当前我国各领域正在加速向数字化、移动化、智能化发展,大力投入信息化建设与数字化转型已成为企业及政府单位的共识,组织信息环境变得庞大复杂,业务场景发生明显变化,从而给身份管理与信息安全管理带来挑战。
一方面,信息化系统数量逐渐增多,部分企业存在成百上千套信息化系统,每套信息化系统的身份管理、认证、权限等部分均各自独立建设。重复建设不仅成本较高,且容易形成信息孤岛,从而为管理及运维带来很大难度,影响企业运行效率的同时,还存在安全漏洞与隐患。
另一方面,身份安全问题越来越严重,很多企业与单位内部存在大量孤儿账号、僵尸账号,成为被黑客掌握和攻击的短板;频繁出现个人信息大规模泄露事件;互联网设备存在弱密码和默认密码,进而被攻破与控制等等。数通畅联研发的统一身份管理平台能有效解决上述问题。
产品说明AEAI IDM( Identification Management )统一身份管理平台主要定位于解决企业在5A功能(Account统一用户、Authentication统一认证、Authorization统一授权、Audit统一审计、Application Control应用管控)方面的实际需求,能够实现各业务系统的统一登录和集中访问,实现用户身份和权限的统一认证与授权管理,为企业不同的业务系统提供统一的用户管理和认证服务。
1.管理架构
IDM身份管理平台可以实现企业全系统的用户身份信息管理,提供多种认证手段,加强员工身份和权限管理,通过统一认证建立面向企业全体人员的访问控制中心,同时在落地的过程中结合平台建立数据同步、分发对接规范、统一账户管理流程、统一认证体系规范。一方面便于企业信息的统一、规范的管理,另一方面减少员工重复工作量的同时在数据、操作、业务多个层面加强审计管理,保证数据分发前有审批管理,分发过程中有监管及管控,分发数据后可追溯回查。
IDM身份管理平台的5A功能包括统一认证、统一用户、统一权限、统一审计和统一应用管控,通常来说企业更加关注认证和权限,因为这两部分是安全的重中之重,也是各系统安全访问的重要保障。5A管控各模块相辅相成,统一用户是保证统一权限能否落地的关键,统一应用则拥有对系统能否认证的绝对管控,统一认证则是实现统一权限的前提,而统一审计是对整体行为的监控和记录,各部分既各司其职,又紧密相关,既保证功能体系的搭建,又保证安全体系的建立。
2.功能结构
IDM身份管理平台由统一用户、统一认证、统一授权、统一审计、应用管控五部分组成,产品中既包括传统5A认证中的功能,还包括操作任务流程审批、运行监控统计等功能。IDM身份管理平台功能架构图如下所示:
IDM身份管理平台提供CAS、Oauth、OpenApi等认证方式便于不同应用系统、不同场景、不同客户端的接入认证。通过AEAI IDM身份管理平台统一管理用户信息,预置全场景的组织/用户同步/分发服务、权限同步服务。
IDM身份管理平台还包括权限管理、操作任务、流程审批、监控统计、系统管理等功能,帮助用户实现应用系统的组织、用户、角色、权限资源等关联关系的权限管理及权限分发,实现统一授权、统一审计。
在接口层实现对底层资源信息的收集和管理,也可以跟外部组件信息交互,如:数字证书、第三方应用等;产品预置与ESB企业服务总线集成的集成机制,同时提供数据同步接口,实现数据间的抽取、转换、分发等操作。
3.安全架构
在当前安全事件频发的形势下,企业亟需建设统一身份安全管理平台,构建以身份为核心的新安全边界。在整体信息安全框架内,IDM身份管理平台遵循统一的信息安全管理相关策略、制度,通过密码加密、认证策略、XSS拦截、SQL注入等安全措施,在物理安全、应用安全、数据安全、网络安全等基础性安全建设内容基础上,加强应用系统身份鉴别、访问控制、关键操作抗抵赖、通信安全、个人信息保护和资源控制等方面的安全保护,最终实现业务安全的目标。
账户管理
企业一般用户是以人力部门为标准,一般是以HR为源头,通过IDM身份管理平台接收接口将组织、人员、岗位信息同步到IDM中,在IDM进行统一管理,然后通过分发接口分发到下游各个业务系统。通过基础管理功能对组织、人员、岗位进行管理,并对其所有的状态进行记录,如:初始化、审批中、已启用、已禁用等。
1.统一用户
> > > > 组织管理
管理组织的相关信息,可以对组织信息进行增、删、改、查操作,修改组织信息后可以生成对应的任务,将对应的组织信息分发到对应的系统,就可在组织下添加岗位。
