统一身份认证系统技术材料.doc

+\ 智慧海事一期统一身份认证系统智慧海事一期统一身份认证系统 技术方案技术方案 +\ 目目 录录 目目 录录........................................................................................................................................................I 1.总体设计总体设计...........................................................................................................................................2 1.1设计原则...................................................................................................................................2 1.2设计目标...................................................................................................................................3 1.3设计实现...................................................................................................................................3 1.4系统部署...................................................................................................................................4 2.方案产品介绍方案产品介绍...................................................................................................................................6 2.1统一认证管理系统...................................................................................................................6 2.1.1系统详细架构设计..........................................................................................................6 2.1.2身份认证服务设计..........................................................................................................7 2.1.3授权管理服务设计........................................................................................................10 2.1.4单点登录服务设计........................................................................................................13 2.1.5身份信息共享与同步设计............................................................................................15 2.1.6后台管理设计................................................................................................................18 2.1.7安全审计设计................................................................................................................20 2.1.8业务系统接入设计........................................................................................................22 2.2数字证书认证系统.................................................................................................................22 2.2.1产品介绍........................................................................................................................22 2.2.2系统框架........................................................................................................................23 2.2.3软件功能清单................................................................................................................24 2.2.4技术标准........................................................................................................................25 3.数字证书运行服务方案数字证书运行服务方案.................................................................................................................27 3.1运行服务体系.........................................................................................................................27 3.2证书服务方案.........................................................................................................................27 3.2.1证书服务方案概述........................................................................................................27 3.2.2服务交付方案................................................................................................................28 3.2.3服务支持方案................................................................................................................35 3.3CA 基础设施运维方案..........................................................................................................36 3.3.1运维方案概述................................................................................................................36 3.3.2CA系统运行管理..............................................................................................................36 3.3.3CA系统访问管理..............................................................................................................37 3.3.4业务可持续性管理........................................................................................................37 3.3.5CA审计..............................................................................................................................38 +\ 1. 