統一用戶信息管理服務框架的設計與實現分析

王菁++潘媛++劉躍龍++蘇文偉

摘 要隨著我國對電網信息化建設要求的不斷提高，電網企業的信息基礎設施、信息系統、信息安全保障和信息化管理逐漸進入有序的發展狀態，為了進一步強化信息化安全管理，解決用戶信息的管理和維護等問題，本文基于4A平臺提出了統一用戶信息管理服務系統，對統一用戶信息管理服務框架的需求分析的基礎上，深入探討了統一用戶信息管理服務框架設計與實現。

【關鍵詞】4A 統一用戶信息管理 電網 用戶認證

隨著電網公司信息化建設的發展，各種應用服務的不斷普及，網絡規模也逐步擴大，用戶每天需要登錄到許多不同的信息系統，每個系統都要求用戶遵循一定的安全策略。但是隨著用戶需要登錄系統次數越來越頻繁，會大大增加出錯的可能性，從而可能會受到非法截獲和破壞，安全性就會相應降低。而當用戶忘記口令，就需要請求管理員在后臺操作，并只能在重新獲得口令之前等待，增加了系統和安全管理資源的開銷，降低了生產效率。并且每新增、減少一個用戶，管理員需要逐個登錄到每個應用系統進行用戶的增加、刪除及授權，這些工作也極大的增加系統管理的復雜度及降低用戶可用性。對管理層而言也缺乏全局應用系統統一、整體的用戶審計信息。此外，國家對企業信息化設在安全和內控方面提出了更高的要求，要求企業加強內部的安全管理和控制，而身份管理、授權管理、審計正是構成網絡安全信任體系的基礎。因此，本文提出了在現有安全基礎設施及建設成果基礎上進一步強化安全建設，建設完成全公司范圍的，涵蓋認證、用戶管理、授權、審計四位一體的4A（認證Authentication、賬號Account、授權Authorization、審計Audit）統一安全管理平臺，以滿足電網公司對應用系統整合的需求，對安全可靠統一的用戶身份認證管理的需求，滿足國家及行業主管部門的相關管理要求，適應公司業務及管理發展對信息安全的需要。

1 統一用戶信息管理服務框架需求分析

1.1 業務需求

從用戶集中管理來看，目前電網公司無法對全公司的用戶信息進行集中管理，存在管理分散的問題，離職員工賬號難以及時刪除或遺漏，會使應用系統難以清晰的管理，管理員對于用戶信息在各個應用系統當中的增加、刪除、修改、查詢等大量的操作容易出錯，且同一用戶在不同應用中信息不一致，造成管理出現隱患；從組織機構管理來看，組織機構的信息也分散在不同應用系統當中，當信息需要修改時，會造成很大的工作量，且對于和用戶及角色授權之間的對應缺乏統一管理制度；從系統認證管理來看，由于應用系統多，且登錄流程復雜，用戶在登錄系統時，消耗在認證登錄、切換登錄入口和退出系統的工作量較大；從授權管理來看，用戶和授權管理的信息操作復雜，既無法集中的管理，也缺乏統一的規范；從審計需求的管理來看，無法對管理員的管理行為、用戶的登錄登出等行為進行審計，且由于用戶行為日志分散在各個系統當中，無法集中的監控和審計。

1.2 功能需求

首先需要解決的是用戶賬戶統一管理的問題，對多個用戶系統進行整合時，傳統模式下的用戶數據管理的流程復雜且時效性慢；其次，雖然已經建設了PKI/CA網絡信任體系，但是數字證書應用及管理和賬戶管理還不夠完善，同時還存在著單點登錄系統與CA系統的管理脫節問題；再次，管理員的操作行為也需要有效的安全管控和責任認定。

1.3 性能需求

于4A系統來講，影響系統性能主要問題在于I/O，包括數據庫、網絡通信、文件等，其中大量的操作會占用到CPU，其次I/O操作、差算法和其他低效資源還會降低系統性能，在實際應用中會導致在多數據并發、大數據量等情況下發生嚴重問題。對于4A平臺建議的指標如下：吞吐量可以滿足至少30萬的用戶；平臺要支持至少3萬的用戶數量并發認證；用戶登錄平臺的相應總延時應當小于2秒；4A平臺認證效率應當大于300次/秒；用戶訪問的成功率大于99.9%；4A平臺應當可以一周24小時不間斷運轉。

