網(wǎng)絡(luò )環(huán)境下的域間資源安全共享系統論文

　　關(guān)鍵詞:身份統一管理;訪(fǎng)問(wèn)控制;單點(diǎn)登錄;CA認證

　　摘要:目前煙草行業(yè)已建立的電子商務(wù)、電子政務(wù)和管理決策3大應用體系，缺乏整體規劃，導致應用系統相互獨立，增加了系統使用和管理的復雜度及維護成本。為此，從煙草行業(yè)信息化系統的實(shí)際需求出發(fā)，對建設行業(yè)網(wǎng)絡(luò )環(huán)境下的域間資源共享必要性和可行性進(jìn)行分析，就如何與CA認證體系對接進(jìn)行了探討，提出通過(guò)應用身份統一管理、統一認證和單點(diǎn)登錄的綜合解決方案，實(shí)現行業(yè)多域環(huán)境下的域間資源安全共享，促進(jìn)行業(yè)信息化集成整合，支撐行業(yè)“卷煙上水平”目標任務(wù)。

　　目前煙草行業(yè)中各種信息系統開(kāi)發(fā)迅速，已經(jīng)具備了電子商務(wù)、電子政務(wù)和管理決策等相關(guān)的功能模塊[1-2]。但各個(gè)系統由于開(kāi)發(fā)背景不同，開(kāi)發(fā)的服務(wù)對象目的不同，系統間缺乏對資源的有效整合，難以應對與日俱增的信息安全挑戰，無(wú)法滿(mǎn)足行業(yè)“卷煙上水平”對信息化支撐的要求。研究表明，面向服務(wù)架構的集成應用還嚴格定義在不同系統之間的集成，即系統盡量要在數據庫層面一體化，各系統已成型且難以在數據庫級別一體化的才在面向服務(wù)架構的應用級別進(jìn)行集成，這樣既可減少各系統在集成時(shí)的改造量，也可避免降低各系統的內部效率[3]。為此就CA認證體系對接進(jìn)行探討，提出通過(guò)應用系統身份統一管理、統一認證和單點(diǎn)的身份認證的綜合解決方案，以實(shí)現行業(yè)多域環(huán)境下的域間資源安全共享。

　　1煙草企業(yè)業(yè)務(wù)信息系統存在問(wèn)題

　　1.1系統集成和資源整合

　　目前煙草行業(yè)已建立了電子商務(wù)、電子政務(wù)和管理決策3大應用體系[4]，但各體系應用建設都以解決各業(yè)務(wù)部門(mén)的問(wèn)題為出發(fā)點(diǎn)，缺乏整體規劃，導致應用系統相互獨立，各自都擁有用戶(hù)管理、權限管理，增加了系統使用和管理的復雜度及維護成本。尤其是當用戶(hù)需要同時(shí)訪(fǎng)問(wèn)多個(gè)應用系統時(shí)，在各系統間頻繁地切換，操作復雜，無(wú)法快速獲得相關(guān)應用信息。

　　針對目前行業(yè)信息化建設現狀，首先要解決單一的應用模式問(wèn)題，某個(gè)業(yè)務(wù)部門(mén)從自身管理需要出發(fā)提出的應用系統建設，雖然進(jìn)行了業(yè)務(wù)流程的梳理，管控指標的設定，但往往只是一個(gè)完整流程、管控體系中的一部分，應當站在全局的高度將整個(gè)業(yè)務(wù)流程梳理到底、形成一體化管控體系后再進(jìn)行應用開(kāi)發(fā);其次要解決分散的建設模式問(wèn)題。從行業(yè)來(lái)看，在工商分設、多級法人主體的體制下，信息化分級組織、分散建設具有客觀(guān)性，因此應處理好行業(yè)要求和企業(yè)需求之間的關(guān)系。而在企業(yè)內部，則要處理好業(yè)務(wù)部門(mén)和信息化工作部門(mén)的關(guān)系，切實(shí)做到統一設計、統一實(shí)施、統一管控。只有解決好這兩個(gè)方面問(wèn)題才能促使行業(yè)信息化走向集成整合、信息共享的目標，見(jiàn)圖1。