总体设计总体设计 1 1. .1 1设设计计原原则则 一、标准化原则 系统的整体设计要求基于国家密码管理局《商用密码管理条例》 、公安部计算机系 统安全等级要求和《中华人民共和国计算机信息系统安全保护条例》的有关规定。数字 证书认证系统的安全基础设施的设计和实现将遵循相关的国际、国内技术和行业标准。 二、安全性原则 系统所采用的产品技术和部署方式必须具有足够的安全性，针对可能的安全威胁和 风险，并制定相应的对策。关键数据具有可靠的备份与恢复措施。 三、可用性原则 系统具有足够的容量和良好的性能，能够支撑百万级或千万级用户数量，并能够在 海量用户和大并发访问压力的条件下，保持功能和性能的可用性。 四、健壮性原则 系统的基础平台成熟、稳定、可靠，能够提供不间断的服务，相关产品均具有很强 的健壮性、良好的容错处理能力和抗干扰能力。 五、模块化原则 系统的设计和实现采用模块化结构，各个模块具有相对独立的功能和开放的接口。 可以根据系统的需要进行功能模块的增加或减少，而不必改变原来的程序构架；针对不 同的应用定制实施模块。 六、可扩展原则 随着业务的发展，对未来系统的功能和性能将会提出更高的要求。系统在设计和实 现上，应具有良好的可扩展性。可以通过对硬件平台、软件模块的扩展和升级，实现系 统功能和性能的平滑地扩展和升级。 七、方便开发原则 系统提供丰富的二次开发工具和接口，便于应用系统调用，能够方便的与现有和将 来的应用系统进行集成。 八、兼容性原则 +\ 系统具备良好的兼容性，能够与多种硬件系统、基础软件系统，以及其它第三方软 硬件系统相互兼容。 1 1. .2 2设设计计目目标标 根据招标文件的具体技术要求，基于现有信息系统现状、数字证书应用现状以及未 来在信息安全方面的技术性要求，本方案提出以下建设目标。 (1) 在海事局内部部署统一认证管理系统，具体目标是：提供数据统一、维护统一、 用户统一的安全可靠的认证与授权服务；实现全局相关业务系统全面统一的用 户管理、可靠的身份认证与安全审计、有效的分级授权、安全的单点登录、便 捷的信息共享 (2) 在海事局内部部署数字证书认证系统（CA 认证中心） ，具备 10 万级数字证书 的发放能力，满足海事局内部用户以及应用系统的对数字证书的使用需求。 (3) 广东海事局内部其它业务系统（包括：船舶远程电子签证、船舶动态 2.0 系统） 与统一身份认证系统的进行技术集成，实现统一的身份认证与单点登录功能。 1 1. .3 3设设计计实实现现 本方案由统一认证管理系统和数字证书认证系统两部分组成，其统一认证管理系统 实现统一的用户管理、身份认证、单点登录、授权管理、安全审计等功能；数字证书认 证系统实现海事局全国用户的数字证书发放和数字证书管理。 统一认证管理系统与数字证书认证系统集成，实现新增用户信息同步，证书管理员 只需要登录数字证书认证系统，查出用户信息，直接制作证书。 二级云中心（直属局）统一认证管理系统定时将用户、机构、授权等信息同步给一 级云中心统一认证管理系统。 本期工程将率先在广东海事局搭建起船舶远程电子签证、船舶动态 2.0 系统的单点 登录功能。 +\ 1 1. .4 4系系统统部部署署 一级云中心：一台身份认证服务器，一台加密机，两台统一认证服务器（基于 ORACLE 一体机实现负载） ，两台统一认证数据库服务器（基于 ORACLE 数据库一 体机实现负载） 。 五个二级云中心（直属局）：一台统一认证数据库服务器，两台统一认证服务 器（双机冷备） ，二级云中心统一认证服务器能访问一级云中心统一认证服务器。 +\ +\ 2. 方案产品介绍方案产品介绍 2 2. .1 1统统一一认认证证管管理理系系统统 2.1.12.1.1系统详细架构设计系统详细架构设计 国家海事局统一认证管理系统详细架构设计如下图所示： 在国家海事局部署一级统一身份认证系统，可管理全部的系统用户，用户可通过统 一身份认证系统进行身份认证、业务系统单点登录；二级单位根据具体情况可部署二级 统一身份认证系统，系统用户信息管理与一级统一身份认证系统同步，当网络出现故障 时，二级单位用户可登录各自单位的二级统一身份认证系统，不影响正常的业务处理。 国家海事局统一认证管理系统的主要服务功能模块包括：身份认证模块、单点登录 模块、信息同步模块、后台管理模块、数据服务模块及安全管理模块，其中后台用户管 理包括用户、角色、应用等相关信息管理，另外，安全管理模块为维护好系统服务功能 +\ 的安全性，提供系统自身所有操作的安全审计功能，以及各个应用系统用户信息的监控 功能。 2.1.22.1.2身份认证服务设计身份认证服务设计 身份认证服务为海事局各应用系统内各类用户提供身份信息注册、凭证发布、用户 资料管理及销毁、登录认证功能。 