基于統(tǒng)一身份管理的企業(yè)安全體系架構(gòu)的設(shè)計(jì)和實(shí)現(xiàn)

◆白 濤

(中國(guó)移動(dòng)通信集團(tuán)陜西有限公司 陜西 710077)

基于統(tǒng)一身份管理的企業(yè)安全體系架構(gòu)的設(shè)計(jì)和實(shí)現(xiàn)

◆白 濤

(中國(guó)移動(dòng)通信集團(tuán)陜西有限公司 陜西 710077)

近些年來(lái)，我國(guó)經(jīng)濟(jì)社會(huì)發(fā)展日新月異。作為國(guó)家經(jīng)濟(jì)的主要承載體，各種企業(yè)的發(fā)展向著更集約化、信息化、科學(xué)化的方向發(fā)展。這一發(fā)展趨勢(shì)在我國(guó)國(guó)內(nèi)乃至世界范圍內(nèi)也已經(jīng)成為主流。對(duì)于企業(yè)來(lái)說(shuō)，在發(fā)展過(guò)程中，合理地利用現(xiàn)代化管理系統(tǒng)和技術(shù)，以提升企業(yè)的管理水平、綜合運(yùn)營(yíng)水平、信息安全水平，是未來(lái)企業(yè)發(fā)展的必然方向。計(jì)算機(jī)的快速發(fā)展給企業(yè)辦公和管理提供便捷和高效，但是各種安全問(wèn)題依然層出不窮。本文以各種IT辦公工具的主要使用和操作者為入口，針對(duì)企業(yè)員工構(gòu)建員工信息管理數(shù)據(jù)庫(kù)和身份證認(rèn)證系統(tǒng)，借助于此將企業(yè)運(yùn)營(yíng)中各類安全系統(tǒng)有機(jī)結(jié)合起來(lái)，從而加強(qiáng)企業(yè)安全體系構(gòu)架，方便統(tǒng)一管理，也可以有效地降低成本并提升企業(yè)整體的運(yùn)作水平。對(duì)于目前國(guó)內(nèi)企業(yè)基于統(tǒng)一身份管理的企業(yè)安全體系架構(gòu)的設(shè)計(jì)和實(shí)現(xiàn)有一定的參考價(jià)值。

企業(yè)安全體系架構(gòu)；統(tǒng)一身份管理；信息安全管理

0 引言

二十一世紀(jì)以來(lái)，全球范圍內(nèi)信息技術(shù)和通信行業(yè)的飛速發(fā)展，現(xiàn)代化企業(yè)對(duì)于企業(yè)IT基礎(chǔ)構(gòu)架的建設(shè)的依賴性越來(lái)越強(qiáng)。尤其是在一些國(guó)際公司或者國(guó)內(nèi)的大型公司，企業(yè)本身安全體系的架構(gòu)建設(shè)已經(jīng)成為必然趨勢(shì)。本文作者結(jié)合企業(yè)實(shí)際，分析并探討了當(dāng)下企業(yè)基于統(tǒng)一身份管理的安全體系架構(gòu)的設(shè)計(jì)和實(shí)現(xiàn)，對(duì)于實(shí)際工作中的問(wèn)題進(jìn)行分析，對(duì)于目前國(guó)內(nèi)企業(yè)統(tǒng)一身份證安全體系構(gòu)架的設(shè)計(jì)部署有積極的參考價(jià)值。

1 企業(yè)統(tǒng)一身份管理的安全體系架構(gòu)設(shè)計(jì)

1.1 體系構(gòu)架設(shè)計(jì)

企業(yè)統(tǒng)一身份管理的安全體系構(gòu)架設(shè)計(jì)是建立在企業(yè)功用需求基礎(chǔ)之上的，不能盲目套用，更不能不切實(shí)際。因此在架構(gòu)設(shè)計(jì)的過(guò)程中應(yīng)該遵循以下準(zhǔn)則和標(biāo)準(zhǔn)：