　　圖1用戶(hù)的應用架構

　　1.2快速登錄和便捷管理

　　企業(yè)信息化建設是一個(gè)持續發(fā)展、不斷完善提高的過(guò)程，尤其是隨著(zhù)管理模式和業(yè)務(wù)流程的不斷變化，應用系統也在不斷變化。因此，為進(jìn)一步提高工作效率，充分發(fā)揮行業(yè)信息化的效能，需提供一個(gè)統一的用戶(hù)管理中心，人員的新增、調離、退休都能在統一的用戶(hù)管理中心進(jìn)行，不需要到各個(gè)應用系統中都操作一遍，降低系統管理員的管理工作量，盡量避免因操作不及時(shí)或不到位等人為因素引起系統安全隱患。

　　1.3身份管理和認證安全

　　信息安全保障工作要貫穿于信息化建設的全過(guò)程，真正做到信息安全工作與信息化建設同步規劃、同步建設、協(xié)調發(fā)展。行業(yè)全面落實(shí)省級CA系統建設，重要應用系統都要逐步實(shí)現數字證書(shū)進(jìn)行身份認證[5]。

　　用戶(hù)在進(jìn)行業(yè)務(wù)操作時(shí)往往需要在不同的應用系統中進(jìn)行登錄，如果每個(gè)系統都對應一個(gè)用戶(hù)賬號和密碼，則用戶(hù)不易于管理，或采取一套簡(jiǎn)單用戶(hù)名和密碼多系統使用，這樣就形成了潛在密碼安全漏洞[6]。而在安全性和系統管理方面，企業(yè)需要大量的IT技術(shù)管理人員，分別管理和維護不同系統(如ERP、OA、財務(wù)、統計分析、人事管理系統等)的用戶(hù)信息，因管理和維護不到位，導致用戶(hù)不能使用應用系統或存在安全隱患，見(jiàn)圖2。

　　2系統設計思路

　　以浙江中煙信息化規劃為指導，結合浙江中煙應用系統存在的不足，從信息化基礎平臺著(zhù)手，首先解決用戶(hù)身份統一管理、統一認證和單點(diǎn)登錄問(wèn)題。根據總體目標任務(wù)，浙江中煙建設的統一用戶(hù)管理系統見(jiàn)圖3。

　　要實(shí)現“一次登錄、多處使用”目標，主要通過(guò):①目錄服務(wù)器，將單位、部門(mén)、工作組、人員、角色、應用系統等信息統一存放，實(shí)現用戶(hù)信息從新增到退休的全生命周期管理。通過(guò)分級授權策略，各下屬單位用戶(hù)信息由各單位管理員負責維護;②訪(fǎng)問(wèn)控制系統，以公司本級目錄服務(wù)器為基礎，實(shí)現企業(yè)內部應用系統的用戶(hù)身份統一認證，用戶(hù)通過(guò)身份認證后，如同拿到“通行證”，在使用有權限的應用系統時(shí)，無(wú)須再輸入用戶(hù)名和密碼，簡(jiǎn)化登錄操作;③身份管理系統，將目錄服務(wù)器中的單位、部門(mén)、工作組、用戶(hù)、角色等與應用系統相對應，通過(guò)同步手段實(shí)現用戶(hù)信息的統一管理，簡(jiǎn)化管理員的'管理工作量，避免因操作不及時(shí)或不到位等因素引起系統安全隱患;④統一用戶(hù)管理系統，實(shí)現與企業(yè)門(mén)戶(hù)平臺的緊密結合，將企業(yè)門(mén)戶(hù)系統作為各應用系統訪(fǎng)問(wèn)入口和單點(diǎn)登錄入口。

　　通過(guò)建設統一用戶(hù)管理系統，結合信息化系統管理制度，可以進(jìn)一步規范和分清信息中心和應用系統負責部門(mén)在應用系統運行過(guò)程中的運維職責，打通各應用系統間的身份管理和身份認證的壁壘，為應用整合奠定基礎。

　　3系統總體設計

　　3.1邏輯架構統一用戶(hù)管理系統包括訪(fǎng)問(wèn)控制系統(Access Man-ager，AM)、身份管理系統(Identity Manager，IDM)和目錄服務(wù)器(Lightweight Directory Access Protocol，LDAP)3部分，見(jiàn)圖4。訪(fǎng)問(wèn)控制系統通過(guò)認證接口與各應用系統進(jìn)行對接，通過(guò)為各應用系統部署代理策略來(lái)保護應用系統的安全;身份管理系統通過(guò)同步接口與各應用系統對接，實(shí)現與各應用系統的用戶(hù)同步(實(shí)時(shí)或定制);目錄服務(wù)器主要存儲用戶(hù)信息，為訪(fǎng)問(wèn)控制器系統和身份管理系統提供信息服務(wù)[7]。

