統(tǒng)一身份管理平臺在集團化醫(yī)藥企業(yè)中的規(guī)劃與應(yīng)用

邵揚 陳慶民

[摘? ? 要] 隨著集團化企業(yè)信息化建設(shè)的持續(xù)推進，應(yīng)用系統(tǒng)數(shù)量日益增多，但缺乏統(tǒng)一規(guī)劃和管理，在用戶身份管理方面尤為突出，使得用戶信息缺失、不統(tǒng)一、更新不及時。企業(yè)統(tǒng)一身份管理平臺基于4A（統(tǒng)一用戶、統(tǒng)一認證、統(tǒng)一鑒權(quán)、統(tǒng)一審計）管理模式，能有效地改善和解決該問題，為企業(yè)提供用戶身份全生命周期管理，實現(xiàn)信息系統(tǒng)單點登錄，提高訪問安全等級，合理分配企業(yè)資源，也為企業(yè)門戶建設(shè)提供支撐和保障。

[關(guān)鍵詞] 統(tǒng)一身份;統(tǒng)一認證;集團化企業(yè)

1? ? ? 背? 景

上海醫(yī)藥集團股份有限公司是在滬港兩地上市的大型醫(yī)藥產(chǎn)業(yè)集團，公司主營業(yè)務(wù)覆蓋醫(yī)藥工業(yè)、分銷與零售，下屬單位有幾百家企業(yè)，員工總?cè)藬?shù)超過5萬人。隨著集團信息化建設(shè)的發(fā)展，各項業(yè)務(wù)對信息系統(tǒng)的依賴性逐漸增強，信息系統(tǒng)的數(shù)量不斷增加，用戶數(shù)量快速增長，用戶管理存在的安全和效率等問題越發(fā)突出。諸如：系統(tǒng)多，入口多，用戶訪問多個系統(tǒng)需要多次登錄，需要記住多套賬號及密碼;用戶身份信息分散于各個系統(tǒng)，各自獨立，形成身份信息孤島;存在遺留、僵尸賬號，離職人員有可能還能訪問系統(tǒng)，存在安全風險;缺少統(tǒng)一的安全審計，無法滿足合規(guī)及審計要求;各系統(tǒng)分別進行手動創(chuàng)建賬號及權(quán)限分配，需要花費大量的人力成本和時間成本，效率低。

上述問題都可以通過建立一個統(tǒng)一集中、完善有效、持續(xù)運作的統(tǒng)一身份管理平臺來有效改善。從用戶角度講，每個用戶只需一個用戶名，一個密碼即可訪問所有其擁有訪問權(quán)限的業(yè)務(wù)系統(tǒng);從管理的角度講，可在同一平臺上實現(xiàn)對用戶的身份全生命周期管理，認證與授權(quán)管理，以及集中審計。實現(xiàn)統(tǒng)一的“大門入口”，每人一把安全的“大門”鑰匙。

2? ? ? 統(tǒng)一身份管理平臺建設(shè)必要性分析

通過對企業(yè)應(yīng)用系統(tǒng)的現(xiàn)狀分析，建設(shè)統(tǒng)一身份管理平臺，實現(xiàn)人員在各應(yīng)用系統(tǒng)中用戶身份的統(tǒng)一管理及統(tǒng)一認證十分重要。其必要性如下。

2.1? ?提高工作效率

通過單點登錄模塊部署，實現(xiàn)一次認證即可登錄全局應(yīng)用，大幅節(jié)省了用戶的時間。

2.2? ?提高運營效率

目前各應(yīng)用的用戶創(chuàng)建與禁用賬號權(quán)限時，都是通過手動操作，這些手動操作會直接浪費巨大的人力成本和時間成本。為了提高運營效率，需要對賬號的生命周期進行自動化管理。

2.3? ?避免安全后門

當用戶權(quán)限需要變更或離職回收時，手動逐個操作容易造成不當操作，從而產(chǎn)生安全后門隱患，如遺漏賬號、違規(guī)私建賬號、賬號數(shù)據(jù)誤刪除等。需要通過技術(shù)手段，盡量避免這些安全后門。

