安信天元应用系统统一认证授权管理平台

NSG-4A统一帐号认证授权审计平台——IT系统统一智能化安全支撑1 产品概述4A平台是指对IT系统的帐号（Account）、认证（Authentication）、授权(Authorization)和审计(Audit)进行统一、集中的安全管理的平台。

为企业提供统一安全框架，整合企业应用系统、网络设备、主机系统。

解决了“When”、“Where”、“What”、“Who”、“How”这样的问题，也就是说谁能够在什么时候获得谁的授权来使用某一个应用或设备，如何去使用这样的应用或设备，以及知道谁在什么时候访问了某些应用或设备等。

确保合法用户安全、方便使用特定资源。

这样既有效地保障了合法用户的权益，又能有效地保障IT系统安全可靠地运行。

2 产品总体架构3 产品功能：●统一的身份认证和单点登录；●4A统一门户作为应用资源、系统资源的集中、唯一访问入口，禁止用户绕过4A统一门户直接登录应用资源和系统资源,安全、高效的使用各类IT资源，降低操作复杂度;●统一的帐号、授权管理,对用户能够在被管资源中行使的权限进行分配，实现用户对资源的访问控制，降低日常安全管理工作量，提升安全管理效率；●全面审计业务操作行为、系统操作行为，落实安全政策，降低安全事件的影响;●安全、可靠、易用的人机交互界面，为使用人员提供身份管理、登录认证的相关服务。

4 产品优势●完全自主知识产权的身份管理、访问管理系统；●平台对用户的管理权限严格分明，各司其职，分为系统管理员、审计管理员、运维管理员、口令管理员四种管理员角色，平台也支持管理员角色的自定义创建，对管理权限进行细粒度设置，保障了平台的用户安全管理；●支持多种强认证方式：静态口令、令牌卡、USB－KEY、IC卡、手机短信、数字证书等；●基于用户、目标设备、运维时间等组合授权功能，满足用户实际授权的需求。

授权可基于：用户到资源、用户到资源组，支持批量功能；●金库模式操作强制要求必须由两人或以上有相应权限的员工共同协作完成敏感高风险操作，通过相互监督、利益制约确保关键操作的安全性；●基于Solr全文检索，基于Hadoop海量数据采集和分析的日志审计平台；●图形堡垒机唯一实现对运维人员可登录到远程虚拟服务器对目标服务器进行访问，同时避免敏感数据直接流失到用户终端。

后台管理系统登录：http://202.203.208.88:8080/cms/Gpower CMS的操作都在统一的Web界面内完成，具体的界面如下：首先，通元证书需要下载安装，如果不安装，每次刷新页面或登录的时候都会有安装证书的提示。

安装通元证书点击点击点击默认选择点击点击如上图，这样就能完成证书的正确装了安装完证书后，请使用提供给您的用户名和密码进行登录，登录后单击右上角进入“用户中心”，点击“重置密码”按钮进行修改。

同时要修改自己的电子信箱地址。

登录成功后由当前的“工作台”切换到“内容管理”标签项左侧为站点的栏目列表，选中“资环学院”，右键选择“全部展开”，可以看到所有的栏目以树形列表的形式全部展开。

如下图：在左侧栏目列表中，选择需要添加内容的栏目，如选择“规章制度”，就在左侧单击“规章制度”，右侧就会列出该栏目下的所有文章列表文章的基本操作步骤（新建—预览效果—右键选择“内容签发”）：1、新建点击新建按钮，进入新建文章基本信息标签项。

输入文章的“标题”、“作者”等信息，选择文章内容标签项添加文章详细内容信息，并支持上传内容图片、flash、视频等多种格式。

填写完毕，点下面的按钮2、预览效果点击每条新闻右侧的预览按钮，可以看这条新闻效果3、发布在预览的页面上检查该文章是否正确，检查完毕后，在该条新闻上右键选择“内容签发”。

