统一用户信息管理服务框架的设计与实现分析
2017-03-22王菁潘媛刘跃龙苏文伟
王菁++潘媛++刘跃龙++苏文伟
摘 要随着我国对电网信息化建设要求的不断提高,电网企业的信息基础设施、信息系统、信息安全保障和信息化管理逐渐进入有序的发展状态,为了进一步强化信息化安全管理,解决用户信息的管理和维护等问题,本文基于4A平台提出了统一用户信息管理服务系统,对统一用户信息管理服务框架的需求分析的基础上,深入探讨了统一用户信息管理服务框架设计与实现。
【关键词】4A 统一用户信息管理 电网 用户认证
随着电网公司信息化建设的发展,各种应用服务的不断普及,网络规模也逐步扩大,用户每天需要登录到许多不同的信息系统,每个系统都要求用户遵循一定的安全策略。但是随着用户需要登录系统次数越来越频繁,会大大增加出错的可能性,从而可能会受到非法截获和破坏,安全性就会相应降低。而当用户忘记口令,就需要请求管理员在后台操作,并只能在重新获得口令之前等待,增加了系统和安全管理资源的开销,降低了生产效率。并且每新增、减少一个用户,管理员需要逐个登录到每个应用系统进行用戶的增加、删除及授权,这些工作也极大的增加系统管理的复杂度及降低用户可用性。对管理层而言也缺乏全局应用系统统一、整体的用户审计信息。此外,国家对企业信息化设在安全和内控方面提出了更高的要求,要求企业加强内部的安全管理和控制,而身份管理、授权管理、审计正是构成网络安全信任体系的基础。因此,本文提出了在现有安全基础设施及建设成果基础上进一步强化安全建设,建设完成全公司范围的,涵盖认证、用户管理、授权、审计四位一体的4A(认证Authentication、账号Account、授权Authorization、审计Audit)统一安全管理平台,以满足电网公司对应用系统整合的需求,对安全可靠统一的用户身份认证管理的需求,满足国家及行业主管部门的相关管理要求,适应公司业务及管理发展对信息安全的需要。
1 统一用户信息管理服务框架需求分析
1.1 业务需求
从用户集中管理来看,目前电网公司无法对全公司的用户信息进行集中管理,存在管理分散的问题,离职员工账号难以及时删除或遗漏,会使应用系统难以清晰的管理,管理员对于用户信息在各个应用系统当中的增加、删除、修改、查询等大量的操作容易出错,且同一用户在不同应用中信息不一致,造成管理出现隐患;从组织机构管理来看,组织机构的信息也分散在不同应用系统当中,当信息需要修改时,会造成很大的工作量,且对于和用户及角色授权之间的对应缺乏统一管理制度;从系统认证管理来看,由于应用系统多,且登录流程复杂,用户在登录系统时,消耗在认证登录、切换登录入口和退出系统的工作量较大;从授权管理来看,用户和授权管理的信息操作复杂,既无法集中的管理,也缺乏统一的规范;从审计需求的管理来看,无法对管理员的管理行为、用户的登录登出等行为进行审计,且由于用户行为日志分散在各个系统当中,无法集中的监控和审计。
1.2 功能需求
首先需要解决的是用户账户统一管理的问题,对多个用户系统进行整合时,传统模式下的用户数据管理的流程复杂且时效性慢;其次,虽然已经建设了PKI/CA网络信任体系,但是数字证书应用及管理和账户管理还不够完善,同时还存在着单点登录系统与CA系统的管理脱节问题;再次,管理员的操作行为也需要有效的安全管控和责任认定。
1.3 性能需求
于4A系统来讲,影响系统性能主要问题在于I/O,包括数据库、网络通信、文件等,其中大量的操作会占用到CPU,其次I/O操作、差算法和其他低效资源还会降低系统性能,在实际应用中会导致在多数据并发、大数据量等情况下发生严重问题。对于4A平台建议的指标如下:吞吐量可以满足至少30万的用户;平台要支持至少3万的用户数量并发认证;用户登录平台的相应总延时应当小于2秒;4A平台认证效率应当大于300次/秒;用户访问的成功率大于99.9%;4A平台应当可以一周24小时不间断运转。
1.4 安全需求
4A平台的安全性和可靠性设计以国家相关技术标准为依据,充分考虑电网信息化建设的现状,从软件系统本身安全、系统部署安全、物理与环境安全、网络安全、操作系统安全、数据库安全、系统内部安全、策略安全、人员安全等多个角度入手,进行整个安全体系的设计和规划。安全性设计方案不仅要可以支持4A平台提供全年365天、每天24小时的不间断服务,还需要有提供数据备份与数据恢复功能,确保数据正确、完整;同时,统一用户管理平台应具备进行故障诊断、定位、备份、恢复等功能。
