统一把关管好“人”

开篇：润墨网以专业的文秘视角，为您筛选了一篇统一把关管好“人”范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

当企业员工或客户需要访问企业内部各种IT资源时，如何保障用户被方便快速的授予最小但合适的权限?

在应用系统分属不同部门或业务系统的情况下，如何降低运维管理人员跨系统访问时的复杂性并保障安全性?

如何保证用户在合适的时间、合适的地点、合法的访问被授权的IT资源?

在长期而大量的用户管理过程中，如何避免多人共用账号?如何保证账号被及时消除?如何保证账号没有被泄漏扩散?

更重要的问题是，如何在整个企业的IT系统范围内实现对用户访问行为的监督和控制?

企业系统越复杂，以上问题越突出。以中国人寿保险公司为例，整个集团包括总部和全国各省48个机构，网络核心具有500多台设备，包含50多个不同版本、不同功能的业务系统。员工在进行业务操作时需要记住多个业务系统的用户和密码；网管需要多个不同权限的访问，才能维护网络信息系统。这种复杂的关系对人寿的管理和业务发展造成了极大的不便，也隐含着很大的安全风险。当企业的信息系统演变成为企业至关重要的生产系统或生产支撑系统时，而在这些系统中，“人”作为生产要素的实施者和承载者，是最积极也是最难以控制和管理的。

企业面临的这些问题归根结底是企业对信息系统中“人”的管理，包括“人”的身份、认证、权限和行为的管理等。因而，信息安全管理的主体是“人”，只有在安全意识提高，对信息系统操作行为全面控管的基础上，才能构建适合组织本身需求的安全体系，才能从基础层面确保企业的成本不会消耗在处理各种安全问题上。

对症下药

如何才能对企业信息系统中“人”的身份、认证、权限和行为等进行有效管理?笔者认为，对企业信息系统中“人”进行管理需要统一把关。众所周知，一个流程的环节越多，问题也就越多，所以，精减环节往往是提高流程效率的常规做法。统一把关与流程精简的原理类似，如果把所有的管理手段都集中在统一的平台上的话，不仅能够降低成本，而且也具有全面的可视性，降低管理的复杂性。

具体来说，统一把关需要做到以下几个方面：

首先是集中认证及单点登录，即实现对人的强身份认证，以及通过单点登录实现访问各种IT资源的快捷性和安全性。

其次，统一账号及基于自然人身份的全生命周期管理。实现以自然人为单位管理企业内外人员的入职、变更、离职等，实现自然人账号的流程化管理。

其三需要集中授权。从企业整体的角度，企业需要设计并建设企业角色，将其快速的、合理的分配到自然人身上，防止过度授权等情况的出现。

其四，集中访问控制。通过严格的访问策略控制自然人对各种IT资源的登录及访问行为，保证自然人在合适的时间、合适的地点、合法访问被授权的IT资源。

最后，实行大范围的集中审计。企业可以通过全面、立体的监控手段，完成自然人整个生命周期过程的行为的记录和审计管理。

药到病除

企业通过对信息系统中“人”的管理，可以获得哪些直接收益呢?具体来说有以下几点：

可以快速适应人员变化，缩短管理时间：以集中的方式管理企业人员，自动完成IT系统访问所需的配置；

从企业整体IT系统的层面上进行角色授权和访问控制：企业按角色给人员进行最小化授权，确保人员只能访问其被准许的企业IT资源；

提高人员的身份认证强度：将认证方式与自然人进行绑定，并采用动态口令、PKI、指纹等高强度认证方式验证人员身份，确保企业的IT系统被正确的人员访问并且记录；

加固企业的账号漏洞，防止内部的恶意访问：能够以自动化的、批量的方式梳理企业IT系统内的全部账号和口令，保证无用、无效、过期的账号被及时发现和回收，确保企业的IT系统账号安全；

细化和强化人员的授权管理：梳理原有IT系统中的账号和权限关系，建立企业统一的权限管理标准和流程；

实现人员行为全程准确的监控审计：将自然人进入IT系统全部行为进行记录和审计；

符合安全法规要求：使企业符合SOX、HIPAA等重要法规所要求的IT系统的内部控制。

落实到产品

针对用户问题找到了解决思路，下一步就是需要将思想落实到产品上来。比如神州泰岳的Ultra－AMS产品就是这样一款综合管理企业信息系统中“人”的身份及访问安全管理的解决方案。

该解决方案从理顺、简化企业信息系统中“人”的操作流程及规范、约束、控制“人”的网络权限和行为的角度出发，结合企业业务系统的特点，从信息系统“人”的全生命周期管理角度进行企业信息系统“人”的综合治理，从而使企业的信息安全管理达到理想中的“人”的管理。

它集账号管理、授权管理、认证管理和综合审计、安全访问控制于一体，实现了用户账户管理、认证、授权和审计四方面的内在关联，是目前国内功能最完整、控制粒度最细的综合身份认证和访问安全管理产品。

Ultra-AMS采用模块化设计，不但可以根据用户需要和环境特点进行选择、组合，而且可以提供定制化的开发，能够方便地实现与用户应用的有机结合。

对于身份管理产品，如果不能适合客户的IT系统环境，对于使用此类产品的用户不啻为一种“噩梦”，因而许多运维领域的信息安全解决方案提供商不但从产品层面提供服务，而且基于客户的实际环境、运维流程，提供全方位的综合身份管理解决方案。

仍以Ultra AMS来说，它基于神州泰岳对企业业务的深刻理解和多年的行业经验，兼顾现有系统和未来发展，能够为中国企业打造完整的统一用户管理和访问安全。该方案还具有以下特点：符合SOX要求，能够为海外上市企业的内控管理进行有效支撑；先进、完善的整体架构和灵活的功能实现方式，能够对异构的、复杂的IT系统进行统一身份管理；强大的身份管理引擎同步驱动器，能够同步各类账户管理机制。完整的用户账号生命周期管理，并实现账号的集中管理；支持多种强身份认证方式的单点登陆技术，简化登陆操作的同时提高了登陆的安全性；严谨的授权管理，确保最小化授权原则的落实。

此外，它还采用了访问控制网关技术，为企业各类B／S和C／S应用实现了集中的接入访问控制；强大缜密的综合安全审计，为企业提供基于自然人的行为安全审计。