关键词:身份统一管理;访问控制;单点登录;CA认证
摘要:目前烟草行业已建立的电子商务、电子政务和管理决策3大应用体系,缺乏整体规划,导致应用系统相互独立,增加了系统使用和管理的复杂度及维护成本。为此,从烟草行业信息化系统的实际需求出发,对建设行业网络环境下的域间资源共享必要性和可行性进行分析,就如何与CA认证体系对接进行了探讨,提出通过应用身份统一管理、统一认证和单点登录的综合解决方案,实现行业多域环境下的域间资源安全共享,促进行业信息化集成整合,支撑行业“卷烟上水平”目标任务。
目前烟草行业中各种信息系统开发迅速,已经具备了电子商务、电子政务和管理决策等相关的功能模块[1-2]。但各个系统由于开发背景不同,开发的服务对象目的不同,系统间缺乏对资源的有效整合,难以应对与日俱增的信息安全挑战,无法满足行业“卷烟上水平”对信息化支撑的要求。研究表明,面向服务架构的集成应用还严格定义在不同系统之间的集成,即系统尽量要在数据库层面一体化,各系统已成型且难以在数据库级别一体化的才在面向服务架构的应用级别进行集成,这样既可减少各系统在集成时的改造量,也可避免降低各系统的内部效率[3]。为此就CA认证体系对接进行探讨,提出通过应用系统身份统一管理、统一认证和单点的身份认证的综合解决方案,以实现行业多域环境下的域间资源安全共享。
1烟草企业业务信息系统存在问题
1.1系统集成和资源整合
目前烟草行业已建立了电子商务、电子政务和管理决策3大应用体系[4],但各体系应用建设都以解决各业务部门的问题为出发点,缺乏整体规划,导致应用系统相互独立,各自都拥有用户管理、权限管理,增加了系统使用和管理的复杂度及维护成本。尤其是当用户需要同时访问多个应用系统时,在各系统间频繁地切换,操作复杂,无法快速获得相关应用信息。
针对目前行业信息化建设现状,首先要解决单一的应用模式问题,某个业务部门从自身管理需要出发提出的应用系统建设,虽然进行了业务流程的梳理,管控指标的设定,但往往只是一个完整流程、管控体系中的'一部分,应当站在全局的高度将整个业务流程梳理到底、形成一体化管控体系后再进行应用开发;其次要解决分散的建设模式问题。从行业来看,在工商分设、多级法人主体的体制下,信息化分级组织、分散建设具有客观性,因此应处理好行业要求和企业需求之间的关系。而在企业内部,则要处理好业务部门和信息化工作部门的关系,切实做到统一设计、统一实施、统一管控。只有解决好这两个方面问题才能促使行业信息化走向集成整合、信息共享的目标,见图1。
图1用户的应用架构
1.2快速登录和便捷管理
企业信息化建设是一个持续发展、不断完善提高的过程,尤其是随着管理模式和业务流程的不断变化,应用系统也在不断变化。因此,为进一步提高工作效率,充分发挥行业信息化的效能,需提供一个统一的用户管理中心,人员的新增、调离、退休都能在统一的用户管理中心进行,不需要到各个应用系统中都操作一遍,降低系统管理员的管理工作量,尽量避免因操作不及时或不到位等人为因素引起系统安全隐患。
1.3身份管理和认证安全
信息安全保障工作要贯穿于信息化建设的全过程,真正做到信息安全工作与信息化建设同步规划、同步建设、协调发展。行业全面落实省级CA系统建设,重要应用系统都要逐步实现数字证书进行身份认证[5]。
用户在进行业务操作时往往需要在不同的应用系统中进行登录,如果每个系统都对应一个用户账号和密码,则用户不易于管理,或采取一套简单用户名和密码多系统使用,这样就形成了潜在密码安全漏洞[6]。而在安全性和系统管理方面,企业需要大量的IT技术管理人员,分别管理和维护不同系统(如ERP、OA、财务、统计分析、人事管理系统等)的用户信息,因管理和维护不到位,导致用户不能使用应用系统或存在安全隐患,见图2。
2系统设计思路
以浙江中烟信息化规划为指导,结合浙江中烟应用系统存在的不足,从信息化基础平台着手,首先解决用户身份统一管理、统一认证和单点登录问题。根据总体目标任务,浙江中烟建设的统一用户管理系统见图3。