> > > > 岗位管理
对岗位信息进行管理,通过生成任务的方式将岗位信息下发到各业务系统。岗位分为行政岗位和权限岗位。
> > > > 人员管理
管理人员的相关信息,通过点击左侧组织列表可以查询对应组织或角色下的人员信息,通过生成任务的方式可将人员信息下发到各业务系统。
统一用户实施过程中典型场景主要包含:数据在初始化、数据信息维护(数据同步、数据分发)及新系统上线几个层面,下面将分别对不同场景实施过程中侧重点进行说明。
2.数据初始化
数据初始化主要是组织、人员、岗位信息的初始化过程,分别包括对IDM平台数据的初始化及业务系统数据的初始化,其中对于IDM平台数据导入可采取Excel模式进行数据导入或流程开发实现数据同步,对于业务系统数据的初始化需要使用ESB开发全量数据同步流程/业务系统进行数据统一拉取。
注意:不建议使用平台生成全量数据任务进行分发,一方面平台性能不能保证,另一方面对于历史数据很多平台接口没有兼容处理,不能有效进行数据的插入及更新。
3.数据同步
数据同步主要指源头系统将变化的数据同步至IDM平台中,主要包含实时与定时两种模式,实时模式为推送模式:HR系统调用IDM平台标准接口将数据写入IDM的同步表中,调用同步接口间数据由中间表写入正式表中;定时模式为拉取模式:HR提供数据和接口,IDM平台通过ESB进行服务开发调用HR接口拉取增量数据信息,实现数据的获取后将数据同步至IDM平台,回写HR数据同步成功的状态,标记数据的闭环流程。
注意:整体过程中需要明确字段、扩展字段,如项目中有特定需求,如:历史数据兼容不进行更新等自定义需求,要由项目现场进行标准产品的转化。
4.数据分发
数据分发包含手动分发及自动分发,手动需要人工进行人员信息的完善后触发分发操作。自动分发可依据同步信息自动打包触发分发流程实现数据的分发;分发过程中主要是针对异常情况下的处理,如:分发超出范围的初数据在平台下生成快速回收的任务,调用系统删除接口,将数据进行回收。
注意:如客户有要求需要进行数据删除保留的情况则需要业务系统提供禁用接口,删除时调用的是禁用数据,而在一段时间后调用系统删除接口,实现数据的真实删除。
底层安全
IDM统一身份管理平台底层预置安全机制,涵盖全平台安全管控支持,包含对于XSS攻击机制的拦截,防止SQL注入攻击,避免在页面输入时注入SQL语句造成信息的篡改或泄露,以及在存储方面对于应用密码、数据库密码、人员认证密码进行密文存储,进一步加强平台安全等级。
1.注入攻击
通过把SQL命令插入到Web表单递交、输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,来恶意篡改产品中重要的数据信息,使信息丢失或者受损,导致不可避免的损失。
SQL注入是通过把模糊查询的$条件查询符号改成#号站位符的方式把条件直接变成入参方式拼写成对应的模糊查询SQL。产品中封装了入参类DataParam,所以在执行SQL入参时都会经过此类, 如果入参的类型中含有_like就会把入参格式拼写成"%" value "%"样式,这样生成的SQL就会是模糊查询格式。
2.攻击拦截
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页。当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签引入了一段JavaScript脚本时,这些脚本程序就将会在用户浏览器中执行。所以,当这些特殊字符不能被动态页面检查或检查出现失误时,就将会产生XSS漏洞。
IDM解决XSS攻击是通过Filter拦截来解决,创建一个Filter类在web.xml配置拦截器,只要有页面交互就走此拦截类。
3.密码加密
IDM对于平台内部数据库连接密码、用户登录密码及应用认证密码均进行密码密文存储模式,保证即便是数据库被他人查看也不能获取关键信息相关的密码,进一步增强平台级安全保障。
> > > > 应用认证密码
应用管理主要用于对应用系统进行相关信息的注册和配置,包含应用编码、密码、认证返回参数、认证地址、系统访问地址等,应用所使用的鉴权应用密码为密文存储方式,用户从页面端查看,也只能看到加密后的密码信息。
> > > > 数据库连接密码
