關(guān)于企業(yè)信息系統(tǒng)統(tǒng)一身份授權(quán)管理的探索實踐

李彥生

摘 要 目前很多大型企業(yè)實施了統(tǒng)一身份與認(rèn)證管理，但在操作運行中發(fā)現(xiàn)實際效果達(dá)不到預(yù)期成效。究其原因，或出于配套制度的跟進(jìn)不到位，或技術(shù)功能實現(xiàn)無法滿足管理需求，或建設(shè)實施路線發(fā)生偏差。筆者結(jié)合多年從事大型企業(yè)的身份授權(quán)相關(guān)信息化項目，從信息化建設(shè)管理者的視角對如何統(tǒng)籌建設(shè)企業(yè)的身份授權(quán)管理工作提出理解和看法。

關(guān)鍵詞 身份授權(quán)；應(yīng)用安全；權(quán)限管理

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2014）05-0154-02

做好企業(yè)的身份授權(quán)工作，不僅需要技術(shù)手段和軟件平臺支撐，還需要在管理層面上的運作。對于身份授權(quán)管理的實踐中我們主要采取了三個層面的抓手，從業(yè)務(wù)管理層面需要建立一個機構(gòu)和一套制度，在技術(shù)管理層面主要抓支撐業(yè)務(wù)管理層面的核心功能以及落實一套相應(yīng)的開發(fā)與集成標(biāo)準(zhǔn)，最后還需要有適當(dāng)?shù)慕ㄔO(shè)實施策略。

1 機構(gòu)與制度

1.1 成立一個處理身份授權(quán)工作的專屬機構(gòu)

不同類型的大型企業(yè)的組織機構(gòu)不盡相同，但在信息化部門的組織體系上大同小異，應(yīng)當(dāng)在企業(yè)信息運維機構(gòu)下設(shè)立一個專職的身份授權(quán)機構(gòu)，這里姑且把它叫做“信息權(quán)限中心”。目前大多數(shù)大型企業(yè)缺少這樣一個專職機構(gòu)，系統(tǒng)身份權(quán)限的運維模式還是以系統(tǒng)甚至項目為單位的，項目組頻繁換人重新培訓(xùn)、賬號挪用無人監(jiān)控回收，這些都是存在于信息部門的問題和風(fēng)險，身份授權(quán)工作亟需一個常態(tài)化的相對穩(wěn)定團(tuán)隊來組織運轉(zhuǎn)。如果把我們的信息系統(tǒng)資源比作是一棟大樓，“信息權(quán)限中心”的作用就像是這座大樓的前臺傳達(dá)室，協(xié)助處理什么人要去什么地方，要用到什么東西做什么事。

“信息權(quán)限中心”的應(yīng)具備兩塊職能和業(yè)務(wù)，第一塊是對企業(yè)信息系統(tǒng)用戶的身份授權(quán)的服務(wù)職能，主要承擔(dān)的是身份信息維護(hù)、對用戶進(jìn)行權(quán)限分配等執(zhí)行層工作。而對哪些人具體可以用哪些信息網(wǎng)絡(luò)資源（比如某個系統(tǒng)的某幾個功能），信息部門不具備完全審核的職能，這應(yīng)由該資源的歸口管理部門承擔(dān)。對其身份信息的維護(hù)和對用戶權(quán)限的分配，這項工作僅需和普通用戶交互，普通員工經(jīng)過簡單培訓(xùn)操作，按照既定工作或者叫做操作制度即可上崗作業(yè)。但需注意在人員配置上，身份信息管理和權(quán)限分配管理本身是兩個不相容崗位，應(yīng)當(dāng)分開設(shè)置。第二塊是對于系統(tǒng)廠商的管理職能，信息部門應(yīng)當(dāng)審核系統(tǒng)廠商在系統(tǒng)中做了哪些功能，這些功能到底設(shè)計來給誰用，掌握這些數(shù)據(jù)一方面可以促進(jìn)權(quán)限安全管理、功能共享融合，另一方面也可以為信息化投資提供輔助決策依據(jù)。負(fù)責(zé)業(yè)務(wù)主要為權(quán)限定義和資源管理工作，這需要與系統(tǒng)研發(fā)廠商和實施廠商交互，要求員工最好具有一定信息系統(tǒng)開發(fā)經(jīng)驗，經(jīng)過集成開發(fā)標(biāo)準(zhǔn)制度和系統(tǒng)操作培訓(xùn)即可上崗作業(yè)。

1.2 建立配套身份和權(quán)限管理制度

在建立身份授權(quán)配套管理制度時，應(yīng)把握業(yè)務(wù)管理和技術(shù)管理兩個大方向，除了上訴提到的“信息權(quán)限中心”的機構(gòu)及其職能以外，本章主要對業(yè)務(wù)管理層面的管理制度的核心要素進(jìn)行闡述。

