企业级统一身份平台规划建设方案
  • 2021.11.22
  • 7709
  • 越秀地产股份有限公司

当今的大型集团性企业,内部分工日趋细化,以越秀地产为例,公司多元化发展物业服务、康养产业、长租公寓、城市更新等业务,已经在公司内部建设了100余套信息系统,它们跨微信、钉钉等多个生态,且无不每时每刻产生着大量的数据。
 

下面本文将以越秀地产统一身份项目为例,详细介绍统一账号管理、统一认证、权限管理、集中风险管控、安全审计等的服务能力建设等企业比较关注的数据安全建设的细节,进行分享、研究和学习。
 

 一、统一身份建设总体设计

随着越秀地产业务的发展,应用系统越来越多,种类越来越复杂,认证需求多样化,为实现系统的多因素认证、二次认证、风险预警以及统一权限管理等功能,需建立一套统一集中、完善有效、高可用性的统一身份管理平台,实现对用户身份全生命周期的集中管理,改善用户体验,促进应用系统账号的管理规范化和标准化。
 


 

      越秀统一身份管理平台的搭建,主要围绕统一账号管理、统一认证服务、权限管理、集中风险管控、审计功能的服务能力,从而满足越秀地产对于账号安全、认证安全等方面实现,具体如下:

 


 

1.统一账号管理:实现统一用户账号、组织管理,包括内部员工、合作伙伴派驻人员、外包公司人员、临时人员的账号进行管理,逐步建设一个统一的用户身份管理体系;建立新一套账号名称规则,与现有员工号做关联,实现主从账号管理,避免被外部组织通过猜测员工号规则进行恶意攻击的“盗号”风险。
 

2.统一认证管理:以账号管理体系为基础,实现内部业务系统的统一认证,包括手机短信和账号密码验证。支持不同强度、不同因素的认证方式,并与越秀地产现有的SSO体系认证互信整合,最终完全替换已有的认证系统,让用户在登录验证过程中仅通过此平台一次登录,可安全单点登录到有权访问的各类应用系统。
 

3.同岗同权限管理:整合越秀地产应用系统权限资源,实现信息系统权限集中管控,实现分级分权管理、合规互斥管理,细粒度权限管理,实现对信息系统权限资源进行风险级别的定义,对用户授权过程进行多维度的风险评估,提高权限风险分析与管控能力。
 

4.集中风险管控:实现对用户登录、访问业务系统的行为的数据收集;建立风险识别体系,实现事前风险防范。基于事先预设好的风险管理规则,实时计算任意访问的风险评分,对用户访问元数据(时间、地点、习惯、账号、关系、行为、权限)进行控制,对用户的访问行为进行实时评估;当系统检测到风险时,提供包括风险告警(短信、邮件)、风险实时展示和增强认证的手段,以保护资源的安全。
 

5.审计监控管控:建立完善的日志功能,实现完整的人员账号行为日志记录(包括用户操作日志、用户认证日志、用户访问日志、用户业务系统操作日志),实现日志归档、日志查询功能;对用户的认证及应用访问情况进行记录和审计,通过集中收集、存储和管理用户在业务系统中活动的审计信息,对身份、权限、资源的集中审计和分析,并形成审计报表、视图;实现系统信息资源访问安全预测和预警能力,并结合越秀地产身份、权限管理规范,实现实时合规性分析。
 

二、统一身份平台安全构架设计

平台核心功能包括:包括统一身份管理(你是谁)、统一认证管理(你的确是你)、统一权限管理(你能做什么)、智能监控预警(你是否合规)以及用户合规审计(你做过什么):

 

1.身份认证标准体系建设:建立身份管理的相关管理规范和技术标准规范,包括用户使用规范、用户管理规范、权限申请规范、应用管理规范、账号命名规范、密码管理规范、访问控制规范、权限管理规范、集成接口技术规范、安全策略配置规范、管理员操作规范。
 

2.监控管理:对平台的软件、服务进行监控,遇到问题实时报警,并能提供问题定位以及时处理。 
 

三、统一身份平台安全构架设计

产品支持字段级别的数据加密,管理员可根据业务需要、自定义扩展属性,并对扩展属性设置相应加密/脱敏级别,根据数据的安全特性分为四类:

 


 

1.账号凭证类:用户密码等信息统一采用单向加密算法加密后进行密文存储,不可解密为明文,支持SHA256、SM2等加密算法,算法可根据实际需要定制。

2. 隐私信息类:用户家庭住址、隐私手机、婚姻状况等隐私信息进行双向加密算法加密后密文存储,避免用户隐私信息在被非法访问或脱库后泄露,隐私字段、加密算法支持自定义。

