BIM身份管理平台

1.  产品定位

1.1.  产品定位

BIM提供用户电子身份全生命周期闭环管理,实现用户信息集中存储以及用户在各应用系统中账号的集中管理。平台通过供应引擎,为应用系统提供组织机构及层级、应用账号、数据字典等数据的实时同步。平台为每个用户创建一个主账号,将用户在各应用中的账号与主账号关联。用户可在平台上维护个人信息、查看个人权限,提交账号、权限申请,经工作流审批通过后,平台自动为用户开通账号或权限。用户还可在平台自助修改密码以及通过邮箱或短信等方式自助找回密码,密码更新后实时同步到各应用账号中。BIM作为基础安全平台,通过开放、标准的身份集成接口,为业务应用提供规范化的身份安全管理服务,实现对业务应用的统一用户管理、统一权限管理和统一审计管理,解决众多应用系统独立管理、维护带来的运营效率低、用户体验差的问题,整体提升企业信息化体系的安全防护能力。

1.2.  名词术语

  • 应用账号:用户在应用中的身份,通常指用户在应用中的账号,也包含用户访问权限。
  • 应用权限:指应用账号所具备的访问权限,通常对应一组属性。
  • 身份生命周期管理:管理和维护用户数字身份的全流程技术。身份生命周期管理包括身份同步、配置、撤销和对用户属性、凭证及权限的持续管理。
  • 同步:指用户在各应用中身份的同步,确保用户在多个应用中的身份信息保持一致。当企业发生并购等业务时,需通过数据同步功能实现多家公司身份数据的一致。
  • 撤销:将某用户身份从BIM存储中移除并终止其访问权限的过程。
  • 配置:创建身份,定义其访问权限,并将其添加到ID存储中的过程。
  • 密码重置:BIM允许用户重设密码,将管理员从繁琐的密码重置工作中释放。

2.  产品研发背景

2.1.  环境日渐复杂:身份管理成为安全短板

随着组织业务规模的不断扩大与数字化转型的战略布局,打通信息孤岛,建立内外部用户的数字身份安全管理体系以及应用系统安全接入的统一规范成为数字化转型与提高经营效率及管理水平的必要条件。

由于业务对信息化要求日益提高,应用规模快速增长,企业在不同时期建设了各种类型的系统,如人力系统、协同办公、财务系统、域管理器AD、邮箱等各类业务系统和互联网系统。这些系统的组织架构、用户账号及访问权限孤立分散在各应用系统中。用户类型也呈现多样化趋势,有日益增长的内部员工、外包人员、供应商、外部客户以及互联网用户等不同维度人员,他们被赋予的岗位职责与系统访问权限,与组织的流程效率和风险密切相关,由于缺乏统一的用户管理体系与身份治理机制,造成在流程效率、信息安全、风控管理方面存在诸多风险问题。为此,加强内部控制以及对内、外部人员的持续动态化管控是当前信息安全环境下的必然趋势。

传统信息系统多部署在组织内部,员工仅在上班时间能访问系统,如同有一道安全围墙阻隔着企业外部的各种风险。如今,随着大数据、云计算、移动应用、人工智能、物联网等新兴技术的普及与应用,让业务场景和需求变得复杂和多样化,用户可从任何网络可达的地方访问信息系统,带来更多信息安全管理的盲点与挑战。无论对于内部员工还是互联网用户,在跨平台进行内、外部系统的安全访问与业务融合的场景下,如果缺失完善的身份安全管理机制,难以了解各不同渠道用户的访问行为,会让组织数据资产面临严峻威胁。

在信息安全的整体建设规划中,端点安全、网络安全等往往先行,而身份管理与访问控制被选择性忽略,造成了信息安全短板。身份管理平台是贯穿于组织中全业务流程,解决如何将不同维度的人员纳入统一的安全管控体系,合理控制“什么人”,在“什么时间”,有权限进入“哪些系统”以及在系统中有权限访问哪些关键“数据”,实现对异常访问行为的事前智能预警、事中访问控制以及事后责任追溯。

2.2.  电子身份安全至关重要

网络空间已成为各国争夺的重要战略空间,网络空间对抗态势不断加剧,2018年各国采取多种措施来增强网络防御和对抗能力。2019年,随着当前生产和生活对网络信息系统依赖性的增强,网络攻击事件的数量仍将不断增多,影响范围也将更加广泛。

《中华人民共和国网络安全法》法规明确指出:“国家实施网络可信身份战略,网络可信身份认证体系是网络安全的核心。为深入落实《网络安全法》,2017年下半年,我国会继续加强网络可信身份体系建设。”因此,预计我国安全可控信息技术产品市场将得到爆发式增长,安全可控的国产基础软硬件是保障我国关键信息基础设施网络安全的重要基础。

2019年12月实行的《信息安全等级保护管理办法》V2.0也在信息系统身份鉴别上提出了更为具体的要求:a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;b)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;c)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。

2.3.  BIM应运而生

BIM作为企业级平台系统软件,以数字身份为连接点,打通信息孤岛,建立用户全生命周期的数字身份与账号权限的自动化管控机制,为不同类型应用系统安全接入提供统一规范和统一标准,为组织建立可信的权威主数据中心;提供全局的应用系统和用户权限视图。

