伴随着国内大中型企业信息化建设的不断发展,信息化应用对于企业自身业务运行的支撑作用越来越明显。企业门户的作用,也从最初的单一企业门户网站,发展成为企业自身的网络应用及信息整合平台,完成部门之间协作的电子业务平台;不仅能够集成各种应用系统、数据库、互联网内容,而且可以完成系统间彼此的协同工作,使得员工、客户或者合作伙伴不需要频繁地登录不同的应用系统,大大简化了企业业务流程,提高企业运作效率。
由于企业门户在企业信息化建设中的地位不断凸显,集成在门户系统中的业务应用也越来越多,门户系统其自身的安全保障问题也变得尤为突出。企业门户信息系统所存在的安全风险,主要体现在如下方面:一是功能界限不明确:作为企业信息化门户,其建设现状不但承担了多应用的集成、数据的整合及统一展现的专职任务,同时还不得不以一个业务系统的身份承担企业内部单点登录(SSO)认证中心的功能,存在一定的架构设计风险。二是身份认证强度不够:目前企业门户的身份认证多数以用户名/口令方式进行,强度弱,且容易被盗取,进而存在身份冒用风险。
本方案基于PKI数字证书认证体系,对用户和业务资源进行集中管理,以及对企业门户系统进行访问安全保护,从而达到了门户系统安全加固的效果。
在这样的整体应用框架下,PKI/CA将为用户提供标准的用户身份(即数字证书)。在此基础上,建设统一用户管理系统,由统一用户管理系统将用户证书与门户以及应用身份建立有机的连接,并通过集中的发布机制发布到目录服务体系中;建设安全认证网关,网关通过目录服务体系提供的信息对访问门户系统的用户进行认证,对用户身份进行集中管理、统一认证,从而实现了门户的安全访问。此外,通过追踪用户在应用系统内部的完整的应用轨迹,建立有效的应用审计分析体系,最终实现了门户的全面加固。方案逻辑架构图如下:
