網路環境下的域間資源安全共享系統論文
網路環境下的域間資源安全共享系統論文
關鍵詞:身份統一管理;訪問控制;單點登入;CA認證
摘要:目前菸草行業已建立的電子商務、電子政務和管理決策3大應用體系,缺乏整體規劃,導致應用系統相互獨立,增加了系統使用和管理的複雜度及維護成本。為此,從菸草行業資訊化系統的實際需求出發,對建設行業網路環境下的域間資源共享必要性和可行性進行分析,就如何與CA認證體系對接進行了探討,提出透過應用身份統一管理、統一認證和單點登入的綜合解決方案,實現行業多域環境下的域間資源安全共享,促進行業資訊化整合整合,支撐行業“捲菸上水平”目標任務。
目前菸草行業中各種資訊系統開發迅速,已經具備了電子商務、電子政務和管理決策等相關的功能模組[1-2]。但各個系統由於開發背景不同,開發的服務物件目的不同,系統間缺乏對資源的有效整合,難以應對與日俱增的資訊保安挑戰,無法滿足行業“捲菸上水平”對資訊化支撐的要求。研究表明,面向服務架構的整合應用還嚴格定義在不同系統之間的整合,即系統儘量要在資料庫層面一體化,各系統已成型且難以在資料庫級別一體化的才在面向服務架構的應用級別進行整合,這樣既可減少各系統在整合時的改造量,也可避免降低各系統的內部效率[3]。為此就CA認證體系對接進行探討,提出透過應用系統身份統一管理、統一認證和單點的身份認證的綜合解決方案,以實現行業多域環境下的域間資源安全共享。
1菸草企業業務資訊系統存在問題
1.1系統整合和資源整合
目前菸草行業已建立了電子商務、電子政務和管理決策3大應用體系[4],但各體系應用建設都以解決各業務部門的問題為出發點,缺乏整體規劃,導致應用系統相互獨立,各自都擁有使用者管理、許可權管理,增加了系統使用和管理的複雜度及維護成本。尤其是當用戶需要同時訪問多個應用系統時,在各系統間頻繁地切換,操作複雜,無法快速獲得相關應用資訊。
針對目前行業資訊化建設現狀,首先要解決單一的應用模式問題,某個業務部門從自身管理需要出發提出的應用系統建設,雖然進行了業務流程的梳理,管控指標的設定,但往往只是一個完整流程、管控體系中的一部分,應當站在全域性的高度將整個業務流程梳理到底、形成一體化管控體系後再進行應用開發;其次要解決分散的建設模式問題。從行業來看,在工商分設、多級法人主體的體制下,資訊化分級組織、分散建設具有客觀性,因此應處理好行業要求和企業需求之間的關係。而在企業內部,則要處理好業務部門和資訊化工作部門的關係,切實做到統一設計、統一實施、統一管控。只有解決好這兩個方面問題才能促使行業資訊化走向整合整合、資訊共享的目標,見圖1。
圖1使用者的應用架構
1.2快速登入和便捷管理
企業資訊化建設是一個持續發展、不斷完善提高的過程,尤其是隨著管理模式和業務流程的不斷變化,應用系統也在不斷變化。因此,為進一步提高工作效率,充分發揮行業資訊化的效能,需提供一個統一的使用者管理中心,人員的新增、調離、退休都能在統一的使用者管理中心進行,不需要到各個應用系統中都操作一遍,降低系統管理員的管理工作量,儘量避免因操作不及時或不到位等人為因素引起系統安全隱患。
1.3身份管理和認證安全
資訊保安保障工作要貫穿於資訊化建設的全過程,真正做到資訊保安工作與資訊化建設同步規劃、同步建設、協調發展。行業全面落實省級CA系統建設,重要應用系統都要逐步實現數字證書進行身份認證[5]。
使用者在進行業務操作時往往需要在不同的應用系統中進行登入,如果每個系統都對應一個使用者賬號和密碼,則使用者不易於管理,或採取一套簡單使用者名稱和密碼多系統使用,這樣就形成了潛在密碼安全漏洞[6]。而在安全性和系統管理方面,企業需要大量的IT技術管理人員,分別管理和維護不同系統(如ERP、OA、財務、統計分析、人事管理系統等)的使用者資訊,因管理和維護不到位,導致使用者不能使用應用系統或存在安全隱患,見圖2。
2系統設計思路
