4a平台
-
2023年3月5日发(作者:oo学院)山东通信技术
ShandongCommunicationTechnology
第39卷第]期
2019年3月
Vol.39No.l
Mar.2019
基于日常操作的4A系统帐号权限管控实践
李涛田经师
(中国移动山东公司
,济南250001)
摘要:本文针对某运营商业务支撑系统中4A帐号权限使用时缺少动态调整这一短板,探索出一套基于日常操作
的4A帐号权限管控体系,根据实体级权限、
角色级权限、
细粒度权限的前后台使用统计情况,
实现帐号
权限的自动动态调整
,保证主帐号与实体之间
、
角色与细粒度之间、实体与细粒度之间的权限及时更新,
实现自动管控,使帐号权限管理符合集团公司要求的最小化原则,为业务支撑系统提供安全保障。
关键词:
帐号管控权限动态调整
1引言
随着业务支撑系统的飞速发展,某运营商4A管
理平台所管控的资源越来越多,主要包括业务运营支
撑系统(BOSS,BusinessOperationSupportSystem)、
经营分析系统、业务支撑网运营管理系统(BOMC,
BusinessOperationManagementCenter)、
电子渠道
系统、增值业务综合运营平台(VGOP,Value-added
ServiceGeneralOperationPlatform)、集团客户业务
综合运营平台(ESOP,EnterpriseServiceOperation
Platform),以及支撑这些应用系统的各类系统资源
(包括主机、数据库、中间件、网络设备、安全设备等)。
同时,通过4A管理平台访问各类资源的人员也越来
越多,主要包括各类使用和运维人员、集成厂商、开
发测试厂商、代维厂商、供应商、外部渠道、临时人
员等。某运营商的4A管理平台成为全省业务支撑系
统的统一访问入口,其所承载的帐号权限的集中管理
能力也成为安全管理工作的重中之重。
目前,某运营商4A管理平台的帐号权限管理集
中维护包括主帐号(自然人)、从帐号(资源)在内的
全部帐号,以及与帐号相关的信息、权限等属性。其
中,主帐号包括内部员工、营业人员、客服人员和渠
道合作伙伴、厂家代维人员、临时性工程实施人员等,
从帐号包括业务支撑网资源中的全部帐号。主、
从
帐号的属性管理必须涵盖与帐号相关的基本信息、
帐号状态、时效策略、密码策略、认证策略、
组织标
识、角色标识等内容
。
某运营商由4A管理平台根据用户申请赋予其
4A主帐号,由各应用资源、系统资源根据用户访问
需求赋予其从帐号,并授予必要权限,通过主从帐
号绑定,向用户提供访问业务支撑系统的能力。根
据从帐号是否拥有系统超级权限,可以分为超级帐
号、普通帐号;根据从帐号的用途,可以分为程序帐
号、开发测试帐号、临时帐号、正常业务帐号等。
某运营商现有主帐号17万多、从帐号24多万,
日均申请工单800余条,帐号权限变动频繁,管理
员每天需要花费很大的精力去维护帐号权限的增
加、修改、删除、加锁、解锁等,帐号权限管理粗放,
缺乏统一的有效管控手段,帐号管理员不能对帐号
和权限的变化第一时间做出响应,只能被动地接受
帐号、权限的变化,无法做到及时回收失效授权,存
在很大安全风险
。
2帐号权限管控存在的不足和问题
某运营商对业务支撑系统帐号权限的分配、使
第1期
李涛等:基于日常操作的4A系统帐号权限管控实践34
用情况进行了详细的梳理,总结出当前帐号权限管理
所面临的困难,主要包括:
(1)申请人的职务、岗位、角色等的变化不能第
一时间反应到帐号权限中;
(2)管理员不了解申请人申请的帐号权限是否合
理;
(3)管理员不清楚角色、细粒度、组、岗位之间
的相互关系,不能主动调整;
(4)第三方合作人员变化频繁,存在跨公司情况,
申请新权限后,老的权限还保留,安全隐患大。
综上,目前某运营商帐号权限管理存在的主要问
题是管理员对申请人的情况不了解,无法判断所申请
