应用系统用户管理研究与应用

应用系统用户管理研究与应用

刘嘉怡周翮翔邓乾豹赵圆媛

（航空工业成飞四川成都610092）

摘要：应用系统的“信息孤岛”主要体现在为实现用户访问控制管理所必须建设的基础信息方面，包括：“组织信息”、“用户信息”、“账户信息”、“权限信息”。这些基础信息没有一个权威的、统一的、标准的来源和定义，各应用系统独立维护，独立管理，导致运维难度增大，信息严重不同，安全审计困难，甚至有可能导致用户无法正常使用或影响数据安全等问题。通过应用系统用户集中管理，抽取基础信息及其管理要素，构建流程化业务过程管理和统一化结果信息服务，实现统一的应用系统组织用户、账户权限、访问控制和安全审计管理。

关键词：统一用户管理、账户、权限、访问控制、安全审计

1引言

在企业信息应用上不同的服务由不同的系统提供，这些服务必须提供给某些特定系统的特定用户，然而应用系统在用户管理、权限管理上基本上都是自成体系，解决信息化建设伴随而来的用户与权限管理这个重要问题，使管理员高效管理、用户安全便捷使用、系统安全可靠已经迫在眉睫。

应用系统用户集中化管理系统正是基于上述需求，提供与当前企业单位实际组织体系和业务模式相适应的用户与权限管理手段，向用户和应用系统提供整合的账户和授权控制管理服务，提供用户身份认证到应用授权的全生命周期管理。

2传统应用系统用户管理存在的问题

近年来企业为提高在生产、制造、设计、物流、办公等多个业务领域的工作执行效率，建设了多个相关的应用系统。但是，普遍存在各应用系统相互独立，数据不一致；信息共享程度不高，管理分散，形成了一个个“信息孤岛”，从而带来一系列问题：

1)由于各个孤立的系统有各自用户信息库，用户信息没有一个权威统一的来源，均有各自独立的管理维护体系，由不同的管理员分别手工管理和维护，容易带来管理上的麻烦，造成信息不一致；

2)有些管理员维护多个系统，导致管理员运维复杂度增大；

3)用户职位、岗位、部门调动后，不能及时在系统中调整，或者只在部分系统中进行了调整，导致业务无法顺利、正常开展；

4)离职、退休后由于账号不能立即冻结或注销，本人还有可能继续使用，甚至了解企业秘密或其他信息，危及系统稳定，影响数据安全。

在推进企业信息化建设的过程中，这些问题的解决直接影响整个信息系统的可控性和安全性，已然成为信息化建设过程中的一个关键问题。

3统一应用系统用户管理

通过构建企业基于角色信息的统一化、电子化和流程化的用户及其应用系统权限全生命周期管理，将分散的用户信息和应用系统进行整合，消除信息孤岛，形成用户与应用系统关系标准库，通过相关信息交换、信息共享、信息应用，为企业提供“统一用户信息管理、统一身份认证管理、统一系统授权管理、统一安全审计管理”。统一3.1基本信息管理

统一用户信息管理是所有应用系统标准化的用户信息基础库，该模块定时从人力资源系统中主动获取数据，它集中管理着各应用系统的所需的用户信息，主要包括：部门、姓名、工号、岗位、状态、密级、照片、性别等。同时，也是所有用户的认证信息、应用系统账号与权限信息的管理模块，包括：用户认证信息的全生命周期管理和应用系统账号的全生命周期的管理，并为各个应用系统提供安全的服务与支持。

3.2身份认证管理

统一身份认证管理实现对所有用户的身份认证和各接入应用系统之间的单点登录，使得用户登录本系统后不用在输入用户名和密码，就可以直接进入相关系统；一旦来访者的身份获得合法认证之后，将获取到可访问的应用系统及其相关功能菜单信息，实现用户对应用系统的合法访问。

3.2.1统一授权管理

在安全系统中，授权和认证截然不同，授权是确定已认证的用户是否有权对应用系统资源中的特定资源执行操作，而认证是确保个人身份的真实性，但不对其是否有应用系统资源执行操作的权限做任何判断。

统一系统授权管理实现对企业合法用户可拥有的应用系统权限信息的全生命周期管理和应用系统权限信息的全生命周期管理，主要包括：用户权限的新增、变更、注销管理和应用系统权限的新增、变更、注销管理。

3.2.2统一安全审计管理

统一安全审计管理实现对企业用户的全生命周期审计管理，主要包括：用户、用户与认证信息、用户与应用系统账户、用户与应用系统权限、应用系统权限的全生命周期变更审计。可根据业务需要，为应用系统相关管理用户提供审计报告，例如：系统管理员的账户变更管理审计报告、系统安全员的账户授权管理审计报告等。

3.3系统功能设计

图表1整体业务框图

3.3.1用户信息管理

用户信息管理模块主要目的在于构建企业应用系统运行所必须的用户信息基础数据库，因此其主要涵盖如下功能：

用户信息同步管理

作为一个企业，其权威的用户信息应该来自于人力资源管理系统。因此，应用系统用户管理中心与其定时同步，并向应用系统提供权威的、准确的、完整的用户信息服务，以支撑应用系统的正常运行。同时，建立完整的数据同步监听、审计和校验功能，确保同步过程中问题的及时发现和处理。在整个设计过程中考虑到用户是与组织结构紧密相连的个体，极端情况下一个用户应是一个组织。该系统的设计除了满足行政组织结构（OBS）外，还要满足不同业务分类的组织归属，如：按生产业务方向划分、按办公业务方向划分等组织模式。

