◆白 涛

(中国移动通信集团陕西有限公司 陕西 710077)

基于统一身份管理的企业安全体系架构的设计和实现

◆白 涛

(中国移动通信集团陕西有限公司 陕西 710077)

近些年来，我国经济社会发展日新月异。作为国家经济的主要承载体，各种企业的发展向着更集约化、信息化、科学化的方向发展。这一发展趋势在我国国内乃至世界范围内也已经成为主流。对于企业来说，在发展过程中，合理地利用现代化管理系统和技术，以提升企业的管理水平、综合运营水平、信息安全水平，是未来企业发展的必然方向。计算机的快速发展给企业办公和管理提供便捷和高效，但是各种安全问题依然层出不穷。本文以各种IT办公工具的主要使用和操作者为入口，针对企业员工构建员工信息管理数据库和身份证认证系统，借助于此将企业运营中各类安全系统有机结合起来，从而加强企业安全体系构架，方便统一管理，也可以有效地降低成本并提升企业整体的运作水平。对于目前国内企业基于统一身份管理的企业安全体系架构的设计和实现有一定的参考价值。

企业安全体系架构；统一身份管理；信息安全管理

0 引言

二十一世纪以来，全球范围内信息技术和通信行业的飞速发展，现代化企业对于企业IT基础构架的建设的依赖性越来越强。尤其是在一些国际公司或者国内的大型公司，企业本身安全体系的架构建设已经成为必然趋势。本文作者结合企业实际，分析并探讨了当下企业基于统一身份管理的安全体系架构的设计和实现，对于实际工作中的问题进行分析，对于目前国内企业统一身份证安全体系构架的设计部署有积极的参考价值。

1 企业统一身份管理的安全体系架构设计

1.1 体系构架设计

企业统一身份管理的安全体系构架设计是建立在企业功用需求基础之上的，不能盲目套用，更不能不切实际。因此在架构设计的过程中应该遵循以下准则和标准：

（1）必要性准则：企业统一身份管理安全体系对于大多数企业来说有着加强管理，提高运作效率的积极作用，但也不能一概而定。目前国内企业数量众多，企业体制和实际的运营状况复杂，在该体系的选择之上，也应该结合实际。

（2）适用性准则：企业统一身份管理安全体系的构建一定要紧跟企业实际去设计。目前国内该系统的使用企业很多，但是又不尽相同。这就是因为不同的企业在本身的企业架构设计上、管理组织设置上、企业运营部门设置上都存在差异。因此在企业统一身份管理安全体系的构建之上，一定要紧跟企业实际情况来设计构建，保证系统在企业的良好适用性，发挥其应有的效果。

（3）扩展性原则：虽然企业统一身份管理安全体系的构建是按照当前情况为主而选择设计的，但是也应该综合考虑到企业今后的发展规划，将其纳入到选择设计对照指标当中。这样才能兼顾全局，也不至于在使用过程中因为本身公司的扩大发展而更换系统。也能有效地降低成本，发挥该系统的作用。

1.2 统一身份管理系统的实现

为了有效直观地阐述身份统一管理系统结构建设，本文特选取国内某知名企业为例，方便研究分析。

（1）系统结构设计

结合该企业的管理体系和管理边界需求，设计出统一身份管理系统的层次架构，如图1所示。根据实际的需求，建立子域名以及管理框架图。

（2）信息储存

统一身份管理系统数据存储一般是上传存放在域控制器的服务器上。可以方便管理员和授权用户随时随地获取管理体系统数据。一般情况下所存储的数据信息可简单分类为以下三种：第一种：基础配置数据，包括统一身份管理系统数据拓扑结构等基础数据信息；第二种：架构数据，架构数据指的是数据库中所有目标对象及其属性的信息，常见的包括计算机账户、用户、安全管理等；第三种：域数据，指的是域中目标有关信息。

