4A系統(tǒng)結(jié)合工單系統(tǒng)實現(xiàn)授權(quán)關(guān)系可視化處理

熊億民 中國移動通信集團(tuán)福建有限公司手機(jī)動漫基地系統(tǒng)支撐室經(jīng)理

4A系統(tǒng)結(jié)合工單系統(tǒng)實現(xiàn)授權(quán)關(guān)系可視化處理

熊億民 中國移動通信集團(tuán)福建有限公司手機(jī)動漫基地系統(tǒng)支撐室經(jīng)理

4A管理系統(tǒng)作為安全管理及運維工作的支撐手段，實現(xiàn)集中化的賬號管理，統(tǒng)一認(rèn)證、集中授權(quán)以及操作審計。本文介紹了當(dāng)前4A系統(tǒng)在實現(xiàn)賬號授權(quán)中存在的潛在不一致問題，并設(shè)計通過賬號授權(quán)變更的對象化處理、可視化處理實現(xiàn)對權(quán)限變化進(jìn)行檢查、審計，進(jìn)行數(shù)據(jù)稽核，提高賬號管理的精細(xì)化管理。

4A系統(tǒng) 授權(quán)關(guān)系 可視化 對象化

1 4A系統(tǒng)賬號授權(quán)管理現(xiàn)狀

4A管理系統(tǒng)作為安全管理及運維工作的支撐手段，實現(xiàn)集中化的賬號管理，統(tǒng)一認(rèn)證、集中授權(quán)以及操作審計。4A管理系統(tǒng)提供電子化流程滿足安全管理和日常運維用戶、賬號、授權(quán)的需求。

當(dāng)前申請人員通過工單系統(tǒng)填寫申請單，描述說明賬號授權(quán)的變更內(nèi)容。根據(jù)工單系統(tǒng)中設(shè)置的工單運轉(zhuǎn)流程執(zhí)行審批過程。在工單系統(tǒng)中完成處理后工單通過接口推送至4A管理系統(tǒng)中，發(fā)送給相應(yīng)的賬號管理員，賬號管理員根據(jù)工單內(nèi)容，在4A管理系統(tǒng)中完成賬號授權(quán)管理的具體維護(hù)操作。

在當(dāng)前技術(shù)框架下，工單申請審批由工單系統(tǒng)完成，賬號授權(quán)變更通過4A管理系統(tǒng)推送至資源。在此管理過程中需要保障申請內(nèi)容與最終執(zhí)行過程一致性，但實際運維過程中存在以下的困難和風(fēng)險：

（1）由于賬號授權(quán)申請和流程導(dǎo)入以描述方式體現(xiàn)，存在描述不清、理解偏差、執(zhí)行有誤的風(fēng)險。

（2）由于賬號授權(quán)變更申請與執(zhí)行在不同支撐系統(tǒng)間完成，目前缺少對申請與實際執(zhí)行情況的審計與驗證機(jī)制，對執(zhí)行結(jié)果與申請要求的一致性無法自動化進(jìn)行稽核驗證管理。

（3）沒有建立主賬號為視角的相關(guān)賬號授權(quán)變更關(guān)聯(lián)操作，無法獲得主賬號周期內(nèi)權(quán)限變化過程“軌跡”，不便于對于賬號授權(quán)變化梳理，不便于賬號授權(quán)一致性的審計。

2 解決方案概述

針對上述管理過程中的實際問題，設(shè)計后述解決方案進(jìn)行改進(jìn)與優(yōu)化。該方案結(jié)合4A系統(tǒng)與工單系統(tǒng)功能，通過使賬號授權(quán)關(guān)系處理對象化，實現(xiàn)賬號授權(quán)管理可視化。

目前工單系統(tǒng)中具有以附件形式進(jìn)行提交申請內(nèi)容的支撐功能，利用該流程，以附件方式提交對象化的權(quán)限變更數(shù)據(jù)，當(dāng)工單系統(tǒng)執(zhí)行完畢后導(dǎo)入4A管理系統(tǒng)時，賬號管理員根據(jù)對象化的賬號授權(quán)變更對象信息執(zhí)行具體變更操作。4A管理系統(tǒng)周期性對于賬號授權(quán)變化進(jìn)行稽核操作，以賬號為視角跟蹤周期內(nèi)賬號授權(quán)變化的申請和執(zhí)行過程，驗證當(dāng)前狀態(tài)是否與各個操作執(zhí)行結(jié)果是否一致。

3 授權(quán)關(guān)系可視化實現(xiàn)詳述

為實現(xiàn)賬號授權(quán)變更申請與執(zhí)行過程的可視化處理（見圖1），首先需要確定賬號授權(quán)變更對象模型，設(shè)計“賬號授權(quán)變更對象表”，表中確保涵蓋賬號授權(quán)變更所有申請內(nèi)容；其次需要建立賬號授權(quán)工單申請?zhí)幚硪?guī)范，即在申請人提交賬號授權(quán)申請工單時必須提交“賬號授權(quán)變更對象表”，后續(xù)針對表中所申請和變化的對象內(nèi)容進(jìn)行審核、審批過程；再次工單系統(tǒng)對于處理完成的工單系統(tǒng)自動推送至4A管理系統(tǒng)時，同時將“賬號授權(quán)變更對象表”推送至4A管理系統(tǒng)，4A管理系統(tǒng)提取對象表中對象信息，形成自身系統(tǒng)中的賬號授權(quán)變更執(zhí)行數(shù)據(jù)并完成操作；最后4A系統(tǒng)基于賬號視角統(tǒng)計權(quán)限變更情況。

