XXX集团IT基础架构规划方案(7)

企业IT基础架构规划方案

行集中统一的控制，使操作行为和维护行为可以审计。如下图所示，主要达成了如下目标： （1） 将各应用系统中的账号进行统一管理和控制； （2） 提供统一的安全访问入口，实现系统间单点登陆；

（3） 实施统一的安全策略，进行集中控制和管理，可对接第三方认证组件； （4） 对关键数据和操作行为进行统一管理和审计，及时发现安全隐患。

最终用户 管理员 审计员

系统A 系统B 统一身份安全认证平台 系统C 针对企业对各信息系统实现统一身份安全认证的需求，推荐采用基于金蝶BOS或金蝶中间件的统一身份安全认证解决方案。

统一身份安全认证解决方案主要实现以下几点：

1） 建设企业门户Portal，主要实现各信息系统相关数据的整合展示和企业用户统一登录入口。 Portal即企业门户，是一个基于web的应用程序，它主要提供个性化、单点登录、不同来源的内容整合以及存放信息系统的表示层。Portal是组织的信息、应用、服务的统一访问平台，它为员工、客户、合作伙伴提供个性化、集成化的信息访问服务。

同时，对于组织的IT架构，Portal是一个标准的、可扩展的Web应用基础框架，它提供面向服务的界面开发思想及标准化、可重用的界面开发方法，是组织应用的快速接入平台，也是完整SOA支持平台不可或缺的重要构件。

金蝶BOS Portal提供了一个全面的平台,用于创建包括组织内部门户、移动门户。BOS Portal 建立于业界领先的金蝶 Business Operating System（简称BOS）平台上，继承了金蝶BOS优秀的跨

30

企业IT基础架构规划方案

平台技术体系，向下支持Apusic、WebLogic和WebSphere等多种应用服务器，Oracle、DB2和Sql Server等多种数据库。

BOS Portal简化用户对应用的访问，提高用户对信息的使用效率，改善用户的使用体验；并为组织提供一个标准的、可扩展的应用接入平台，帮助组织快速构建应用，以提升组织的IT应变能力，快速适应组织业务和战略需求。简言之，就是要使信息、应用的访问和构建都更简单、高效、轻松、愉悦。

BOS Portal架构图

BOS Portal 完全遵循/支持JAAS、LDAP等国际标准和规范，具有良好的扩展性和延续性，同时，也让产品与其他系统的交互更加简便，尤其有利于跨组织的业务协同和信息集成。

2） 实现企业各信息系统的单点登录。

SSO即所谓单点登录，用户在一处登录后访问其他相互信任的应用系统时不需要再次输入用户名和口令，即可完成身份验证。

金蝶BOS Portal SSO是基于CAS SSO的扩展，继承了CAS SSO的所有特性和优点，如N层资源保护、支持多种资源保护。

31

企业IT基础架构规划方案

BOS PORTAL SSO认证体系结构

在用户数据存储上，BOS Portal支持LDAP（轻量级目录访问协议）和关系型数据库两种存储方式，集中存放、管理和获取用户身份基础数据信息。BOS PORTAL缺省提供用户数据导入导出管理工具，可以通过后台事务自动定期从Directory Server/DB单行同步到BOS PORTAL，或者通过界面导入导出手工实现同步。

BOS PORTAL充分考虑到各个组织对安全性及认证灵活性上的要求提供了多种单点登录认证方案，包括如下认证方案：

? 传统用户认证方案 ? 域认证方案 ? 微软域认证方案 ? LTPA认证方案 ? CAS集成方案 ? 委托第三方系统认证

3） 实现企业各信息系统用户的安全认证。

32

企业IT基础架构规划方案

安全认证是指信息系统的用户在进入系统或访问系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。

目前，安全认证的方法和形式多种多样，通常在实际应用中常用的安全认证的方式主要有口令密码、动态密码卡、智能钥匙、指纹、数字证书、条码卡等。而且，很多系统为了提高安全性，其采用的安全认证方式是上述多种方法的组合，以下主要推荐动态密码卡安全认证解决方案。

日常的工作中越来越依靠各种软件系统，内部系统的登录主要依靠静态密码，由于静态密码基本上固定不变，存在着如下的安全隐患：

（1）用户在输入密码时容易被人偷看或者摄像机记录； （2）用户的密码容易在传输的过程中被软件截取； （3）用户的密码一般有一定的规律性，容易被猜测； （4）用户的密码长期不变，容易泄漏； （5）病毒，木马程序的恶意盗取；

（6）内部的防范意识不强，内部员工的恶意操作； （7）因为工作需要，告诉同事密码，事后忘记修改。

虽然在一个单位内部的系统相对比较安全，但一旦密码被盗，特别是一些重要的用户密码被盗，如单位的领导，财务等，那么造成的损失将是巨大的，这样的情况并不少见。使用动态密码的投入不大，可以有效的防范因为静态密码泄漏造成的风险，保证系统的安全。认证流程如下图所示。

33

企业IT基础架构规划方案

认证流程图

4） 实现移动门户。

随着手机等移动终端设备的普及应用，越来越多的日常事务要求直接通过手机等移动终端完成，在这种应用趋势下，移动门户诞生。用户可以通过移动终端设备登录Portal，处理待处理审批流程。

2.4.6 企业计算机和用户管理方案

企业计算机和用户管理，采用Windows Server 2008的Active Directory活动目录方案是最佳选择，Active Directory提供了一种方式，用于管理组成组织网络的标识和关系。Active Directory与Windows Server 2008 R2的集成，为我们带来了开箱即用的功能，通过这些功能我们可以集中配置和管理系统、用户和应用程序设置。Active Directory域服务（AD DS，Active Directory Domain Services）存储目录数据，管理用户和域之间的通信，包括用户登录过程、身份验证，以及目录搜索。此外还集成其它角色，为我们带来了标识和访问控制特性和技术，这些特性提供了一种集中管理身份信息的方式，以及只允许合法用户访问设备、程序和数据的技术。

活动目录是Windows 网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。

总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。

活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。

活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软

34

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库XXX集团IT基础架构规划方案(7)在线全文阅读。