刘蓉蓉 梁文佳 陶启果

（广州广合科技股份有限公司，广东 广州 510730）

0 引言

近年来，世界各地数据泄露等重大信息安全事故频发，其中包括一些提供社会公共服务的大型门户网站、地产、金融及制造等领域的机构与企业。在印制电路板（printed circuit board，PCB）行业中，仍有不少企业的网络安全防范只关注物理环境和网络环境，对企业内部用户违规操作和异常日志风险预警缺乏有效的统一管控手段。通过了解分析各种信息安全事故案例，发现多数安全风险实际上源自内控不严谨，导致内部信息泄露或被外部攻击窃取数据与安全后门。PCB 企业的报价、客户图纸、供应链资料及设备运行对接等机密数据的泄露都会直接威胁到企业的经营安全。本文从现状与问题、建设可执行目标、建设可受控平台及建设可持续调整的规划4 个维度进行解析，讨论如何通过管理提升企业效率和信息安全。

1 现状与问题分析

随着PCB 行业技术及业务发展，需要加快信息化建设，为企业的快速发展提供助力，同时也对身份安全的规划建设提出了更高的要求。当前各个信息系统除部分支持集成域账号认证外，更多是分别采用了不同的用户管理体系，用户账号孤立分散在各自的应用系统中，难以实现统一管理和建立安全标准，在信息安全和运维管理上存在各种风险隐患，此类身份安全风险问题亟待解决。如图1所示。

图1 公司数据泄露风险

（1）调岗或离职用户隐患。用户在各系统的身份和访问权限未能完全统一管理，依赖于运维人员手动对用户权限进行变更和注销，无法保证各应用系统中的员工账号及时同步变动。

（2）系统运维人为隐患。运维人员在管理用户、授权及权限变更等方面需花费较多时间，大量的用户数据存放冗余。如何快速调整因业务原因造成的用户变更，避免运维人员人为错漏造成安全风险是目前所面临的问题。

（3）平台入口管理隐患。缺乏统一的平台入口管理，登录认证缺乏有效的策略监控。各业务系统多数采用用户名加密码的认证方式，该方式单一且简陋，甚至没有强制要求密码复杂性的策略设置，无法保证所有密码设置都符合复杂密码的要求。对人脸识别、指纹等不同的安全认证方式，难以结合实际场景做到便捷式组合认证，存在安全隐患。管理员需管理众多账号来满足日常职位需求，包括邮箱账号、各应用系统账号、文件访问账号、上网账号、设备登录账号等。用户日常账号过多不仅影响用户使用体验，同时加大系统运维人员的工作量，影响企业可信度以及经营效率。

（4）新建业务系统隐患。非集成域账号认证在新建业务系统时，需新建用户管理体系，重复建设造成了信息技术（information technology，IT）资源的浪费，用户体验不佳，而且零散的用户管理体系给过程审计带来了非常大的难度，制约了业务的发展。

（5）用户种类繁多带来的隐患。用户种类包括外来人员和企业内部人员。企业内部用户包括正式员工和临时员工，外来人员包括外包商用户、实施商用户、互联网用户及云端用户等。目前暂无系统对所有内、外部各种类型用户进行统一管理，存在一定的安全风险。

（6）基于角色的访问受控不足带来的审计隐患。缺乏用户登录系统过程中的风险预警与防范、事中的访问控制以及事后的异常日志监控等智能化风险识别技术手段和管理机制。登录系统过程中的风险主要包括缺少多因素认证，事中访问控制隐患主要在于账号全生命周期未能实时且自动权限受控。因此需要对用户认证和访问行为做集中可视化管理视图，便于及时发现异常行为和采取防范措施，并做到实时审计。

2 建设可执行目标

企业需要将身份安全治理纳入组织战略规划中，并真正做到有效落地。组织需要合理划分每个人员的岗位职责和权限安全边界，确保合适的人在合适的岗位，有适当的职责与访问权限，并结合不同发展阶段定期审核查验权限配置的合理性，同时对权限分配机制以及用户访问行为进行统一的入口管理，如图2 所示。确保对人员及其访问权限做到及时预警、事中实时控制和事后异常日志管控。

为促进各系统的融合，给用户提供更加友好的系统使用体验，需要为不同用户种类提供集中生命周期管理服务，解决应用系统增多导致用户身份证明（identification，ID）增多带来更多安全隐患的问题。实现各信息系统中的用户身份、用户信息、用户行为和用户生命周期的集约化管理，提供完善的审计监控体系，为决策层提供有效的统计和分析数据。建设目标如下。