2.1.2.12.1.2.1总体设计总体设计 认证管理的结构如上图所示，主要包括以下几个部分： CA 认证中心：海事局 CA 认证中心为数字证书用户提供身份认证服务，签发数字 证书，实现证书与现实中的实体（个人、单位或服务器）的绑定。CA 认证中心除了为 最终用户办法数字证书外，还需要为统一认证服务器和业务系统的服务器签发服务器身 份证书，用于客户与服务器之间的双向认证。 统一认证服务器：统一认证系统服务器的数据库中集中存放所有业务系统的用户信 +\ 息和权限信息，所有业务系统和统一认证系统都需要部署服务器证书、安全组件和认证 接口，用于业务系统与客户端，或业务系统之间的身份认证。 证书用户：证书用户按照经过严格的身份信息鉴证，从 CA 认证中心领取数字证书， 然后通过访问各级统一认证系统，进行单点登录，就可以很方便地访问自己权限范围内 的应用系统。用户数字证书的身份信息要与统一认证系统中注册的用户信息保持一致 （关键信息为：姓名、证件类型和证件号码） ，只有信息一致的前提下，才可实现可靠 的身份认证。 口令用户：口令用户不需要经过 CA 中心身份认证和签发数字证书，直接由单位管 理员根据用户信息注册即可。用户本人可在获得初始密码后修改登陆密码和注册信息。 2.1.2.22.1.2.2身份认证方式身份认证方式 统一认证系统可以对不同的系统进行分级认证，也可以对系统内的不同用户分级认 证。系统应同时支持口令方式和数字证书两种方式的身份认证机制。另外，系统应具有 扩展接口，可快速实现动态口令认证、指纹认证和和人像等其它身份凭证认证模式。身 份认证技术支持 PKI、LDAP、NDS、NIS、AD 等标准认证技术。 对于安全性较低的系统，可以采用最低认证等级：用户名/口令方式；对于安全性较 高的系统，最低认证等级则需要设置为数字证书方式。系统的认证等级和用户的认证方 式都可以在统一认证系统后台进行动态配置。 用户使用数字证书可以登录安全性较低的系统，但是用户名/口令认证方式不允许进 入等级为数字证书的业务系统。 2.1.2.32.1.2.3基于数字证书的身份认证基于数字证书的身份认证 数字证书用户登录业务系统的身份认证流程如下图所示： +\ 流程说明： (1) 提供证书：在登录门户页面（或统一认证首页）中嵌入证书控件和组件，服务 器端产生随即数并进行数字签名，客户端实现即插即用的登录认证模式，只要 插入 UsbKey 自动列举 Key 内的数字证书； (2) 握手认证：用户输入证书密码、点击登录提交按钮后，页面调用证书控件的运 行脚本，校验证书密码后对服务器端产生的随即数和数字签名进行验证；客户 端对随即数进行数字签名，提交认证信息给服务器验证；认证信息主要包括： 随即数、客户证书、客户的签名等信息。服务器后台程序验证客户端的证书有 效性和数字签名的有效性。 (3) 获取访问信息：统一认证服务器从认证信息中提取客户端数字证书，并从证书 中解析出证书的唯一标识，在后台数据库中进行比对，进行访问控制； (4) 返回登录票据：服务器认证通过后，形成标准格式的登录票据，返回客户端。 (5) 选择业务系统：系统根据登录票据，显示可登录的系统，用户选择系统。 (6) 传递票据：客户端浏览器将登录票据传递到对应的系统地址上。 +\ (7) 票据验证：业务系统根据接收到的登录票据，通过部署的安全组件进行验证。 (8) 进入系统：验证通过，允许进入，根据用户权限信息，授予对应的操作权限。 否则，拒绝登录。 系统采用数字证书，安全组件、密码运算、数字签名、数字信封等技术来保障用户 身份的真实性，可以有效避免身份冒充、身份抵赖、重放、中间人攻击的风险，从而在 一定程度上保证认证的安全性。数据加密可采用标准 SSL 协议，在 WEB 服务器上配 置 SSL 服务器证书，即可实现数据在网络传输过程中的加密。 2.1.2.42.1.2.4基于口令方式的身份认证基于口令方式的身份认证 用户身份唯一性设计：系统采用集中数据库管理模式，用户名作为用户信息表中的 主键，在系统中不允许重复。另外，系统中应根据用户类型和注册的基本信息生成一个 具有用户特征码，用于识别一个人或单位在系统中的身份唯一性。 特征码的编码规范示例： 个人用户的特征码=证件类型编码＋证件号码＋真实姓名+登录名 单位用户的特征码=组织机构代码＋对应单位名称+登录名 用户名方式的身份认证业务流程与证书方式类似，与证书方式的主要区别在于以下 几点： （1）客户端不进行数字签名； （2）提交给服务器的认证信息不包括客户端数字签名，而是加密后的登录口令； （3）服务器端接收到认证信息后，不再验证签名，而是将加密的口令与数据库中 的加密口令进行对比核对； （4）安全登录票据中的登录方式不同； （5）其他流程没有区别。 2.1.32.1.3授权管理服务设计授权管理服务设计 2.1.3.12.1.3.1授权管理的系统框架授权管理的系统框架 为确保信息资源访问的可控性，防止信息资源被非授权访问，需要在用户身份真实 +\ 可信的前提下，提供可信的授权管理服务，实现对各类用户的有效管理和访问控制，保 护各种信息资源不被非法或越权访问，防止信息泄漏。 统一认证管理系统应提供信息资源管理、用户角色定义和划分、权限分配和管理、 权限认证等功能。