在上述流程處理過程中，采用異步差量算法實現(xiàn)對數(shù)據(jù)的一致性稽核：

在實際生產(chǎn)中因為數(shù)據(jù)量較大，對單個工單數(shù)據(jù)的提取和對比是比較耗時的，因此在優(yōu)化時，采用對數(shù)據(jù)的異步差量算法從歷史數(shù)據(jù)中提前差異數(shù)據(jù)（見圖2）。

圖1 結(jié)合工單系統(tǒng)實現(xiàn)賬號授權(quán)管理對象化處理過程

圖2 賬號授權(quán)管理的一致性稽核

表1 主賬號導(dǎo)入變更對象表

（1）確立變更對象

根據(jù)當(dāng)前賬號權(quán)限管理現(xiàn)狀，納入工單管理流程對象化處理的主要包括主賬號變更申請、從賬號變更、主從賬號授權(quán)管理流程，根據(jù)每項管理流程確立具體對象信息，固化形成“賬號授權(quán)對象變更表”。以下以主賬號導(dǎo)入、從賬號導(dǎo)入、主從賬號授權(quán)導(dǎo)入為例說明變更對象。

●主賬號導(dǎo)入對象變更表

主賬號導(dǎo)入對象示例如表1所示。

●從賬號導(dǎo)入對象變更表

從賬號導(dǎo)入對象示例如表2所示。

●主從賬號授權(quán)導(dǎo)入變更對象表

主從賬號授權(quán)導(dǎo)入對象示例如表3所示。

在確立各種賬號管理流程對應(yīng)具體變更對象后，以EXCEL格式形成變更對象表，用于作為附件在工單系統(tǒng)中進(jìn)行導(dǎo)入。

（2）導(dǎo)入變更對象

在對賬號權(quán)限變更管理流程進(jìn)行分析后，將賬號權(quán)限變更管理的各種描述說明轉(zhuǎn)化為賬號權(quán)限屬性對象化的說明，可將相應(yīng)對象化說明的屬性直接轉(zhuǎn)化成變更要求。對工單系統(tǒng)中涉及賬號授權(quán)關(guān)系的流程處理中增加“賬號授權(quán)對象變更表”必須導(dǎo)入控制點，即在工單系統(tǒng)中提交賬號授權(quán)變更申請時，自動控制必須以附件形式導(dǎo)入“賬號授權(quán)對象變更表”（見圖3），作為對于變更內(nèi)容的說明，用于后續(xù)的審批流程，同時作為變更內(nèi)容一同同步至4A管理系統(tǒng)，用于提示在4A系統(tǒng)上執(zhí)行具體的操作。

表2 從賬號導(dǎo)入變更對象表

表3 主從賬號授權(quán)導(dǎo)入變更對象表

圖3 工單系統(tǒng)中導(dǎo)入變更對象

將“賬號授權(quán)對象變更表”以附件形式添加至工單中，作為強(qiáng)制控制要求，確保變更對象信息的導(dǎo)入。

（3）提取變更對象

對于賬號權(quán)限變更申請信息在工單系統(tǒng)完成申請、審核、審批流轉(zhuǎn)后，通過工單系統(tǒng)與4A管理系統(tǒng)的接口將工單及附件信息發(fā)送至4A管理系統(tǒng)。4A管理系統(tǒng)接收工單信息，4A管理系統(tǒng)從“賬號授權(quán)對象變更表”中逐一提取賬號權(quán)限的對象信息，根據(jù)工單申請類型，將對象信息轉(zhuǎn)化成系統(tǒng)內(nèi)部的自動作業(yè)計劃，由賬號管理員對作業(yè)計劃進(jìn)行審核后，自動完成作業(yè)計劃的執(zhí)行，如將“主賬號導(dǎo)入變更對象表”中內(nèi)容對應(yīng)轉(zhuǎn)化至主賬號創(chuàng)建作業(yè)計劃。在上述過程中，賬號授權(quán)關(guān)系中變更信息的提取由系統(tǒng)自動完成，不存在人為理解偏差，確保對象直接轉(zhuǎn)化為賬號權(quán)限變化的執(zhí)行計劃。

（4）核查一致性

4A管理系統(tǒng)定期核查主、從賬號以及對象關(guān)系的變化。系統(tǒng)會周期性對每個主賬號形成對象屬性變化過程，統(tǒng)計主賬號的變化由哪些工單變化而成，將所有變更工單以及“賬號授權(quán)對象變更表”作為該主賬號的管理屬性進(jìn)行呈現(xiàn)，可以逐個展現(xiàn)對象屬性變化過程。4A管理系統(tǒng)具有權(quán)限變更模擬展現(xiàn)，可以展現(xiàn)賬號對應(yīng)的對象屬性的變化過程和最終狀態(tài)。在對變更信息梳理整理后，提供給賬號管理員用于人工核查。

4 結(jié)束語

上述方案通過利用對象化方式導(dǎo)入、提取、展現(xiàn)賬號授權(quán)關(guān)系的方法，將現(xiàn)有以文字描述體現(xiàn)變更信息轉(zhuǎn)化為對象描述，提供系統(tǒng)自動化提取變更信息的技術(shù)基礎(chǔ)；對以對象方式導(dǎo)入賬號授權(quán)變更信息在多個系統(tǒng)間的流轉(zhuǎn)過程中進(jìn)行稽核，是實現(xiàn)信息一致性保障的技術(shù)手段。

通過該技術(shù)設(shè)計可提高工作流程中賬號授權(quán)變更數(shù)據(jù)的一致性，提高4A管理系統(tǒng)自動化處理流程，減少人為誤操作，確保后續(xù)4A系統(tǒng)賬號訪問操作的穩(wěn)定性，達(dá)到提升企業(yè)運維、審計工作效率的目標(biāo)。