论文部分内容阅读
[摘 要]国网公司推广统一权限平台,即将身份授权工作整合到一个系统中使用,称为单轨使用。这样做不仅可以提高应用安全性,统一操作体验,提高授权效率,还可以为企业提供其他增值服务。本文根据安徽省电力公司实施统一权限平台的实际项目经验,总结出导致身份授权无法单轨使用的几大问题,并针对这些问题从管理层面和技术层面提出解决措施。
[关键词]身份授权;应用安全;统一权限
doi:10.3969/j.issn.1673-0194.2015.08.079
[中图分类号]TP393.18 [文献标识码]A [文章编号]1673-0194(2015)08-0103-01
1 影响单轨使用的主要问题
通过对各个省市公司调研,发现影响单轨使用的主要问题有三点。
1.1 存在系统自建账号
SG186工程的目录服务实施以后,理论上所有使用国网信息系统的账号都应该被录入到目录服务中,但是由于账号更新频繁、未入人资系统人员等原因,导致统一身份的管理工作并没有被彻底贯彻,未得到长期执行。
1.2 业务系统升级后造成资源和权限定义数据的不一致
统一权限平台实现了统一身份授权,并将业务系统的资源数据管理起来,这样的权限定义工作也应该在统一权限平台进行。但在现有业务系统没有集成以前,资源数据和权限定义工作是在有功能更新升级时采用数据脚本的方式一并导入,该方式目前并未得到改变,导致账号权限资源和权限定义数据不一致。
1.3 数据同步方式产生的数据差异性
现有系统的集成均采用同步适配器的方式进行,统一权限平台推送权限数据给业务应用,业务应用将权限数据转换到系统当中。这样双方都参与到转义和数据交换过程,数据交换最终结果是否成功,对管理员来讲是不可见的。
2 解决账号不一致问题
解决账号不一致的管理手段关键在于账号维护,从系统厂商回收账号管理权限,使统一权限平台成为账号维护的唯一工具。实施技术手段上,主要采取将要求业务系统修改账号与目录保持一致的措施,同时配合目录补录和账号通知的手段作为辅助。信通公司召集相关应用厂商、目录厂商告知执行关于决定进行统一身份单轨使用的行动计划,具体实施流程如下。
业务系统厂商确认业务系统中账号未与重要业务数据(如操作票、发票单据、合同等)绑定,即认为具备修改条件。从以往实施经验来看,除邮件系统账号具有自身特殊性以外,几乎没有将系统账号与业务数据绑定的系统设计。确认后并出具修改账号名的SQL脚本,确保修改后不影响业务操作,导出业务系统账号交目录厂商初步匹配。
目录厂商通过数据库SQL语句,分单位进行应用账号与目录账号匹配清洗,排查出姓名重复的人员名单。可能会出现姓名重名、公共账号、系统管理员账号及一人多账号等几种匹配不上的情况。根据各单位统一身份程度不同,这类账号会占系统总账号2%~10%。
信通公司原则上应对公共账号、系统管理员账号和一人多账号进行回收处理,并通过权限分配的方式解决该问题。对姓名重复的账号发回该单位确认,汇总结果,交应用厂商编制更改账号名的批量SQL脚本,目录厂商编制批量补录脚本。完成后由信通公司告知各单位账号变更执行时间,要求各单位通知用户采用统一账号名登陆系统。最后,按照信通公司的操作流程和要求,在业务系统端执行更改账号名的批量SQL脚本和目录厂商编制批量补录的脚本,并将所有账号重建关联。
3 解决资源和权限定义不一致
解决资源和权限不一致问题,在管理上应抓业务系统的上线和升级的过程,要求应用厂商系统上线升级包中不能包含对资源和权限定义的脚本,而是替换成统一权限平台提供的权限数据增量导入模板。在实施中主要采取全量覆盖初始化和增量导入的技术手段。信通公司召集相关应用、权限厂商告知执行统一权限单轨使用的行动计划,具体实施流程如下。
全量覆盖执行,应用厂商导出现有系统资源和权限定义数据至统一权限平台数据导入模板。权限厂商使用数据导入工具进行检查,检查结果可能存在业务组织上级依赖关系缺失、菜单资源上级依赖关系缺失、功能和菜单依赖关系缺失、存在权限关系而没有角色、组织角色存在而没有业务角色、组织角色存在而没有业务组织,业务组织ID缺失等情况。一般出现这种情况的原因可能是业务系统中本身存在功能冗余、组织冗余、资源冗余,最后才导致关系丢失。将检查结果交应用厂商确认,确认结果交信通公司做记录备案。应用厂商编制将冗余数据批量删除SQL脚本去除冗余,关系数据补录至统一权限平台数据导入模板中。
增量数据导入,信通公司应要求各业务系统厂商在研发时将权限数据转换成权限数据增量导入模板,该模板应分为资源导入、角色导入、权限分配导入、权限定义导入四个部分,可以拆分也可以合并执行。各系统上线升级时,涉及到权限变更数据,提交信通公司运维人员在统一权限平台中导入。
4 促进统一权限平台的使用
解决身份和权限数据一致的问题后,还要确保统一身份授权使用。管理上应当回收原系统中的权限管理权限,将身份授权工作统一在一个平台。同时在使用过程中对权限厂商不断提出实用化需求,减小运维工作量,例如用户组便捷授权、多用户多角色批量授权、校准授权成功精准度、权限复制等。信通公司可以通过权限平台进一步发挥对系统厂商的管理职能,对信息系统的资源进行管理,同时通过统一身份和权限管理,提升信息部门的服务职能。
5 总 结