权限管理主要是由管理员进行资源分类配置、用户角色定义及授权等 操作；权限认证主要是根据用户身份对其进行权限判断，以决定该用户是否具有访问相 应资源的权限。 由于统一认证管理系统要解决各个应用系统内部的细粒度资源权限控制，需要与应 用系统紧密结合，因此统一认证管理系统应在统一身份认证系统粗粒度访问控制的基础 之上，由各个应用系统结合本地资源授权方式，进行定制集成开发。 由于采取分布式的 RBAC 授权管理模型，首先应对用户进行严格的身份认证，保证 用户身份的真实性，在此基础之上再由综合各个应用系统内部资源权限分配的统一授权 管理系统对用户进行严格的权限认证，实现各个应用系统内部资源细粒度的授权访问控 制。 用户访问控制总体框架如下图所示： 认认证证服服务务 权限库 注册 登录 权限认证 权限管理 认证成功 授授权权管管理理 业业务务系系统统 身份认证 应用1 应用2 应用3 ... 各各应应用用系系统统 用户 用户管理 管理员 在此框架下，整个授权控制的工作流程如下： (1) 统一认证管理系统的初始化，添加并配置系统管理员； (2) 由系统管理员添加并配置下级管理员或用户； (3) 管理员添加受控访问资源，并设置每个用户的权限； +\ (4) 用户访问各应用系统，首先由统一认证系统验证该用户的身份； (5) 认证通过后根据用户身份，对用户进行权限认证； (6) 如果用户通过权限认证，则说明该用户可以进入相应的应用系统，访问权限许 可内的资源；否则，拒绝用户访问。 2.1.3.22.1.3.2授权管理模型授权管理模型（基于角色的授权）（基于角色的授权） 基于角色的访问控制（RBAC）授权模型：通过角色定义，将应用系统的业务权限 授予某个角色，然后将用户与这些角色关联，从而将业务权限赋予该用户。如下图所示： 基于角色的访问控制方法的思想就是把对用户的授权分成两部份，用角色来充当用 户行驶权限的中介。这样，用户与角色之间以及角色与权限之间就形成了两个多对多的 关系。系统提供角色定义工具允许用户根据自己的需要（职权、职位以及分担的权利和 责任）定义相应的角色。 角色是一组访问权限的集合，一个用户可以是很多角色的成员，一个角色也可以有 很多个权限，而一个权限也可以重复配置于多个角色。权限配置工作是组织角色的权限 的工作步骤之一，只有角色具有相应的权限后用户委派才能具有实际意义。 基于角色授权模型的优点 基于角色的策略实现了用户与访问权限的逻辑分离，极大的方便了权限管理。例如， 如果一个用户的职位发生变化，只要将用户当前的角色去掉，加入代表新职务或新任务 的角色即可。一般，角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多， 并且委派用户到角色不需要很多技术，可以由行政管理人员来执行，而配置权限到角色 的工作比较复杂，需要一定的技术，可以由专门的技术人员来承担，但是不给他们委派 +\ 用户的权限，这与现实中情况正好一致。除了方便权限管理之外，基于角色的访问控制 方法还可以很好的地描述角色层次关系，实现最少权限原则和职责分离的原则。 基于角色授权的流程 以下面的授权目标举例说明基于角色的授权流程： 用户（张三）<- 角色（预算处处长）<- 权限（预算系统的审核） 1、生成一个角色：预算处处长； 2、选择预算系统的预算审批业务权限授予预算处处长角色； 3、将预算处处长角色授予用户张三。 通过将预算系统的审核的业务权限授予预算处处长角色，然后将此角色与用户张三 关联，最后用户拥有了该权限。 2.1.3.32.1.3.3分级授权管理分级授权管理 分级授权实现的是权限继承：当上级管理员对下级管理员进行授权时，所授予的业 务权限将被下级继承，下级管理员拥有这些权限，并可以将这些权限授予其管辖的用户。 分级授权通过管理员授权实现。通过一步步的权限传递，可以实现多级授权。授权 可以基于角色， （如例子中利用预算审核角色） ，也可以直接基于业务权限。 根据 5 个直属局调研反馈，初步确定直属局按二级进行分级管理分级授权，即各直 属局下属分局或海事处添加一级管理员，负责本分局或海事处的用户信息管理及授权。 2.1.42.1.4单点登录服务设计单点登录服务设计 2.1.4.12.1.4.1 实现原理实现原理 安全的单点登录具体实现机制如下：采用基于数字签名的安全票据技术，封装用户 登录后的认证状态信息，并以安全方式传递到各个相关系统中，通过对票据的解密、验 证、解析，从而实现方便、快捷、安全的单点登录。 针对江苏省海事局办公系统已与内部几个业务系统集成，实现单点登录，建议本项 目建设统一认证管理系统只与江苏省海事局办公系统集成，保持现有业务系统单点登录， 另外统一认证管理系统与部局统一建设的船舶远程电子签证、船舶动态 2.0 系统集成实 +\ 现单点登录；江苏省海事局以后新建设业务系统，可以参照统一认证管理系统集成，集 成到统一认证管理系统中。 针对深圳市海事局所有业务系统都基于 AD 域实现单点登录，现有的业务系统集成 模式不变。