用户全生命周期管理

用户在一个企业中，会经历入职、组织调动、岗位调动、离职等一系列人事信息的变更，应用系统用户管理中心将根据用户的具体生命周期变更情况进行其与应用系统账户、应用系统权限信息的变更。同时，将变化过程与结果形成用户的全生命周期变更档案，便于对用户进行回溯。

3.3.2账户全生命周期管理

用户在应用系统中账户的变化主要由两类原因构成：一是由于用户自身的生命周期发生变化，例如：入职、组织调动、岗位调动、离职等；二是由于用户自身的业务工作发生变化。当这些发生变化时，根据实际业务情况，对相关应用系统进行账户变更管理，具体如下图所示：

图表2账户全生命周期

特别说明的是在账户全生命周期管理中，本系统增加对‘合法账户’的定义，同时作为应用系统账户开通的必要条件。其‘合法账户’是指拥有至少某一类账户认证信息的用户，认证信息类型包括：智能卡、指纹仪、软证书。

3.3.3应用系统角色全生命周期管理

应用系统用户管理中心是基于应用系统角色权限的管理系统，因此在系统设计时充分考虑各应用系统角色信息独立维护，独立管理的现状，设计和明确了应用系统角色的如下管理模式：

管理边界：基于角色的功能菜单变更管理，更细节的用户权限管理，交由各系统独自管理；

数据规范：包括：编号、名称、描述、密级、业务主管单位、责任人、状态等；

责任划分：角色由业务主管单位负责管理其生命周期状态，包括：新增、变更、启用、停用、注销；

管理规范：根据应用系统不同的系统集成管理方式，均需定期与本系统进行数据校验管理，确保双方信息的一致性；

那么，应用系统角色全生命周期管理的阶段如下图：

3.3.4岗位角色全生命周期管理

为达到企业在信息化条件下沉淀岗位在各应用系统中的权限分布，解决由于用户入职、岗位调离或离职等的决策支撑和管理高效问题，系统在设计时，将企业岗位与各应用系统权限信息进行独立管理，且作为用户授权的前置条件和参考信息。如果某用户所在岗位无对应应用系统权限信息，需要用户提前初始化岗位角色信息，才可进行授权操作。

3.3.5应用系统安全审计管理

应用系统安全审计管理模块主要用于为相关管理用户提供相关的报告，以保障系统的安全管理与运行。在设计时充分考虑应用系统的管理需求，尤其是涉密应用系统，因此在安全审计管理方面主要设计如下报告：

应用系统用户清单，主要包括：所在组织、工号、姓名、人员密级等；

应用系统账户、权限管理表，主要包括：用户信息、账户变更信息（新增、变更、停用、启用、注销）、角色清单；

应用系统角色清单，主要包括：编码、名称、密级、描述、业务主管单位、责任人、状态（新增、变更、停用、启用、注销）、功能清单；

3.4应用系统集成管理

应用系统集成管理模块用于应用系统中相关信息发生变更时的集成管理，包括：组织信息、用户信息、账户信息、权限信息等变更。与应用系统集成主要有三种方式：人工工单、数据同步和系统服务集成方式，对已建应用系统且由于某原因不可改造的，采用人工工单集成方式进行管理；对已建应用系统且可改造的，采用数据同步集成方式进行管理；对新建应用系统采用系统服务集成方式进行管理。数据同步内容主要包括：一是为应用系统提供用户、组织、权限数据的变更结果信息，二是通过Gateway统一用户认证与权限网关，为应用系统提供权限验证等服务。应用系统集成管理主要功能包括：

用户管理结果及相应接口服务

组织管理结果及相应接口服务

授权管理结果及相应接口服务

角色管理结果及相应接口服务

统一菜单管理

统一主界面管理

4总结

因应用系统用户管理中心建设是实现企业应用系统的统一用户、统一认证、统一授权、统一审计管理，在实施过程中绝大部分的工作是在和各应用系统账号、认证、授权整合作业，而各应用系统在技术上、架构上实现各异，且有不同的开发上实施，甚至局部存在找不到开发或维护人员，这样给本系统的实施带来了很大难度。在具体实施过程中，通过获得应用系统责任部门和软件开发商全面的配合和支持，专门成立一个临时组织来负责协调一个组织来负责软件开发商与应用系统用户管理中心的实施方合作，顺利保障和完成了各应用系统的改造和基础工作。

最后，随着企业信息化建设的不断推进，各业务系统的应用的不断深化，通过建设应用系统用户管理中心，顺利实现了业务系统用户信息及其与应用系统账户权限信息的统一管理，达到了提升信息系统快速响应业务调整的适应能力。同时，通过建立相应管理的企业规范，提升了应用系统授权的管理能力和身份信息安全的主动检查、校验和防御能力。

参考文献

[1]国家国防科技工业局，军工保密资格审查认证中心.《军工涉密信息系统安全保密管理人员工作实务》[M].北京：北京航空航天大学出版社，2011：85-89