关键词:企业级信息系统;身份权限统一管理;应用
为了更好的完善公司信息安全保障体系,在全面推广PKI/CA数字证书系统的基础上,为了更好的保障核心业务系统集中建设,依据平台先行的原则,规划设计4A平台技术规范,建设了4A平台,实现统一的信息系统用户、认证、授权、审计管理,实现对应用系统服务的授权管理,满足了用户统一认证、分级分布授权的管理需要。4A平台的应用可以实现对各业务系统用户账号、认证、权限、审计的统一管理,建立统一的身份权限管理规范,提升系统权限管控能力和业务系统身份信息安全的主动防御能力。
1、4A平台建设方法
1.1系统建设整体策略
4A平台依据该电网公司信息系统建设平台先行的原则,先于核心业务系统开展建设工作,能更好的为业务系统提供服务支持。4A平台的实施涉及面广、复杂度高,要保证系统的成功实施,需要项目单位与实施项目组紧密合作,采取系统横向协同、平台纵向一致的实施策略,保障项目的顺利开展。1)采取“整体规划、分步实施、稳步推进”的总体实施策略基于该电网公司4A平台典型设计、技术规范和整体设计方案,以4A平台建设总体目标为指导,结合项目单位实际情况,充分考虑可能存在的风险,科学合理地规划项目实施路线,建立合理完整、切实可行的业务系统集成策略,分步开展业务系统权限集成工作,稳步推进4A平台在项目单位的应用。2)采取“统一规划、统一标准、统一组织”的过程策略4A项目是典型的集成类项目,涉及公司所有信息系统的身份、认证、权限、审计管理整合,在项目建设与实施过程中,必须坚持该电网公司“统一规划、统一标准、统一组织”的原则,项目实施单位信息负责项目的主要管理工作,各研发厂商与相关业务部门应主动参与、积极配合,有效整合资源,突出重点,在项目建设“保质有序”的同时,完成该电网公司4A平台建设实施计划的要求。3)采取“纵向一致、横向协同、团结协作”的管控策略鉴于实施4A平台会触及企业诸多业务系统长期形成的身份权限管理定势,冲击一些权限管理模式,这些因素会在实施过程中形成各种阻力,导致项目推进滞缓,项目人力成本剧增,项目风险加大。因此,必须建立严格的项目会议制度、管理制度和工作规范,执行权责分明、合理高效的管控措施,以保障统一权限管理系统的顺利实施。
1.2总体架构
4A平台作为企业的基础信息平台系统,与企业中的门户、数据资源管理平台、SOA平台业务系统具有集成关系。以用户身份集中管理的思路为核心,建立全局唯一的权威身份信息源,在一点集中管理用户身份和权限,从而降低管理成本。在统一用户身份的基础上,实现各个应用的单点登录、身份认证、身份授权、用户审计等信息的集中统一管理,并能提供与业务系统及数字证书系统进行系统集成的解决方案,规划合理、高效的用户身份管理流程,集成开发规范和运行维护规范等。通过构建身份管理、权限管理、数据集成服务等应用模块实现该电网员工账户统一、系统资源整合、身份信息共享和全面集中管控的核心目标,并制定该电网4A平台标准规范,为以后新应用系统的上线集成奠定工作基础。
1.3业务功能
4A平台系统采用总部、省市两级部署的架构模式,在技术上支持一级部署的能力。4A平台主要分为六大应用模块,分别是统一认证模块、权限管理模块、身份管理模块、安全审计模块、数据集成模块、接口服务模块;4A平台通过这六大服务模块实现企业身份对象、身份认证、权限与安全审计的统一与整体管控。
1.4部署架构
对于开发完成的4A平台在建设实施阶段,针对该电网的实际情况将采用两级部署架构,即南网总部部署和各下属分子公司部署。各单位(包括总部)的4A平台各自横向集成单位内部业务系统,而身份主数据(用户、组织等)的总部与分子公司的两级贯通则通过南网已有的数据资源管理平台实现。内部4A平台各服务节点的部署,均采用负载均衡加集群的部署策略,以确保平台各服务节点的稳定性和服务资源的平均分配。对于存在单节点故障风险的负载均衡器,采用基于主备模式的HA方案实现,以确保关键节点的可靠性。
2、4A平台应用效果
该电网4A平台建成之后,可以最大限度地整合该电网应用系统资源,实现用户信息、账号信息、权限信息等信息资源共享。从而有效解决因应用系统平台建设不统一而造成的“信息孤岛”现象。4A平台的建设综合解决了应用系统信息安全问题。解决了应用系统用户账号易被盗取、身份认证标识混乱、多人混用同一账户等引发的系统安全问题;避免企业机密信息、业务数据外泄;加强企业电子数据安全的管控力度;对企业核心数据的操作、存储、转移等过程进行监控,并且留下有效的抗抵赖证据。使全部集成系统的身份权限管理可达到《信息安全等级保护管理办法》所规定的三级要求。1)极大强化了应用系统信息审计面对复杂的业务系统信息审计,对用户应用接入、系统资源访问等信息进行实时的监控和审计,为企业提供详尽的系统用户审计数据,帮助企业分析业务系统使用现状,动态跟踪用户使用情况,排查系统安全事故。2)有效降低了运营成本,提升工作效率建立了统一的账户和权限管理机制,可以极大改变企业由于业务系统众多带来的账户管理繁杂、权限管理混乱的现状,大大降低了系统管理复杂度,减少了系统账户和权限管理维护时间和成本。用户无需记录众多应用系统的用户名和口令。据成功实施项目统计数字,系统上线后,平均降低系统维护和管理成本达27%。3)为信息安全规范管理,提供有力手段通过系统建设,固化相关业务流程,规范信息系统身份账号、授权管理处理方式,明确了公司信息化身份管理的管理职责和管理内容,规范系统的操作使用和运行维护,大力促进深化应用,不断提高系统实用化水平。
3、结语
随着该电网公司信息化建设的不断推进,各业务系统的应用也不断深化,通过建设4A平台,实现了业务系统身份权限的统一管理,提升信息系统快速响应业务调整的适应能力,同时通过建立统一的身份权限管理规范,提升系统授权的管控能力和业务系统身份信息安全的主动防御能力。电力信息系统运作强调对资源的有效配置和管理,员工作为业务参与的主体,是信息系统重要的资源,同时又是其它各项资源的使用者和支配者。信息化建设目标应适应动态的人员管理机制的要求,实现对各种动态信息集中、实时的有效掌控,并以此为依据对各项企业资源进行统一、合理的配置,使企业运作更加高效有序。4A平台的建设可以将原本分散的业务系统管理现状进行统一,为业务系统协同各种资源提供支撑和保障,满足对人员实施动态管理的要求。
参考文献
[1]吕华辉,林志达,梁志宏.企业级信息系统身份权限统一管理研究与应用[J].电子世界,2019(08).
[2]杨慧,曹野.电厂信息系统的规划与设计[J].科技与企业.2014(20).