大型企業(yè)用戶安全管理體系的建設(shè)與思考

牟菁

【摘要】分析了勝利油田在用戶管理面臨的主要問題，提出構(gòu)建油田統(tǒng)一的用戶管理中心，介紹了系統(tǒng)設(shè)計(jì)目標(biāo)和技術(shù)解決方案，包括統(tǒng)一的身份管理、統(tǒng)一認(rèn)證和訪問控制、集中的審計(jì)、帳號合規(guī)管理、統(tǒng)一的安全接入服務(wù)等，為油田企業(yè)打造企業(yè)級的用戶安全管理體系奠定技術(shù)基礎(chǔ)。

【關(guān)鍵詞】身份管理；統(tǒng)一認(rèn)證；單點(diǎn)登錄；數(shù)字證書；多因素認(rèn)證

一、需求分析

信息化應(yīng)用的高速發(fā)展為勝利油田在企業(yè)管理和生產(chǎn)經(jīng)營帶來了巨大收益，用戶對應(yīng)用系統(tǒng)的依賴程度越來越高，油田內(nèi)部單位的分拆、合并也導(dǎo)致應(yīng)用系統(tǒng)的用戶信息越來越復(fù)雜，增加了IT用戶管理的成本，并可能產(chǎn)生諸多安全問題，因此勝利油田對用戶統(tǒng)一身份管理的需求越來越迫切，具體表現(xiàn)在以下五個(gè)方面：

1、用戶統(tǒng)一命名的需求。勝利油田眾多應(yīng)用系統(tǒng)中的用戶命名規(guī)則不統(tǒng)一，同一用戶在不同系統(tǒng)中可能會有著截然不同的用戶名，使用起來很不方便。因此需制定統(tǒng)一的用戶帳號命名規(guī)則，所有用戶按照該規(guī)則生成統(tǒng)一身份標(biāo)識，方便應(yīng)用的管理和用戶的日常使用。

2、用戶統(tǒng)一管理的需求。應(yīng)用系統(tǒng)的用戶管理由各系統(tǒng)獨(dú)立完成，沒有較為完整的用戶基本信息庫，缺少統(tǒng)一的用戶身份管理系統(tǒng)支撐。因此需對現(xiàn)有各系統(tǒng)的用戶身份信息以HR為基準(zhǔn)進(jìn)行梳理整合，構(gòu)建統(tǒng)一的、完整的油田信息系統(tǒng)用戶身份信息庫，對用戶身份進(jìn)行集中統(tǒng)一管理。

3、用戶統(tǒng)一認(rèn)證的需求。應(yīng)用系統(tǒng)的用戶身份認(rèn)證也由各系統(tǒng)獨(dú)立完成，用戶由于工作需要經(jīng)常在不同的系統(tǒng)之間切換訪問，需要多次輸入帳號、密碼，使用不便。且多數(shù)應(yīng)用僅能實(shí)現(xiàn)“用戶名+口令”的簡單認(rèn)證方式，無法支持?jǐn)?shù)字證書或動(dòng)態(tài)口令等強(qiáng)度更高的安全認(rèn)證機(jī)制。因此需要整體考慮信息系統(tǒng)的身份認(rèn)證流程，在各系統(tǒng)之間實(shí)現(xiàn)統(tǒng)一的單點(diǎn)登錄，以提高用戶的辦公效率，并支持多因素認(rèn)證，實(shí)現(xiàn)對用戶身份更為嚴(yán)格的驗(yàn)證，從而進(jìn)一步降低油田信息系統(tǒng)的安全風(fēng)險(xiǎn)。

4、集中訪問控制的需求。應(yīng)用系統(tǒng)都獨(dú)立進(jìn)行自身的訪問控制與權(quán)限管理，決策點(diǎn)分散，很難掌握一個(gè)用戶到底擁有哪些系統(tǒng)的訪問操作權(quán)限。因此需要進(jìn)行集中的訪問控制管理。