1.4 安全需求

4A平臺的安全性和可靠性設計以國家相關技術標準為依據，充分考慮電網信息化建設的現狀，從軟件系統本身安全、系統部署安全、物理與環境安全、網絡安全、操作系統安全、數據庫安全、系統內部安全、策略安全、人員安全等多個角度入手，進行整個安全體系的設計和規劃。安全性設計方案不僅要可以支持4A平臺提供全年365天、每天24小時的不間斷服務，還需要有提供數據備份與數據恢復功能，確保數據正確、完整；同時，統一用戶管理平臺應具備進行故障診斷、定位、備份、恢復等功能。

2 統一用戶信息管理服務框架設計與實現

本文設計的統一用戶信息管理服務系統是以用戶身份集中管理的思路為核心，可以在一點對用戶的身份和權限進行集中的管理，降低管理的成本。本系統是采取的從分散到集中的管理思路，將過去分散到各個業務系統中的用戶采取一個系統進行集中的管理，并提供適配器接口使業務系統和此系統的信息相同步。具體的設計方案是：從數據資源管理平臺獲取用戶信息，生成主賬號。提供數據同步接口實現與網絡設備、主機系統以及應用系統的賬號同步。使用關系型數據庫用于存儲內部和外部用戶的所有用戶信息，包括所管理的應用系統信息，以及用戶在各應用系統下的所有從賬號、從賬號與主賬號的對應關系等。使用目錄服務系統用來發布用戶屬性信息，供應用系統調用，目錄服務系統采用“分散+統一”的部署模式，即在總部和各個下級單位分別部署單獨的目錄服務系統，實現本地用戶數據的發布。同時集成PKI/CA系統實現用戶賬號和數字證書的一體化全生命周期管理。可以適應電網公司復雜的業務流程或安全策略設置、管理的需要。

統一用戶信息管理服務系統具體框架結構圖1所示，平臺分為五個子系統，分別為身份管理系統，權限管理系統、訪問控制系統、審計系統和目錄服務系統。并通過多種類型的標準數據源連接器實現多業務/應用系統的用戶身份數據整合，并通過部署在用戶客戶端的統一認證接口，為用戶提供多應用系統的安全的統一認證、統一授權和單點登錄服務。下面對其中的主要模塊的實現進行介紹：

2.1 身份管理模塊

2.1.1 用戶自助服務模塊

該模塊提供用戶自助更新信息更新、密碼管理、賬號管理以及行為日志記錄查詢等功能，用戶可通過圖形界面自助完成相關管理操作。

2.1.2 身份認證服務模塊

該模塊以統一的用戶管理、統一的授權管理為基礎，為應用系統提供身份認證的功能，做到只有通過統一認證系統驗證的用戶才可以訪問后臺的應用系統。

2.1.3 身份管理服務模塊

該模塊是在企業內部建立統一的用戶視圖，完成各應用系統的用戶信息整合，實現用戶生命周期的集中統一管理，并建立平臺與各應用系統的用戶身份信息同步機制，簡化用戶及其賬號的管理復雜度，降低系統用戶管理的安全風險。

2.2 訪問控制模塊

2.2.1 訪問控制服務模塊

該模塊是4A平臺的核心服務功能之一。平臺可以將接入的應用系統作為資源進行管理，并通過建立資源與用戶、角色之間的關聯，實現系統級的訪問控制。同時，平臺能支持基于角色的授權模型，支持對用戶進行分角色管理，針對不同角色設定訪問權限，靈活的實現用戶的訪問控制功能。

2.2.2 授權管理服務模塊

該模塊提供管理及訪問控制功能，對用戶使用信息系統資源的具體情況進行合理分配，實現不同用戶對系統不同部分資源的訪問控制。通過該系統，管理員可以對各管理對象進行授權，而不需要進入每一個被管理對象。

3 結語

綜上所述，本文就電網公司用戶統計信息管理存在功能單一、體系不規范、用戶難以集中管理等問題提出了統一用戶信息管理服務框架，建設部署4A管理平臺，采集用戶信息，創建用戶賬戶，建立用戶資源庫，完成平臺與PKI/CA系統集成，制定標準規范，指導系統開發、管理和應用，滿足了一定的非功能性需求，具有較高的應用價值。

參考文獻

[1]Anindya Ghose，Sang Pil Han.Estimating demand for mobile applications in the new economy[J].Management Sciences 2014，60（06）：1470-1488.

[2]嚴廣學.基于中國移動4A規范的認證中心子系統的設計與實現[D].北京：北京交通大學，2010.

[3]高鵬，曾智翔，李偉寧.海南電網4A平臺關鍵技術和建設經驗分析[J].華電技術，2013（08）：54-56.

[4]熊冬青.4A統一安全平臺設計方案[J].廣東通信技術，2012，32（04）：22-24.

作者單位

云南電網有限責任公司信息中心 云南省昆明市 650217