章志華，吳放

浙江中煙工業(yè)有限責任公司，杭州市建國南路288號310008

目前煙草行業(yè)中各種信息系統(tǒng)開發(fā)迅速，已經(jīng)具備了電子商務、電子政務和管理決策等相關的功能模塊[1-2]。但各個系統(tǒng)由于開發(fā)背景不同，開發(fā)的服務對象目的不同，系統(tǒng)間缺乏對資源的有效整合，難以應對與日俱增的信息安全挑戰(zhàn)，無法滿足行業(yè)“卷煙上水平”對信息化支撐的要求。研究表明，面向服務架構(gòu)的集成應用還嚴格定義在不同系統(tǒng)之間的集成，即系統(tǒng)盡量要在數(shù)據(jù)庫層面一體化，各系統(tǒng)已成型且難以在數(shù)據(jù)庫級別一體化的才在面向服務架構(gòu)的應用級別進行集成，這樣既可減少各系統(tǒng)在集成時的改造量，也可避免降低各系統(tǒng)的內(nèi)部效率[3]。為此就CA認證體系對接進行探討，提出通過應用系統(tǒng)身份統(tǒng)一管理、統(tǒng)一認證和單點的身份認證的綜合解決方案，以實現(xiàn)行業(yè)多域環(huán)境下的域間資源安全共享。

1 煙草企業(yè)業(yè)務信息系統(tǒng)存在問題

1.1 系統(tǒng)集成和資源整合

目前煙草行業(yè)已建立了電子商務、電子政務和管理決策3大應用體系[4]，但各體系應用建設都以解決各業(yè)務部門的問題為出發(fā)點，缺乏整體規(guī)劃，導致應用系統(tǒng)相互獨立，各自都擁有用戶管理、權限管理，增加了系統(tǒng)使用和管理的復雜度及維護成本。尤其是當用戶需要同時訪問多個應用系統(tǒng)時，在各系統(tǒng)間頻繁地切換，操作復雜，無法快速獲得相關應用信息。

針對目前行業(yè)信息化建設現(xiàn)狀，首先要解決單一的應用模式問題，某個業(yè)務部門從自身管理需要出發(fā)提出的應用系統(tǒng)建設，雖然進行了業(yè)務流程的梳理，管控指標的設定，但往往只是一個完整流程、管控體系中的一部分，應當站在全局的高度將整個業(yè)務流程梳理到底、形成一體化管控體系后再進行應用開發(fā);其次要解決分散的建設模式問題。從行業(yè)來看，在工商分設、多級法人主體的體制下，信息化分級組織、分散建設具有客觀性，因此應處理好行業(yè)要求和企業(yè)需求之間的關系。而在企業(yè)內(nèi)部，則要處理好業(yè)務部門和信息化工作部門的關系，切實做到統(tǒng)一設計、統(tǒng)一實施、統(tǒng)一管控。只有解決好這兩個方面問題才能促使行業(yè)信息化走向集成整合、信息共享的目標，見圖1。

圖1 用戶的應用架構(gòu)

1.2 快速登錄和便捷管理

企業(yè)信息化建設是一個持續(xù)發(fā)展、不斷完善提高的過程，尤其是隨著管理模式和業(yè)務流程的不斷變化，應用系統(tǒng)也在不斷變化。因此，為進一步提高工作效率，充分發(fā)揮行業(yè)信息化的效能，需提供一個統(tǒng)一的用戶管理中心，人員的新增、調(diào)離、退休都能在統(tǒng)一的用戶管理中心進行，不需要到各個應用系統(tǒng)中都操作一遍，降低系統(tǒng)管理員的管理工作量，盡量避免因操作不及時或不到位等人為因素引起系統(tǒng)安全隱患。

1.3 身份管理和認證安全

信息安全保障工作要貫穿于信息化建設的全過程，真正做到信息安全工作與信息化建設同步規(guī)劃、同步建設、協(xié)調(diào)發(fā)展。行業(yè)全面落實省級CA系統(tǒng)建設，重要應用系統(tǒng)都要逐步實現(xiàn)數(shù)字證書進行身份認證[5]。