本文通过对国网推广统一权限平台无法进行身份授权单轨使用的工程问题的分析,指出其技术上的主要原因,是由于采用同步集成模式造成数据的不一致。因此在大型国网企业中,应该提倡服务的集成模式,后续上线的业务系统应该采用服务模式集成统一权限平台,这样能规避身份和权限的一致性问题,使信息部门更专注于对应用安全、内控分析的管理及服务。
[关键词]身份授权;应用安全;统一权限
doi:10.3969/j.issn.1673-0194.2015.08.079
[中图分类号]TP393.18 [文献标识码]A [文章编号]1673-0194(2015)08-0103-01
1 影响单轨使用的主要问题
通过对各个省市公司调研,发现影响单轨使用的主要问题有三点。
1.1 存在系统自建账号
SG186工程的目录服务实施以后,理论上所有使用国网信息系统的账号都应该被录入到目录服务中,但是由于账号更新频繁、未入人资系统人员等原因,导致统一身份的管理工作并没有被彻底贯彻,未得到长期执行。
1.2 业务系统升级后造成资源和权限定义数据的不一致
统一权限平台实现了统一身份授权,并将业务系统的资源数据管理起来,这样的权限定义工作也应该在统一权限平台进行。但在现有业务系统没有集成以前,资源数据和权限定义工作是在有功能更新升级时采用数据脚本的方式一并导入,该方式目前并未得到改变,导致账号权限资源和权限定义数据不一致。
1.3 数据同步方式产生的数据差异性
现有系统的集成均采用同步适配器的方式进行,统一权限平台推送权限数据给业务应用,业务应用将权限数据转换到系统当中。这样双方都参与到转义和数据交换过程,数据交换最终结果是否成功,对管理员来讲是不可见的。
2 解决账号不一致问题
解决账号不一致的管理手段关键在于账号维护,从系统厂商回收账号管理权限,使统一权限平台成为账号维护的唯一工具。实施技术手段上,主要采取将要求业务系统修改账号与目录保持一致的措施,同时配合目录补录和账号通知的手段作为辅助。信通公司召集相关应用厂商、目录厂商告知执行关于决定进行统一身份单轨使用的行动计划,具体实施流程如下。
业务系统厂商确认业务系统中账号未与重要业务数据(如操作票、发票单据、合同等)绑定,即认为具备修改条件。从以往实施经验来看,除邮件系统账号具有自身特殊性以外,几乎没有将系统账号与业务数据绑定的系统设计。确认后并出具修改账号名的SQL脚本,确保修改后不影响业务操作,导出业务系统账号交目录厂商初步匹配。
目录厂商通过数据库SQL语句,分单位进行应用账号与目录账号匹配清洗,排查出姓名重复的人员名单。可能会出现姓名重名、公共账号、系统管理员账号及一人多账号等几种匹配不上的情况。根据各单位统一身份程度不同,这类账号会占系统总账号2%~10%。
信通公司原则上应对公共账号、系统管理员账号和一人多账号进行回收处理,并通过权限分配的方式解决该问题。对姓名重复的账号发回该单位确认,汇总结果,交应用厂商编制更改账号名的批量SQL脚本,目录厂商编制批量补录脚本。完成后由信通公司告知各单位账号变更执行时间,要求各单位通知用户采用统一账号名登陆系统。最后,按照信通公司的操作流程和要求,在业务系统端执行更改账号名的批量SQL脚本和目录厂商编制批量补录的脚本,并将所有账号重建关联。
3 解决资源和权限定义不一致
解决资源和权限不一致问题,在管理上应抓业务系统的上线和升级的过程,要求应用厂商系统上线升级包中不能包含对资源和权限定义的脚本,而是替换成统一权限平台提供的权限数据增量导入模板。在实施中主要采取全量覆盖初始化和增量导入的技术手段。信通公司召集相关应用、权限厂商告知执行统一权限单轨使用的行动计划,具体实施流程如下。
全量覆盖执行,应用厂商导出现有系统资源和权限定义数据至统一权限平台数据导入模板。权限厂商使用数据导入工具进行检查,检查结果可能存在业务组织上级依赖关系缺失、菜单资源上级依赖关系缺失、功能和菜单依赖关系缺失、存在权限关系而没有角色、组织角色存在而没有业务角色、组织角色存在而没有业务组织,业务组织ID缺失等情况。一般出现这种情况的原因可能是业务系统中本身存在功能冗余、组织冗余、资源冗余,最后才导致关系丢失。将检查结果交应用厂商确认,确认结果交信通公司做记录备案。应用厂商编制将冗余数据批量删除SQL脚本去除冗余,关系数据补录至统一权限平台数据导入模板中。
增量数据导入,信通公司应要求各业务系统厂商在研发时将权限数据转换成权限数据增量导入模板,该模板应分为资源导入、角色导入、权限分配导入、权限定义导入四个部分,可以拆分也可以合并执行。各系统上线升级时,涉及到权限变更数据,提交信通公司运维人员在统一权限平台中导入。
4 促进统一权限平台的使用
解决身份和权限数据一致的问题后,还要确保统一身份授权使用。管理上应当回收原系统中的权限管理权限,将身份授权工作统一在一个平台。同时在使用过程中对权限厂商不断提出实用化需求,减小运维工作量,例如用户组便捷授权、多用户多角色批量授权、校准授权成功精准度、权限复制等。信通公司可以通过权限平台进一步发挥对系统厂商的管理职能,对信息系统的资源进行管理,同时通过统一身份和权限管理,提升信息部门的服务职能。
5 总 结
本文通过对国网推广统一权限平台无法进行身份授权单轨使用的工程问题的分析,指出其技术上的主要原因,是由于采用同步集成模式造成数据的不一致。因此在大型国网企业中,应该提倡服务的集成模式,后续上线的业务系统应该采用服务模式集成统一权限平台,这样能规避身份和权限的一致性问题,使信息部门更专注于对应用安全、内控分析的管理及服务。