（1）必要性準(zhǔn)則：企業(yè)統(tǒng)一身份管理安全體系對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)有著加強(qiáng)管理，提高運(yùn)作效率的積極作用，但也不能一概而定。目前國(guó)內(nèi)企業(yè)數(shù)量眾多，企業(yè)體制和實(shí)際的運(yùn)營(yíng)狀況復(fù)雜，在該體系的選擇之上，也應(yīng)該結(jié)合實(shí)際。

（2）適用性準(zhǔn)則：企業(yè)統(tǒng)一身份管理安全體系的構(gòu)建一定要緊跟企業(yè)實(shí)際去設(shè)計(jì)。目前國(guó)內(nèi)該系統(tǒng)的使用企業(yè)很多，但是又不盡相同。這就是因?yàn)椴煌钠髽I(yè)在本身的企業(yè)架構(gòu)設(shè)計(jì)上、管理組織設(shè)置上、企業(yè)運(yùn)營(yíng)部門(mén)設(shè)置上都存在差異。因此在企業(yè)統(tǒng)一身份管理安全體系的構(gòu)建之上，一定要緊跟企業(yè)實(shí)際情況來(lái)設(shè)計(jì)構(gòu)建，保證系統(tǒng)在企業(yè)的良好適用性，發(fā)揮其應(yīng)有的效果。

（3）擴(kuò)展性原則：雖然企業(yè)統(tǒng)一身份管理安全體系的構(gòu)建是按照當(dāng)前情況為主而選擇設(shè)計(jì)的，但是也應(yīng)該綜合考慮到企業(yè)今后的發(fā)展規(guī)劃，將其納入到選擇設(shè)計(jì)對(duì)照指標(biāo)當(dāng)中。這樣才能兼顧全局，也不至于在使用過(guò)程中因?yàn)楸旧砉镜臄U(kuò)大發(fā)展而更換系統(tǒng)。也能有效地降低成本，發(fā)揮該系統(tǒng)的作用。

1.2 統(tǒng)一身份管理系統(tǒng)的實(shí)現(xiàn)

為了有效直觀地闡述身份統(tǒng)一管理系統(tǒng)結(jié)構(gòu)建設(shè)，本文特選取國(guó)內(nèi)某知名企業(yè)為例，方便研究分析。

（1）系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

結(jié)合該企業(yè)的管理體系和管理邊界需求，設(shè)計(jì)出統(tǒng)一身份管理系統(tǒng)的層次架構(gòu)，如圖1所示。根據(jù)實(shí)際的需求，建立子域名以及管理框架圖。

（2）信息儲(chǔ)存

統(tǒng)一身份管理系統(tǒng)數(shù)據(jù)存儲(chǔ)一般是上傳存放在域控制器的服務(wù)器上。可以方便管理員和授權(quán)用戶隨時(shí)隨地獲取管理體系統(tǒng)數(shù)據(jù)。一般情況下所存儲(chǔ)的數(shù)據(jù)信息可簡(jiǎn)單分類為以下三種：第一種：基礎(chǔ)配置數(shù)據(jù)，包括統(tǒng)一身份管理系統(tǒng)數(shù)據(jù)拓?fù)浣Y(jié)構(gòu)等基礎(chǔ)數(shù)據(jù)信息；第二種：架構(gòu)數(shù)據(jù)，架構(gòu)數(shù)據(jù)指的是數(shù)據(jù)庫(kù)中所有目標(biāo)對(duì)象及其屬性的信息，常見(jiàn)的包括計(jì)算機(jī)賬戶、用戶、安全管理等；第三種：域數(shù)據(jù)，指的是域中目標(biāo)有關(guān)信息。

圖1 統(tǒng)一身份管理系統(tǒng)的層次架構(gòu)