3.敏感类:用户手机号、邮箱、身份证号等敏感信息,以明文存储,但在一般模式下对外传输或展示时进行脱敏处理,降低用户敏感信息被非法扩散的风险。

4.普通类:网络传输安全,平台提供端到端传输数据包在服务端及客户端设备到用户设备之间,建立了一个安全的通道。
 

四、身份详细方案设计

通过身份平台实际用户入职、离职、调岗、返聘等各种过程下的用户账户权限的调整,可根据策略,自动调整业务系统中的相应角色与权限信息,从而减少人为干预,自动化流程,提升准确性与管理效率。

 


 


五、OneID详细方案设计

OneID是通过统一的实体识别和连接,打破数据孤岛,实现数据通融。用户、设备等业务实体,在对应的业务数据中,会被映射为唯一识别(UID)上,其各个维度的数据通过这个UID进行关联。各个部门、业务、产品对业务实体的UID的定义和实现不一样,使得数据间无法直接关联,成为了数据孤岛。基于手机号、身份证、邮箱、设备ID等信息,结合业务规则、机器学习、图算法等算法,进行 ID-Mapping,将各种 UID 都映射到统一ID上。通过这个统一ID,便可关联起各个数据孤岛的数据,实现数据通融,以确保业务分析、用户画像等数据应用的准确和全面。
 


 

1.用户账号创建时,根据存在的身份ID、手机号、邮箱生成唯一ID,通过HASH加密,并保存其它可能的影响身份的属性作为后期的数据融合,其它属性用Json串存储方便动态扩展。示例:
 

oneID

身份ID

手机号

邮箱

其它  

无需编码组合XXXX-XXXX-xxxx

4XXX0421XXXX
  XXXXXXXXX

13xxxxxxx9

XXXXXX@163.com

{"address":"xxx区xx街168号"}

 

2.可以通过设置强融合字段,比如注册用户的手机号或者身份ID相同时,按照客户,员工,供应商领域提供融合服务,结合融合规则的配置根据不同的业务系统需求进行融合。
 


 

3.将现有的历史数据通过excel导入统一身份平台数据库, 通过调度作业进行,按照客户,员工,供应商领域融合一次数据,完成用户数据的OneID融合。OneId:统一身份平台中的用户ID,用来区分用户为唯一自然人的ID,可以用来查询用户的个人信息。用于与应用系统账号ID做关联,实现用户/客户数据之间的拉通。账号ID:应用系统的主键ID, 创建账号的时候生成。


 

六、组织架构业务方案设计

当业务系统有新增组织的需求时,业务管理员可以按选中的不同组织类型不同的层级的组织推送组织给指定的应用系统。比如选中“越秀地产总部”,则推送这个组织下的所有下级组织给业务系统。
 


 

七、身份数据湖相关方案设计

 身份数据湖是是面向大数据架构的公共服务,数据提取允许连接器从其他数据源获取数据并将其加载到数据湖中。支持:所有类型的结构化、半结构化和非结构化数据;多种提取方式,如:批处理、实时、一次性加载;多源数据,如:数据库、Web服务。   
 

1.基于数据数据治理的清洗设计:

围绕管理组织中使用的数据的可用性、安全性和完整性的过程。设计业务数据模型后并在数据库中设计应用策略;业务数据发生变更时,更新模型数据;补全审计日志模型数据、清洗数据、转换格式化数据后入库;采集运维日志,写入数据库。呈现更多隐藏的数据模型的自动纠错配置;指定模型的字段数据进行更正;根据模型,更新模型数据纠错;备份查询,还原、删除备份数据。如权限过大的Top10分析:拥有最多系统角色top10的成员/系统,拥有最多业务角色top10的成员/系统,拥有最多组织top10的成员/系统。

 (1)安全性需要在数据湖的每一层实现。它从存储、发掘和消费开始。基本需要是停止未经授权的用户访问。它应支持使用易于浏览的GUI和仪表盘访问数据的各种工具。身份验证、计费、授权和数据保护是数据湖安全的一些重要特性。

 (2)数据质量是数据湖架构的重要组成部分。数据被用于提取商业价值。从质量差的数据中洞察会导致低质量的洞察结果。

 (3)权限模型画像,它是数据分析的开始阶段。在启动数据探索之前,它有助于识别正确的数据集。所有给定的组件需要协同工作,以便在数据湖构建中发挥重要作用,轻松的演进和探索环境。比如用户画像:常住地、活跃度;权限画像:静默权限。
 

2.面向应用系统接入前的数据分析与数据清洗:
 


 

2.面向应用接入后的分析与审计:
 


 

写在最后,本文对越秀地产统一身份理落地实施方案进行了较为详细的分享,希望可以为CSA-GCR相关会员提供参考帮助,星辰大海永不止步。

 
 
 
 
 
 

 

 

 

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