电力企业决定实行单点登录

某发电有限责任公司（以下简称某发电公司）是中外合资的大型现代化火力发电企业，在目前应用的12个业务系统中，均为直接用于生产管理或的系统，每个员工在工作过程中都会经常使用与自身业务相关的多个应用系统，一般为4~5个，包括用于日常办公的、邮件系统、签到管理系统和日报综合查询系统等，当前的这种用户管理方式存在以下问题：1、用户使用不便、降低了工作效率2、身份认证方式单一3、管理员工作量大，工作负担较重4、缺少必要的登录认证审计，对操作行为无法进行监控随着化水平的不断提高，对信息资产的安全保护要求也在不断提高，单点登录技术有效地解决了企业在用户帐号管理中存在的问题，然而企业应用在不断发展要求企业不仅要解决帐号管理问题，同时要解决企业的强认证问题、统一和分级授权问题、安全审计问题，即进行4A管理，建设统一的安全管理平台，单点登录系统是企业建设统一安全管理平台的第一步，在此基础上，通过系统提供的开放式的接口和模块化的平台设计，可以实现企业的4A管理，包括：强认证已经部署的单点登录系统支持用户名口令认证方式，可以通过扩展增加强认证方式，如数字证书和动态口令。数字证书方式：可以建设一套CA证书认证系统，为公司用户签发数字证书，提高用户身份认证强度，并可增强业务系统的安全性，如安全网站保护、安全电子邮件、智能卡登录等。动态口令方式：通过对已有的身份认证服务软件进行升级或安装新的身份认证服务软件可以支持动态口令认证。细粒度和分级的资源授权通过对单点登录门户系统进行升级，以支持功能模块级、目录级、文件级、数字库表级、记录级、字段级等的权限控制。并根据用户的属性确定用户的授权权限，以实现资源的分级授权管理。安全审计单点登录系统实现了对用户的登录行为的审计日志记录，可以利用关联分析和数据挖掘技术进行更深度的审计，统一各应用系统的日志格式，将一系列的安全事件进行关联分析，并以报表和回放的方式提供给管理员，帮助管理员对安全事件进行分析，避免安全事故的发生。

某发电有限责任公司（以下简称某发电公司）是中外合资的大型现代化火力发电企业，总投资30多亿元人民币，规划总装机容量为120万千瓦，分两期建设，其中第一期建设完成装机容量为2×30万千瓦燃煤发电机组，分别于1995年12月底和1996年11月底投入正式运营。二期建设于2003年开始，完成装机容量为2×30万千瓦燃煤供热发电机组，于2005年初建成投产。公司两期建设完成之后拥有员工1000人左右，其中生产人员占75%，其他为企业管理人员和附属企业人员。

公司信息系统自1996年开始建设并运行，为公司生产经营提供了现代化的管理手段，在对该发电公司的应用系统的深入调查和分析后，了解到目前正在使用的应用系统共有12个，由于开发的时间不同，各应用系统采用的开发技术和架构也有很大的差异，具体情况如下表所示。

序号架构应用系统名称层次结构用户密码情况客户端情况

1BSEAM系统（企业）JSP，JAVA+Weblogic6。1+oracle9i采用ORACLE用户JVM

2BSOA（）（ASP。net+IIS6。0+oracle9i）用户存在数据库用户表中，密码加密存储下载控件

3BS邮件系统PHP+MYSQL用户存在数据库用户表中，密码加密存储

4BS公司领导综合查询ASP+IIS+oracle9i用户存在数据库用户表中，密码明码存储

5BS实时数据ASP+IIS+oracle9i无需用户登录

6BS签到管理JSP，JAVA+Weblogic6。1+oracle9i无需用户登录

7BS电视监控系统PB（控件）+ASP+IIS+MYSQL用户存在数据库用户表中，密码明码存储下载控件

8CS燃料管理系统pb6。5+oracle9i用户存在数据库用户表中，密码明码存储

9CS生产统计管理pb6。5+oracle9i用户存在数据库用户表中，密码明码存储

10CSDr。com计费网关系统ACCESS数据库用户存在数据库用户表中，密码加密存储

11CS基础指标数据录入pb6。5+oracle9i用户存在数据库用户表中，密码明码存储

12CS日报综合查询pb6。5+oracle9i用户存在数据库用户表中，密码明码存储

由上表可以看出，应用系统中采用CS架构与BS架构的应用各占近一半的比例，对于CS架构的应用来说，用户都需要安装客户端程序，部分BS架构的应用还需要下载控件，用户在登录各个应用时，需要分别输入用户名和口令。

