中国海油统一身份认证管理平台

零信任安全云安全工业互联网安全数据安全与隐私保护移动安全物联网安全智慧城市安全 5G安全 AI安全 SASE 其他发布需求

中国海油统一身份认证管理平台

2021.11.24
5300
中国海洋石油集团有限公司

一、案例背景：
2021年10月18日习总书记主持中央政治局第三十四次集体学习会议提出：要加快新型基础设施建设，加强战略布局，加快建设高速泛在、天地一体、云网融合、智能敏捷、绿色低碳、安全可控的智能化综合性数字信息基础设施，打通经济社会发展的信息“大动脉”。

要规范数字经济发展，坚持促进发展和监管规范两手抓、两手都要硬，在发展中规范、在规范中发展，实现事前事中事后全链条全领域监管。积极推进数值化转型已经做为海油的重点工程，从传统管理模式向现代化、数字化、智能化跨越。

中国海油信息化工作始终紧紧围绕公司战略发展目标要求，在信息基础设施、信息系统、信息安全保障以及信息化管理等方面不断进行建设及发展进步，目前已进入了有序的发展状态。在进行业务信息系统建设的同时，公司还进一步强化了在信息化标准、规范、制度及信息化基础设施的建设，并逐步开展了核心业务信息系统的配套建设和改造，在统一身份管理方面，集团公司统一身份认证系统使用了微软AD域，绝大部分信息系统采用传统的“用户名静态口令”进行身份认证，认证方式单一。
从安全角度来看，没有形成全中国海油的统一用户安全策略，用户信息和员工信息没有形成有效关联。
认证管理方面，由于各应用系统独立管理用户认证信息，因此系统间认证信息不能共享，用户的认证凭证只能在特定的业务系统中使用，且各应用系统的认证管理和服务资源亦不能共享，系统建设成本高，效率低。
业务数据安全方面，业务部门对业务信息的归属和管理方面一直存在着所有权和管理权不清、权利业务不清、管理职责不清的问题，特别是跨部门流程或非经常性流程中涉及到的信息资产，经常存在着找不到所属部门的情况，出了问题，部门间会存在彼此推脱的现象。
在推动行业安全建设方面，能源是国民经济重要的基础设施之一，能源行业安全直接关系国计民生，中国海油承担着为国家发展提供能源保障的基本使命，因此，数字化转型、保障系统信息安全问题、制定和实施系统信息安全战略、建立全方位动态、纵深防御的能源系统安全保障体系，已成为中国海油当前系统信息化工作的重要内容。

二、案例概述：
2020年，集团公司新建统一身份管理认证平台，构建了以国产软件为基础的统一身份管理平台，实现自主可控，满足等保2.0、《中华人民共和国网络安全法》对于身份管控、认证能力的要求。实现了中国海油身份管理基础设施的自主可控，公司身份认证管理体系初具规模。平台实现了应用用户电子身份生命周期管理、多因素认证等能力，且已通过上下游109套系统集成工作得到验证。现已形成标准的应用集成上线流程、规范的集成接口，具备规模推广的能力。

中国海油统一身份认证管理平台，提供面向中国海油集团公司的统一身份、统一认证、统一授权及统一审计服务，将达成“自主可控、安全合规，身份集中、认证便捷，风险预警、集中管控，统一规范，简化应用”的目标。

在统一身份管理方面，将构建符合中国海油业务管理模式的用户账户管理流程；构建权威身份数据源，为各应用系统提供身份数据同步服务；提供用户账户全生命周期管理；建立集中用户身份信息库，收集、筛选所有系统的用户属性信息，做到用户身份信息聚合。

在统一认证管理方面，将为所有应用提供统一的访问入口；提供一次登录、免密登录服务；支持PKI认证服务体系、生物认证、扫码、OTP、短信等认证服务，提高认证操作的便捷性，同时加强认证安全性。

