辽宁红沿河核电有限公司 辽宁大连 116000
摘要:在当今信息化社会,国家、机构、组织、企业之间的生产、消费和信息交流,都离不开计算机网络和信息系统,不同的企业和组织为了加强管理及时获取信息,纷纷建立了各种计算机信息系统以满足日益激烈的市场竞争的需要。而在信息系统中,首要解决的就是用户授权管理,以及控制用户对资源的访问,不同的系统往往都构建有自己的认证授权等方面的控制,但对于一个具有多重应用系统的组织机构来说,重复建设无疑是巨大的资源浪费。基于此,可以在这些业务应用系统的基础上,构建一个和各业务应用系统耦合度较小的统一认证授权控制平台。实现统一的安全认证、资源的授权。无疑是一个很有价值的开发尝试。
关键词:核电企业 建设管理 平台
1背景
目前在国际上,已经有一些比较成熟的通用认证授权管理平台及相关的安全产品,国内在近些年也有巨大的发展,国家973计划里也把实现跨域跨机构、可移植、可信任和可扩展的认证授权与审计平台作为一个重点基础研究发展规划项目。国内一些行业如电信、金融等行业也有相应研究发展,一些高等院校也进行相应的研究。在统一认证授权平台中,认证技术目前己经成熟,但如何在多应用系统中建立一个合理的用户授权策略,实现按权限访问资源,还有待研究与实践。
2意义
在未建立统一身份认证系统前,公司信息系统中的用户授权管理是建立在不同独立的应用系统和独立的应用服务器中,其身份管理信息来自不同的独立数据源,这样的操作模式,对用户信息数据库是一种极大的冗余,在系统操作中也造成极大的繁琐。本成果实现系统统一授权管理平台,是通过建立了一个能够为所有应用系统提供统一身份认证服务的平台,避免在多个用户信息数据库之间的更新与同步操作,并按照对公司内部不同的部门和用户组进行控制并按照授权的原则,通过认证和授权,同步安全策略的实施,使每一处数据存储点都具有依照其特有的用户条目组织方式、安全性策略开展方式和访问权限控制调整方式。这样,通过实施统一身份认证平台系统后,公司的应用系统不再需要各自独立开发的用户授权模块,实现开发成本的极大降低。因此,作为一个独立于应用之外的统一授权平台,满足了我们能所说的通常意义上的统一身份认证,同时也为解决整体机构中局部机构的特殊需求提供了解决方案。
统一身份认证平台系统实施后通过统一的管理身份信息,将原先复杂环境增加了系统管理和安全管理的难度完全规避。设置了统一的用户口令,实现了单点登录技术,避免了以往口令被泄漏或无法检测的弱口令的缺憾,加强了各类相关文档的安全管理,明确了登录口令管理要求,并在技术上予以保证。平台实施后,通过集中后评估用户行为,采取强制措施,制定了用户口令强制定期维护更新的安全策略,彻底添堵了信息系统安全威胁漏洞,改善了信息系统风险,提高了系统抵抗威胁问题的防御力,改善了系统风险依存度。
同时,用户的集中化管理将各个不同的网络设备、主机系统及应用系统中用户安全管理问题抽取出来,采用统一的平台与策略,在实践中,确实简化用户管理的难度,提高管理效率,增强信息系统的安全性。同时在统一授权管理平台的建设中将 WEB 技术与企业的实际业务紧密衔接起来,可以在信息门户上使公司内部员工、外部访问者、合作伙伴等进行资源共享,这样也可以在统一安全的信息门户中进行企业与企业间的业务合作、企业与员工间的任务传递,员工与员工间的数据共享,即有效的资源归属最需要的员工、部门、外部企业参与者。
这次平台建设与实践的意义在于,通过用户的集中化管理将各个不同的网络设备、主机系统及应用系统中用户安全管理问题抽取出来,采用统一的平台与策略,简化用户管理的难度,提高管理效率,增强信息系统的安全性。
3.目标
3.1统一授权管理
以用户ID为主体进行管理,多个应用系统的用户管理只有一个管理入口,而一个管理入口背后有一个核心用户数据源支持;在理想情况下,所有应用系统的访问主体皆为统一认证授权管理下的用户;应用系统不保留任何主体信息,只保留应用数据。
3.2统一认证
各应用系统只有一个权威的认证中心来进行应用系统访问主体的鉴别;在统一用户管理的基础上,对用户身份进行确认。
3.3统一访问控制
各应用系统只有一个权威的访问控制中心来进行权限的分配和鉴别;在统一用户管理、统一认证的基础上,对用户访问的资源进行控制;统一认证授权平台以角色为基本单位进行管理,使角色与用户之间建立关联,这样角色是独立于系统存在,可以跨系统实现管理。
3.4实现单点登录功能
用户可以具有多种角色,当用户登录系统之后,可以按照用户角色所授予的权限访问相应的资源和应用系统,在访问各不同的资源和系统时,不必再重复进行认证、授权。
4.成果介绍
4.1基于RBAC(Role Based Access Control)的权限配置管理
系统基于RBAC模型进行设计,利用角色来控制人员与功能逻辑分享,简化了各种环境下的权限管理。其包括3个实体,分别为用户、角色和权限,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。
权限管理系统服务器提供集中管理权限的服务,负责提供用户的鉴别、用户信息、用户组信息,以及权限关系表的计算,系统根据用户、用户组、角色、操作、访问方式和资源对象之间的关联关系,同时考虑权限的正负向授予,计算出用户的最小权限。
用户进行系统访问的过程可分为身份验证、权限获取和权限访问三个阶段,在验证阶段,通过集成WINDOWS系统AD域信息,通过AD域身份验证后,获取员工号信息。权限获取阶段,根据员工号信息读取员工账号授权和员工所在部门的授权,取两个授权的合集,获得此用户在该系统中所具备的授权信息。在权限访问阶段,通过创建权限会话,加载此用户的功能画面。
4.2与各个子系统通过WEB SERVICE和DLL组件接口
系统提供两种接口方式,即WEB SERVICE和DLL组件,通过WEB SERVICE进行权限查询与授权,通过DLL组件进行权限验证。
通过WEB SERVICE与子系统进行接口,子系统接口须遵从既定规范,通过系统接口获取子系统角色、用户和部门授权等信息,并实现权限修改等功能。对于接入统一授权系统进行权限管理的子系统,均须按照接口规范,编制系统接口,系统接口遵从松散耦合的原则,保证系统独立的同时,也实现了数据互连互通。在权限验证环节,接入的子系统须引用统一授权管理系统提供的DLL文件,对于新开发的业务子系统,系统提供经过封装的DLL组件,供新系统调用,开发人员可直接调用接口获取权限数据,领域在组件中单独实现,保持组件的独立性。
结语
对于在统一授权管理系统上线前已经投入使用的系统,须将数据迁移到新授权系统,然后替换新的组件,并进行小量代码修改。如果无统一授权处理的系统,则通过适配器模式改造旧授权组件。子系统不用修改代码直接引用DLL组件即可。