各应用系统在用户管理方式、登录认证管理、资源授权方式和系统审计方式上的现状如下：

1、用户管理方式

业务系统都有自己独立的用户管理模块，同一用户在各个业务系统分别有不同的帐号，即一个用户有多个帐号，在登录业务系统需要输入相应系统的用户帐号。

2、登录认证方式

业务系统都有自己独立的登录认证实现，基本上都是采用输入用户帐号口令的弱验证方式进行认证，没有更强的身份认证机制（如数字证书、动态口令）。

3、资源授权方式

各个业务系统的资源授权访问控制都是由各个业务系统内部完成的，系统模块级的控制、文件级的控制、用户访问权限都是由各个业务系统管理员事先配置，没在实现资源的集中和分级授权。

4、系统审计方式

部分业务系统具备一定的系统审计功能，但在进行用户登录认证审计方面并不是很完整，格式也不统一，系统管理员不能统一集中地对用户登录认证审计日志进行维护和管理。

某电力企业决定实行单点登录的原因

在目前应用的12个业务系统中，均为直接用于生产管理或企业管理的系统，每个员工在工作过程中都会经常使用与自身业务相关的多个应用系统，一般为4~5个，包括用于日常办公的OA系统、邮件系统、签到管理系统和日报综合查询系统等，当前的这种用户管理方式存在以下问题：

1、用户使用不便、降低了工作效率

同一用户在各个业务系统分别有不同的帐号，即一个用户有多个帐号，用户在完成一项完整的业务操作时，可能需要登录多个业务系统，输入多次帐号和口令来完成，从而降低了工作效率。

2、身份认证方式单一

公司内的所有业务系统的身份认证方式都为”用户名+密码“，认证方式单一且认证强度低。对于一些安全性要求较高的系统可能需要更高强度的认证方式。

3、管理员工作量大，工作负担较重

分散的管理方式，决定了不同的业务系统都需要配备管理员，当一个新的工作人员到岗后，所有相关的业务系统管理员都需要为该工作人员进行帐号的创建、权限的分配等管理工作；当有人员变动时，需要相关业务系统的管理员都进行帐号的创建、删除等工作。另外，由于同一用户有多个用户名和密码，而往往用户可能会忘记一些用户名和密码，这都需要管理员重新初始化密码。从总体上看，这些都增加了管理人员的工作负担。

4、缺少必要的登录认证审计，对操作行为无法进行监控

部分应用系统具有简单的审计功能，各系统的审计日志相互独立，且日志格式各不相同，当一项操作行为发生时，无法进行完整的审计，审计信息也无法进行关联。

针对这种状况，该公司提出需要建立单点登录门户系统，为用户提供统一的认证访问入口，实现统一用户管理、统一认证和审计的目标。

某电力企业单点登录解决方案概述

单点登录门户系统在技术实现时可分为两个层次，上层为（单点登录门户）网站系统，位于最前端，直接面对用户；下层为（单点登录门户）支撑系统，位于各业务系统之下，为业务系统提供统一的用户管理和身份认证支撑。

各部分的功能如下：

单点登录门户网站

单点登录门户网站为公司员工提供访问业务应用系统的统一入口，负责与用户身份认证系统连接验证用户身份，并根据相应权限显示可以访问的业务系统。

统一用户管理系统

统一用户管理系统负责对公司信息系统的所有用户信息进行统一管理，创建统一的用户登录帐号，其他业务系统的用户帐号需要同该系统的用户登录帐号进行绑定。

统一身份认证系统

统一身份认证系统负责对用户的身份进行集中验证，支持用户名口令、数字证书（USB密码钥匙）的认证方式，支持的认证方式可扩展。

集中登录审计系统

集中登录审计系统负责将用户的登录事件记录到日志审计库中，审计系统可以针对特定的用户进行集中的登录审计。

统一接口规范

统一接口规范是单点登录门户系统提供的与业务系统进行集成的接口标准，支持CC++、COM、Java等语言和规范，支持与CS和BS架构的应用系统整合，业务系统通过调用该规范使用信息门户系统提供的统一用户管理、统一身份认证和登录审计等功能。