中国石化统一身份管理系统
  • 2021.11.22
  • 25034
  • 石化盈科信息技术有限责任公司
 一、案例背景:
中国石化是世界最大的一体化能源化工公司之一,下属百家企业,分布在全球各地。企业员工众多,经常发生人员流动及用工类型的调整,为信息系统管理工作带来了极大的不便。下属百家企业分别从事石油与天然气勘探开发、开采、管道运输、销售以及石油炼制、石油化工、化纤、化肥及其它化工生产与产品销售、储运,涉及到智能制造、管线运输、生产与经营等多种类型信息系统的建设,信息系统数量多、范围广,信息系统的账号管理流程非常复杂,各个信息系统的账号没有进行统一的管理和审计,功能完善度、管理便捷性和系统安全性已无法适用日益增长的业务需求。

同时,由于应用系统繁多,各自独立,认证方式多样,因建设时间不同对信息安全要求的水平也不一致,口令分散存储在各应用系统中,无法做到密码定期修改和强密码策略限制,用户也很难记住这么多的系统账号和口令,从而弱口令大量存在。即使有些应用通过门户访问,也是通过口令代填方式实现单点登录,系统存在很大的安全隐患。

在中国石化信息化水平快速提升的进程中,用户对应用系统的依赖程度越来越高,用户因业务需要而使用多个应用系统的情况也越来越多,用户管理是应用系统建设、管理和运维工作的一个重要方面。传统的独立实现、单独管理的用户管理模式不仅使各应用系统运行的总成本不断上升,同时也提高了管理的难度,带来了安全风险。

如何通过用户身份与认证的集中管控,避免因分散建设、独立管理的用户管理模式带来的安全风险,最终实现“统一身份、集中管理、简化应用、保障安全”的总体建设目标,使得中国石化统一身份管理系统显得尤为重要。针对中国石化身份管理及统一认证的业务场景特点,建立用户全生命周期的统一集约化管理及统一认证,对完善中国石化信息安全体系架构,全面提升信息系统的IT管理能力有着十分重要的意义和作用。
 

二、案例概述:
“中国石化统一身份管理系统”(以下简称系统)建设的总体目标是“统一身份、集中管理、简化应用、保障安全”。在总体目标的框架下,系统与人力资源系统实现“数据贯通,人事联动”,成为国内首家打通人事数据-IT身份数据、全集团用户身份集中管控、全集团信息系统标准接入的大型集团企业。由此建成中国石化权威的用户管理系统和认证中心,为中国石化所有应用系统提供实名制用户管理服务和安全便捷的统一认证服务,实现全集团应用的单点登录,即用户一次登录可访问有权限的所有应用系统。并基于统一系统对用户登录行为进行统计分析,提供事前预警、事中访问控制、事后责任追溯审计等功能,全方位提升中国石化信息系统用户管理和访问安全。

主要技术目标如下:
  • 电子身份、实名管理
系统与人力资源数据联动实现企业员工电子身份实名制管理,同时对非正式员工的电子身份也进行集中管理。
实现对员工、供应商、合作伙伴、外协人员等各类用户使用石化信息系统、访问石化数字资产过程的统一管理,做到“管理留痕,访问有踪”。

 
  • 贯通数据、赋能业务
实现与人力资源系统的入职、转岗、调动、离职等人事事件联动,为业务系统提供统一账号管理服务,为用户提供个人信息维护及展示的自助服务入口。
支持多种标准认证集成协议,为业务系统提供统一认证及单点登录服务,为用户提供多种强认证手段。
兼容不同技术体系的应用系统集成,包括SAP、Microsoft AD、 IBM Domino等商业产品及定制化开发的业务系统。

 
  • 提升管理、便利用户
通过用户身份信息、应用账号信息、用户访问行为等多个维度进行统计分析,提升中国石化身份和认证的安全管理能力,为集团信息安全管理提供有力抓手。
通过为用户提供多种双因素认证手段,实现一次登录可访问有权限的所有应用系统,提升用户操作体验。

