联创搭建江苏电信安全身份认证系统统一平台

来源：天极网作者：出处：巧巧读书 2006-05-09 进入讨论组

　　江苏电信有限公司是一家员工上万人、各种主机、网络设备、应用系统种类繁多、数量巨大的电信运营商。

随着江苏电信业务系统的迅速发展，各种支撑系统和用户数量的不断增加，网络规模迅速扩大，信息安全问题愈见突出，原有的分散账号、静态口令管理模式已不能满足江苏电信目前及未来业务发展的要求，主要表现在:

　　对于有着数百台、甚至更多网络设备和各种型号主机系统的电信级企业来说，采用分散帐号、记忆口令管理会带来巨大的管理开销和安全隐患。首先帐号密码的配置非常烦琐，需要在每一台网络设备、主机系统或应用系统上进行配置;由于采用了记忆口令的方式，为了保证口令的安全性，必须经常更改口令，每次口令的更改又要耗费大量的人力和时间;同时由于记忆口令不可能频繁更改，那么口令就存在着被窃听、盗用、滥用的危险，给企业的安全带来巨大的威胁;另外由于各个系统各自为政，缺乏集中的授权和审计的功能，无法根据用户级别进行分级授权，也无法记录用户访问设备的详细审计信息。

　　考虑到企业面临的安全隐患，江苏电信领导当机立断，采购联创公司的E-Securer安全身份认证系统来构建企业的统一认证平台，将电信企业DCN网中的所有重要主机系统、网络设备、VPN设备等的用户登录认证、行为授权审计均使用E-Securer解决方案来实现，整个统一认证解决方案的组成如下图所示:

　　江苏电信统一认证平台建成后，给企业的信息安全带来诸多方便和好处:

　　首先，安全性得到了极大的提高。以前采用静态口令进行认证的方式，变成了采用静态口令+动态口令的双因素认证方式。用户在进行登录时，除了输入用户名外，还要输入静态口令，以及由口令令牌产生或短信发送的一次性动态口令;口令被窃取盗用的情况，再也不可能出现，极大的提高安全性。

　　其次，用户使用更加方便。以前用户在登录不同的系统时，可能需要使用不同用户名、口令;采用统一认证系统后，用户只需要使用同一个用户名、同一个口令令牌就可以登录所有允许他登录的系统。在使用联创SSO安全网关后，用户更可以仅需要输入一次用户名、口令，就能对各个Web应用系统进行访问。

　　第三，安全控制力度得到了加强。管理人员可以通过统一认证系统对各个系统上用户信息进行集中的管理，控制用户的访问范围和权限，对用户的认证、在线日志进行审计，使整个系统的安全管理水平得到极大的提高。

　　第四，减轻了管理人员的负担，提高工作效率。管理人员不需要再象从前一样，必须登录各个系统上，才能进行用户帐户、口令的管理和维护;而是可以通过统一认证系统集中的完成，效率得到了提高，也减少由于在大量设备上进行操作，出现人为失误的可能。

　　第五，使用VPN远程接入认证，大大提高了企业办公效率。作为电信企业，各部门之间各种信息如人员信息、帐务、计划、内部交流等的变化十分频繁，并要求能及时传达，因此对远程通讯的要求较高。之前，江苏电信为了保障企业数据安全性，内外网是物理隔离的，远程用户访问内部网中的数据可以说是不可能的，这大大降低了人员的工作效率和对外提供服务的有效与及时性。现在，在家或出差在外的公司职员只要能连接Internet公网，通过E-Securer的认证后就可以通过VPN安全可靠的访问企业内部资源，大大提高了办公效率。