網(wǎng)絡(luò)環(huán)境下的域間資源安全共享系統(tǒng)論文
關(guān)鍵詞:身份統(tǒng)一管理;訪問(wèn)控制;單點(diǎn)登錄;CA認(rèn)證
摘要:目前煙草行業(yè)已建立的電子商務(wù)、電子政務(wù)和管理決策3大應(yīng)用體系,缺乏整體規(guī)劃,導(dǎo)致應(yīng)用系統(tǒng)相互獨(dú)立,增加了系統(tǒng)使用和管理的復(fù)雜度及維護(hù)成本。為此,從煙草行業(yè)信息化系統(tǒng)的實(shí)際需求出發(fā),對(duì)建設(shè)行業(yè)網(wǎng)絡(luò)環(huán)境下的域間資源共享必要性和可行性進(jìn)行分析,就如何與CA認(rèn)證體系對(duì)接進(jìn)行了探討,提出通過(guò)應(yīng)用身份統(tǒng)一管理、統(tǒng)一認(rèn)證和單點(diǎn)登錄的綜合解決方案,實(shí)現(xiàn)行業(yè)多域環(huán)境下的域間資源安全共享,促進(jìn)行業(yè)信息化集成整合,支撐行業(yè)“卷煙上水平”目標(biāo)任務(wù)。
目前煙草行業(yè)中各種信息系統(tǒng)開(kāi)發(fā)迅速,已經(jīng)具備了電子商務(wù)、電子政務(wù)和管理決策等相關(guān)的功能模塊[1-2]。但各個(gè)系統(tǒng)由于開(kāi)發(fā)背景不同,開(kāi)發(fā)的服務(wù)對(duì)象目的不同,系統(tǒng)間缺乏對(duì)資源的有效整合,難以應(yīng)對(duì)與日俱增的信息安全挑戰(zhàn),無(wú)法滿足行業(yè)“卷煙上水平”對(duì)信息化支撐的要求。研究表明,面向服務(wù)架構(gòu)的集成應(yīng)用還嚴(yán)格定義在不同系統(tǒng)之間的集成,即系統(tǒng)盡量要在數(shù)據(jù)庫(kù)層面一體化,各系統(tǒng)已成型且難以在數(shù)據(jù)庫(kù)級(jí)別一體化的才在面向服務(wù)架構(gòu)的應(yīng)用級(jí)別進(jìn)行集成,這樣既可減少各系統(tǒng)在集成時(shí)的改造量,也可避免降低各系統(tǒng)的內(nèi)部效率[3]。為此就CA認(rèn)證體系對(duì)接進(jìn)行探討,提出通過(guò)應(yīng)用系統(tǒng)身份統(tǒng)一管理、統(tǒng)一認(rèn)證和單點(diǎn)的`身份認(rèn)證的綜合解決方案,以實(shí)現(xiàn)行業(yè)多域環(huán)境下的域間資源安全共享。
1煙草企業(yè)業(yè)務(wù)信息系統(tǒng)存在問(wèn)題
1.1系統(tǒng)集成和資源整合
目前煙草行業(yè)已建立了電子商務(wù)、電子政務(wù)和管理決策3大應(yīng)用體系[4],但各體系應(yīng)用建設(shè)都以解決各業(yè)務(wù)部門的問(wèn)題為出發(fā)點(diǎn),缺乏整體規(guī)劃,導(dǎo)致應(yīng)用系統(tǒng)相互獨(dú)立,各自都擁有用戶管理、權(quán)限管理,增加了系統(tǒng)使用和管理的復(fù)雜度及維護(hù)成本。尤其是當(dāng)用戶需要同時(shí)訪問(wèn)多個(gè)應(yīng)用系統(tǒng)時(shí),在各系統(tǒng)間頻繁地切換,操作復(fù)雜,無(wú)法快速獲得相關(guān)應(yīng)用信息。
