大型企業用戶安全管理體係的建設與思考

管理錦囊

作者：牟菁

【摘要】分析了勝利油田在用戶管理麵臨的主要問題，提出構建油田統一的用戶管理中心，介紹了係統設計目標和技術解決方案，包括統一的身份管理、統一認證和訪問控製、集中的審計、帳號合規管理、統一的安全接入服務等，為油田企業打造企業級的用戶安全管理體係奠定技術基礎。

【關鍵詞】身份管理；統一認證；單點登錄；數字證書；多因素認證

一、需求分析

信息化應用的高速發展為勝利油田在企業管理和生產經營帶來了巨大收益，用戶對應用係統的依賴程度越來越高，油田內部單位的分拆、合並也導致應用係統的用戶信息越來越複雜，增加了IT用戶管理的成本，並可能產生諸多安全問題，因此勝利油田對用戶統一身份管理的需求越來越迫切，具體表現在以下五個方麵：

1、用戶統一命名的需求。勝利油田眾多應用係統中的用戶命名規則不統一，同一用戶在不同係統中可能會有著截然不同的用戶名，使用起來很不方便。因此需製定統一的用戶帳號命名規則，所有用戶按照該規則生成統一身份標識，方便應用的管理和用戶的日常使用。

2、用戶統一管理的需求。應用係統的用戶管理由各係統獨立完成，沒有較為完整的用戶基本信息庫，缺少統一的用戶身份管理係統支撐。因此需對現有各係統的用戶身份信息以HR為基準進行梳理整合，構建統一的、完整的油田信息係統用戶身份信息庫，對用戶身份進行集中統一管理。

3、用戶統一認證的需求。應用係統的用戶身份認證也由各係統獨立完成，用戶由於工作需要經常在不同的係統之間切換訪問，需要多次輸入帳號、密碼，使用不便。且多數應用僅能實現“用戶名+口令”的簡單認證方式，無法支持數字證書或動態口令等強度更高的安全認證機製。因此需要整體考慮信息係統的身份認證流程，在各係統之間實現統一的單點登錄，以提高用戶的辦公效率，並支持多因素認證，實現對用戶身份更為嚴格的驗證，從而進一步降低油田信息係統的安全風險。

4、集中訪問控製的需求。應用係統都獨立進行自身的訪問控製與權限管理，決策點分散，很難掌握一個用戶到底擁有哪些係統的訪問操作權限。因此需要進行集中的訪問控製管理。

5、安全審計的需求。很多應用係統的帳號無法與實際用戶相關聯，例如有的用戶由於崗位變動，實際已經不需要此係統權限，但在係統中未及時回收；或者某用戶離職，但其應用係統帳號未及時刪除，導致這些用戶仍能訪問應用係統中核心數據，從而帶來嚴重的安全隱患。因此需完善安全審計功能，與SAP-HR建立數據聯動機製，支持孤兒帳號檢查，實現用戶帳號的全生命周期管理，自動注銷離職人員帳號或回收權限，消除權限控製漏洞。

二、建設目標

為滿足以上需求，勝利油田提出打造企業級的用戶安全管理體係，總體目標是“統一身份、集中管理、簡化應用、保障安全”，通過建設油田用戶管理中心，支持用戶統一身份管理與統一目錄服務，為應用係統提供用戶統一身份標識、統一認證、訪問控製、單點登錄等服務，實現眾多信息係統中的用戶身份、用戶屬性、用戶行為、用戶生命周期的統一的集約化管理。

三、技術解決方案

依托中國石化統一認證安全體係，建立勝利油田的用戶管理中心，提供統一的身份管理、統一認證和訪問控製、集中的審計、帳號合規管理、統一的安全接入服務接口服務，支持基於角色的訪問控製策略，訪問控製管理到應用入口級。

1、係統技術架構

用戶管理中心主要包括部署在總部的用戶統一身份管理服務、B/S統一接入服務、C/S統一接入服務、雲監控平台以及部署在勝利本地的統一目錄服務（LDAP）以及統一認證服務雲子節點，提供了“應用接入和集成規範”、“賬號管理集成規範”、“LDAP接口規範”三類技術手冊用於規範應用係統的統一接入服務。