3.  产品概述

3.1.  系统架构

图 1系统架构图

BIM平台的身份管理引擎是核心,供应引擎负责将机构、账号新增、修改、删除同步到应用系统;回收引擎负责从上游数据源获取机构、用户基本信息,或从应用种反向获取机构、账号信息用于进行一致性检查;在工作流引擎中处理用户账号申请、审批流程;在报表引擎中处理内置、或定制化的报表;调度作业引擎负责处理一些定时任务。

  • 开发配置平台:系统开发和运维人员进行配置操作;
  • 业务控制台:业务管理人员进行管理操作;
  • 自服务平台:提供与最终用户的交互功能。

3.2.  关键技术

对象建模:灵活、强大的对象建模工具,支持不同应用系统的组织机构、账号或其它资源数据模型的定义。

动态插件:支持通过多种方式将用户属性转换成应用账号对应的属性。支持自定义插件来实现转换,并支持动态部署。

供应引擎:将BIM平台中应用账号实时同步到应用系统中。

供应策略:策略定义工具,可灵活定义组织机构、用户等不同维度对象的策略,满足条件时,平台根据策略自动供应应用账号或权限,无需人工操作。

3.3.  产品运行环境

采用标准的J2EE体系架构构建,部署并运行于标准的Java Web应用环境。支持虚拟机部署;支持Windows、Linux和Unix等64位的系统平台;支持云平台部署;支持docker容器部署;使用JDK 1.6 x64及以上版本Java虚拟机;支持MySQL、Oracle、DB2等类型数据库;支持使用Tomcat、WebLogic、WebSphere等应用服务器,也支持不使用应用服务器,通过内置springboot直接启动。

3.4.  产品应用价值

BIM统一采集所有用户身份,实现各类应用账号的统筹管理,规范组织内外部用户身份管理模式,促进信息化资源整合。同时采用分级分权管理机制,将管理权限下发至各级部门和单位,兼顾统一入口管理与自主管理模式。同时BIM可与权限管理产品融合,实现多维度业务授权与权责分离。BIM通过打通信息孤岛,构建以人为核心的身份安全治理体系,实现对内部人员、外包商、合作伙伴、公众用户等不同纬度用户访问行为的统一风险管控与合规审计,以及实现对所有用户电子身份的自动创建与一键回收,大幅提升用户体验及工作效率,同时可有效规避手工操作造成的安全后门隐患,并有效控制IT资源重复开发。

4.  产品优势

产品完全自主研发,安全可控,支持国密算法,已成功应用于多家大中型行业客户;轻量级产品架构,支持多种部署模式,产品的适应性、扩展性、灵活性强,更贴近客户多样化业务需求;适配国内特色用户场景,例如多组织机构树管理、一人多账号、多人一账号,支持细粒度权限管理等;前沿的解决方案,最小化改造成本,满足客户现时和未来业务发展需要。提供100%原厂专业服务,快速响应客户需求。

产品集中管理用户在各应用中的账号和密码信息,密码信息的安全性关系到整个系统的安全性。产品提供密码策略设置,包括密码复杂度要求、密码修改策略、密码过期策略和密码重置方式。密码是加密后存储的,内置支持AES、SM4等对称加密,内置支持SHA系列以及SM3单向HASH,支持加盐。同时也支持其它加密算法(例如其它国密算法等)。

5.  产品功能介绍

图 2功能架构图

组织机构与用户对象建模:从企业组织机构与用户的基本属性,扩展定义企业特有的属性。定义属性的数据类型,长度,默认值和显示方式等。

应用管理:管理应用的名称、代码、图标等基本属性以及应用的供应模式,如果通过接口直接供应,还需要维护应用接口的连接信息。为应用的组织、账号和其它资源进行对象建模。定义对象属性的数据类型、长度和显示方式等。定义应用组织机构与主组织、应用账号与主账号的映射规则。

组织机构和用户管理:管理企业的主组织和主用户,维护用户名、密码、姓名、电话、邮箱和其它基本属性。管理用户所属组织,用户岗位等其它与账号权限相关的属性。

应用机构和账号管理:管理接入平台的目标应用系统中机构与账号数据。

应用资源管理:管理接入平台的目标应用资源,例如应用角色、应用组数据。

用户自服务:用户通过自服务自助申请主账号、申请应用账号或应用权限。经过工作流审批后,自动获得权限。还可以维护个人信息,查看自身权限,查看自身访问轨迹,修改密码,和忘记密码自助找回。

审计与报表管理:管理员与用户操作都会被记录用作审计,包括操作日志、变更溯源、和根据对象查找轨迹。提供组织数据统计。提供分组织的用户数据统计,分类型的用户数据统计等。提供应用账号统计报表,包括应用中无法关联到主账号的孤儿账号,应用中私建的违规账号等。

工作流管理:具备功能丰富的工作流引擎,内置二级、三级审批流程,也支持自定义工作流。工作流作用于主用户、主组织、应用账号、应用权限等对象。

供应任务管理:支持查看应用的组织机构、账号或其它资源的供应任务,查看供应任务状态。若任务出错,查看出错原因,并可对任务选择重试或其它处理方式。

回收事件管理:当从应用反向同步组织机构或账号数据时,可查看回收任务状态,查看回收事件中对象的原始数据,并可对事件选择重试或其它处理方式。

定时任务管理:内置了一些必须的定时任务,可设置任务执行的频率或直接手动执行。也可根据业务需求,灵活地自定义定时任务。

平台权限管理:平台支持基于主组织的分级授权,上级管理员可将管理权限分配给下级管理员,并可设置下级管理员允许管理的组织范围。

6. 产品实施

6.1.  产品典型部署

图 3产品典型部署图