这条新闻就成功的被发布到网站上了。

4、修改如果需要对发布到网站上的新闻进行修改，首先要选择该条新闻，右键选择“撤销稿件”然后点击右面的编辑按钮，对文章进行修改。

修改完毕重复3步骤进行发布5、删除选中一条新闻，右键菜单“删除”。

删除后该新闻被放到了回收站中。

6、删除文章的恢复在左侧列表中找到“回收站”点击下面的“文档”在右侧就能看到被删除的文章了。

如果需要还原该文章，只需选中，然后单击上面的即可。

如果这篇文章不再需要，则可以选中它，然后单击上面的，此时程序将从数据库里删除该条记录。

安信天元安全电子公文传输系统解决方案总体介绍：安全电子公文传输系统是政府机关以及企事业单位进行安全的公文发送、公文传输、公文接收的综合处理系统，主体架构如下：系统以基于PKI 的密码安全服务为基础，保证系统的整体安全；业务处理部分主要分为电子公文发送、电子公文接、传输系统管理三大部分。

公文传输系统运行在政府专网( 广域网) 上，需要建立公文交换服务器，能够完成从政府各机关单位或下属政府机构的公文发送和公文接收，收发过程通过数字签名保证传输安全，公文以密文形式存储和传输。

公文发送单位能够完成电子公文的发送、发送记录的条件查询、发送记录信息列表、查看已发送公文的接收情况等功能。

公文接收单位能够完成电子公文的接收、接收记录的条件查询、接收记录信息列表、申请以及重新取得已经接收的公文等功能。

系统管理人员可以维护使用此系统的组织列表，以及组织之间进行收发文的对应关系；有权限的人员可以进行公文的条件查询、系统审计、对重新取得公文的请求进行审核。

系统特点：1.安全性：系统基于PKI 业务应用密码安全服务平台，能够有效保证公文的机密性、完整性、不可抵赖性，同时基于PKI 体系能够完成系统的身份认证、用户授权和访问控制、安全审计。

2.开放性：系统支持WPS 、Word 、PDF 、PS2 等各种文档格式，可以使用多种格式的公文文档进行传输。

系统提供Web Services 接口，通过SOAP 可以方便的与客户的现有系统进行集成；交换的公文信息采用规范的XML 格式，便于与其它系统进行信息交换。

3.稳定性：系统采用J2EE 进行开发，充分利用平台的事务处理、消息处理等企业级功能，能够保证系统的长期稳定运行。

系统的开发遵循CMM 体系，并且经过充分测试，保证产品的质量。

4.易用性：系统使用充分考虑政府工作人员的使用习惯，易于使用。

同时系统易于安装部署，便于系统管理员进行管理。

功能介绍：如果所示，公文传输系统中有一台公文交换服务器，收发单位无论是通过本单位应用服务器进行收发，还是通过人工登录公文交换服务器进行收发，都是与公文交换服务器进行通讯，由公文交换服务器进行集中式的管理，将发送单位的公文发送给接收单位。

系统息网应用山南区教育信息系南网山应区统教育用信统一用户管理与认证平台需求说明书版本信息代表删除。

代表修改，D* A代表新增，M1 引言 (3)1.1 编写目的 (3)背景1.2 (3)定义1.3 (3)参考资料1.4 (4)任务概述2 (4)2.1 目标 (4)用户的特点....................................................................................................................... 42.2假定和约束....................................................................................................................... 2.353 需求规定 (5)3.1 对功能的规定 (5)统一用户管理........................................................................................................... 53.1.1统一认证与单点登录............................................................................................... 3.1.27应用系统自身的用户及认证管理........................................................................... 3.1.383.2 对性能的规定 (8)精度........................................................................................................................... 83.2.1时间特性要求........................................................................................................... 83.2.2灵活性....................................................................................................................... 93.2.33.3 输人输出要求 (9)用户信息................................................................................................................... 93.3.1认证信息................................................................................................................... 3.3.293.4 数据管理能力要求 (9)3.5 故障处理要求 (9)3.6 其他专门要求 (9)4 运行环境规定 (9)4.1 设备 (9)支持软件4.2 (10)接口4.3 (10)0 1................................................................................................................................ . 控制4.41 引言1.1 编写目的本文档的编写目的在于确定南山教育信息网统一用户管理与认证平台的需求内容，成为后续开发建设和验收的依据。