（1）构建企业身份管理规范化体系，确保身份的信任级别。减少因人员身份管理不规范带来的信息安全风险及经营风险。

（2）单点登录（single sign-on，SSO），用户只需向网络认证验证一次身份后无需其他验证，即可访问被授权的企业资源，包括打印机、其他硬件、应用系统、文件、上网和其他一切基于角色的资源。解决用户多账户、多密码等痛点，提高用户满意度与体验度，减少开发人员和运维人员的工作量。

（3）加强访问认证管理，支持多因素认证模式，包括创建、发布和管理用于认证身份的信息。应用程序和系统登录认证包括用户名和密码、动态密码、数字证书、生物识别技术等。企业间数据交互认证包括秘钥、数字认证等。

（4）用户权限全生命周期在可控状态，包括基于角色的访问控制和强制访问控制。基于角色的访问控制可杜绝运维重复设置用户管理体系，以及未及时变更用户权限造成的人为漏洞；强制访问控制可杜绝在无人看守桌面时的单点登录，避免所有授权的应用系统都可访问导致的信息泄露。

（5）保障企业信息安全符合国家相关规范，实现管理合规、技术合规、政策合规及审计安全。

3 建设可受控平台

建设统一身份管理平台，将分散的用户和权限资源进行整合、集中管理，实现用户权限的全生命周期监管，如图3所示。

图3 管理平台应用

（1）建立统一用户信息全景图。实现组织范围内的组织结构及人员分布的实时查询和展现。实现员工信息与人力资源（human resources，HR）信息一致，为企业应用提供权威、实时的用户信息，并支持与其他的信息源同步。

（2）建立融合认证与风险相结合的智能登入机制。通过集中管控各类型安全认证方式，智能识别不同类型的访问风险，针对不同认证能力进行管理赋能。

（3）建立实现面向各类型应用的统一身份管理平台。例如采用提供给不同客户端（跨平台客户端）调用网页的应用程序编程接口技术（web application programming interface，WebApi），做到访问权限全生命周期的自动化管控，实现账号的自动创建与注销，有效规避多次手动输入关键秘钥操作造成的安全后门漏洞，提升流程效率与用户体验。

（4）加强对不同终端设备及行为特征的统一管理。例如对掌上电脑（personal digital assistant，PDA）、平板电脑、手机等各种移动设备进行全生命周期的自动化管理。支持设备访问控制管理，禁用或者丢失的设备将无法进行登录和使用，从而达到保护核心数据安全、杜绝企业核心资源及个人信息泄露的目的，提升企业经营可信度。

（5）IT 集中管控，应用系统共享用户信息，做到信息技术平台的标准化、规范化和高敏捷化。

（6）加强信息安全监管，提高安全、合规审计的效率与效果。做到自动化的数据采集和自动报表生成，节省审计成本，提高安全审计的效率和效果。

4 建设可持续调整的规划

PCB行业信息资产安全管理的核心管控手段，可使PCB 企业间及企业内部信息高效连接一切。建立智能化、标准化、可控化的统一身份管理体系，如图4所示。总体规划建设可分为3个阶段。

图4 身份管理系统

4.1 基础平台建设

（1）建立以HR为权威数据源的正式统一身份存储。

（2）搭建身份供给系统，接入正式应用和试点应用。

（3）搭建身份自助服务台。

（4）梳理和制定内部用户管理规范。

4.2 平台功能提升与关键应用集成

（1）完善身份管理功能，包括权限管理、异常日志报表、流程自动化等。

（2）实现单点登录、内部账号集中管理、认证管理和访问控制。

（3）建立融合认证和风险警告机制。

（4）建立统一的平台运维服务体系。

（5）完善内部用户管理规范。

4.3 外部用户使用

（1）外来用户身份管理平台搭建。

（2）外来业务接入身份管理平台。

（3）外来用户身份管理平台运维服务体系建设。

（4）接入云身份平台，享用云端服务。

5 结语

《中华人民共和国网络安全法》明确指出：国家实施网络可信身份战略，网络可信身份认证体系是网络安全的核心。网络可信身份管理体系是PCB 企业依法、规范、安全、高效运行和稳健发展的基础，对于推动智能制造也具有重要的意义。通过不断学习，并参与统一身份管理系统的开发，结合实际企业管理思路对身份管理、单点登录、访问受控和多因素认证技术实践经验进行总结，供业内参考。