摘要:本文以某施工企业统一身份认证管理系统建设项目为背景。为保障该企业信息化安全工作的能力和水平,有效提升信息系统内控管理水平,实现信息化业务向高效统一、安全可靠、合法合规方向发展,打破各系统独自进行认证和账号管理的格局,建设了统一身份认证管理系统。该系统解决了该施工企业信息化建设过程中的账户管理、认证管理、授权管理、信息孤岛等方面的问题,主要包括身份管理服务、认证与单点登录服务、集中应用访问导航服务、统一接入服务几大服务。最终,在提高用户满意度、提高系统效率、避免帐号安全后门、控制系统访问行为、提高安全审计时效性、跨平台安全管理等方面取得了一定成效。
关键词:认证管理,施工企业,信息化建设
一、建设背景
集团从2009年开始全面推进信息化建设工作,经过多年努力,建成了行业内较先进的软、硬件平台,通过组织高强度、集中的应用培训,使信息系统得到了有效推广和应用,在行业内处于领先水平。
但是随着信息化建设不断深入,组织机构与信息系统环境变得庞大复杂, 在数据安全、流程风控等方面也面临着严峻挑战。企业中的各系统孤立分散,同一用户在不同的应用系统中,身份账号不统一,缺乏应用系统安全接入规范,在效率和安全等方面难以做到有效管控,阻碍了系统应用推广和业务水平的提升,并带来潜在的安全风险。为保障集团信息化安全工作的能力和水平,有效提升信息系统内控管理水平,实现信息化业务向高效统一、安全可靠、合法合规方向发展,打破各系统独自进行认证和账号管理的格局,建立统一的认证和账号权限管理体系提高服务和管理水平。
二、存在问题
在整个信息化建设过程中我们发现,基于建筑业项目的人员流动性较大、能力参差不齐等行业特点,人员的职责会根据项目为单位进行指配,经常会出现多人共用一账号或一人兼职多个岗位的情况,这对信息系统、信息数据的安全管理存在非常大的隐患。此外,在账户管理、认证管理、授权管理上均存在一些问题或缺陷。
在账户管理上,统一了用户名,但是对内部员工、临时用户、互联网用户等不同维度的用户并没有做区分,也没有设置账号有效期,从而导致了临时用户离开后账号依然存在于应用系统中形成了安全隐患极大的孤账号;账号的创建、变更、删除、管理由各应用自行管理, 用户需要人工记忆多个系统口令、需要频繁切换应用进行登录, 严重影响用户体验。
在认证管理上,系统均采用静态密码的认证方式;现有应用中不存在多重认证的方式;大部分应用采用应用本身的认证方式,没有集中统一的认证管理平台。
在授权管理上,需要系统管理员手动授权及权限变更操作;并且权限细分和挖掘通过系统管理员进行手动处理;应用授权没有预先权限配置设置。
三、建设概况
3.1建设目标
建设统一身份安全管理平台,实现用户单点登录, 以及对现有主要应用系统的账号、认证、授权和用户行为审计的统一入口管理,打破各系统独自进行认证和账号管理的格局,打通信息孤岛,建立统一的认证和账号权限管理体系。在实际建设的过程中,将根据总体规划定目标、分步实施的原则进行建设。 逐步实现所有信息系统的统一用户认证、统一应用入口、统一用户安全审计、统一用户管理等。同时,平台要具备其他认证方式的扩展能力。
3.2建设需求分析
随着集团的发展,应用越来越多、越来越复杂,因此统一身份安全管理系统需在提供多种集成方式的基础上,兼容多种设备终端并提供支持扩展的多种认证方式,包括动态口令等,以保证用户统一登录的安全。
通过访问控制平台的建立,各应用系统实现用户统一认证、单点登录。
期刊文章分类查询,尽在期刊图书馆要能够提供统一的认证方式和认证等级的管理;不同认证方式下的不同种类的认证凭证管理(静态口令、动态口令、证书等),包括认证凭证的完整的生命周期管理和用户使用认证凭证的管理流程;提供与认证相关的统一的认证策略,以满足不同系统认证服务的业务规则的需要。