IDMserver中包含认证工程CAS、应用管理工程IDM、以及IDM下的BPM,其内部涉及数据库操作连接密码均为密文存储,从而保证即便是熟悉文件配置的相关人员,也无法获取明文的密码信息。
> > > > 用户密码密文存储
平台针对人员和系统用户的信息管理,登录密码统一使用密文存储,在数据库存储层面进一步增强安全保护措施,保证人员和系统用户安全。
传输安全
IDM安全管理除预置存储安全外,在和各个业务系统的对接过程中,敏感信息(例如:密码)保持密文传输,且面向用户认证登录过程中可进行指定用户强制二次登录校验(例如:短信校验),以此增加安全校验系数,并且对于暴力破解登录情况,具备安全认证及管理员监控提醒机制,保证信息数据安全。
1.密文传输
统一身份管理平台需要与管理的各业务系统进行交互及信息的共享,在信息数据传递过程中密码采用密文传输方式,并且根据安全等级的要求,可对其进行非对称的二次加密,保证密码传输过程中的安全。
2.暴力破解
防暴力破解为处理防止用户认证被暴力刷取登录的情况,以脚本的形式进行用户认证操作访问模拟,获取用户登录信息。IDM产品本身就预置了防暴力破解功能,可配置当前用户在规定时间内,可以连续认证失败的次数。如果超过该次数,就会限制当前用户的认证,等待到了规定时间之后,才可以再次认证。并且在发生暴力破解过程中,也会预警给管理员进行通知。
3.二次认证
IDM针对一些有特殊、或者重要权限的账户可以进一步加强安全防护,平台支持二次认证(例如:通过短信认证方式进行二次认证),如:管理员、分级管理员、公司领导账号等。
策略提醒统一身份管理平台除安全校验机制外,同时也可以通过配置,增加一系列安全监控提醒,当出现疑似安全问题,平台可根据策略分别给管理员、分级管理发送信息,实现问题体现预知,摆脱问题处理事后追溯的被动状态。
1.操作监控
IDM 平台中对于数据操作,也可以进行配置相应的监控提醒,特别是对于密码的修改,添加了密码修改监控任务,通过配置相关接收人员,以及人员可以修改密码的次数和相应的解锁时间,当发现失败超过阀值后进行报警提醒,锁定账户一段时间,同时发送消息提醒指定人员。
2.认证策略
认证策略包含四种认证监控场景:异地登录、异时登录、多次登录、多次登录失败。通过几种场景的监控,保证账户良好的认证习惯、以及用户使用的安全。
1.异地登录控制任务:为了防止恶意攻击访问系统,要做到异地登录监控,如果不是本人登录或另一个地点进行攻击访问,可以通过记录用户常见 IP地址,针对登录IP进行排查是否异地登录,如果异地登录则进行报警提醒。
2.异时登录控制任务:异时登录也是安全防护措施中的一个环节,平台记录用户常见登录时间,利用算法分析常见的登录时间段,当用户出现异常时间登录时,记录异常登录日志,同时可按照平台配置的提醒策略对用户/管理员提醒,增加安全体系的健硕性。
3.多次登录监控任务:用户处于异常认证状态,也是安全监控需要注意的地方,同一用户在设定时间内,多次登录,无论成功与否,都会被列为疑似问题账户,会给指定用户、管理员发送信息进行提醒。
4.多次登录失败监控任务:用户处于异常认证状态,同一用户在设定时间内,多次登录并失败,直接会被划定为问题账户,进行账户锁定,等待到达设置的规定时间,才可以进行使用,同时在被锁定时,发送给指定的管理员和用户进行提醒。
3.同步策略
IDM核心功能为统一用户管理,同步流程也是其核心的第一大流程。在数据同步中如果出现异常情况需要进行平台制监管,因此通过同步失败检验监控任务配置相应的同步字段规则、失败次数、提醒内容、以及指定的提醒人员和方式,实现对同步流程的监控,监管异常同步流程,发送给相关负责人,进行干预处理。
4.分发策略
作为平台核心流程的第二大流程——分发流程,是对下游系统数据的同步,保证系统内的数据(统一管控的数据)和IDM保持一致,针对分发过程的监管也异常重要,通过分发失败校验监控任务配置相应的分发字段规则、失败次数、提醒内容以及指定的提醒人员和方式,实现对分发流程的监控,监控异常分发流程,发送给相关负责人,进行干预处理。
预警提醒IDM平台除预置安全机制管控外同时预置平台预警提供功能,通过监控看板对异常阈值的情况结合策略配置要求,给予管理人员相应的预警提醒,避免问题发生后由用户方反馈才可发现问题,使管理人员一直处于被动模式,结合平台预警功能实现事前有监管,事中有提醒,事后可追溯。
1.安全预警
