.5.6 角色的继承274.6 集中认证管理294.6.1 集中认证管理特点294.6.2 身份认证方式304.6.2.1 用户名/口令认证304.6.2.2 数字证书认证304.6.2.3 Windows域认证314.6.2.4 通行码认证314.6.2.5 认证方式与安全等级324.6.3 身份认证相关协议324.6.3.1 SSL协议324.6.3.2 Windows 域324.6.3.3 SAML协议334.6.4 集中认证系统主要功能354.6.5
4、单点登录354.6.5.1 单点登录技术354.6.5.2 单点登录实现流程384.7 集中审计管理414.7.1 集中审计总体架构41第5章.统一身份认证服务平台建设效益435.1 极大强化了应用系统信息审计435.2 有效降低了运营成本,提升工作效率434第1章. 总论1.1 背景省卫生系统信息技术的迅速发展使得信息化的程度不断提高,在实施信息化过程中,诸如HIS、TIS、电子病历等越来越多的业务系统和网络设备应用而生,提高了卫生系统的管理水平和运行效率。与此同时,随着应用系统的不断增加,由于各个应用系统帐户管理和认证规则都不一致,导致用户在使用和管理的过程中也面临着越来越多的问题。对整个
5、IT管理提出了更高的要求,即对账号(Account)管理、统一认证(Authentication) 管理、统一授权(Authorization)管理和统一安全审计(Audit)四项要求,也就是我们所说的4A。因此针对已有应用的4A方面出现的问题,我们需要提出一整套的解决方案来有效的解决这些问题。通过多年在账号管理、统一认证管理、统一权限(授权)管理和安全审计积累的经验,综合PKI/CA基础设施的安全理念和电子认证服务模式共同提出了一整套解决方案,即统一身份认证服务平台的解决方案,此方案在解决4A问题上具有极高的效果,能够从人力、财力、物力上大大降低企业的成本,提高效率。下文将详细进行系统整体功
6、能的介绍,和统一身份认证服务平台在省卫生系统内部实际应用场景和需求解决方案介绍。在上述背景下,业务资源的协同、整合、综合应用逐步提上日程,在保证系统安全、稳定的基础上,如何发挥信息化系统资源丰富、处理高效的优势,正成为信息化建设中备受关注的焦点。1.2 应用现状目前省卫生系统信息化建设的目标是:在基础设施、应用系统、标准制度等相关信息化建设基础上,和应用集成平台的建设,大力推进和加强业务、数据的集成与综合应用,实现不同区域、医疗机构之间,甚至是不同组织间的业务协同运作,实现组织内业务、数据、信息的有序、可控的流动与共享,充分挖掘和发挥数据资产的价值,最终成为一个协调发展的有机整体。但是,现实的
7、情况却是:随着卫生系统各项业务的不断发展,各类应用系统资产在数量上大幅度攀升,系统运维人员的工作量成倍增长。应用运维人员在日常操作过程中不得不面对大量的帐号和系统口令;各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为;各应用系统都有一套独立的权限管理,管理员进入各应用系统均需进行认证,且认证方式多为静态口令,安全性较低;同时各应用系统也都有一套独立的授权管
8、理,随着用户数据量的增多,角色定义的日益复杂,用户授权的任务越来越重,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的威胁;。内部安全管理的要求。为了保证生产、办公系统的稳定运行,卫生系统及各区域医疗机构制定了大量的安全管理规定,这些管理规定的执行和落实与标准的制定初衷存在一定距离。外部审计的要求。业务扩展和对应用的灵活要求,经常会提出从外部对内部的各个系统进行审计,以便于随时随地掌握整个企业的各种情况。第2章. 平台需求分析12.1 现实的业务需求信息化建设的核心是保障应用。但是,多个业务应用系统访问和操作过程难以管理,严重影响了信息系统的应用效率。
9、要解决这个问题,须加强针对应用层面的安全管控措施,提高系统的访问控制强度,并针对数据进行完整性检查、源发性检查和抗抵赖保障。同时,还应注重客户体验。2.1.1 统一身份管理以往信息系统的身份管理方式,各个业务系统的账户命名都有自己的规则,账户管理工作分散,维护工作繁琐、用户身份难以界定。而统一身份认证服务平台可以结合现有的账户管理服务(AD目录服务),针对不同账户应用层面的信息安全基础提供保障措施,可以创建统一的账户管理机制和平台,面向不同的应用系统和用户,提供统一的、一致的身份管理和身份认证服务。2.1.2 统一交互界面在跨系统、跨部门、跨组织的业务操作和信息查询需求日益增多的情况下,从用户
