| English Version | 日文版 |
“数字景区”就是要将一切可利用的信息技术与风景名胜区的保护、管理、服务、发展等工作有机地结合起来,以提升景区工作的信息化、数字化水平,整合景区资源,实现信息共享,创新管理模式,实现景区运营过程的有效管理和严密监控,变分散管理为协同联动,变多级管理为扁平化管理,变粗放管理为精细化管理;促进定性管理向定量管理的转变,经验管理向科学管理转变,静态管理向动态管理的转变,事后管理向超前控制的转变; 景区数字化实现后,将使景区的管理步入以信息带管理、以信息促保护、以信息增效益的良性循环轨道,从而达到提升景区整体发展水平的目的。
我国景区虽然大多数实现了网络化,建成了为数不少的应用系统,但各部门之间,各应用系统之间却存在着“部门壁垒”、“信息孤岛”,信息化建设呈现单点、分散的特征,系统和资源的利用率不高。黄山风景区拥有各类职工2000多人,各级职能部门30多个,已经独立建设的应用软件系统15个。这些应用软件采用不同的底层技术和数据格式,各个系统中的信息并不能有效共享,使得景区部门职员和管理流程被割裂,每个应用系统都有各自的用户管理、没有统一的登录平台。
本项目统一软件集成平台解决了统一用户管理、统一登录、统一授权、统一认证、统一审计。同时采用SOA架构方式整合了现有的GIS系统、电子门禁系统、车流量统计系统等15个系统,同时采用企业服务总线平台产品解决了异构环境下多子系统之间的数据传输、消息传递和应用整合。
如图所示,本次项目集成将对GPS定位系统、视频监控系统、电子门禁系统、GIS系统、OA电子政务系统、无线车流量分析系统、指纹考勤系统共7个系统进行集成,使用单点登录技术、实现异构环境下的7大系统集成。达到一个浏览器,使用7个系统的目标。同时统一的认证、统一的授权将用户管理起来,指定用户管理和授权管理的标准。
统一用户管理
用户管理面临的问题
随着企业的发展,企业的应用系统也越来越多样化和庞大,存在着多种应用系统并存的状况。而绝大多数应用系统都有自己独立的用户管理,用户认证和授权机制,这些模式往往不同且互不兼容。其次,企业的机构也不断复杂化,分支机构越来越多,用户的来源也越来越复杂,随着系统的增多中,为统一的身份管理带来了困难。
对于目前企业的信息部门和人资部门在新员工入职时面临的一个挑战就是,就是如何在新员工上班的第一天时能够为他们及时的开通所有他有权限访问的系统帐号。目前,大多数的企业都是通过一定的工作流程。由人资部门通过OA 系统或纸制文件的形式通知各个业务部门,然后由各部门的管理员对该员的身份和权限审查后为其开通相应的帐号。通常需要较长的时间才能够完成这样的一个流程,并且对用户的身份没有一个集中的控制,经常有重名或是账号重复的现象发生,未来随着企业信息化水平的不断提高,这样的管理方式是不能满足管理上的需求。
采用基于标准的统一身份管理架构
针对以上问题, SSO基于业界标准(如LDAP,Web Service,J2EE等)的,灵活、开放、可扩展性强的身份管理框架建立。提供身份认证和管理接口。对于新建系统可以直接调用SSO平台上的用户信息,在SSO平台上维护一套用户数据库就可以。
数据同步管理
对于老系统,如果不能调用SSO的认证接口,可以使用 IDM 的用户账号同步管理模块,将用户的身份信息和密码同步到各个系统的数据库中,系统管理员在一个平台上统一管理用户在各个系统中的账号和密码。
管理平台对用户身份信息进行统一的管理。不仅管理方便,也防止过期的用户身份信息未及时删除给企业资产带来的安全风险。在人员离职、岗位变动时,只需在SSO管理中心一处更改,即可限制其访问权限,消除对后台系统非法访问的威胁。
■ 和LDAP目录服务器同步
如果企业内部有其他的LDAP目录服务器, IDM的同步引擎是通过JNDI资源适配器完成的,在资源方无须代理。直接通过配置就将 IDM数据与其他LDAP目录服务器进行同步。
■ 和关系型数据库同步
IDM系统和关系型数据库,如Oracle 等的集成,是通过JDBC资源适配器完成的,并在资源方无须代理,通过配置资源适配器,完成数据同步。与关系型数据库同步还可通过编程接口的方式实现。
统一身份认证
由于单点登录是用户一次登录后就可访问后台所有的应用系统,因此,对于一次认证的身份认证手段是很重要的。在单点登录系统中,使用传统的用户名+静态口令方式对于一些重要的用户如财务系统人员和单位领导不太适宜。针对于此,SSO也提供了增强的身份认证机制,并设置多种身份认证手段,对重要的人员使用基于数字证书的认证方式,并采用USB Key作为认证器,确保用户身份的唯一性和认证信息的机密性。结合CA数字证书系统或是第三方数字证书系统都可以为企业提供增强的身份认证。同时系统采用LDAP标准协议服务器,可以提供统一的身份认证平台,作为企业的统一用户数据库,为后续新建系统提供了一个统一的认证和身份管理平台。