 
  • 动态防御、保障安全
系统作为中国石化身份安全的基础设施,补齐应用系统的身份管理和认证安全的短板,提升应用系统的账号管理和认证安全能力。
在历年护网行动和重保期间,通过及时的发现、分析和处置各类用户身份、认证事件,为中国石化信息系统安全管理提供了重要支撑,取得了良好的应用效果。经受住了实践的检验,有效地避免了因用户身份和认证造成的安全风险和经济损失,保障了中国石化关键基础设施的平稳运行。

主要研究内容及指标如下:
  • 构建基于实名制的统一身份管理系统,集成人力资源系统,实现信息系统用户一人一账号,确保系统操作追溯的可靠性、准确性。在系统上集中管理用户密码策略和应用账号供应策略,做到安全策略标准化、规范化。支持多种标准认证集成协议,为应用系统提供多种强认证手段,为企业内控管理和等级保护建设提供技术保障。
  • 构建基于用户行为数据收集、分析、评估的风险管控系统,对用户行为数据进行集中的建模分析,评估因用户异常行为带来的安全风险,提供“身份识别-异常发现-联动处置-取证溯源”的风险管控能力,对企业内有关身份安全事件形成有效管理,提升安全防护能力。
  • 构建面向外部供应商、经销商等互联网用户账号和认证集中管理的外部用户管理系统,提供符合互联网特性的外网身份管理及认证服务。
  • 建设统一认证移动客户端,提供基于移动设备的国密证书扫码、国密证书OTP、手势、指纹等强认证手段和用户信息自助服务能力,增强统一身份认证安全,提升用户体验。
 
安全技术应用情况:
系统实现了信息系统用户身份的全生命周期管理,提供了信息系统账号与自然人岗位变更自动化处理流程及集中认证服务,并对用户行为进行分析和风险评估,保障用户身份和认证安全。系统建成后,中国石化将成为国内首家打通人事数据-IT身份数据、全集团用户身份集中管控、全集团信息系统标准接入的大型集团企业,为集团网络安全管理水平的提升奠定了基础。
  • 身份全生命周期管理
 

 
 
系统为全集团信息系统提供基于实名制的全生命周期管理,结合人事系统中人员和组织变动信息,同步调整用户在集成信息系统中的账号状态,实现信息系统账号与自然人岗位变更自动化处理流程及集中认证服务。
系统为多种用户类型提供管理策略,用户类型包括正式员工、非正式员工、合作伙伴用户、供应商用户等。提供统一的账号开通、修改、冻结、解冻、注销以及账号和密码修改、重置等用户自助服务和集中管理的自动化流程服务。
系统根据集成应用的类型制定了不同的账号同步策略,为成熟的商业产品如AD、SAP、Domino等提供了实时推送的适配器,为自定义开发的应用系统提供了消息订阅服务,应用系统可根据需要同步更新账号信息。
在系统建设过程中,形成了《中国石化信息系统账户管理办法》和《中国石化统一身份消息订阅(账号同步)集成指南》、《中国石化统一身份身份认证集成指南》等标准规范,并依据规范要求,对无主账号,弱口令进行了全面清理,提升了信息系统身份的安全性。全面梳理几十万AD账号,实现与自然人的实名制绑定关系,并将AD作为业务系统集成,实现了AD账号的自动化供应。

 
  • 统一认证集中管控
 
 
 
系统在实现了对员工统一身份管理的基础上对应用提供应用接入、统一认证、单点登录等功能。中国石化应用按部署区域和服务范围划分可以分为面向互联网用户的外网应用、内部云应用和生产云应用。对于内部云应用和生产云应用,系统通过应用系统标准接入框架提供多种集成接入规范,提供对移动终端APP、PC端应用等不同类型的应用的支持。对外网应用系统提供标准的JWT接口以支持内部员工统一账号UID验证和员工数据认证服务。
系统提供了多种双因素认证手段,除了用户名密码之外,还提供了动态口令、短信、数字证书等方式与用户名密码组合,为应用系统根据不同的安全要求提供灵活的安全认证服务,用户也可以根据需求选择不同的认证组合方式,提升用户使用的便捷性。提供便捷的认证手段扩展能力,未来系统扩展新的认证手段,已集成的应用系统可直接通过配置即可使用。
系统在建设过程中,研制了多区域中心会话共享技术,一旦某个区域中心发生故障,则通过预定策略由总部或其它区域中心的节点接管认证服务,保障认证业务的连续性和高可用性。