（3）信息同步

統(tǒng)一身份管理系統(tǒng)中信息同步指的是將上面存儲(chǔ)的信息，包括域信息、基礎(chǔ)配置信息、應(yīng)用程序信息、架構(gòu)信息等利用技術(shù)手段實(shí)現(xiàn)數(shù)據(jù)同步的功能。一般的同步系統(tǒng)有的是在特定的計(jì)算機(jī)上實(shí)現(xiàn)更新的，有的是在系統(tǒng)內(nèi)的任何計(jì)算機(jī)設(shè)備上都可以實(shí)現(xiàn)更新的。相對(duì)來(lái)說(shuō)，第二種使用的更為廣泛。因?yàn)楸容^來(lái)說(shuō)，在系統(tǒng)內(nèi)的任何設(shè)備上都能實(shí)現(xiàn)更新的系統(tǒng)在可用性、容錯(cuò)力上更加優(yōu)秀。即使某臺(tái)設(shè)備出現(xiàn)問(wèn)題，也不會(huì)影響到更新工作的進(jìn)行。

（4）網(wǎng)絡(luò)發(fā)現(xiàn)

客戶端感知發(fā)現(xiàn)統(tǒng)一身份管理系統(tǒng)的過(guò)程我們稱之為網(wǎng)絡(luò)發(fā)現(xiàn)。目前市面上所采用的系統(tǒng)都是默認(rèn)直接加域，并且感知到該系統(tǒng)的。

（5）身份認(rèn)證的實(shí)現(xiàn)

第一步：使用者或者操作者登入系統(tǒng)的時(shí)候，系統(tǒng)會(huì)將用戶設(shè)置的密碼利用單向函數(shù)加密，獲得長(zhǎng)期的安全秘鑰。并將安全秘鑰傳輸?shù)接蚩刂破鳌?/p>

第二步：校對(duì)過(guò)程，接收到轉(zhuǎn)化為安全密鑰的用戶密碼信息之后，系統(tǒng)將之前錄入并存儲(chǔ)的客戶信息進(jìn)行比較校驗(yàn)。

第三布：信息反饋，系統(tǒng)校驗(yàn)過(guò)程完成之后，會(huì)反饋向客戶端會(huì)話秘鑰包括票據(jù)。該票據(jù)具有一定的實(shí)效性，如果票據(jù)到期，那么就需要客戶重新請(qǐng)求數(shù)據(jù)進(jìn)行訪問(wèn)和操作了。

（6）安全系統(tǒng)

容錯(cuò)性：該系統(tǒng)在設(shè)計(jì)的時(shí)候就全面考慮到容錯(cuò)性的問(wèn)題，并不是采用單一的控制服務(wù)器，一般是擁有多臺(tái)控制服務(wù)器來(lái)工作的，這樣即使出現(xiàn)控制器損壞和故障的情況也不會(huì)影響系統(tǒng)的正常運(yùn)行和使用。

災(zāi)難恢復(fù)：災(zāi)難恢復(fù)對(duì)于保護(hù)系統(tǒng)數(shù)據(jù)安全有非常重要的作用。一般情形的災(zāi)難恢復(fù)包括以下幾種情形：

1.復(fù)制還原：該系統(tǒng)在應(yīng)對(duì)災(zāi)難的時(shí)候具有較強(qiáng)的恢復(fù)性，災(zāi)難發(fā)生后，即使只有一臺(tái)控制服務(wù)器是正常的，都可以通過(guò)復(fù)制和還原系統(tǒng)恢復(fù)到當(dāng)前狀態(tài)。

2.強(qiáng)制性還原：該系統(tǒng)的還原裝置還可以直接鎖定到之前的某一時(shí)間坐標(biāo)進(jìn)行還原，可以將系統(tǒng)數(shù)據(jù)和狀態(tài)還原到該時(shí)間坐標(biāo)下的狀態(tài)。