智慧监狱标准智慧监狱标准........................................... 错误!未定义书签。

1.1、基础网络建设.................................... 错误!未定义书签。

.监狱专网等基础设施建设......................... 错误!未定义书签。

加密网...................................... 错误!未定义书签。

政务外网.................................... 错误!未定义书签。

政务内网.................................... 错误!未定义书签。

互联网...................................... 错误!未定义书签。

.基础资源层建设................................. 错误!未定义书签。

多种云服务应用平台.......................... 错误!未定义书签。

多种物联网.................................. 错误!未定义书签。

指挥通信网.................................. 错误!未定义书签。

移动执法终端................................ 错误!未定义书签。

信息安全设施................................ 错误!未定义书签。

运维管理设备................................ 错误!未定义书签。

.数据资源层..................................... 错误!未定义书签。

信息数据库.................................. 错误!未定义书签。

数据治理.................................... 错误!未定义书签。

安信天元证书管理系统解决方案总体设计:设计原则1.安全可靠性·用国内具有自主知识产权的密码算法和加密设备；·系统的运行和管理基于安全策略进行；·程序之间的数据传递通过安全数据通道进行。

2.标准化·采用国密办批准的算法；·PKI 中证书和黑名单文件遵循相应的国际标准；3.先进性·及时采用国内最新研究成果, 在满足当前业务的访问控制需求的同时，能够适应未来的技术发展趋势。

4. 实用性·PKI 系统的设计采用“集中式生产，分布式服务”的设计思想；5. 可扩展性·PKI 采用分层结构，模块化设计；·模块之间和本系统与外部系统之间通过标准接口交互。

6. 易操作性和易维护性·系统配置、管理，业务操作采用具有图形化界面的程序；7. 兼容性·能够与主要的业务应用系统平台兼容，并具有与其他厂家PKI 产品和访问控制产品的兼容能力8. 经济性·充分考虑节省资金。

设计依据:系统使用的加解密、通信协议、数据定义和描述遵循相关的国际标准，并且符合国内有关规定，包括： ·国密办密码管理有关规定；·国家保密局安全保密有关规定；·《计算机信息系统安全保护等级划分标准》有关规定；·《中华人民共和国计算机信息系统安全保护条例》有关规定；·证书及证书撤消列表格式：符合ITU-T Recommendation X.509 V4 （2001 ）及PKIX Certificate and CRL Profile （IETF RFC 2459 或更新版）；·证书策略及证书实施框架：符合PKIX Certificate Policy and Certification Practices Framework ；·证书管理协议与消息格式：符合Certificate Management Protocol （CMP ）（IETF RFC 2510 或更新版）；·在线证书状态查询：符合On-line Certificate Status Protocol （OCSP ）（IETF RFC 2560 或更新版）； ·密钥格式及保存方式：符合PKCS #12 V1.0 ，存储在密码设备中；·遵循其余相关国际标准和符合我国信息安全领域的技术标准总体架构:整个内部网络应用从逻辑功能上来讲，自下而上划分为四个层次：网络基础设施层、信息安全基础设施层、应用系统安全服务平台层、业务应用层，其逻辑结构如图下所示：内部网逻辑分层结构图其中，每个逻辑层次应实现的功能如下：网络基础设施层：主要为内部网络信息系统及其它运行管理系统提供一个安全可信的网络环境，是网站信息系统的最终信息承载者，位于整个分层体系结构的最底层。

企业最重要的管理信息系统和信息安全系统： 企业内部业务公文处理、公文交换、电子公章和安全认证管理系统第一章系统采用的架构1.1基于J2EE n-Tier架构系统构建基于J2EE，并且与兼容各种标准的J2EE应用服务器。