針對(duì)目前行業(yè)信息化建設(shè)現(xiàn)狀,首先要解決單一的應(yīng)用模式問(wèn)題,某個(gè)業(yè)務(wù)部門從自身管理需要出發(fā)提出的應(yīng)用系統(tǒng)建設(shè),雖然進(jìn)行了業(yè)務(wù)流程的梳理,管控指標(biāo)的設(shè)定,但往往只是一個(gè)完整流程、管控體系中的一部分,應(yīng)當(dāng)站在全局的高度將整個(gè)業(yè)務(wù)流程梳理到底、形成一體化管控體系后再進(jìn)行應(yīng)用開(kāi)發(fā);其次要解決分散的建設(shè)模式問(wèn)題。從行業(yè)來(lái)看,在工商分設(shè)、多級(jí)法人主體的體制下,信息化分級(jí)組織、分散建設(shè)具有客觀性,因此應(yīng)處理好行業(yè)要求和企業(yè)需求之間的關(guān)系。而在企業(yè)內(nèi)部,則要處理好業(yè)務(wù)部門和信息化工作部門的關(guān)系,切實(shí)做到統(tǒng)一設(shè)計(jì)、統(tǒng)一實(shí)施、統(tǒng)一管控。只有解決好這兩個(gè)方面問(wèn)題才能促使行業(yè)信息化走向集成整合、信息共享的目標(biāo),見(jiàn)圖1。
圖1用戶的應(yīng)用架構(gòu)
1.2快速登錄和便捷管理
企業(yè)信息化建設(shè)是一個(gè)持續(xù)發(fā)展、不斷完善提高的過(guò)程,尤其是隨著管理模式和業(yè)務(wù)流程的不斷變化,應(yīng)用系統(tǒng)也在不斷變化。因此,為進(jìn)一步提高工作效率,充分發(fā)揮行業(yè)信息化的效能,需提供一個(gè)統(tǒng)一的用戶管理中心,人員的新增、調(diào)離、退休都能在統(tǒng)一的用戶管理中心進(jìn)行,不需要到各個(gè)應(yīng)用系統(tǒng)中都操作一遍,降低系統(tǒng)管理員的管理工作量,盡量避免因操作不及時(shí)或不到位等人為因素引起系統(tǒng)安全隱患。
1.3身份管理和認(rèn)證安全
信息安全保障工作要貫穿于信息化建設(shè)的全過(guò)程,真正做到信息安全工作與信息化建設(shè)同步規(guī)劃、同步建設(shè)、協(xié)調(diào)發(fā)展。行業(yè)全面落實(shí)省級(jí)CA系統(tǒng)建設(shè),重要應(yīng)用系統(tǒng)都要逐步實(shí)現(xiàn)數(shù)字證書(shū)進(jìn)行身份認(rèn)證[5]。
用戶在進(jìn)行業(yè)務(wù)操作時(shí)往往需要在不同的應(yīng)用系統(tǒng)中進(jìn)行登錄,如果每個(gè)系統(tǒng)都對(duì)應(yīng)一個(gè)用戶賬號(hào)和密碼,則用戶不易于管理,或采取一套簡(jiǎn)單用戶名和密碼多系統(tǒng)使用,這樣就形成了潛在密碼安全漏洞[6]。而在安全性和系統(tǒng)管理方面,企業(yè)需要大量的IT技術(shù)管理人員,分別管理和維護(hù)不同系統(tǒng)(如ERP、OA、財(cái)務(wù)、統(tǒng)計(jì)分析、人事管理系統(tǒng)等)的用戶信息,因管理和維護(hù)不到位,導(dǎo)致用戶不能使用應(yīng)用系統(tǒng)或存在安全隱患,見(jiàn)圖2。
2系統(tǒng)設(shè)計(jì)思路
以浙江中煙信息化規(guī)劃為指導(dǎo),結(jié)合浙江中煙應(yīng)用系統(tǒng)存在的不足,從信息化基礎(chǔ)平臺(tái)著手,首先解決用戶身份統(tǒng)一管理、統(tǒng)一認(rèn)證和單點(diǎn)登錄問(wèn)題。根據(jù)總體目標(biāo)任務(wù),浙江中煙建設(shè)的統(tǒng)一用戶管理系統(tǒng)見(jiàn)圖3。