　　3.2物理架構

　　整個(gè)系統設計采用模塊化、集中部署的原則，保證了系統的可擴展性、性能和效率。AM，IDM和LDAP都采用在浙江中煙集中部署的方式，見(jiàn)圖5。以AM系統為中心實(shí)現浙江中煙和兩個(gè)制造部各應用系統的統一認證和單點(diǎn)登錄，考慮到統一認證和單點(diǎn)登錄的使用頻率較高，建議采用雙機均衡負載;以IDM系統為中心，結合分級管理策略實(shí)現各應用系統的用戶(hù)信息管理，考慮到用戶(hù)信息管理工作使用頻率不高，建議將IDM系統與AM一圖6域間資源共享平臺起部署;目錄服務(wù)器(LDAP)負責集中存儲用戶(hù)信息，建議與AM一起部署。

　　由人力管理系統作為用戶(hù)管理源頭，通過(guò)與企業(yè)內部的人力管理系統對接，建立人力管理系統自身接入統一用戶(hù)管理平臺，實(shí)現用戶(hù)統一認證和單點(diǎn)登錄[6];通過(guò)與CA系統對接，為各應用系統提供CA證書(shū)認證[8]，見(jiàn)圖6。

　　4應用效果

　　(1)實(shí)現了統一認證、單點(diǎn)登錄，通過(guò)結合CA認證體系，在加強安全的同時(shí)簡(jiǎn)化了系統認證操作過(guò)程，提高了使用效率。以一個(gè)用戶(hù)每天平均訪(fǎng)問(wèn)3個(gè)應用系統為例，每次登錄平均時(shí)間10s，按上下午各登錄1次計算，則每天登錄操作時(shí)間最少1 min。實(shí)現統一認證、單點(diǎn)登錄后，用戶(hù)每天只需10 s即可完成，且不會(huì )隨著(zhù)訪(fǎng)問(wèn)應用系統數量的增加而增加。

　　(2)實(shí)現了用戶(hù)統一管理，簡(jiǎn)化了用戶(hù)管理過(guò)程，提高了管理效率、及時(shí)性和安全性。用戶(hù)信息基礎屬性包括用戶(hù)ID、姓名、密碼、部門(mén)、辦公電話(huà)、手機號碼、用戶(hù)郵件等，用戶(hù)信息手工輸入一次最少15s，以一個(gè)系統一次新增10個(gè)用戶(hù)為例，完整錄入最少需要2 min，10個(gè)應用系統則最少需要20多分鐘。實(shí)現用戶(hù)統一管理后，用戶(hù)信息錄入最多不超過(guò)3 min，同樣不會(huì )隨著(zhù)應用系統數量的增加而增加。

　　(3)通過(guò)梳理完善管理流程，使浙江中煙3大應用體系的域間基礎數據管理工作權責明晰，流程細化，考核有據可依，并為后續系統集成、資源整合、信息共享奠定基礎。

【網(wǎng)絡(luò )環(huán)境下的域間資源安全共享系統論文】相關(guān)文章：

實(shí)現學(xué)科間資源共享--淺談新課程改革下語(yǔ)文教師的素養提升(網(wǎng)友來(lái)稿)12-06

網(wǎng)絡(luò )環(huán)境下小說(shuō)創(chuàng )新閱讀教學(xué)的遐想12-05

網(wǎng)絡(luò )環(huán)境下的《棗核》教學(xué)設計 教案教學(xué)設計12-06

網(wǎng)絡(luò )環(huán)境下的語(yǔ)文教與學(xué)模式的探索(網(wǎng)友來(lái)稿)12-06

合作，共享閱讀的快樂(lè )(教學(xué)論文)12-06

基于網(wǎng)絡(luò )環(huán)境下的閱讀教學(xué)模式初探(教師中心稿)12-06

論文:新課改環(huán)境下語(yǔ)文課堂教學(xué)的反思12-06

多媒體環(huán)境下的教學(xué)設計與資源應用培訓心得體會(huì )01-19

基于網(wǎng)絡(luò )環(huán)境下的影片作文教學(xué)模式初探(教師中心稿)12-07

《項鏈》網(wǎng)絡(luò )環(huán)境下的教學(xué)設計方案(網(wǎng)友來(lái)稿) 教案教學(xué)設計12-05