5、安全審計(jì)的需求。很多應(yīng)用系統(tǒng)的帳號無法與實(shí)際用戶相關(guān)聯(lián)，例如有的用戶由于崗位變動(dòng)，實(shí)際已經(jīng)不需要此系統(tǒng)權(quán)限，但在系統(tǒng)中未及時(shí)回收；或者某用戶離職，但其應(yīng)用系統(tǒng)帳號未及時(shí)刪除，導(dǎo)致這些用戶仍能訪問應(yīng)用系統(tǒng)中核心數(shù)據(jù)，從而帶來嚴(yán)重的安全隱患。因此需完善安全審計(jì)功能，與SAP-HR建立數(shù)據(jù)聯(lián)動(dòng)機(jī)制，支持孤兒帳號檢查，實(shí)現(xiàn)用戶帳號的全生命周期管理，自動(dòng)注銷離職人員帳號或回收權(quán)限，消除權(quán)限控制漏洞。

二、建設(shè)目標(biāo)

為滿足以上需求，勝利油田提出打造企業(yè)級的用戶安全管理體系，總體目標(biāo)是“統(tǒng)一身份、集中管理、簡化應(yīng)用、保障安全”，通過建設(shè)油田用戶管理中心，支持用戶統(tǒng)一身份管理與統(tǒng)一目錄服務(wù)，為應(yīng)用系統(tǒng)提供用戶統(tǒng)一身份標(biāo)識、統(tǒng)一認(rèn)證、訪問控制、單點(diǎn)登錄等服務(wù)，實(shí)現(xiàn)眾多信息系統(tǒng)中的用戶身份、用戶屬性、用戶行為、用戶生命周期的統(tǒng)一的集約化管理。

三、技術(shù)解決方案

依托中國石化統(tǒng)一認(rèn)證安全體系，建立勝利油田的用戶管理中心，提供統(tǒng)一的身份管理、統(tǒng)一認(rèn)證和訪問控制、集中的審計(jì)、帳號合規(guī)管理、統(tǒng)一的安全接入服務(wù)接口服務(wù)，支持基于角色的訪問控制策略，訪問控制管理到應(yīng)用入口級。

1、系統(tǒng)技術(shù)架構(gòu)

用戶管理中心主要包括部署在總部的用戶統(tǒng)一身份管理服務(wù)、B/S統(tǒng)一接入服務(wù)、C/S統(tǒng)一接入服務(wù)、云監(jiān)控平臺以及部署在勝利本地的統(tǒng)一目錄服務(wù)（LDAP）以及統(tǒng)一認(rèn)證服務(wù)云子節(jié)點(diǎn)，提供了“應(yīng)用接入和集成規(guī)范”、“賬號管理集成規(guī)范”、“LDAP接口規(guī)范”三類技術(shù)手冊用于規(guī)范應(yīng)用系統(tǒng)的統(tǒng)一接入服務(wù)。

身份管理系統(tǒng)采用集中部署的架構(gòu)，在中石化總部建立集中的身份管理系統(tǒng)和集中的用戶信息庫，形成集中、權(quán)威的用戶和帳號信息源，為IT應(yīng)用提供基于帳號信息的基礎(chǔ)服務(wù)能力，包括帳號信息、認(rèn)證、訪問控制、單點(diǎn)登錄和帳號安全合規(guī)管理。

統(tǒng)一認(rèn)證服務(wù)云采用聯(lián)邦認(rèn)證體系進(jìn)行建設(shè)，為企業(yè)提供云架構(gòu)的身份服務(wù)，減少每個(gè)企業(yè)在本地建立系統(tǒng)造成的架構(gòu)復(fù)雜、數(shù)據(jù)冗余和系統(tǒng)管理、維護(hù)的負(fù)擔(dān)。支持多級分布部署的方式，勝利油田做為云架構(gòu)的子節(jié)點(diǎn)，與總部集中部署的系統(tǒng)能夠?qū)崿F(xiàn)數(shù)據(jù)的實(shí)時(shí)一致性管理，與SAP-HR系統(tǒng)人員狀態(tài)變更進(jìn)行聯(lián)動(dòng)。

接口服務(wù)為被集成的總部集中應(yīng)用系統(tǒng)和企業(yè)應(yīng)用系統(tǒng)提供帳號管理、認(rèn)證、訪問控制和審計(jì)相關(guān)的接口服務(wù)。應(yīng)用系統(tǒng)通過此接口實(shí)現(xiàn)應(yīng)用之間安全、高效的身份認(rèn)證與單點(diǎn)登錄。

2、服務(wù)功能

服務(wù)組件主要包括身份管理服務(wù)、數(shù)據(jù)同步和賬號管理接口服務(wù)、統(tǒng)一認(rèn)證服務(wù)云、統(tǒng)一接入服務(wù)、統(tǒng)一目錄服務(wù)LDAP。