要實(shí)現(xiàn)“一次登錄、多處使用”目標(biāo),主要通過(guò):①目錄服務(wù)器,將單位、部門、工作組、人員、角色、應(yīng)用系統(tǒng)等信息統(tǒng)一存放,實(shí)現(xiàn)用戶信息從新增到退休的全生命周期管理。通過(guò)分級(jí)授權(quán)策略,各下屬單位用戶信息由各單位管理員負(fù)責(zé)維護(hù);②訪問(wèn)控制系統(tǒng),以公司本級(jí)目錄服務(wù)器為基礎(chǔ),實(shí)現(xiàn)企業(yè)內(nèi)部應(yīng)用系統(tǒng)的用戶身份統(tǒng)一認(rèn)證,用戶通過(guò)身份認(rèn)證后,如同拿到“通行證”,在使用有權(quán)限的應(yīng)用系統(tǒng)時(shí),無(wú)須再輸入用戶名和密碼,簡(jiǎn)化登錄操作;③身份管理系統(tǒng),將目錄服務(wù)器中的單位、部門、工作組、用戶、角色等與應(yīng)用系統(tǒng)相對(duì)應(yīng),通過(guò)同步手段實(shí)現(xiàn)用戶信息的統(tǒng)一管理,簡(jiǎn)化管理員的管理工作量,避免因操作不及時(shí)或不到位等因素引起系統(tǒng)安全隱患;④統(tǒng)一用戶管理系統(tǒng),實(shí)現(xiàn)與企業(yè)門戶平臺(tái)的緊密結(jié)合,將企業(yè)門戶系統(tǒng)作為各應(yīng)用系統(tǒng)訪問(wèn)入口和單點(diǎn)登錄入口。
通過(guò)建設(shè)統(tǒng)一用戶管理系統(tǒng),結(jié)合信息化系統(tǒng)管理制度,可以進(jìn)一步規(guī)范和分清信息中心和應(yīng)用系統(tǒng)負(fù)責(zé)部門在應(yīng)用系統(tǒng)運(yùn)行過(guò)程中的運(yùn)維職責(zé),打通各應(yīng)用系統(tǒng)間的身份管理和身份認(rèn)證的壁壘,為應(yīng)用整合奠定基礎(chǔ)。
3系統(tǒng)總體設(shè)計(jì)
3.1邏輯架構(gòu)統(tǒng)一用戶管理系統(tǒng)包括訪問(wèn)控制系統(tǒng)(Access Man-ager,AM)、身份管理系統(tǒng)(Identity Manager,IDM)和目錄服務(wù)器(Lightweight Directory Access Protocol,LDAP)3部分,見(jiàn)圖4。訪問(wèn)控制系統(tǒng)通過(guò)認(rèn)證接口與各應(yīng)用系統(tǒng)進(jìn)行對(duì)接,通過(guò)為各應(yīng)用系統(tǒng)部署代理策略來(lái)保護(hù)應(yīng)用系統(tǒng)的安全;身份管理系統(tǒng)通過(guò)同步接口與各應(yīng)用系統(tǒng)對(duì)接,實(shí)現(xiàn)與各應(yīng)用系統(tǒng)的用戶同步(實(shí)時(shí)或定制);目錄服務(wù)器主要存儲(chǔ)用戶信息,為訪問(wèn)控制器系統(tǒng)和身份管理系統(tǒng)提供信息服務(wù)[7]。
3.2物理架構(gòu)