帐号、权限的合理性,不熟悉应用系统,不能主动调
整主从帐号关系、角色细粒度关系。管理员对人员的
变化缺少管控,尤其是第三方合作方人员存在跨公司
情况,从某一个公司直接跳槽到另一个同样服务于
某运营室的公司。管理员对角色、
细粒度、组、岗位
之间的相互关系不了解,不能分析所设置权限是否合
理,导致不能及时准确地更改、调整相互关系,造成
帐号权限存在安全隐患,无法满足帐号权限最小化原
则。
3基于日常操作的帐号权限管控
为实现帐号权限的设置合理性,使帐号权限符合
最小化原则,某运营商提出一种基于日常业务操作的
4A帐号权限管控方法,针对目前帐号权限管理与日
常业务操作关联性很小的问题,实现了对帐号权限授
权关系的动态调整,对一些长期不使用的帐号权限能
够及时锁定、回收,并对帐号的角色属性、细粒度权
限、岗位属性等提出调整意见。
该方法根据对业务支撑系统的操作统计结果,可
以实现对每个角色所包括细粒度权限的动态调整,通
过设置一个阈值,超过一定范围就对角色进行动态调
整,以减少其包含的细粒度权限。对点击量较多的细
粒度权限,推荐赋权给更多角色,以增加此业务的受
理渠道,比如根据前台业务操作统计发现某个新推出
业务的办理量非常大,全部来自自办厅一线前台人
员,可以弹出提示将此权限动态赋权给代办厅的渠道
人员,从而实现业务分流,减轻自办厅一线人员的压
力。
基于业务操作的帐号权限管控方法主要涉及自
然人、帐号权限模块、实体权限、角色权限、细粒度
权限等,通过帐号权限模块来管理、维护自然人与实
体权限、角色权限、细粒度权限的关系对应,通过该
模块能实时监控该自然人在业务支撑系统的操作统
计情况,并根据预先设置的阈值对帐号中的实体权限
和细粒度权限进行调整。详细情况如图1所示。
自然人/权限对应关系
帐母
/权限対应关系
图1帐号权限管控模型图
某运营商基于4A管理平台来打造帐号权限管控
管理模块,该模块主要承载了授权模型、授权范围、
授权功能三方面的能力。其中,授权模型主要负责人
员、帐号、角色、细粒度权限之间的关系模型,授权
范围主要负责被管系统、被管人员、被管角色的维护
和管理,授权功能主要负责人员、帐号、权限之间的
变更管理。
通俗说,帐号权限的动态调整就是根据用户的操
作情况在4A管理平台中对“自然人”-“系统”-“
帐
号”-“角色”一“细粒度权限”的调整,其中,授权
管理范围(即资源)包括4A平台、系统资源(主机、
网络设备、数据库、安全设备)和应用资源(BOSS、
CRM、经营分析系统、运营管理系统、VGOP、ESOP
等
)三大类。
基于以上架构,某运营商实现了对帐号的全面管
控,主要包括实体级授权、角色级授权、细粒度授权
三部分能力,具体能力如下:
(1)实体级授权
4A平台的主帐号代表自然人,从帐号代表对资
源的访问权限。实体级授权通过主、从帐号关联关系
的配置实现,根据应用系统的单点登陆统计量,实现
主、从帐号关联关系的自动调整,包括自动锁定和解
除,对超出设定阈值的帐号权限.动态实现自动加锁
或者解除权限操作。
(2)角色级授权
角色是资源中若干访问权限的集合,包括功能角
色和数据角色。角色级授权是通过从帐号和应用资
源角色之间、主帐号和4A平台角色之间的关联关系
的配置实现,根据前台业务操作涉及到的每个角色使
用的统计量,实现从帐号与角色关联关系的自动调
整,例如超过一定阈值后,后台自动解除从帐号与应
用资源的角色关联关系或者主帐号与4A平台的角色
关联关系°对使用偏多角色,及时弹岀提示,由相应
人员判断把相应的角色扩大赋权范围.增加业务受理
35
山东通信技术
2019年
渠道,以减轻自办厅一线人员的压力。
(3)细粒度授权
细粒度权限代表系统中的模块或对象,分为功能
权限和数据权限。系统通过将权限直接赋予帐号,或
者权限与角色关联,角色赋予帐号,最终实现帐号对
系统中拥有的模块或对象操作的许可。细粒度授权是
通过4A平台角色和权限之间、应用资源角色和权限