在统一授权管理方面，将实现统一的身份和访问控制管理策略；实现应用入口级别访问控制，构建全集团用户的整体业务系统访问权限画像；为跨地区、跨组织、跨时区的信息系统提供支撑鉴别授权的权威信任基础设施。

在统一审计管理方面，将对用户的认证、访问、操作等行为进行全方位监控、审计；提供对登录模式、访问时间、操作行为、访问习惯、访问关系等异常行为进行监控和预警。
对接企业安全运营中心，实现信息安全事件的全局视图。

整体安全性：通过平台自身安全、业务安全、数据安全等角度的安全设计和符合等保要求的攻击防范设计，为应用提供了安全可靠的认证服务并应对暴力破解等安全风险，总体防护效果得到验证。
平台稳定性：构建高可用架构，基于国密算法构建可靠的统一认证及移动安全平台。
用户范围广：已经具备对员工、互联网用户、外部合作伙伴、机器人提供电子身份与应用账号全生命周期集中管理能力。
认证能力多样：已具备多种主流多因素认证能力（口令、短信、扫码、动态口令、CA证书等），已实现PC端和移动端融合认证及访问控制，可为应用提供安全的双因素认证能力。
已有多种主流集成方式落地：OAuth、SAML、RESTful、JWT等对接能力已交付，实现内网、外网、内外网应用集成，已集成上线100套BS、3套CS、3套App、2套H5应用，正在进行120套BS、4套CS、3套App、4套H5应用。

三、安全技术应用情况：
深圳竹云科技有限公司为中国海油构建了以国产软件为基础的统一身份管理认证平台，实现自主可控，满足等保2.0、《中华人民共和国网络安全法》对于身份管控、认证能力的要求。安全性上结合密码平台，实现了数据储存、传输、签名的国密加密，针对B/S、C/S、APP、H5不同架构系统提供基于国密算法的双因素认证服务；平台稳定性上平台基于中国海油的PaaS、IaaS平台，并实现了北京、上海两地三中心的高可用分布式架构；为员工、供应商、回收商、外部合作伙伴、财务机器人提供电子身份与应用账号全生命周期集中管理能力以及多种主流多因素认证能力（口令、短信、OTP、CA证书、扫码、指静脉等）。

应用安全设计

设计并保证身份认证的强度及安全性，做到严格的访问控制；
与统一身份管理认证平台存在数据交互的实体（包括客户端及外部应用）全部采用基于标准的SSL/TLS协议实现；
设计并对所有输入数据进行有效性校验、进行过滤，防止SQL注入、XSS、CRLF等攻击；
对系统资源（通信会话及公共资源等）进行控制，自动终止长时间无用户操作的会话；自动释放用户长时间占用且无操作的系统资源；
针对面向对象技术，对内存的用户鉴别信息正确释放及清除，结合JAVA的垃圾回收机制进行保护。针对系统内文件、目录和数据库记录采用同样保护机制；
修复产品的安全隐患，对中国海油或国家相关部门发现的漏洞进行整改。在72小时内完成对高、中级安全漏洞的修复。

数据管理和数据安全

对敏感字段进行加密存储，使用国密商秘算法进行加密（包含但不限于SM2、SM3、SM4）。在存储口令以及相关敏感信息是使用不低于AES256加密、SM2加密方式处理；
使用可逆算法对用户字段进行加密，自定义加密秘钥，定期更换秘钥，同时对加密口令进行批量更新。定期更换加密算法秘钥。基于HTTPS协议提供服务。总的来说，以完全防止第三方窃取信息为目标开展设计、实施等各项工作；
阻止针对存储在数据库中的数据的非法访问（包括越权访问和其它未授权访问）；
避免非法数据写入，以保证数据的完整性和统一性；定期维护备份数据，以保证在发生异常情况时，最大限度地恢复数据；防止数据库系统软件因可能存在的后门或其它缺陷引起用户数据的失密。

四、客户反馈效果：