2.4? ?對訪問行為進行控制和審計

當前信息安全事故頻發(fā)，安全風險不僅僅來自物理環(huán)境和網(wǎng)絡(luò)環(huán)境，更多來源于應(yīng)用系統(tǒng)以及不同人員訪問系統(tǒng)行為控制的缺失。我們需要做到對用戶訪問行為進行有效的事前預(yù)警、事中訪問控制、事后責任追溯審計，合理控制“什么人”在“什么時間”有權(quán)進入“哪些系統(tǒng)”，并實現(xiàn)集中可視化管理。

2.5? ?政策監(jiān)管要求

《GB/T 25070-2019? 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》中明確規(guī)定，在用戶身份鑒別時應(yīng)支持用戶標識和用戶鑒別。在每一個用戶注冊到系統(tǒng)時，采用用戶名和用戶標識符標識用戶身份，并確保在系統(tǒng)整個生存周期用戶標識的唯一性。在每次用戶登錄系統(tǒng)時，采用受控的口令或具有相應(yīng)安全強度的其他機制進行用戶身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護。

總之，通過建設(shè)統(tǒng)一身份管理平臺，可以提高員工和系統(tǒng)管理用戶的工作效率，提升系統(tǒng)的安全性;在應(yīng)用系統(tǒng)繁多和相關(guān)賬號數(shù)量繁多、各系統(tǒng)安全級別存在差異化的情況下，通過建設(shè)統(tǒng)一身份管理平臺，可實現(xiàn)一點合規(guī)即全局合規(guī)的目標。

3? ? ? 平臺建設(shè)總體目標

建立全集團用戶身份管理體系標準，實現(xiàn)用戶的全生命周期管理;建立全集團應(yīng)用的統(tǒng)一訪問入口，實現(xiàn)用戶方便快捷的應(yīng)用訪問;建立多安全級別的認證系統(tǒng)，實現(xiàn)用戶訪問應(yīng)用的安全保障;建立完善的審計體系，實現(xiàn)以用戶為基點的應(yīng)用訪問審計。

4? ? ? 平臺建設(shè)方案落地

統(tǒng)一身份管理平臺的核心是通過建立一個集中的統(tǒng)一訪問控制和用戶身份管理平臺，實現(xiàn)用戶的統(tǒng)一認證入口和應(yīng)用系統(tǒng)基于標準化管理流程的用戶賬戶與訪問控制的統(tǒng)一管理，并制定一套相應(yīng)的技術(shù)管理接口規(guī)范，為將來集團業(yè)務(wù)進一步壯大、新增應(yīng)用系統(tǒng)的建設(shè)提供統(tǒng)一的標準，為提升信息化管理水平與完善風險管控機制提供必要的基礎(chǔ)與保障。因此，我們對統(tǒng)一身份管理平臺的建設(shè)規(guī)劃了如下方案。

4.1? ?制度與規(guī)范建設(shè)

為了規(guī)范應(yīng)用的接入流程，增強平臺的易用性與安全性，同時降低運維和管理的成本，我們編制了與統(tǒng)一身份安全管理平臺對應(yīng)的“應(yīng)用接入和集成規(guī)范”“用戶賬號管理制度”和“系統(tǒng)運維管理制度”等相關(guān)制度及規(guī)范。

4.2? ?架構(gòu)部署

為滿足集團多層級管理要求，我們采用分級部署架構(gòu)（如圖1所示）。在集團總部建設(shè)統(tǒng)一身份管理平臺，在IT建設(shè)相對成熟、擁有應(yīng)用系統(tǒng)較多的下屬單位，建設(shè)統(tǒng)一身份管理子平臺;對于應(yīng)用系統(tǒng)較少的下屬單位，可直接將應(yīng)用系統(tǒng)接入集團總部平臺。集團總部平臺與下屬單位子平臺通過“聯(lián)邦認證”的機制，實現(xiàn)與下屬單位的身份認證及單點登錄。