 
  • 操作与认证日志审计
基于系统对用户登录行为进行统计分析,提供事前分析预警和事后责任追溯审计等功能,整体提升中国石化信息系统用户管理和访问安全。在企业内部信息系统运行管理、合规状态监控、安全事件追溯方面,提供第一手的数据。

用户身份数据统计

应用日认证TOP10
日认证时间分布

 
  • 行为风险实时管控
建立用户行为风险检测体系,搭建基于AI技术的用户大数据分析模型,对用户行为进行自动化审计和风险评估,挖掘账号异常认证风险,提升系统安全防范能力。
系统基于用户行为数据的采集、汇总、分析后,形成用户画像,结合地理位置、办公时间、用户活跃度等风险规则检测策略,完成对当前用户行为带来的风险进行动态评估,在事中对风险进行实时管控,提供风险事件、审计报表的展示,提升信息系统的安全性。

 
  • 应用集成与推广

 
系统通过应用集成提高了用户体验与身份管理水平,简化应用系统在用户管理方面的开发工作,解决因应用系统增多导致用户应用账号增多从而引发的企业安全隐患,实现多个信息系统中的用户身份、用户属性、用户行为、用户生命周期的统一集约化管理。

系统与各业务系统通过统一的接口服务实现集成,统一接口服务包括、账号和组织机构同步接口、认证和单点接口服务接口。
系统有效地管理了中国石化的用户账号,建立了人力资源管理系统与各应用系统用户账户的协同联动机制,实现了一套用户信息集中管理、多系统共享、一套用户名密码、多系统单点登录的管理模式。
 

四、客户反馈效果:
  • 系统建设完成后,成为中国石化信息系统安全基础设施之一,主要管理效益如下:
  1. 采用总部统一规划建设的统一身份管理系统进行账号管理、统一认证以及单点登录集成,消除信息孤岛,方便用户访问多个应用系统,通过多种认证方式提升系统安全,改善用户体验。借助于个人工作台或门户系统实现单点登录,目前已完成上千个应用集成,集中管理上千万应用系统账号;
  2. 集中管控账号安全策略,规避非法账号存在以及弱口令等安全事件的发生,提升中国石化信息化安全管理水平。通过系统的同步和回收机制,实现SAP系统、公文系统和AD系统的密码同步,消除长期存在的弱口令安全隐患,对非法创建的账号回收后予以禁用,杜绝应用系统私建账号及僵尸账号长期存在的现象;
  3. 将系统建设得更加坚固、稳定,具备更强大的服务能力,提升中国石化基础系统的管理能力,目前已建成北京主认证中心和胜利油田、上海、广州、武汉、成都5个区域认证中心,构成强大的认证服务云,提供高效可靠的、不间断认证服务;
  4. 扩大系统应用管理范围,使更多的企业和应用实现用户身份统一管理和认证,推进中国石化用户规范管理的进程。已集成应用上千个,推广至中国石化下属百余家企业;
  5. 以中国石化云平台为基础,服务于云平台上的各类应用,并为更多集成应用提供全生命周期、实名制身份管理服务;
  6. 统一规划和建设,基于中国石化用户管理与身份认证应用规范实施,为信息化规范管理打下坚实基础。
系统已在中国石化百万量级用户、数千应用系统、日均近上百万认证登录的复杂场景下得到充分验证。
 
  • 集中建设身份管理和认证管理系统避免了各系统重复建设,节约了时间和经济成本。
通过扩大应用集成范围,推广实施更多企业的应用系统,提高了信息系统用户身份管理及认证访问效率,降低信息系统用户管理和认证模块的开发成本。由于采用了统一身份系统提供的用户管理和安全的多因素认证模块,应用系统降低了开发成本。

按照目前应用系统接入上千个数量计算,系统已实现节约投资几亿元,随着信息系统不断地集成接入,越来越多的信息系统集中在一起实现统一管理和认证,系统仅需要扩展计算和存储资源,经济效益将更加显著。

  
本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