關于企業信息系統統一身份授權管理的探索實踐

李彥生

摘 要 目前很多大型企業實施了統一身份與認證管理，但在操作運行中發現實際效果達不到預期成效。究其原因，或出于配套制度的跟進不到位，或技術功能實現無法滿足管理需求，或建設實施路線發生偏差。筆者結合多年從事大型企業的身份授權相關信息化項目，從信息化建設管理者的視角對如何統籌建設企業的身份授權管理工作提出理解和看法。

關鍵詞 身份授權；應用安全；權限管理

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）05-0154-02

做好企業的身份授權工作，不僅需要技術手段和軟件平臺支撐，還需要在管理層面上的運作。對于身份授權管理的實踐中我們主要采取了三個層面的抓手，從業務管理層面需要建立一個機構和一套制度，在技術管理層面主要抓支撐業務管理層面的核心功能以及落實一套相應的開發與集成標準，最后還需要有適當的建設實施策略。

1 機構與制度

1.1 成立一個處理身份授權工作的專屬機構

不同類型的大型企業的組織機構不盡相同，但在信息化部門的組織體系上大同小異，應當在企業信息運維機構下設立一個專職的身份授權機構，這里姑且把它叫做“信息權限中心”。目前大多數大型企業缺少這樣一個專職機構，系統身份權限的運維模式還是以系統甚至項目為單位的，項目組頻繁換人重新培訓、賬號挪用無人監控回收，這些都是存在于信息部門的問題和風險，身份授權工作亟需一個常態化的相對穩定團隊來組織運轉。如果把我們的信息系統資源比作是一棟大樓，“信息權限中心”的作用就像是這座大樓的前臺傳達室，協助處理什么人要去什么地方，要用到什么東西做什么事。

“信息權限中心”的應具備兩塊職能和業務，第一塊是對企業信息系統用戶的身份授權的服務職能，主要承擔的是身份信息維護、對用戶進行權限分配等執行層工作。而對哪些人具體可以用哪些信息網絡資源（比如某個系統的某幾個功能），信息部門不具備完全審核的職能，這應由該資源的歸口管理部門承擔。對其身份信息的維護和對用戶權限的分配，這項工作僅需和普通用戶交互，普通員工經過簡單培訓操作，按照既定工作或者叫做操作制度即可上崗作業。但需注意在人員配置上，身份信息管理和權限分配管理本身是兩個不相容崗位，應當分開設置。第二塊是對于系統廠商的管理職能，信息部門應當審核系統廠商在系統中做了哪些功能，這些功能到底設計來給誰用，掌握這些數據一方面可以促進權限安全管理、功能共享融合，另一方面也可以為信息化投資提供輔助決策依據。負責業務主要為權限定義和資源管理工作，這需要與系統研發廠商和實施廠商交互，要求員工最好具有一定信息系統開發經驗，經過集成開發標準制度和系統操作培訓即可上崗作業。

1.2 建立配套身份和權限管理制度

在建立身份授權配套管理制度時，應把握業務管理和技術管理兩個大方向，除了上訴提到的“信息權限中心”的機構及其職能以外，本章主要對業務管理層面的管理制度的核心要素進行闡述。

1）規范企業的身份信息管理。不同的企業或者部門由于業務的不同，在使用信息系統的人員構成上有很大的差異，規范身份信息管理的核心要素在于賬號的劃分、命名規范、回收機制。

根據作者的經驗，認為比較合理的賬號劃分方式是將企業中使一用到信息系統的賬號分為臨時賬號和員工賬號，員工賬號信息可以與企業的人資系統集成獲取基本員工信息，除去員工賬號以外均作臨時賬號處理，這里面可能涵蓋一些企業自身的外協人員、合作伙伴的管理制度。

區分員工賬號和臨時賬號的唯一邊界是賬號是否受人力資源部門管理，具體到信息系統層面上即有沒有納入到人力資源系統管理，這樣做主要是出于安全目的而不存在用工歧視的問題，因為人力資源部門對身份信息有一次可信核查，反之則需要信息部門來加強這部分賬號使用人的身份信息核查。從賬號命名規范上也應該在全公司統一，如果公司已有工號則建議使用工號，如果沒有工號建議按照8位流水號的形式排列即可。

賬號的全生命周期管理包含開通、使用和回收，賬號的開通應由申請使用人相應單位的指定員工提出，以縮減業務部門的審核周期。賬號的回收在此是最易忽略卻也是最關鍵的安全環節，員工賬號的回收以員工離職作為回收點，臨時賬號以使用期限到期后自動回收作為觸發點，再次使用可以辦理續期手續，臨時賬號單次申請的最長使用期限為一年。

2）規范企業的權限管理。企業權限管理的難點在于現實中的崗位與系統中的權限不是一一匹配的，難以完全采用業務的語言去描述信息系統中的權限。例如，物資部的小李和小張擔任公司采購工作，如果讓兩人去跟“權限信息中心”的權限管理員口頭（或書面表達）的方式去申請權限，這樣的處理是帶著一些隨意性、不規范的。

這就需要我們在管理上有標準和制度，權限如何梳理？由誰來做？我們認為任何一個功能都有服務的對象，否則是無意義的。目前，絕大多數的管理信息系統在實現權限管理上均是采用基于角色的權限控制（RBAC）模型，我們不妨先假設統一身份授權也是通過角色來進行控制的，那么對于企業的管理權限，其實就是在對角色與資源之間的關系進行管理。那么角色是否等同于崗位？現實情況的答案一定是否定的，因為在沒有規范的情況下，實施廠商可能根據系統的業務范圍不一樣，可以把角色近似為崗位、也可能近似于功能。

但在管理上這是我們的基本思路，要求系統廠商在需求設計時將現實的崗位與信息系統中的角色基本劃上等號。信息部門的“權限信息中心”在系統功能需求設計時協同業務部門需求方，同時對‘角色權限關系矩陣表進行審核，保障崗位與角色對應。當然，崗位與角色的關系主要還是為了方便和規范信息系統中的權限管理和提高安全保障，與實際人資薪酬等并無必然聯系。崗位角色梳理的完善同時也為企業跨系統流程管理帶來間接的好處。

3）規范系統的資源管理。我們對資源的定義是包括應用、菜單、功能、鏈接、流程等一切在企業信息網絡上且需要被保護的對象。統一管理資源的好處在于有利于打破信息展現層的壁壘。統一資源管理的難點主要在系統上線運行時，要求各應用按照統一資源的方式進行注冊。因為在實際情況中，我們發現目前很多系統在升級過程中就包含了資源數據，資源數據應該要注冊到權限系統中。endprint