统一授权管理
在SSO平台上注册企业或组织内所有需要保护的应用系统,对其进行描述,管理。列出每一个应用系统下所具有的用户情况。在每个系统下查询用户情况,以直观的方式显示每一个资源下有权访问的用户信息。并对所有用户进行统一的授权。采用基于角色的授权机制,按照企业内部的组织结构划分角色,并为用户绑定角色。对于不同的角色分配不同的应用系统,以决定其是否可以访问还是不能访问某个系统。授权后,在单点登录平台上将只会显示其有权访问的系统。
统一安全审计
SSO提供了统一审计功能,审计用户对应用系统访问的情况,为后续发生事故时提供了一个可追查的机制。为管理员提供了一个统一的监控平台。来审计管理员对UTrust系统的管理行为进行审计;普通用户的访问行为;UTrust系统的运行情况。
SSO提供强大的查询功能,可以按异常事件查询,也可以按一般事件组合查询。并对审计信息进行分析统计,其结果以报表或图形的方式进行展现,以利于安全事件的快速、直观把握。通过对保存的审计信息数据进行签名处理,可以防止人为修改系统记录下来的审计内容。一旦发现审计内容被修改,审计信息将会出现特殊标识,以直观的方式呈现给管理人员。
统一安全管理
SSO统一安全管理中心为企业提供了统一认证,授权和审计管理平台。系统管理员通过这个管理中心可对上述用户身份信息,认证,权限及审计信息进行统一的管理,并对UTrust系统本身进行维护管理。
SSO系统为管理员提供了友好的管理界面,管理端基于Web和管理方式,管理设置灵活简单。在任何地点都可进行实时管理。同时对管理员还提供了强身份认证保护,管理员可以使用数字证书登录后进行相应操作;并对于远程连接采用SSL连接,实现安全的远程管理,对敏感信息具有很好的保密性和安全性。管理员通过系统配置工作,可将企业内不断增加的业务系统加入到 SSO平台上。实现系统的单点登录。
现有系统的整合
SSO方案对老的系统不进行改造,以避免部门协调,开发商找不到而带来的实施周期长,成本高,或实施半途而废的现象。在SSO方案中对系统采用配置的方式来实现对老系统实现单点登录。配置内容如下:网络配置;应用系统名称;应用系统IP地址和端口;应用系统上用户信息;用户单点登录信息;用户授权。通过这种简单的配置工作,就可将企事业单位的所有应用系统完全整合到 SSO平台上,无论是基于Web方式的B/S结构应用系统,还是安装客户端的基于C/S结构的应用系统。
新系统的集成
SSO与新建系统实现单点登录非常简单,它提供了认证接口,以提供给新开发的应用系统使用,新开发的应用系统通过调用SSO的认证接口,可以实现与SSO系统的集成,用户在SSO系统上通过一次认证后,就可以被与其接口的应用系统认可,当用户访问应用系统时不需再进行认证,就可直接进入应用系统进行访问。新开发的系统只在SSO用户数据库中拥有一套用户身份信息(用户名和密码,或数字证书标识)。
1) 应用无关性
• 保护所有类型的应用系统,可以保护基于各种协议,平台和开发语言的应用系统,无论是B/S结构的还是C/S结构的。
2) 即插即用
• 无需对系统做任何改造,保持现有的软硬件及网络环境不变,保持用户原有的使用习惯。
3) 高安全性
• 基于数字证书的强身份认证机制,通过CA数字证书认证系统为用户发放数字证书,同时兼容第三方CA认证机构颁发的证书。
• 自带防火墙安全防范机制,以确保系统本身的安全性和业务系统的安全性。
• 移动用户可使用加密机制,将用户访问内部系统时在网上传输的数据进行加密处理,实现安全的远程访问。
4) 高可靠性
• 对于大用户量的访问, SSO支持主备部署方式,以避免单点故障。用户可以在网内部署多台 SSO服务器,以平衡不同服务器之间的认证请求。
5) 可扩展性
• 对于用户的需求,可以定制开发,按企事业自身的特点和实际情况实现不同的功能实现方式。
• 提供不同的开发API,使用认证API可以将应用系统的认证被系统整合。并为其他认证方式,如动态密码认证,预留接口等,以适应企业的认证需求。
• 对于新建设的应用系统提供开放的标准的接口规范,在此标准指导下,可将应用完全纳入平台的统一管理中,实现统一认证,单点登录。
6) 跨平台性
• 基于J2EE技术:系统基于J2EE技术开发,与平台无关,可以方便的在任何操作系统上实施,与其他系统具有很好的兼容性。
基于LDAP技术:提供了强大的跨平台性和跨应用管理能力,为企业其他系统共享资源提供基础。也便于其他应用系统采用同一标准开发纳入统一管理平台。
联系人姓名:袁泉
联系人手机:13855155694
联系人QQ: 36757213
联系人邮箱: yuanquan@ustcori.com
联系人MSN:yuanquan@ustc.edu.cn