整個(gè)系統(tǒng)設(shè)計(jì)采用模塊化、集中部署的原則,保證了系統(tǒng)的可擴(kuò)展性、性能和效率。AM,IDM和LDAP都采用在浙江中煙集中部署的方式,見(jiàn)圖5。以AM系統(tǒng)為中心實(shí)現(xiàn)浙江中煙和兩個(gè)制造部各應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證和單點(diǎn)登錄,考慮到統(tǒng)一認(rèn)證和單點(diǎn)登錄的使用頻率較高,建議采用雙機(jī)均衡負(fù)載;以IDM系統(tǒng)為中心,結(jié)合分級(jí)管理策略實(shí)現(xiàn)各應(yīng)用系統(tǒng)的用戶信息管理,考慮到用戶信息管理工作使用頻率不高,建議將IDM系統(tǒng)與AM一圖6域間資源共享平臺(tái)起部署;目錄服務(wù)器(LDAP)負(fù)責(zé)集中存儲(chǔ)用戶信息,建議與AM一起部署。
由人力管理系統(tǒng)作為用戶管理源頭,通過(guò)與企業(yè)內(nèi)部的人力管理系統(tǒng)對(duì)接,建立人力管理系統(tǒng)自身接入統(tǒng)一用戶管理平臺(tái),實(shí)現(xiàn)用戶統(tǒng)一認(rèn)證和單點(diǎn)登錄[6];通過(guò)與CA系統(tǒng)對(duì)接,為各應(yīng)用系統(tǒng)提供CA證書(shū)認(rèn)證[8],見(jiàn)圖6。
4應(yīng)用效果
(1)實(shí)現(xiàn)了統(tǒng)一認(rèn)證、單點(diǎn)登錄,通過(guò)結(jié)合CA認(rèn)證體系,在加強(qiáng)安全的同時(shí)簡(jiǎn)化了系統(tǒng)認(rèn)證操作過(guò)程,提高了使用效率。以一個(gè)用戶每天平均訪問(wèn)3個(gè)應(yīng)用系統(tǒng)為例,每次登錄平均時(shí)間10s,按上下午各登錄1次計(jì)算,則每天登錄操作時(shí)間最少1 min。實(shí)現(xiàn)統(tǒng)一認(rèn)證、單點(diǎn)登錄后,用戶每天只需10 s即可完成,且不會(huì)隨著訪問(wèn)應(yīng)用系統(tǒng)數(shù)量的增加而增加。
(2)實(shí)現(xiàn)了用戶統(tǒng)一管理,簡(jiǎn)化了用戶管理過(guò)程,提高了管理效率、及時(shí)性和安全性。用戶信息基礎(chǔ)屬性包括用戶ID、姓名、密碼、部門、辦公電話、手機(jī)號(hào)碼、用戶郵件等,用戶信息手工輸入一次最少15s,以一個(gè)系統(tǒng)一次新增10個(gè)用戶為例,完整錄入最少需要2 min,10個(gè)應(yīng)用系統(tǒng)則最少需要20多分鐘。實(shí)現(xiàn)用戶統(tǒng)一管理后,用戶信息錄入最多不超過(guò)3 min,同樣不會(huì)隨著應(yīng)用系統(tǒng)數(shù)量的增加而增加。
(3)通過(guò)梳理完善管理流程,使浙江中煙3大應(yīng)用體系的域間基礎(chǔ)數(shù)據(jù)管理工作權(quán)責(zé)明晰,流程細(xì)化,考核有據(jù)可依,并為后續(xù)系統(tǒng)集成、資源整合、信息共享奠定基礎(chǔ)。
【網(wǎng)絡(luò)環(huán)境下的域間資源安全共享系統(tǒng)論文】相關(guān)文章:
1.網(wǎng)絡(luò)環(huán)境下的多媒體教學(xué)系統(tǒng)初探論文
3.社會(huì)網(wǎng)絡(luò)環(huán)境的信息組織與共享模式論文
4.電力系統(tǒng)廣域信息網(wǎng)絡(luò)研究論文
8.云計(jì)算環(huán)境下的網(wǎng)絡(luò)技術(shù)及其發(fā)展論文
本文來(lái)源:http://www.nvnqwx.com/shiyongwen/2442242.htm