10、使用的体验角度来说,每一个业务应用系统的操作界面、用户认证彼此独立,已经成为业务过程中相关职能部门人员间相互协作的巨大障碍。实现统一门户,单次登录功能。用户登录门户后,多个业务系统间的访问自行切换,极大改善用户体验感受。2.1.3 集中授权和审计跨系统、跨区域、跨组织的用户无法有效进行集中的授权管理和审计分析,有必要通过创建统一身份认证服务平台,制定权限策略、系统访问控制策略、审批权限流程等,加强内部管控和安全审计,对业务流程和操作变更进行有效控制。2.1.4 高强度访问控制各业务系统有自己的认证规则,认证标准不一致、安全强度有高低。根据信息安全管理的木桶理论“短板决定储水量”,易出现安全短板
11、。创建统一身份认证服务平台,跟据安全需求,采用数字证书、密钥等的安全认证方式,可提高访问控制安全强度。2.1.5 数据保全服务统一身份认证服务平台对业务系统涉及的重要数据提供数字签名功能,使得任何非法的数据修改过程能够被及时发现,保证数据从生成、流转、共享到存储整个生命周期内的完整性和一致性;实现业务数据的安全传输功能,通过采用SSL数据加密技术避免数据传输过程中被窃取、盗用或篡改。2.1.6 便捷客户体验统一身份认证服务平台可以实现信息系统账户与实体的唯一绑定,每一个用户在所有系统中以统一的身份进行各种业务操作,无须记忆大量的账户名和口令。同时,基于门户平台展示多个业务系统,实现单点登录功能
12、,使得用户的业务操作更加便捷、高效。2.2 更高的管理要求2.2.1 集中管理、统一配置省卫生系统运作更加强调对资源的有效配置和管理,信息化建设也是以此为目标开展的。医疗人员作为业务参与的主体,是卫生系统重要的资源,同时又是其它各项资源的使用者和支配者.但是分散的业务系统现状、独立的账号管理体制,人为的将本该统一、协同的各种资源隔离,无法满足对人员实施动态管理的要求。信息化建设目标应适应动态的人员管理机制的要求,实现对各种动态信息集中、实时的有效掌控,并以此为依据对各项企业资源进行统一、合理的配置,使企业运作更加高效有序。2.2.2 提升信息安全防护水平传统的信息化安全防护只是针对系统层、网络
13、层,采用防火墙、防病毒和入侵检测等“老三样”产品,已经不能适应当前信息安全管理要求。传统的技术方式缺乏针对应用层和用户行为管理的有效手段。作为信息安全基础设施,统一身份认证服务平台的实施能够在防御外部入侵和攻击、防范内部操作风险方面有效提升信息安全保障水平。2.2.3 强化业务操作责任认定在当今的信息管理中,更强调对参与人操作行为进行分析和控制,即:谁何时进入了哪些系统?访问了哪些资源?做了哪些操作?产生了哪些后果?通过建立用户信息的集中统一管理、用户身份的统一认证、统一的用户访问控制以及集中的用户行为审计,使用户行为与实体身份形成关联,便于实现用户行为的有效责任认定,为系统应用安全打下良好的
14、基础。2.3 国内统一身份认证服务平台应用现状目前,国内信息化建设程度较高的行业纷纷启动并实施了统一身份认证服务平台的建设,下面简要介绍一下各个行业统一身份认证服务平台的建设和使用情况。2.3.1 典型案例在保险领域,中国人民财产保险股份有限公司(PICC)为了满足业务的快速发展,在2008年底,开展了全集团统一账户管理、认证管理、授权管理和审计管理的系统建设工作。在该平台建设中,全部采用了统一身份认证服务平台产品,以PKI/CA技术为安全基础依托,构建起建覆盖全国36个省公司的统一身份认证服务平台。中国人民财产保险股份有限公司通过数字证书的应用,建立起全公司的身份管理的统一标准,大力推进和加
15、强数据、流程的集成与综合应用,实现不同部门、业务间,甚至是不同分支机构间的业务协同运作,实现全公司范围内数据/信息的有序、可控流动与共享,从而实现对人保财险信息系统的全面管控,统一身份认证服务平台的建设内容主要包括:在人保财险总部部署(证书签发系统),在全国36个省级分公司和集团部署(证书注册系统),作为身份管理的基础,通过CA为各业务系统用户签发数字证书,并能够通过系统实现各省对数字证书的独立管理。针对人保财险和36个省公司建立LDAP目录服务系统,实现对人保财险各应用系统用户的统一管理。对人保财险业务系统进行证书应用集成工作,实现基于PKI技术的身份认证、完整性检查、抗抵赖、传输加密、数字签名等安全功能。并确保在未来业务扩展中,能够提供对新业务系统的应用支撑。制定完整的业务系统基于证书应用的集成规范,作为保险公司身份管理、身份认证、授权管理和统一审计的标准。建立完整的运营管理规范,建设可靠的系统安全运营环境,制定完善的岗位管理制度