在用户已经登录 AD 域，直接进入统一认证管理系统认证门户，访问部局统 一建设的船舶远程电子签证、船舶动态 2.0 系统，不需要再登录；深圳市海事局以后新 建设业务系统，可以参照统一认证管理系统集成，集成到统一认证管理系统中。 单点登录票据格式如下： 通过对单点登录票据的加密、签名等技术保证票据的机密性、完整性以及抗否认性， 并且在票据中包含票据的有效时间段信息，利用时间有效期从一定程度上减少重放、中 间人攻击的风险。单点登录系统维护一张票据流水号临时表，票据使用一次以后就失效， 也可以有效防止重放攻击的风险。通过采用以上的这些安全措施以及安全流程，可以有 效地保证单点登录系统的安全性。 2.1.4.22.1.4.2 工作流程工作流程 安全单点登录流程如下图所示： +\ 单点登录认证流程 业务系统认证系统浏览器 业务系统访问 请求被认证系统客户 端拦截 返回给用户 认证系统地址 是否 已登陆 用户请求的页面 是 否 收到认证系统地址 登陆页面 重定向 输入用户凭证验证并记录用户提交 返回业务系统地址及 票据id 收到业务系统地址及 票据id 认证系统客户端 收到票据id 重定向 将票据票据id发送给 认证系统验证 验证票据id的合法性 认证系统客户端接收 用户基本信息 返回用户的 基本信息 返回 用户请求的页面 是否 已登陆 否 是 2.1.52.1.5身份信息共享与同步设计身份信息共享与同步设计 统一认证系统建立统一的权威机构数据、用户数据、用户授权数据等资源库并可作 为所有应用系统的数据源。机构数据、用户数据、用户授权数据是海事局核心数据，需 要绝对的安全和保密。统一认证管理系统对数据的管理应该是安全的和封闭的，任何未 授权应用系统均无法从系统管理层面、系统服务层面和数据库层面获取这些数据，应用 系统必须通过信息共享服务和数据同步的方式获取这些数据。 +\ 2.1.5.12.1.5.1体系结构体系结构 信息共享服务和数据同步有两种体系结构： (1) 一级统一认证管理系统和国家海事局应用系统的同步 如下图所示： 一级统一认证管理平台 一级统一认证管理系统仅需要和国家海事局本地的应用系统作数据同步。 (2) 国家海事局统一认证管理系统和直属局/地方局统一认证管理系统同步 如下图所示： +\ 一级统一认证管理平台 直属局直属局直属局直属局/ / /地方省局地方省局地方省局地方省局 国家海事局国家海事局国家海事局国家海事局 二级统一认证管理平台 一级统一认证管理系统不仅需要和国家海事局本地的应用系统作数据同步，还需要 和直属局/地方省局的二级级统一认证管理系统作数据同步。 2.1.5.22.1.5.2同步机制同步机制 信息共享服务和数据同步机制如下： 与基于关系型数据库（与基于关系型数据库（DB）的应用系统同步）的应用系统同步 采用 webservices 技术（SOAP 协议）实现与这类应用系统作数据同步。数据通过 同步引擎、事务机制和 SOAP 协议实现与应用系统之间的同步。同步的成功和失败都 进行记录，同步的成功信息以报告形式方便于管理人员查看，同步的失败信息通过定时 器机制自动完成，直至同步成功。 与基于目录（与基于目录（LDAP）的应用系统同步）的应用系统同步 +\ 采用 LDAP 协议和 JNDI 技术实现与这类应用系统作数据同步。支持的 LDAP 包括： apacheDS，openLdap，sunONE 等，另外也包括域控制器（windows AD、Linux NIS、Unix NFS） 。 统一认证管理系统和应用系统之间以 JNDI/LDAP 方式建立通信。数据通过同步引 擎、事务机制和 JNDI 与 LDAP 协议实现与应用系统之间的同步。同步的成功和失败都 进行记录，同步的成功信息以报告形式方便于管理人员查看，同步的失败信息通过定时 器机制自动完成，直至同步成功。 与基于域控制器的应用同步与基于域控制器的应用同步 采用 LDAP 协议和 JNDI 技术实现与这类应用系统数据同步。域控制器包括： windows AD、Linux（Unix）NIS。对域控制器的同步，基本与对 LDAP 的同步类似， 因此，与基于域控制器的应用同步可以采用基于 LDAP 协议来实现同步。但是 windows 还提供了一套 ADSI 接口，也能够实现与 windows AD 的数据同步。统一认证 系统通过 JNI 实现对 windowsAD 的数据同步。 2.1.5.32.1.5.3同步策略同步策略 同步策略有三种，包括：操作及时同步、操作批量同步和事后同步。 1、及时同步、及时同步 该策略实现了：对用户信息、机构信息操作（增加并授权、删除、修改）时，系统 自动完成同步。同步失败时，系统监控提示同步失败，后台使用定时器定时继续进行同 步。同步定时器还能够设置同步的时间和周期。 2、批量同步、批量同步 该策略实现了：根据“角色”选择用户，完成用户同步；根据“机构”选择用户， 完成用户同步；根据“应用系统”选择对应的角色，完成角色的同步。 3、事后同步、事后同步 该策略实现了：当用户信息、机构信息操作（增加、删除、修改）时或者同步失败 时，用户可根据需要进行事后再次同步。