3.3建设内容
统一身份安全管理平台通过与各应用系统集成实现对用户身份生命周期统一管理,基于角色的权限管理,同时实现各应用系统统一认证,单点登录,和信息综合展示的门户。统一身份安全管理系统主要包括:身份管理服务、认证与单点登录服务、集中应用访问导航服务、统一接入服务。
身份管理服务实现用户的身份全生命周期管理,为管理员和个人用户提供不同权限的管理视图,通过数据同步服务与连接器实现与应用系统的集成,实现人员数据到身份管理系统的同步,以及与接入系统的账户同步。
认证与单点登录服务为应用提供统一的身份认证与单点登录,可提供多种认证方式,例如证书、口令、指纹、人脸识别等,可根据不同认证等级的应用以及不同的业务场景选用不同的认证方式,同时对用户的异常访问行为进行风险预警。
集中应用访问导航服务提供统一的用户认证入口、统一的应用访问入口。 按照应用安全级别控制认证方式。提供用户自服务功能,自助修改用户属性及密码。实现用户认证和应用认证级别的访问审计,记录什么人在什么时间用什么账号登录到什么应用系统。 为用户访问审计提供数据支持。
四、建设成效
通过建设统一身份安全管理系统,最终实现人员在各应用系统中用户身份的统一管理及统一认证是一项非常正确的举措,在建设过程中我们总结了以下几点成效:
1、提高用户满意度。通过单点登录模块部署,实现一次认证即可登录全局应用,大幅节省了用户的时间,提高了信息系统的使用效率。
2、 提高系统管理效率。目前应用用户创建账号、更改账号权限、 禁用账号权限时,都是通过手工操作,这些手工操作会直接浪费巨大的人力成本和时间成本。为了提高效率,需要对账号的生命周期进行自动化管理。
3、避免帐号安全后门。当用户权限需要变更或离职回收时,有效规避手工逐个操作容易造成因人为不当操作而产生的安全后门隐患,如遗漏账号、违规私建账号、账号误删除、帐号信息更新错误等。
4、控制系统访问行为。当前信息安全事故频发,安全风险不仅仅来自于物理环境和网络环境,更多来源于应用系统以及不同人员访问系统行为控制的缺失。 统一身份安全管理系统做到对用户访问行为进行有效的事前预警、事中访问控制、事后责任追溯审计,合理控制“什么人”在“什么时间”有权进入“哪些系统”, 并进行实现集中可视化管理。
5、提高安全审计时效性。大量案例显示,多数信息安全风险实际由内部人员导致。异常行为的审计分析是及时发现安全问题的必要手段。 对账号权限以及用户访问行为需要能够做到清晰、实时地审计,并自动生成审计报表规避人为篡改。另外,我们需要对用户认证和访问行为有一个可洞察全局的集中可视化管理视图,便于及时发现异常行为和采取防范措施, 并做到清晰的实时审计。
6、跨平台安全管理。 随着移动互联网与云应用的不断发展, 统一身份安全管理为更多的用户提供手机、 平板电脑等不同智能终端进入业务系统进行移动办公的入口,将不同终端纳入统一安全管理体系。
参考文献:
[1]范渊. 数字经济时代的智慧城市与信息安全[M].北京:电子工业出版社,2019
[2]俞涛. 科研院所信息安全策略设计时间[J].网络安全和信息化,2019,(1):107-109
[3]卢松柏等. 加强信息安全建设,促进企业快速发展[J].施工企业管理,2016年全国施工企业信息化增刊:370-374
论文作者:陈杨硕
论文发表刊物:《科学与技术》2019年第05期
论文发表时间:2019/7/31
标签:用户论文; 账号论文; 单点论文; 系统论文; 身份论文; 管理系统论文; 方式论文; 《科学与技术》2019年第05期论文;