身份管理核心服務(wù)：實(shí)現(xiàn)用戶在企業(yè)全生命管理，為管理員和個(gè)人用戶提供不同權(quán)限的管理視圖。

數(shù)據(jù)同步接口和賬號管理接口服務(wù)：實(shí)現(xiàn)與企業(yè)基礎(chǔ)應(yīng)用系統(tǒng)和常用應(yīng)用系統(tǒng)的集成，實(shí)現(xiàn)HR人員數(shù)據(jù)到身份管理系統(tǒng)的同步、相關(guān)證書的申請、發(fā)布，以及與使用比較廣泛AD系統(tǒng)的賬號同步。

統(tǒng)一認(rèn)證服務(wù)云：為企業(yè)應(yīng)用提供賬號管理、聯(lián)邦認(rèn)證以及單點(diǎn)登錄服務(wù)。所有管理和核心數(shù)據(jù)都集中存儲在統(tǒng)一目錄服務(wù)中。

統(tǒng)一接入服務(wù)：為總部集中應(yīng)用系統(tǒng)提供用戶訪問的統(tǒng)一接入、集中認(rèn)證和單點(diǎn)登錄服務(wù)。

統(tǒng)一目錄服務(wù)LDAP：LDAP存儲了與HR系統(tǒng)保持一致的組織機(jī)構(gòu)和用戶信息，總部的目錄服務(wù)與勝利的目錄服務(wù)保持實(shí)時(shí)的用戶數(shù)據(jù)同步。

PaaS云平臺：在身份認(rèn)證應(yīng)用上采用了“云”技術(shù)實(shí)現(xiàn)部分系統(tǒng)模塊的部署，形成用戶中心“統(tǒng)一接入服務(wù)”、“統(tǒng)一目錄服務(wù)”和“統(tǒng)一認(rèn)證服務(wù)”的PaaS云平臺，通過云架構(gòu)的特點(diǎn)為用戶和應(yīng)用提供更健壯的不間斷服務(wù)能力。

四、建設(shè)應(yīng)用效果

通過兩年多的持續(xù)努力，勝利油田全面建成了用戶管理中心，取得了顯著的應(yīng)用效果，為13萬油田用戶發(fā)放了統(tǒng)一賬號的電子身份證，實(shí)現(xiàn)了應(yīng)用系統(tǒng)帳號的統(tǒng)一管理，解決了油田內(nèi)部應(yīng)用和中石化總部推廣應(yīng)用的單點(diǎn)登錄問題，支持?jǐn)?shù)字證書、動(dòng)態(tài)口令等多因素高安全認(rèn)證機(jī)制，實(shí)現(xiàn)了基于HR人事事件的用戶全生命周期管理。

勝利油田還在中石化第一家實(shí)現(xiàn)了總部與企業(yè)一體的統(tǒng)一認(rèn)證服務(wù)云，在北京和勝利兩地站點(diǎn)間建立了認(rèn)證服務(wù)互信機(jī)制，確保了勝利本地認(rèn)證服務(wù)的可靠性；同時(shí)，勝利站點(diǎn)作為中石化認(rèn)證系統(tǒng)的災(zāi)備站點(diǎn)，一旦總部站點(diǎn)故障，勝利將全面承擔(dān)起中石化及下屬各企業(yè)的認(rèn)證服務(wù)。

用戶管理中心的建成大大提高了勝利油田的用戶身份管理效率，簡化了應(yīng)用系統(tǒng)在用戶管理方面的開發(fā)工作，解決了因應(yīng)用系統(tǒng)增多導(dǎo)致用戶帳號增多而為企業(yè)帶來更多安全隱患的問題，幫助勝利油田實(shí)現(xiàn)了企業(yè)級的用戶安全管理。

參考文獻(xiàn)

[1]趙捷.《企業(yè)信息化總體架構(gòu)》.清華大學(xué)出版社，2011.

[2]蔡永泉，周藝華.《數(shù)字鑒別與認(rèn)證》.北京航空航天大學(xué)出版社，2011.

[3]李雙.《訪問控制與加密》.機(jī)械工業(yè)出版社，2012.

[4]毛新生.《SOA原理方法實(shí)踐》.電子工業(yè)出版社，2007.