图1 统一身份管理系统的层次架构

（3）信息同步

统一身份管理系统中信息同步指的是将上面存储的信息，包括域信息、基础配置信息、应用程序信息、架构信息等利用技术手段实现数据同步的功能。一般的同步系统有的是在特定的计算机上实现更新的，有的是在系统内的任何计算机设备上都可以实现更新的。相对来说，第二种使用的更为广泛。因为比较来说，在系统内的任何设备上都能实现更新的系统在可用性、容错力上更加优秀。即使某台设备出现问题，也不会影响到更新工作的进行。

（4）网络发现

客户端感知发现统一身份管理系统的过程我们称之为网络发现。目前市面上所采用的系统都是默认直接加域，并且感知到该系统的。

（5）身份认证的实现

第一步：使用者或者操作者登入系统的时候，系统会将用户设置的密码利用单向函数加密，获得长期的安全秘钥。并将安全秘钥传输到域控制器。

第二步：校对过程，接收到转化为安全密钥的用户密码信息之后，系统将之前录入并存储的客户信息进行比较校验。

第三布：信息反馈，系统校验过程完成之后，会反馈向客户端会话秘钥包括票据。该票据具有一定的实效性，如果票据到期，那么就需要客户重新请求数据进行访问和操作了。

（6）安全系统

容错性：该系统在设计的时候就全面考虑到容错性的问题，并不是采用单一的控制服务器，一般是拥有多台控制服务器来工作的，这样即使出现控制器损坏和故障的情况也不会影响系统的正常运行和使用。

灾难恢复：灾难恢复对于保护系统数据安全有非常重要的作用。一般情形的灾难恢复包括以下几种情形：

1.复制还原：该系统在应对灾难的时候具有较强的恢复性，灾难发生后，即使只有一台控制服务器是正常的，都可以通过复制和还原系统恢复到当前状态。

2.强制性还原：该系统的还原装置还可以直接锁定到之前的某一时间坐标进行还原，可以将系统数据和状态还原到该时间坐标下的状态。

（7）KPI

企业统一身份管理系统的强大功能也可以帮助企业建立自己的KPI数据考核机制。

2 终端部署实施步骤

在统一身份管理系统中终端部署一般分以下几个步骤进行：

第一：准备阶段，包括针对用户进行培训、终端部署环境测试、账号信息通知发放等；第二：更新阶段，对于操作系统和软件进行系统更新升级；第三：终端入系统，该阶段进行系统配置修改和终端加入系统的过程。

（1）创建账号：结合系统与公司实际的管理需求创建用户账户信息。针对不同员工属性进行区分，比如在某些企业是有正式员工和非正式员工的区分，在建立的时候就需要区分。创建成功的账号需要及时通知到员工本人。

（2）测试环境：确保正式的工作能够顺利进行，必须在实际应用之前对机器进行全面测试，包括：网络、兼容性、系统版本测试等。

（3）使用培训

组织员工进行系统操作的学习，包括视频学习、资料文件学习、实际操作培训学习等，确保对机器的安全合理使用，提升个人工作效率。

（4）终端设备信息采集

确保系统的顺利安装和使用，需要提前对使用的终端设备进行数据采集，方便后面工作的开展。

（5）数据备份

有的终端系统不需要安装或者升级操作系统的，不需要进行数据备份。

针对需要进行系统升级或者重新安装的终端，需要进行用户数据备份。一般情况下可以采用一些备份或者数据迁移工具来快速安全的实现。

（6）系统安装、更新

安装过程一定要符合系统部署的统一标准，不得擅自应用不符合标准的系统或者软件。

3 结束语

统一身份管理系统的架构和实现对于企业实际的运营效率、运作水平都有很大的提升和改变。但是伴随人类信息技术的发展、企业运作需求的发展，该系统还需要不断地革新和进步。这就需要广大的研究人员积极探索和创新了。

[1]李佳临.基于云国家的统一身份认证系统的设计与实现[J].国土资源信息化，2016.

[2]陈茂流.基于 NFC 的统一校园身份管理系统设计与实现[J].上海交通大学，2015.

[3]徐猛.基于KPI技术的企业统一安全认证平台的设计与开发[J].北京工业大学，2015.