【摘要】分析了胜利油田在用户管理面临的主要问题,提出构建油田统一的用户管理中心,介绍了系统设计目标和技术解决方案,包括统一的身份管理、统一认证和访问控制、集中的审计、帐号合规管理、统一的安全接入服务等,为油田企业打造企业级的用户安全管理体系奠定技术基础。
【关键词】身份管理;统一认证;单点登录;数字证书;多因素认证
一、需求分析
信息化应用的高速发展为胜利油田在企业管理和生产经营带来了巨大收益,用户对应用系统的依赖程度越来越高,油田内部单位的分拆、合并也导致应用系统的用户信息越来越复杂,增加了IT用户管理的成本,并可能产生诸多安全问题,因此胜利油田对用户统一身份管理的需求越来越迫切,具体表现在以下五个方面:
1、用户统一命名的需求。胜利油田众多应用系统中的用户命名规则不统一,同一用户在不同系统中可能会有着截然不同的用户名,使用起来很不方便。因此需制定统一的用户帐号命名规则,所有用户按照该规则生成统一身份标识,方便应用的管理和用户的日常使用。
2、用户统一管理的需求。应用系统的用户管理由各系统独立完成,没有较为完整的用户基本信息库,缺少统一的用户身份管理系统支撑。因此需对现有各系统的用户身份信息以HR为基准进行梳理整合,构建统一的、完整的油田信息系统用户身份信息库,对用户身份进行集中统一管理。
3、用户统一认证的需求。应用系统的用户身份认证也由各系统独立完成,用户由于工作需要经常在不同的系统之间切换访问,需要多次输入帐号、密码,使用不便。且多数应用仅能实现“用户名+口令”的简单认证方式,无法支持数字证书或动态口令等强度更高的安全认证机制。因此需要整体考虑信息系统的身份认证流程,在各系统之间实现统一的单点登录,以提高用户的办公效率,并支持多因素认证,实现对用户身份更为严格的验证,从而进一步降低油田信息系统的安全风险。
4、集中访问控制的需求。应用系统都独立进行自身的访问控制与权限管理,决策点分散,很难掌握一个用户到底拥有哪些系统的访问操作权限。因此需要进行集中的访问控制管理。
5、安全审计的需求。很多应用系统的帐号无法与实际用户相关联,例如有的用户由于岗位变动,实际已经不需要此系统权限,但在系统中未及时回收;或者某用户离职,但其应用系统帐号未及时删除,导致这些用户仍能访问应用系统中核心数据,从而带来严重的安全隐患。因此需完善安全审计功能,与SAP-HR建立数据联动机制,支持孤儿帐号检查,实现用户帐号的全生命周期管理,自动注销离职人员帐号或回收权限,消除权限控制漏洞。
二、建设目标
为满足以上需求,胜利油田提出打造企业级的用户安全管理体系,总体目标是“统一身份、集中管理、简化应用、保障安全”,通过建设油田用户管理中心,支持用户统一身份管理与统一目录服务,为应用系统提供用户统一身份标识、统一认证、访问控制、单点登录等服务,实现众多信息系统中的用户身份、用户属性、用户行为、用户生命周期的统一的集约化管理。
三、技术解决方案
依托中国石化统一认证安全体系,建立胜利油田的用户管理中心,提供统一的身份管理、统一认证和访问控制、集中的审计、帐号合规管理、统一的安全接入服务接口服务,支持基于角色的访问控制策略,访问控制管理到应用入口级。
1、系统技术架构
用户管理中心主要包括部署在总部的用户统一身份管理服务、B/S统一接入服务、C/S统一接入服务、云监控平台以及部署在胜利本地的统一目录服务(LDAP)以及统一认证服务云子节点,提供了“应用接入和集成规范”、“账号管理集成规范”、“LDAP接口规范”三类技术手册用于规范应用系统的统一接入服务。
身份管理系统采用集中部署的架构,在中石化总部建立集中的身份管理系统和集中的用户信息库,形成集中、权威的用户和帐号信息源,为IT应用提供基于帐号信息的基础服务能力,包括帐号信息、认证、访问控制、单点登录和帐号安全合规管理。
统一认证服务云采用联邦认证体系进行建设,为企业提供云架构的身份服务,减少每个企业在本地建立系统造成的架构复杂、数据冗余和系统管理、维护的负担。支持多级分布部署的方式,胜利油田做为云架构的子节点,与总部集中部署的系统能够实现数据的实时一致性管理,与SAP-HR系统人员状态变更进行联动。
接口服务为被集成的总部集中应用系统和企业应用系统提供帐号管理、认证、访问控制和审计相关的接口服务。应用系统通过此接口实现应用之间安全、高效的身份认证与单点登录。
2、服务功能
服务组件主要包括身份管理服务、数据同步和账号管理接口服务、统一认证服务云、统一接入服务、统一目录服务LDAP。
身份管理核心服务:实现用户在企业全生命管理,为管理员和个人用户提供不同权限的管理视图。
数据同步接口和账号管理接口服务:实现与企业基础应用系统和常用应用系统的集成,实现HR人员数据到身份管理系统的同步、相关证书的申请、发布,以及与使用比较广泛AD系统的账号同步。
统一认证服务云:为企业应用提供账号管理、联邦认证以及单点登录服务。所有管理和核心数据都集中存储在统一目录服务中。
统一接入服务:为总部集中应用系统提供用户访问的统一接入、集中认证和单点登录服务。
统一目录服务LDAP:LDAP存储了与HR系统保持一致的组织机构和用户信息,总部的目录服务与胜利的目录服务保持实时的用户数据同步。
PaaS云平台:在身份认证应用上采用了“云”技术实现部分系统模块的部署,形成用户中心“统一接入服务”、“统一目录服务”和“统一认证服务”的PaaS云平台,通过云架构的特点为用户和应用提供更健壮的不间断服务能力。
四、建设应用效果
通过两年多的持续努力,胜利油田全面建成了用户管理中心,取得了显著的应用效果,为13万油田用户发放了统一账号的电子身份证,实现了应用系统帐号的统一管理,解决了油田内部应用和中石化总部推广应用的单点登录问题,支持数字证书、动态口令等多因素高安全认证机制,实现了基于HR人事事件的用户全生命周期管理。
胜利油田还在中石化第一家实现了总部与企业一体的统一认证服务云,在北京和胜利两地站点间建立了认证服务互信机制,确保了胜利本地认证服务的可靠性;同时,胜利站点作为中石化认证系统的灾备站点,一旦总部站点故障,胜利将全面承担起中石化及下属各企业的认证服务。
用户管理中心的建成大大提高了胜利油田的用户身份管理效率,简化了应用系统在用户管理方面的开发工作,解决了因应用系统增多导致用户帐号增多而为企业带来更多安全隐患的问题,帮助胜利油田实现了企业级的用户安全管理。
参考文献
[2]蔡永泉,周艺华.《数字鉴别与认证》.北京航空航天大学出版社,2011.
[3]李双.《访问控制与加密》.机械工业出版社,2012.
[4]毛新生.《SOA原理方法实践》.电子工业出版社,2007.