当新系统接入时，单独同步信息。当系统需要 更新数据时，再次同步用户信息。 +\ 2.1.62.1.6后台管理设计后台管理设计 2.1.6.12.1.6.1用户数据的获取用户数据的获取 身份信息由各应用系统汇集，统一认证管理系统提供批量操作（导入、导出、迁移） 工具，如采用用户数据 EXCEL 的导入导出，以满足海事局大量用户维护的需求。 2.1.6.22.1.6.2管理模式管理模式 系统提供分级管理分级授权。 2.1.6.2.1 分级管理分级授权分级管理分级授权 用户身份信息和用户的访问控制相关的授权信息均分级管理。 设有三类管理员角色： (1) 系统管理员：进行单位管理员管理、机构管理、角色管理、应用系统管理等日 常管理。 (2) 安全审计员：进行安全审计，日志管理等工作，对系统管理员的工作进行监督。 (3) 单位管理员：进行本单位的用户的授权管理。单位管理员根据系统管理员定义 的本单位的访问角色，为最终用户进行授权。 海事局统一认证管理系统的用户及系统级授权管理建议采用：分级管理、分级授权 模式，如下图所示： +\ 海事局单位管理员：负责海事局本部的用户信息管理及系统级授权管理。 下级单位管理员：负责本单位及下级单位的用户信息管理及系统级授权管理。 海事局单位管理员及下级单位管理员对各自单位进行：机构信息管理、用户信息管 理、授权管理、证书管理以及安全审计。单位管理员的权限由一级统一认证管理系统管 理员统一分配。通过信息同步服务实现数据的同步。 2.1.6.32.1.6.3账号安全策略管理账号安全策略管理 统一认证管理系统的账号安全策略管理功能包括： 重置多个用户帐户的密码 设置用户下次登录时必须更改密码 设置永不到期的密码 如果用户的密码过期，启用、禁用或删除他们 配置用户无法更改由管理员设置的密码 +\ 2.1.6.42.1.6.4后台管理功能框架后台管理功能框架 统一认证管理系统的后台用户管理的功能如下： 统一认证管理系统的总体功能包括：用户管理、角色管理、信息系统管理、机构管 理、基础数据管理和安全审计。 2.1.72.1.7安全审计设计安全审计设计 统一认证管理系统应具有较完善的应用层日志记录功能，可以通过安全管理模块下 的系统日志子模块查看审计日志信息，审计日志包括：序号、管理员名称、操作类别、 操作日期、操作描述。 日志内容可以记录用户不成功登录的信息，可以记录用户的重要业务操作行为，如： 对用户、角色的增加、删除、修改和授权关系的调整等操作。 所有日志按照标准结构化数据记录，便于审计。日志中备注信息可填写一些详细信 息。 +\ 2.1.7.12.1.7.1日志管理日志管理 日志可以提供查询、备份等管理功能。 各单位管理员可查询本机构日志； 系统管理员可查询所有日志； 安全审计员可以备份、删除日志（只能以时间段备份及删除） ； 备份/删除日志操作时间有记录，备份/删除的记录不删除； 可设置备份提醒，在管理员登陆时提醒。 2.1.7.22.1.7.2日志审计日志审计 检查某个用户一段时间内的缺勤情况。 检查当前访问网络的用户数量。 识别通过远程计算机访问的用户检查所有用户的高峰登录时间。 查看上次访问重要资源的用户。 发现试图登录不具访问权限的计算机的用户。 查看任一个用户登录的全部历史。 同一个用户在短时间内从不同地方登陆情况，全面了解用户活动的安全情况。 实时预警功能，提供关注重要事件的实时告警。 支持计划报表，提供自动发送用户选择的相关报表到管理员邮箱功能。 提供自定义报表，要求提供基于用户、计算机、组策略、组织单元等内容定制各种 报表。 支持导出 PDF、CSV、XLS 和 HTML 等格式。 提供自定义活动目录事件数据的保存周期，按设置周期清理数据库过期事件数据功 能。 提供日志自动归档功能：即基于用户设定的时间间隔对日志进行自动存档，存于指 定目录。 +\ 2.1.82.1.8业务系统接入设计业务系统接入设计 2.1.8.12.1.8.1业务系统接入条件业务系统接入条件 应用系统（海事业务申报客户端、客户端）要接入统一身份管理系统，进行单点登 录，需按照提供的接入标准对登录模块进行改造，具体技术实现方式详见第 2.1.2 和第 2.1.4 章节。 2.1.8.22.1.8.2业务系统接入步骤业务系统接入步骤 根据以上内容的介绍，各个业务系统接入统一认证管理系统的步骤必须按照规范和 以下步骤完成： 1、首先把业务系统中的用户信息全部导入统一身份认证系统中，统一用户数据汇 总初始化是实现集成认证的前提。 2、业务系统的原有登录方式取消，统一采用统一登录入口，需要各个业务系统按 照统一认证的接口规范要求进行相应的开发改造 3、各个业务系统可以有选择的把权限管理数据放到统一身份认证系统中来，也可 以选择保留原有业务系统的权限管理方式； 4、统一认证系统启用后，禁用已经接入的业务系统用户数据录入的操作，保证整 个系统的数据一致性，防止数据冲突发生。 2 2. .2 2数数字字证证书书认认证证系系统统 2.2.12.2.1 产品介绍产品介绍 本方案