总部集中部署统一认证网关、身份管理套件（包括RA、CA、账号、授权等）、网络审计系统、数据库审计系统以及日志审计系统等；分支机构部署统一认证网关、RA系统、网络审计系统等。统一认证网关为用户访问业务应用系统的集中入口，认证通过后用户可以访问被授权的相关业务应用，对业务系统、数据库、网络设备等相关资源的访问操作行为都将被审计并形成记录，以供事后事件分析、取证与责任认定。
　　
　　统一认证网关采用天融信公司基于TOPVPN6000系列自主开发的安全网关，集成集中认证、单点登录和传输加密等功能；网络审计系统、数据库审计系统、日志审计系统采用天融信公司自主开发的TA-NET系列网络审计设备、TA-DB系列数据库审计设备、TA-L日志审计系统，对用户的的访问操作行为进行事后综合审计跟踪；证书的颁发、管理、授权等身份管理采用天融信公司TopPolicy系统，可以为应用系统用户、管理员、VRC生成、更新、发放证书，同时提供证书验证与CRL文件管理等功能。对于已经建有CA系统的用户，TopPolicy完全支持第三方的PKI系统。
　　
　　通过以上方案的实施，加强针对应用层面的安全管控措施，提高身份认证强度、系统的访问控制强度，保障访问行为的真实性、合法性和抗抵赖性。整体实现功能以及达到的效果如下所述：
　　
　　■以强身份认证为基础的统一身份管理。各个应用系统采用基于Ｘ.５０９数字证书的强身份认证方式，有效提升了认证强度，构建针对应用层面的信息安全基础保障措施，创建统一的账户管理机制和平台，面向不同的应用系统和用户提供统一的、一致的身份管理服务和身份认证服务；
　　
　　■单点登录。实现信息系统帐户与自然人的唯一绑定，每一个用户在所有系统中以统一的身份进行各种业务操作，无须记忆大量的帐户名和口令，使管理维护便捷的同时，也为行为审计提供了有效、可靠的手段；
　　
　　■实现业务数据的安全传输功能。通过采用SSL数据加密技术避免数据传输过程中被窃取、盗用或篡改；
　　
　　■全方位行为审计。建立起集中的行为监控机制，及时跟踪、审计使用者对资源的访问、使用情况，并对非授权访问或数据篡改等行为进行跟踪、审计监控与事后回放取证。
　　
　　通过事前用户身份标识、授权，事中集中访问控制，事后全方位审计监控，形成有效的合规业务过程，满足内部安全管理要求与外部合规要求。
　　
　　◆方案优势
　　
　　■单点登录
　　
　　☆方案具有独立的账号管理、授权管理、认证管理、审计管理功能，满足业务合规过程对4A的要求，并在此基础上，通过认证管理、账号管理和授权管理的高度集成，进一步实现统一的单点登录功能。
　　
　　☆在提高安全认证强度、细粒度角色授权的基础上，实现了集中统一认证与访问控制，从而减少了信息孤岛及用户账户信息冗余、简化了应用系统认证过程、减少重复认证、提高了应用系统访问效率及安全性。
　　
　　■高安全性和可靠性
　　
　　☆服务器组件之间交换的数据均使用安全套接层加密技术SSL加密；单点登录使用PKI密钥加密来加强Web服务器和应用服务器之间传送的数据的安全性：密码使用MD5散列算法口令转换成不可恢复形式然后存储。
　　
　　☆此外，系统提供硬件和软件的容错、数据存储的备份等系统可靠性措施；部分重要模块具有自检功能，能监视各功能模块的运行情况，随时发现系统自身的问题本系统还提供热备份和负载平衡特性，可以满足大型分布式网络的需求，扩展服务器带宽和增加吞吐量，加强数据处理能力。
　　
　　■高可扩展性、并支持第三方PKI/CA系统
　　
　　本方案能够随着应用的逐步完善和入网用户的逐渐增加不断地进行扩展，整个系统可以平滑地过渡到升级后的新系统中。
　
　　☆系统能够提供快捷的开发平台，方便用户针对一些特有系统的二次开发，使这些系统能够迅速纳入3A/4A平台的统一管理。
　　☆硬件系统采用模块化结构，以保证系统内存、CPU及储存容量的扩展；
　　☆在软件系统的开发中，考虑各个功能模块可重复利用，降低系统扩展的复杂性。
　　☆完全支持第三方PKI/CA系统，能够同客户已有的CA系统进行应用集成。
　　
　　◆应用领域
　　
　　■金融行业应用
　　
　　中国人民财产保险股份公司（PICC）为国内规模较大的综合型保险公司，总体上已较早的实现了数据大集中，总部及数据中心需要管理和维护众多的应用系统、网络基础设备等。PICC在进行信息化建设的工程中，同样面临着以上一些安全挑战。基于这些需求，PICC于2009年启动了第一期身份管理平台建设项目，天融信公司协助PICC规划、建设基于PKI/CA的3A/4A平台，目前已完成一期3A系统的建设，在公司总部及下辖36个分公司统一规划并部署基于PKI/CA技术的数字身份认证系统、统一认证网关等安全系统，实现本地办公用户、移动用户和保险代理机构的统一接入认证、单点登录、访问控制等。后期将在此基础上进一步集成1A（审计）功能，最终实现4A平台的搭建。
　　
　　■电信行业应用：
　　
　　移动、联通、电信等运营商内部有BSS、OSS、MSS等多类业务运营及管理支持系统，包括综合账务系统、计费系统、综合结算系统、经营分析（BI）系统、CRM/客户服务系统、业务管理系统、网管系统、以及众多的增值业务应用系统等，各个系统有自己独立的权限管理方式，部分重要系统采用数字证书认证的方式，更多的应用系统采用用户名/口令的弱认证方式，且各种方式很难建立有效的对应或映射，安全管理中同样面临以上一些安全挑战。本方案能较好的帮助电信行业用户建立起良好的内部控制技术手段，降低内部越权违规操作风险，满足行业合规风险管理要求。
　　
　　■其它行业应用：
　　
　　该方案还广泛应用于政府、军队、能源、教育、医疗、大型企业等行业用户，对数据中心、后台核心服务区域关键业务系统的访问与操作行为进行集中账号管理、认证管理、授权管理与事后审计，建立起事前、事中、事后的合规业务过程技术体系，保护敏感信息避免被非授权访问或被篡改，对违规业务进行审计跟踪与回放取证，并满足行业监管部门的监管要求。
　　
　　责任编辑：Randy