以浙江中煙資訊化規劃為指導,結合浙江中煙應用系統存在的不足,從資訊化基礎平臺著手,首先解決使用者身份統一管理、統一認證和單點登入問題。根據總體目標任務,浙江中煙建設的統一使用者管理系統見圖3。
要實現“一次登入、多處使用”目標,主要透過:①目錄伺服器,將單位、部門、工作組、人員、角色、應用系統等資訊統一存放,實現使用者資訊從新增到退休的全生命週期管理。透過分級授權策略,各下屬單位使用者資訊由各單位管理員負責維護;②訪問控制系統,以公司本級目錄伺服器為基礎,實現企業內部應用系統的使用者身份統一認證,使用者透過身份認證後,如同拿到“通行證”,在使用有許可權的應用系統時,無須再輸入使用者名稱和密碼,簡化登入操作;③身份管理系統,將目錄伺服器中的單位、部門、工作組、使用者、角色等與應用系統相對應,透過同步手段實現使用者資訊的統一管理,簡化管理員的'管理工作量,避免因操作不及時或不到位等因素引起系統安全隱患;④統一使用者管理系統,實現與企業門戶平臺的緊密結合,將企業門戶系統作為各應用系統訪問入口和單點登入入口。
透過建設統一使用者管理系統,結合資訊化系統管理制度,可以進一步規範和分清資訊中心和應用系統負責部門在應用系統執行過程中的運維職責,打通各應用系統間的身份管理和身份認證的壁壘,為應用整合奠定基礎。
3系統總體設計
3.1邏輯架構統一使用者管理系統包括訪問控制系統(Access Man-ager,AM)、身份管理系統(Identity Manager,IDM)和目錄伺服器(Lightweight Directory Access Protocol,LDAP)3部分,見圖4。訪問控制系統透過認證介面與各應用系統進行對接,透過為各應用系統部署代理策略來保護應用系統的安全;身份管理系統透過同步介面與各應用系統對接,實現與各應用系統的使用者同步(實時或定製);目錄伺服器主要儲存使用者資訊,為訪問控制器系統和身份管理系統提供資訊服務[7]。
3.2物理架構
整個系統設計採用模組化、集中部署的原則,保證了系統的可擴充套件性、效能和效率。AM,IDM和LDAP都採用在浙江中煙集中部署的方式,見圖5。以AM系統為中心實現浙江中煙和兩個製造部各應用系統的統一認證和單點登入,考慮到統一認證和單點登入的使用頻率較高,建議採用雙機均衡負載;以IDM系統為中心,結合分級管理策略實現各應用系統的使用者資訊管理,考慮到使用者資訊管理工作使用頻率不高,建議將IDM系統與AM一圖6域間資源共享平臺起部署;目錄伺服器(LDAP)負責集中儲存使用者資訊,建議與AM一起部署。
由人力管理系統作為使用者管理源頭,透過與企業內部的人力管理系統對接,建立人力管理系統自身接入統一使用者管理平臺,實現使用者統一認證和單點登入[6];透過與CA系統對接,為各應用系統提供CA證書認證[8],見圖6。
4應用效果
(1)實現了統一認證、單點登入,透過結合CA認證體系,在加強安全的同時簡化了系統認證操作過程,提高了使用效率。以一個使用者每天平均訪問3個應用系統為例,每次登入平均時間10s,按上下午各登入1次計算,則每天登入操作時間最少1 min。實現統一認證、單點登入後,使用者每天只需10 s即可完成,且不會隨著訪問應用系統數量的增加而增加。
(2)實現了使用者統一管理,簡化了使用者管理過程,提高了管理效率、及時性和安全性。使用者資訊基礎屬性包括使用者ID、姓名、密碼、部門、辦公電話、手機號碼、使用者郵件等,使用者資訊手工輸入一次最少15s,以一個系統一次新增10個使用者為例,完整錄入最少需要2 min,10個應用系統則最少需要20多分鐘。實現使用者統一管理後,使用者資訊錄入最多不超過3 min,同樣不會隨著應用系統數量的增加而增加。
(3)透過梳理完善管理流程,使浙江中煙3大應用體系的域間基礎資料管理工作權責明晰,流程細化,考核有據可依,併為後續系統整合、資源整合、資訊共享奠定基礎。