1）規(guī)范企業(yè)的身份信息管理。不同的企業(yè)或者部門由于業(yè)務(wù)的不同，在使用信息系統(tǒng)的人員構(gòu)成上有很大的差異，規(guī)范身份信息管理的核心要素在于賬號的劃分、命名規(guī)范、回收機制。

根據(jù)作者的經(jīng)驗，認(rèn)為比較合理的賬號劃分方式是將企業(yè)中使一用到信息系統(tǒng)的賬號分為臨時賬號和員工賬號，員工賬號信息可以與企業(yè)的人資系統(tǒng)集成獲取基本員工信息，除去員工賬號以外均作臨時賬號處理，這里面可能涵蓋一些企業(yè)自身的外協(xié)人員、合作伙伴的管理制度。

區(qū)分員工賬號和臨時賬號的唯一邊界是賬號是否受人力資源部門管理，具體到信息系統(tǒng)層面上即有沒有納入到人力資源系統(tǒng)管理，這樣做主要是出于安全目的而不存在用工歧視的問題，因為人力資源部門對身份信息有一次可信核查，反之則需要信息部門來加強這部分賬號使用人的身份信息核查。從賬號命名規(guī)范上也應(yīng)該在全公司統(tǒng)一，如果公司已有工號則建議使用工號，如果沒有工號建議按照8位流水號的形式排列即可。

賬號的全生命周期管理包含開通、使用和回收，賬號的開通應(yīng)由申請使用人相應(yīng)單位的指定員工提出，以縮減業(yè)務(wù)部門的審核周期。賬號的回收在此是最易忽略卻也是最關(guān)鍵的安全環(huán)節(jié)，員工賬號的回收以員工離職作為回收點，臨時賬號以使用期限到期后自動回收作為觸發(fā)點，再次使用可以辦理續(xù)期手續(xù)，臨時賬號單次申請的最長使用期限為一年。

2）規(guī)范企業(yè)的權(quán)限管理。企業(yè)權(quán)限管理的難點在于現(xiàn)實中的崗位與系統(tǒng)中的權(quán)限不是一一匹配的，難以完全采用業(yè)務(wù)的語言去描述信息系統(tǒng)中的權(quán)限。例如，物資部的小李和小張擔(dān)任公司采購工作，如果讓兩人去跟“權(quán)限信息中心”的權(quán)限管理員口頭（或書面表達(dá)）的方式去申請權(quán)限，這樣的處理是帶著一些隨意性、不規(guī)范的。

這就需要我們在管理上有標(biāo)準(zhǔn)和制度，權(quán)限如何梳理？由誰來做？我們認(rèn)為任何一個功能都有服務(wù)的對象，否則是無意義的。目前，絕大多數(shù)的管理信息系統(tǒng)在實現(xiàn)權(quán)限管理上均是采用基于角色的權(quán)限控制（RBAC）模型，我們不妨先假設(shè)統(tǒng)一身份授權(quán)也是通過角色來進(jìn)行控制的，那么對于企業(yè)的管理權(quán)限，其實就是在對角色與資源之間的關(guān)系進(jìn)行管理。那么角色是否等同于崗位？現(xiàn)實情況的答案一定是否定的，因為在沒有規(guī)范的情況下，實施廠商可能根據(jù)系統(tǒng)的業(yè)務(wù)范圍不一樣，可以把角色近似為崗位、也可能近似于功能。

但在管理上這是我們的基本思路，要求系統(tǒng)廠商在需求設(shè)計時將現(xiàn)實的崗位與信息系統(tǒng)中的角色基本劃上等號。信息部門的“權(quán)限信息中心”在系統(tǒng)功能需求設(shè)計時協(xié)同業(yè)務(wù)部門需求方，同時對‘角色權(quán)限關(guān)系矩陣表進(jìn)行審核，保障崗位與角色對應(yīng)。當(dāng)然，崗位與角色的關(guān)系主要還是為了方便和規(guī)范信息系統(tǒng)中的權(quán)限管理和提高安全保障，與實際人資薪酬等并無必然聯(lián)系。崗位角色梳理的完善同時也為企業(yè)跨系統(tǒng)流程管理帶來間接的好處。

3）規(guī)范系統(tǒng)的資源管理。我們對資源的定義是包括應(yīng)用、菜單、功能、鏈接、流程等一切在企業(yè)信息網(wǎng)絡(luò)上且需要被保護(hù)的對象。統(tǒng)一管理資源的好處在于有利于打破信息展現(xiàn)層的壁壘。統(tǒng)一資源管理的難點主要在系統(tǒng)上線運行時，要求各應(yīng)用按照統(tǒng)一資源的方式進(jìn)行注冊。因為在實際情況中，我們發(fā)現(xiàn)目前很多系統(tǒng)在升級過程中就包含了資源數(shù)據(jù)，資源數(shù)據(jù)應(yīng)該要注冊到權(quán)限系統(tǒng)中。endprint