要实现“一次登录、多处使用”目标,主要通过:①目录服务器,将单位、部门、工作组、人员、角色、应用系统等信息统一存放,实现用户信息从新增到退休的全生命周期管理。通过分级授权策略,各下属单位用户信息由各单位管理员负责维护;②访问控制系统,以公司本级目录服务器为基础,实现企业内部应用系统的用户身份统一认证,用户通过身份认证后,如同拿到“通行证”,在使用有权限的应用系统时,无须再输入用户名和密码,简化登录操作;③身份管理系统,将目录服务器中的单位、部门、工作组、用户、角色等与应用系统相对应,通过同步手段实现用户信息的统一管理,简化管理员的管理工作量,避免因操作不及时或不到位等因素引起系统安全隐患;④统一用户管理系统,实现与企业门户平台的紧密结合,将企业门户系统作为各应用系统访问入口和单点登录入口。
通过建设统一用户管理系统,结合信息化系统管理制度,可以进一步规范和分清信息中心和应用系统负责部门在应用系统运行过程中的运维职责,打通各应用系统间的身份管理和身份认证的壁垒,为应用整合奠定基础。
3系统总体设计
3.1逻辑架构统一用户管理系统包括访问控制系统(Access Man-ager,AM)、身份管理系统(Identity Manager,IDM)和目录服务器(Lightweight Directory Access Protocol,LDAP)3部分,见图4。访问控制系统通过认证接口与各应用系统进行对接,通过为各应用系统部署代理策略来保护应用系统的安全;身份管理系统通过同步接口与各应用系统对接,实现与各应用系统的用户同步(实时或定制);目录服务器主要存储用户信息,为访问控制器系统和身份管理系统提供信息服务[7]。
3.2物理架构
整个系统设计采用模块化、集中部署的原则,保证了系统的可扩展性、性能和效率。AM,IDM和LDAP都采用在浙江中烟集中部署的方式,见图5。以AM系统为中心实现浙江中烟和两个制造部各应用系统的统一认证和单点登录,考虑到统一认证和单点登录的使用频率较高,建议采用双机均衡负载;以IDM系统为中心,结合分级管理策略实现各应用系统的用户信息管理,考虑到用户信息管理工作使用频率不高,建议将IDM系统与AM一图6域间资源共享平台起部署;目录服务器(LDAP)负责集中存储用户信息,建议与AM一起部署。
由人力管理系统作为用户管理源头,通过与企业内部的人力管理系统对接,建立人力管理系统自身接入统一用户管理平台,实现用户统一认证和单点登录[6];通过与CA系统对接,为各应用系统提供CA证书认证[8],见图6。
4应用效果
(1)实现了统一认证、单点登录,通过结合CA认证体系,在加强安全的同时简化了系统认证操作过程,提高了使用效率。以一个用户每天平均访问3个应用系统为例,每次登录平均时间10s,按上下午各登录1次计算,则每天登录操作时间最少1 min。实现统一认证、单点登录后,用户每天只需10 s即可完成,且不会随着访问应用系统数量的增加而增加。
(2)实现了用户统一管理,简化了用户管理过程,提高了管理效率、及时性和安全性。用户信息基础属性包括用户ID、姓名、密码、部门、办公电话、手机号码、用户邮件等,用户信息手工输入一次最少15s,以一个系统一次新增10个用户为例,完整录入最少需要2 min,10个应用系统则最少需要20多分钟。实现用户统一管理后,用户信息录入最多不超过3 min,同样不会随着应用系统数量的增加而增加。
(3)通过梳理完善管理流程,使浙江中烟3大应用体系的域间基础数据管理工作权责明晰,流程细化,考核有据可依,并为后续系统集成、资源整合、信息共享奠定基础。
【网络环境下的域间资源安全共享系统论文】相关文章:
实现学科间资源共享--浅谈新课程改革下语文教师的素养提升(网友来稿)12-06
网络环境下小说创新阅读教学的遐想12-05
合作,共享阅读的快乐(教学论文)12-06
论文:新课改环境下语文课堂教学的反思12-06