1系统建设背景
近年来,燕山石化紧紧围绕自身的发展战略和主营业务开展信息化工作,积极推进以ERP为主线的信息化建设与深化应用工作,基本建成了以ERP为核心的经营管理平台、以MES为核心的生产执行平台、以及其他信息基础设施与运维平台。但随着IT应用的不断深化与拓展,应用系统逐渐增多,涉及的业务范围不断扩大,用户对应用系统的依赖程度越来越高,用户因业务需要而使用多个应用系统的情况也越来越多。信息化应用的高速发展在为燕山石化在企业管理和生产经营方面带来巨大收益的同时,也为应用系统的建设、管理和运维带来了更多的挑战,提出更高的要求。同时,随着企业的发展,各种业务不断调整,人员调动频繁,导致企业信息系统用户信息越来越复杂,这也极大增加了IT用户管理的成本,并可能产生诸多安全风险,客观上对实现用户统一身份管理的需求越来越迫切。
2系统功能设计
燕山石化统一身份管理系统的功能主要包括用户管理、审计管理、认证和访问管理三部分。其中,用户管理主要实现用户身份管理、组织管理、账号管理、角色管理、口令管理等,认证和访问管理主要实现统一认证和单点登录功能,审计管理部分主要实现系统账号管理审计、用户行为审计、合规账号审计,日志分析等功能。统一身份系统功能设计图如图1所示。
2.1用户管理。用户管理是用户统一身份管理系统建设的重要组成部分。用户统一身份管理系统的管理原则是:①集中部署:用户身份信息、组织信息等集中在集团总部中心系统内,作为中国石化权威的人员信息库。②统一管理:用户信息的梳理、配置、维护等操作管理部分,由集团总部中心集中提供服务,委托区域中心管理。③分散应用:用户信息由集团总部中心系统以子集或全集的方式同步到企业,使企业享有本地用户信息资源。
2.2访问管理。访问管理是用户统一身份管理系统建设的重要组成部分。本系统核心技术采用单点登录(SSO)技术实现统一的安全认证,用户只需要进行一次登录,就可以访问到所有已授权信息系统。访问管理主要组成要素有:统一访问、用户统一身份认证、授权管理、单点登录、访问控制。SSO系统包括了统一的访问系统、集中身份认证系统,实现对各个信息系统的一站式登录。
2.3审计管理。实现对统一身份系统的审计管理,为安全审计平台提供必要接口。审计管理包含审计日志管理、账号管理审计、用户行为审计、审计报表等功能。
3系统实现
统一身份系统组件主要包括:身份管理服务、数据同步和账号管理接口服务、统一认证服务云、统一接入服务和身份管理系统核心数据存储服务(统一目录服务LDAP)。
3.1统一身份子节点。(1)在燕山石化建设统一身份管理子节点,部署基础信息LDAP服务,存储用户及组织机构、角色等,提供统一认证功能。(2)燕山石化统一身份管理子节点用户数据和组织机构等数据完全与总部HR系统中的数据保持一致。(3)燕山石化各应用系统的账号由应用系统管理员统一开设,通过统一接口服务向燕山石化各应用推送数据。(4)燕山石化统一认证服务基于燕山石化本地LDAP服务,提供燕山石化各应用统一认证及单点登录服务。
3.2账号管理。统一身份管理系统的账号管理功能根据应用系统类型的不同提供了两种接入方式:①适配器模式。②消息模式。
3.3应急管理。为保证各应用系统认证服务的可靠性,燕山石化统一身份管理系统进行了系统容错冗余设计,当本地认证服务失败时,自动寻找中石化总部的认证服务。当总部与燕山石化统一身份管理子节点同时失效或发生异常情况时,燕山石化各应用系统立即切换到应急模式,按照应用的不同,应急方式也不完全相同。
4应用效果
燕山石化统一身份管理系统于2013年5月启动,同年10月18日上线试运行。系统运行以来,在身份管理、单点登录等方面取得了较好的运行效果。结语燕山石化公司率先在中石化炼化企业范围内建设并使用了统一身份管理系统,实现了信息系统用户实名制和全生命周期管理;使用证书认证,提高了系统登录安全等级;实现系统单点登录,用户只需记录一套密码,提高了用户使用信息系统的满意度。
作者:李石师 单位:中国石油化工股份有限公司北京燕山分公司
相关专题:银行竞争力 career planning