4.3? ?實現(xiàn)用戶賬號生命周期管理

實現(xiàn)統(tǒng)一管理應(yīng)用系統(tǒng)的用戶賬戶，包括內(nèi)部員工、其他用戶等用戶類型，建立集中用戶身份信息庫。通過和人力資源管理系統(tǒng)（e-HR）對接，當在人力資源管理系統(tǒng)（e-HR）進行員工入職、調(diào)崗、離職等人事事件操作時候，平臺將會對用戶名下的應(yīng)用訪問權(quán)限進行相應(yīng)的自動化安全控制，例如：新增賬號、調(diào)整崗位、禁用或刪除賬號等。實現(xiàn)用戶管理的審計功能，提供用戶創(chuàng)建、用戶修改、用戶刪除、用戶口令修改、用戶賬號狀態(tài)變更、各類應(yīng)用賬號的統(tǒng)計、各類操作的統(tǒng)計等審計報告。人員入職、離職流程分別如圖2、圖3所示。

4.4? ?實現(xiàn)針對應(yīng)用系統(tǒng)的訪問控制

通過對人員、信息、流程、應(yīng)用系統(tǒng)、移動端應(yīng)用接入的全面整合，打通各業(yè)務(wù)系統(tǒng)，整合系統(tǒng)資源，為全集團提供一個統(tǒng)一業(yè)務(wù)及移動應(yīng)用接入的管理平臺，為員工基于PC端及移動端提供一個綜合業(yè)務(wù)辦公的統(tǒng)一入口。集中展示用戶所擁有訪問權(quán)限，控制系統(tǒng)鏈接及重要信息鏈接;按照事先設(shè)置的策略，實現(xiàn)應(yīng)用系統(tǒng)訪問控制功能。搭建認證及單點登錄平臺，實現(xiàn)人力資源管理系統(tǒng)、OA系統(tǒng)、郵箱系統(tǒng)、財務(wù)管理系統(tǒng)等系統(tǒng)之間安全的單點登錄與登出。

4.5? ?建立多層級安全級別的認證系統(tǒng)

平臺具備多種安全級別的認證方式，例如靜態(tài)口令、動態(tài)令牌、短信驗證碼、二維碼掃描、手勢、指紋等，同時平臺還應(yīng)提供擴展能力，以備未來在認證方式和安全手段上的補充和靈活擴展，例如人臉識別、聲紋或者虹膜等生物特質(zhì)手段。根據(jù)系統(tǒng)的安全級別使用不同的認證手段對用戶進行身份驗證，支持“多因素認證”，支持在訪問中隨著應(yīng)用安全等級的上升進行多級認證。同時做到對用戶訪問行為進行有效的事前預(yù)警、事中訪問控制、事后責任追溯審計，合理控制“什么人”在“什么時間”有權(quán)進入“哪些系統(tǒng)”，并實現(xiàn)集中可視化管理。譬如：發(fā)現(xiàn)用戶賬號在非常用時間段（或非常用登錄地點、非常用機器）登錄系統(tǒng)，則進行增強認證或發(fā)短信提醒等。

4.6? ?建立完善的審計體系

平臺對用戶的應(yīng)用訪問權(quán)限進行集中管理，同時對用戶的認證及用戶的應(yīng)用訪問情況進行記錄和審計，以此幫助管理人員快速了解集團應(yīng)用體系的用戶訪問和使用情況，杜絕安全風險。

5? ? ? 結(jié)? ? 語

上海醫(yī)藥集團股份有限公司統(tǒng)一身份管理平臺已經(jīng)接入15套系統(tǒng)，管理員工5萬多人。下屬單位上藥控股有限公司正在進行子平臺建設(shè)，一期計劃接入25套系統(tǒng)。本系統(tǒng)的建設(shè)打通了信息孤島，實現(xiàn)對OA系統(tǒng)、集團郵件系統(tǒng)、人力資源系統(tǒng)等應(yīng)用系統(tǒng)的賬號、認證、授權(quán)和用戶行為審計的統(tǒng)一入口管理，以達到“統(tǒng)一身份、集中管理、簡化應(yīng)用、保障安全”的目的，打破各系統(tǒng)獨自進行認證和賬號管理的格局，建立統(tǒng)一的認證和賬號權(quán)限管理體系。

主要參考文獻

[1]國家質(zhì)量監(jiān)督檢驗檢疫總局.信息安全技術(shù)? 信息系統(tǒng)安全等級保護基本要求（GB/T 22239-2008）[S].2008.