之间、从帐号和应用资源权限之间关联关系的配置实
现。根据前台业务操作的统计量,实现细粒度权限的
自动调整,超过一定的阈值后,后台自动解除4A平
台角色、应用资源角色、从帐号与资源权限的关联关
系。
4动态调整方案以及优化成效
基于以上思路,某运营商建立了集中授权管理的
总体架构,实现了对业务支撑系统帐号权限的统一管
控,实现了帐号的实体级授权、角色级授权、细粒度
授权,能根据实际使用情况完成帐号权限的动态调
整,提升了系统的安全性,做到了权限随人员、岗位
及时变动,角色与权限根据实际需要及时调整,避免
了出现长期不用的帐号权限、实际工作与帐号权限不
符的情况,满足了集团要求的权限最小化原则。
某省实施该方案至今,累计主动锁定主帐号10
万余个,调整从帐号4万余个,回收细粒度权限6000
多个,项目的实施和使用达到了预期目标。该功能上
线后,帐号管理能力的提升主要体现在:
(1)管理员能够完整地获取申请人所申请帐号权
限的全部信息,并能基于类似岗位的权限情况初步判
定所申请的权限是否合理;
(2)实现了角色、细粒度、组、岗位之间相互关
系的统一维护,管理员能够在系统上直观地查看不同
自然人帐号的全部权限信息;
(3)与人力资源部系统结合,对应人员岗位调整
的组织结构调整,能够第一时间对原有的账号、权限
进行处理,对不符合岗位的账号权限先加锁、然后删
除,做到账号权限与岗位完全对应。实现了帐号权限
的自动化管理,系统能够根据自然人职务、岗位、角
色等的变化情况,及时调整帐号权限;
(4)
建立了及时、有效的帐号权限回收机制,实
现了在各类人员工作职责变化时能够及时回收失效
权限,尤其是建立了专门的第三方合作人员入职、离
职流程,加强了对合作方的考核权,安排专人负责并
建立了第三方合作人员权限变化监控机制,避免了第
三方合作人员申请新权限后老权限还保留的安全隐
患,如果第三方人员新申请的账号权限与之前已经存
在的账号权限完全无关、不在同一个组内,系统将自
动提醒,管理员在同意新权限的基础上,后台可以同
时回收原有的账号、权限。另外,对有些主机数据库
设置互斥关系,对来自不同合作方的人员只能申请其
*O
(5)根据日常的操作日志,对15天内没登录过
的主账号实现自动锁定功能,超过30天就后台锁定
全部从账号,超过60天就从主机上删除此账号的全
部授权。数据库账号也一样,删除之前会发3次信息
提醒用户,如果在删除权限之前有一次登录操作,账
号则实现自动解锁功能,但需要输入验证码信息等进
行二次确认操作。
(6)对角色和细粒度之间的关系,对角色里面的
细粒度权限使用率设置阈值,对低于阈值的及时清理
细粒度权限,对使用率基本相同的细粒度权限,根据
员工岗位,可以对角色进行合并,减少角色的数量。
综上所述,某运营商通过基于日常操作的帐号权
限管控,进一步增强了业务支撑系统的安全性,通过
对系统帐号权限管理的加强,降低了系统的安全风
险,从而间接避免了因安全问题所导致的用户投诉,
提高了用户满意度,维护了企业形象
。
5结束语
某运营商提出的基于日常操作的帐号权限管控
实践,是在总结业务支撑4A管理平台日常的帐号、
权限管理中所面临问题的基础上,针对帐号管理中不
具备自动调整帐号权限的短板,按照人员类型,统计
实体级权限、角色级权限、细粒度权限的前后台使用
情况,实现帐号权限的自动调整,以保证帐号权限的
及时更新,同时对角色进行梳理整合,减少角色的数
量,并根据前台业务操作统计情况,自动调整角色的
赋权范围和角色本身的权限,对细粒度权限与帐号之
间的直接关联权限进行统计,创建合适的角色,通过
角色对帐号进行赋权,避免直接使用细粒度赋权。
作为某运营商整个资源唯一的接入口,业务支
撑4A系统帐号权限设置的合理性,对业务支撑系统
有着非常重要的意义,关系到整个业务支撑系统的安
全。某运营商通过基于日常操作的4A帐号权限管控
体系方案,加强了业务支撑系统帐号权限的安全管
控
,降低了安全风险。