2 统一用户信息管理服务框架设计与实现
本文设计的统一用户信息管理服务系统是以用户身份集中管理的思路为核心,可以在一点对用户的身份和权限进行集中的管理,降低管理的成本。本系统是采取的从分散到集中的管理思路,将过去分散到各个业务系统中的用户采取一个系统进行集中的管理,并提供适配器接口使业务系统和此系统的信息相同步。具体的设计方案是:从数据资源管理平台获取用户信息,生成主账号。提供数据同步接口实现与网络设备、主机系统以及应用系统的账号同步。使用关系型数据库用于存储内部和外部用户的所有用户信息,包括所管理的应用系统信息,以及用户在各应用系统下的所有从账号、从账号与主账号的对应关系等。使用目录服务系统用来发布用户属性信息,供应用系统调用,目录服务系统采用“分散+统一”的部署模式,即在总部和各个下级单位分别部署单独的目录服务系统,实现本地用户数据的发布。同时集成PKI/CA系统实现用户账号和数字证书的一体化全生命周期管理。可以适应电网公司复杂的业务流程或安全策略设置、管理的需要。
统一用户信息管理服务系统具体框架结构图1所示,平台分为五个子系统,分别为身份管理系统,权限管理系统、访问控制系统、审计系统和目录服务系统。并通过多种类型的标准数据源连接器实现多业务/应用系统的用户身份数据整合,并通过部署在用户客户端的统一认证接口,为用户提供多应用系统的安全的统一认证、统一授权和单点登录服务。下面对其中的主要模块的实现进行介绍:
2.1 身份管理模块
2.1.1 用户自助服务模块
该模块提供用户自助更新信息更新、密码管理、账号管理以及行为日志记录查询等功能,用户可通过图形界面自助完成相关管理操作。
2.1.2 身份认证服务模块
该模块以统一的用户管理、统一的授权管理为基础,为应用系统提供身份认证的功能,做到只有通过统一认证系统验证的用户才可以访问后台的应用系统。
2.1.3 身份管理服務模块
该模块是在企业内部建立统一的用户视图,完成各应用系统的用户信息整合,实现用户生命周期的集中统一管理,并建立平台与各应用系统的用户身份信息同步机制,简化用户及其账号的管理复杂度,降低系统用户管理的安全风险。
2.2 访问控制模块
2.2.1 访问控制服务模块
该模块是4A平台的核心服务功能之一。平台可以将接入的应用系统作为资源进行管理,并通过建立资源与用户、角色之间的关联,实现系统级的访问控制。同时,平台能支持基于角色的授权模型,支持对用户进行分角色管理,针对不同角色设定访问权限,灵活的实现用户的访问控制功能。
2.2.2 授权管理服务模块
该模块提供管理及访问控制功能,对用户使用信息系统资源的具体情况进行合理分配,实现不同用户对系统不同部分资源的访问控制。通过该系统,管理员可以对各管理对象进行授权,而不需要进入每一个被管理对象。
3 结语
综上所述,本文就电网公司用户统计信息管理存在功能单一、体系不规范、用户难以集中管理等问题提出了统一用户信息管理服务框架,建设部署4A管理平台,采集用户信息,创建用户账户,建立用户资源库,完成平台与PKI/CA系统集成,制定标准规范,指导系统开发、管理和应用,满足了一定的非功能性需求,具有较高的应用价值。
参考文献
[1]Anindya Ghose,Sang Pil Han.Estimating demand for mobile applications in the new economy[J].Management Sciences 2014,60(06):1470-1488.
[2]严广学.基于中国移动4A规范的认证中心子系统的设计与实现[D].北京:北京交通大学,2010.
[3]高鹏,曾智翔,李伟宁.海南电网4A平台关键技术和建设经验分析[J].华电技术,2013(08):54-56.
[4]熊冬青.4A统一安全平台设计方案[J].广东通信技术,2012,32(04):22-24.
作者单位
云南电网有限责任公司信息中心 云南省昆明市 650217