下图是应用系统J2EE的架构图：由图中可以看到利用Struct2+Spring+Hibernate的框架体系组成了整个应用系统的架构。

1.2系统体系结构系统按层次结构、业务系统和支撑平台、应用系统和信息安全、网上安全办公系统和部门业务系统进行划分构建，同时在各层都有相应的安全保证体系和管理服务体系进行支撑，实现相互之间的集成：基础设施层：提供网络、服务器、存储、终端、操作系统等运行基础服务。

应用和安全支撑平台层：为应用系统提供应用服务器、数据库等统一的基础运行环境，提供应用系统基础框架平台和通用组件等支撑服务。

业务应用层：提供符合业务和业务流程要求的网上安全办公系统运行维护体系：通过使用运维管理软件和运维规章制度的制定、执行，实现系统日常运行和维护的可控性、统一性，确保系统管理和系统故障的快速处理，确保系统长期稳定、可靠运行。

1.3系统采用B/S与C/S结合的系统平台框架第二章数字签名安全认证管理2.1系统构成安信天元数字证书认证管理系统是继承了国际领先的PKI/CA体系的设计思想，享有完全自主知识产权，符合国家密码管理局规范的数字证书认证管理系统。

系统主要由证书签发中心、证书管理中心、密码模块、证书和CRL查询目录服务、证书签发和管理终端等几部分构成，如下图所示：用户终端管理员证书签发和管理终端安信天元密码安全服务客户端组件，包括密码安全服务客户端软件和USBkey电子密码钥匙，为电子文件和业务数据提供数字签名和验签服务2.2系统功能安信天元数字证书认证管理系统是用于数字证书的申请、审核、签发、注销、更新、查询的综合管理系统。

（1）接收验证最终用户数字证书的申请。

（2）确定是否接受最终用户数字证书的申请-证书的审批。

统一认证授权平台用户使用手册微软(中国)有限公司顾问咨询部2021年4月实用文档目录1. 登陆管理 (5)1.1 用户登陆 (5)1.2 用户注销 (5)2. 组织机构管理 (7)2.1 公共系统 (7)2.1.1 机构管理 (7)2.1.2 机构查询 (13)2.1.3 用户查询 (14)2.2 运营流程再造项目 (15)2.2.1 机构管理 (15)2.2.2 机构查询 (26)2.2.3 用户组查询 (27)2.2.4 用户查询 (28)3. 权限管理 (30)3.1 运营流程再造项目 (30)3.1.1 角色管理 (30)实用文档3.1.2 角色组管理 (38)3.1.3 前端功能管理 (43)3.1.4 角色查询 (45)3.1.5 任务查询 (46)4. 自授权管理 (48)4.1 公共系统 (48)4.1.1 角色管理 (48)4.1.2 角色组管理 (49)4.1.3 任务管理 (50)4.1.4 前端功能管理 (52)4.1.5 数据权限管理 (53)4.1.6 角色查询 (54)4.1.7 任务查询 (55)5. 审批管理 (57)5.1 审批管理 (57)5.1.1 待审批工作项 (57)5.1.2 已提交工作项 (58)6. 系统管理 (60)实用文档6.1 日志管理 (60)6.1.1 登陆日志 (60)6.1.2 操作日志 (61)6.2 密码管理 (62)6.2.1 重置密码 (62)实用文档1.登陆管理1.1用户登陆交易定义：用户在进入用户管理平台之前必须进行身份验证，以便确定在本系统中的操作权限。

界面描述：1.2用户注销交易定义：点击注销按钮，退出登陆。

界面描述：实用文档实用文档2.组织机构管理2.1公共系统在系统中只有一个公共系统存在，由树状关系表示整个机构之间的隶属关系2.1.1机构管理菜单项：组织机构管理－》公共系统－》机构管理交易定义：该功能用来查看、新增或修改、删除实体机构，为实体机构添加删除下级机构或用户。