大型企業用戶安全管理體系的建設與思考

牟菁

【摘要】分析了勝利油田在用戶管理面臨的主要問題，提出構建油田統一的用戶管理中心，介紹了系統設計目標和技術解決方案，包括統一的身份管理、統一認證和訪問控制、集中的審計、帳號合規管理、統一的安全接入服務等，為油田企業打造企業級的用戶安全管理體系奠定技術基礎。

【關鍵詞】身份管理；統一認證；單點登錄；數字證書；多因素認證

一、需求分析

信息化應用的高速發展為勝利油田在企業管理和生產經營帶來了巨大收益，用戶對應用系統的依賴程度越來越高，油田內部單位的分拆、合并也導致應用系統的用戶信息越來越復雜，增加了IT用戶管理的成本，并可能產生諸多安全問題，因此勝利油田對用戶統一身份管理的需求越來越迫切，具體表現在以下五個方面：

1、用戶統一命名的需求。勝利油田眾多應用系統中的用戶命名規則不統一，同一用戶在不同系統中可能會有著截然不同的用戶名，使用起來很不方便。因此需制定統一的用戶帳號命名規則，所有用戶按照該規則生成統一身份標識，方便應用的管理和用戶的日常使用。

2、用戶統一管理的需求。應用系統的用戶管理由各系統獨立完成，沒有較為完整的用戶基本信息庫，缺少統一的用戶身份管理系統支撐。因此需對現有各系統的用戶身份信息以HR為基準進行梳理整合，構建統一的、完整的油田信息系統用戶身份信息庫，對用戶身份進行集中統一管理。……