用戶在進行業(yè)務操作時往往需要在不同的應用系統(tǒng)中進行登錄，如果每個系統(tǒng)都對應一個用戶賬號和密碼，則用戶不易于管理，或采取一套簡單用戶名和密碼多系統(tǒng)使用，這樣就形成了潛在密碼安全漏洞[6]。而在安全性和系統(tǒng)管理方面，企業(yè)需要大量的IT技術管理人員，分別管理和維護不同系統(tǒng)(如ERP、OA、財務、統(tǒng)計分析、人事管理系統(tǒng)等)的用戶信息，因管理和維護不到位，導致用戶不能使用應用系統(tǒng)或存在安全隱患，見圖2。

2 系統(tǒng)設計思路

以浙江中煙信息化規(guī)劃為指導，結(jié)合浙江中煙應用系統(tǒng)存在的不足，從信息化基礎平臺著手，首先解決用戶身份統(tǒng)一管理、統(tǒng)一認證和單點登錄問題。根據(jù)總體目標任務，浙江中煙建設的統(tǒng)一用戶管理系統(tǒng)見圖3。

要實現(xiàn)“一次登錄、多處使用”目標，主要通過:①目錄服務器，將單位、部門、工作組、人員、角色、應用系統(tǒng)等信息統(tǒng)一存放，實現(xiàn)用戶信息從新增到退休的全生命周期管理。通過分級授權策略，各下屬單位用戶信息由各單位管理員負責維護;②訪問控制系統(tǒng)，以公司本級目錄服務器為基礎，實現(xiàn)企業(yè)內(nèi)部應用系統(tǒng)的用戶身份統(tǒng)一認證，用戶通過身份認證后，如同拿到“通行證”，在使用有權限的應用系統(tǒng)時，無須再輸入用戶名和密碼，簡化登錄操作;③身份管理系統(tǒng)，將目錄服務器中的單位、部門、工作組、用戶、角色等與應用系統(tǒng)相對應，通過同步手段實現(xiàn)用戶信息的統(tǒng)一管理，簡化管理員的管理工作量，避免因操作不及時或不到位等因素引起系統(tǒng)安全隱患;④統(tǒng)一用戶管理系統(tǒng)，實現(xiàn)與企業(yè)門戶平臺的緊密結(jié)合，將企業(yè)門戶系統(tǒng)作為各應用系統(tǒng)訪問入口和單點登錄入口。

通過建設統(tǒng)一用戶管理系統(tǒng)，結(jié)合信息化系統(tǒng)管理制度，可以進一步規(guī)范和分清信息中心和應用系統(tǒng)負責部門在應用系統(tǒng)運行過程中的運維職責，打通各應用系統(tǒng)間的身份管理和身份認證的壁壘，為應用整合奠定基礎。

3 系統(tǒng)總體設計

3.1 邏輯架構(gòu)

統(tǒng)一用戶管理系統(tǒng)包括訪問控制系統(tǒng)(Access Manager，AM)、身份管理系統(tǒng)(Identity Manager，IDM)和目錄服務器(Lightweight Directory Access Protocol，LDAP)3部分，見圖4。訪問控制系統(tǒng)通過認證接口與各應用系統(tǒng)進行對接，通過為各應用系統(tǒng)部署代理策略來保護應用系統(tǒng)的安全;身份管理系統(tǒng)通過同步接口與各應用系統(tǒng)對接，實現(xiàn)與各應用系統(tǒng)的用戶同步(實時或定制);目錄服務器主要存儲用戶信息，為訪問控制器系統(tǒng)和身份管理系統(tǒng)提供信息服務[7]。

3.2 物理架構(gòu)