IDM平台提供各报警日志的查询功能,可从认证相关报警统计图标双击跳转,跳转后页面显示认证相关报警日志查询列表,同时根据策略信息类型判断是否弹出查看提醒日志还是查看报警日志。
1.查询列表字段有:策略编码、策略名称、用户编码、用户名称、触发IP地址、发生信息状态、触发时间、错误信息。
2.查询条件有:任务批次、策略编码 ,策略名称,策略IP地址。
2.同步预警
IDM平台提供同步数据相关报警日志查询功能。可从同步数据相关报警统计图表双击跳转至同步预警查询功能。该功能主要对同步预警相关信息进行查询。
1.查询列表字段有:策略编码、策略名称、用户编码、用户名称、触发IP地址、发生信息状态、触发时间、错误信息。
2.查询条件有:任务批次、策略编码 ,策略名称,策略IP地址
3.分发预警
IDM平台提供分发数据相关报警日志查询功能,可以通过分发数据相关报警统计图标双击跳转,分发预警查询功能主要对分发预想相关信息进行查询。
1.查询列表字段有:策略编码、策略名称、用户编码、用户名称、触发IP地址、发生信息状态、触发时间、错误信息。
2.查询条件有:任务批次、策略编码,策略名称,策略IP地址。
4.管理预警
IDM平台提供操作管理相关报警日志查询功能,该功能可从在操作管理相关报警统计图表跳转。操作管理预警查询功主要对操作管理相关信息进行查询。
1.查询列表字段有:策略编码、策略名称、用户编码、用户名称、触发IP地址、发生信息状态、触发时间、错误信息。
2.查询条件有:任务批次、策略编码 ,策略名称,策略IP地址。
5.监控统计
IDM平台提供对预警情况,以及预警次数进行统计,可以直观的进行查看,从而了解配置策略的实际使用情况,还可以根据情况进行问题分析,并对预警多次尚未处理的内容优先进行处理,直观而又方便地对预警情况进行回馈,处理。
产品价值随着数字化建设的深入推进,各单位期望将原先多种渠道下的用户做统筹管理,从而形成用户中心、认证中心、权限中心、审计中心等通用共享功能模块,通过统一身份5A管控平台的搭建,能起到加强身份管理、实现精准授权、实现统一认证、审计业务风险、加强应用管控的目的。
1.身份管理
实现对IT系统帐号基础信息的标准化管理(包括用户身份信息、机构部门信息、其他公司相关信息以及生命周期信息等),能够为各IT系统提供基础的用户信息源。通过统一用户信息维护入口,保证各系统用户帐号信息的唯一性和同步更新。
2.精准授权
实现统一的授权管理,对所有被管应用系统的授权信息进行标准化的管理,减轻管理员的管理工作,提升系统安全性。通过统一身份管控系统,管理层可便捷地对用户权限进行审查,确保用户授权的精准性。
3.统一认证
AEAI IDM身份管理平台通过建设集中的认证系统,为拥有多帐号的用户提供方便快捷的访问途经,使用户无需记忆多种登录用户ID和口令,它通过向用户和客户提供对其个性化资源的快捷访问来提高生产效率;并结合集中帐号管理的相关功能,实现用户密码管理,密码自动变更,提高系统认证的安全性。
4.风险审计
IDM身份管理平台提供集中的日志审计,能关联用户的操作行为,对非法登录和非法操作快速发现、分析、定位和响应,为安全审计和追踪提供依据。通过集中的日志审计,收集用户访问应用系统、网络设备、主机、数据库等操作日志记录,并对日志记录定期进行审查,满足内部控制规范中关于日志审计的需求,真正实现关联到自然人的日志审计,便于防范业务风险,追溯问题所在。
5.应用管控
通过人员、信息、流程、应用系统的全面整合,打通各业务系统,整合系统资源,实现针对应用系统的访控制。集中展示用户所拥有的访问权限,按照事先设置的策略,实现应用系统访问控制的功能;搭建认证及单点登录平台,实现多应用系统之间安全的单点登录与退出。
随着当前数字化的快速发展和深度改革,为了能够进一步提升企业客户体验和内部管理效率,应对更为复杂的安全挑战,身份认证体系的建设正日益变得重要,需要企业和组织进行持续性的规划和投入。本文从统一身份管理项目核心的几个方面进行全面的分析,覆盖了身份管理、登录认证、访问控制、权限管理、审计风控等内容。
数据经济时代,数据治理、大数据分析等项目占据了企业内部建设的主要位置,一定程度上削弱了企业内部对统一身份的管理,统一身份管理做为企业信息化IT治理部分的基础,是每个企业信息化建设的必经之路,也会为后续信息化建设奠定基础,不与其它数字化建设手段冲突,同样应该被企业所重视。
本文由@数通畅联原创,欢迎转发,仅供学习交流使用,引用请注明出处!谢谢~
,