（7）KPI

企業(yè)統(tǒng)一身份管理系統(tǒng)的強(qiáng)大功能也可以幫助企業(yè)建立自己的KPI數(shù)據(jù)考核機(jī)制。

2 終端部署實(shí)施步驟

在統(tǒng)一身份管理系統(tǒng)中終端部署一般分以下幾個(gè)步驟進(jìn)行：

第一：準(zhǔn)備階段，包括針對(duì)用戶進(jìn)行培訓(xùn)、終端部署環(huán)境測(cè)試、賬號(hào)信息通知發(fā)放等；第二：更新階段，對(duì)于操作系統(tǒng)和軟件進(jìn)行系統(tǒng)更新升級(jí)；第三：終端入系統(tǒng)，該階段進(jìn)行系統(tǒng)配置修改和終端加入系統(tǒng)的過(guò)程。

（1）創(chuàng)建賬號(hào)：結(jié)合系統(tǒng)與公司實(shí)際的管理需求創(chuàng)建用戶賬戶信息。針對(duì)不同員工屬性進(jìn)行區(qū)分，比如在某些企業(yè)是有正式員工和非正式員工的區(qū)分，在建立的時(shí)候就需要區(qū)分。創(chuàng)建成功的賬號(hào)需要及時(shí)通知到員工本人。

（2）測(cè)試環(huán)境：確保正式的工作能夠順利進(jìn)行，必須在實(shí)際應(yīng)用之前對(duì)機(jī)器進(jìn)行全面測(cè)試，包括：網(wǎng)絡(luò)、兼容性、系統(tǒng)版本測(cè)試等。

（3）使用培訓(xùn)

組織員工進(jìn)行系統(tǒng)操作的學(xué)習(xí)，包括視頻學(xué)習(xí)、資料文件學(xué)習(xí)、實(shí)際操作培訓(xùn)學(xué)習(xí)等，確保對(duì)機(jī)器的安全合理使用，提升個(gè)人工作效率。

（4）終端設(shè)備信息采集

確保系統(tǒng)的順利安裝和使用，需要提前對(duì)使用的終端設(shè)備進(jìn)行數(shù)據(jù)采集，方便后面工作的開(kāi)展。

（5）數(shù)據(jù)備份

有的終端系統(tǒng)不需要安裝或者升級(jí)操作系統(tǒng)的，不需要進(jìn)行數(shù)據(jù)備份。

針對(duì)需要進(jìn)行系統(tǒng)升級(jí)或者重新安裝的終端，需要進(jìn)行用戶數(shù)據(jù)備份。一般情況下可以采用一些備份或者數(shù)據(jù)遷移工具來(lái)快速安全的實(shí)現(xiàn)。

（6）系統(tǒng)安裝、更新

安裝過(guò)程一定要符合系統(tǒng)部署的統(tǒng)一標(biāo)準(zhǔn)，不得擅自應(yīng)用不符合標(biāo)準(zhǔn)的系統(tǒng)或者軟件。

3 結(jié)束語(yǔ)

統(tǒng)一身份管理系統(tǒng)的架構(gòu)和實(shí)現(xiàn)對(duì)于企業(yè)實(shí)際的運(yùn)營(yíng)效率、運(yùn)作水平都有很大的提升和改變。但是伴隨人類信息技術(shù)的發(fā)展、企業(yè)運(yùn)作需求的發(fā)展，該系統(tǒng)還需要不斷地革新和進(jìn)步。這就需要廣大的研究人員積極探索和創(chuàng)新了。

[1]李佳臨.基于云國(guó)家的統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].國(guó)土資源信息化，2016.

[2]陳茂流.基于 NFC 的統(tǒng)一校園身份管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].上海交通大學(xué)，2015.

[3]徐猛.基于KPI技術(shù)的企業(yè)統(tǒng)一安全認(rèn)證平臺(tái)的設(shè)計(jì)與開(kāi)發(fā)[J].北京工業(yè)大學(xué)，2015.