整個系統(tǒng)設計采用模塊化、集中部署的原則，保證了系統(tǒng)的可擴展性、性能和效率。AM，IDM和LDAP都采用在浙江中煙集中部署的方式，見圖5。以AM系統(tǒng)為中心實現(xiàn)浙江中煙和兩個制造部各應用系統(tǒng)的統(tǒng)一認證和單點登錄，考慮到統(tǒng)一認證和單點登錄的使用頻率較高，建議采用雙機均衡負載;以IDM系統(tǒng)為中心，結(jié)合分級管理策略實現(xiàn)各應用系統(tǒng)的用戶信息管理，考慮到用戶信息管理工作使用頻率不高，建議將IDM系統(tǒng)與AM一起部署;目錄服務器(LDAP)負責集中存儲用戶信息，建議與AM一起部署。

圖6 域間資源共享平臺

由人力管理系統(tǒng)作為用戶管理源頭，通過與企業(yè)內(nèi)部的人力管理系統(tǒng)對接，建立人力管理系統(tǒng)自身接入統(tǒng)一用戶管理平臺，實現(xiàn)用戶統(tǒng)一認證和單點登錄[6];通過與CA系統(tǒng)對接，為各應用系統(tǒng)提供CA證書認證[8]，見圖6。

4 應用效果

(1)實現(xiàn)了統(tǒng)一認證、單點登錄，通過結(jié)合CA認證體系，在加強安全的同時簡化了系統(tǒng)認證操作過程，提高了使用效率。以一個用戶每天平均訪問3個應用系統(tǒng)為例，每次登錄平均時間10s，按上下午各登錄1次計算，則每天登錄操作時間最少1 min。實現(xiàn)統(tǒng)一認證、單點登錄后，用戶每天只需10 s即可完成，且不會隨著訪問應用系統(tǒng)數(shù)量的增加而增加。

(2)實現(xiàn)了用戶統(tǒng)一管理，簡化了用戶管理過程，提高了管理效率、及時性和安全性。用戶信息基礎屬性包括用戶ID、姓名、密碼、部門、辦公電話、手機號碼、用戶郵件等，用戶信息手工輸入一次最少15s，以一個系統(tǒng)一次新增10個用戶為例，完整錄入最少需要2 min，10個應用系統(tǒng)則最少需要20多分鐘。實現(xiàn)用戶統(tǒng)一管理后，用戶信息錄入最多不超過3 min，同樣不會隨著應用系統(tǒng)數(shù)量的增加而增加。

(3)通過梳理完善管理流程，使浙江中煙3大應用體系的域間基礎數(shù)據(jù)管理工作權責明晰，流程細化，考核有據(jù)可依，并為后續(xù)系統(tǒng)集成、資源整合、信息共享奠定基礎。

[1] 林郁.煙草企業(yè)網(wǎng)絡系統(tǒng)安全建設[J].煙草科技，2004(1):13-15.

[2] 姜學峰，蔣善航，仲利民.浙江省煙草行業(yè)信息網(wǎng)絡安全保障體系的構(gòu)建[J].煙草科技，2003(7):22-24.

[3] 胡新華，耿剛勇.面向服務架構(gòu)在煙草信息系統(tǒng)集成中的應用[J].煙草科技，2010(5):19-23.

[4] 李敏，李為民，賴志君.單點登錄在電子商務中的應用[J].軟科學，2008，22(9):54-56.

[5] 焦靜，李勇.基于LDAP的統(tǒng)一身份認證的設計與實現(xiàn)[J].科學技術與工程，2007，7(4):646-649.

[6] 魏曉菁，劉冬梅，溫超.國家電網(wǎng)公司目錄服務、身份管理與認證系統(tǒng)的設計與實現(xiàn)[J].電力信息化，2007，5(10):43-46.

[7] 肖廣軍，張祖平，王鋒.基于數(shù)字證書的單點登錄技術研究及應用[J].企業(yè)技術開發(fā)，2009，28(9):1-3.

[8] 胡新華，耿剛勇.中國煙草總公司信息系統(tǒng)容災中心技術方案設計[J].煙草科技，2010(3):22-25.