人力資源管理系統(tǒng)分析

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

　　1、前言 　　隨著信息化的迅猛發(fā)展，越來(lái)越多的企業(yè)開始了信息化之路。一些大型企業(yè)更是紛紛上馬了MIS、工單管理系統(tǒng)、工單管理軟件、Notes等等系統(tǒng)，逐步實(shí)現(xiàn)企業(yè)的生產(chǎn)、管理、電子商務(wù)等諸多業(yè)務(wù)無(wú)紙化。期望借助信息化的平臺(tái)，提升企業(yè)的效率，加快企業(yè)的發(fā)展。然而，隨著越來(lái)越多信息系統(tǒng)的部署，我們卻發(fā)現(xiàn)企業(yè)生產(chǎn)效率并未達(dá)到預(yù)期的提高。相反，紛繁復(fù)雜的系統(tǒng)登錄大量占用了員工的時(shí)間，而員工登錄的混亂更是給企業(yè)信息化帶來(lái)嚴(yán)重的安全漏洞。 　　2、高信息化=低效率? 　　下面是一個(gè)典型的企業(yè)信息系統(tǒng)部署示意圖: 　　我們可以看到，該企業(yè)的信息系統(tǒng)主要包括三大塊:應(yīng)用服務(wù)系統(tǒng)、業(yè)務(wù)生產(chǎn)系統(tǒng)和外部服務(wù)系統(tǒng)。 　　應(yīng)用服務(wù)系統(tǒng)包括工單管理軟件、MIS、工單管理系統(tǒng)、Notes等;業(yè)務(wù)生產(chǎn)系統(tǒng)為各業(yè)務(wù)部門所用;外部服務(wù)系統(tǒng)主要提供如DNS、E-MAIL、WEB等服務(wù)。這些服務(wù)共由5臺(tái)UNIX服務(wù)器、20臺(tái)WindowNT服務(wù)器支撐，此外還包括數(shù)據(jù)庫(kù)系統(tǒng)、郵件系統(tǒng)和多臺(tái)網(wǎng)絡(luò)設(shè)備。 　　企業(yè)共有員工約1000人，由5名系統(tǒng)管理員按照部門、級(jí)別等分為若干等級(jí)，分別擁有訪問(wèn)不同系統(tǒng)的權(quán)限。同時(shí)，該企業(yè)還有若干個(gè)分支機(jī)構(gòu)和大量的外出人員需要隨時(shí)訪問(wèn)企業(yè)信息系統(tǒng)。 　　考慮到安全因素，對(duì)于每個(gè)系統(tǒng)要求分別使用不同的密碼，同時(shí)要保證密碼的長(zhǎng)度和復(fù)雜度。此外，每個(gè)密碼還要定期更換，以防止被破解或丟失。 　　如此眾多的系統(tǒng)和密碼給企業(yè)的信息安全造成了嚴(yán)重的漏洞。一方面，系統(tǒng)管理員為了維護(hù)這些系統(tǒng)，每個(gè)人往往需要記憶大量復(fù)雜的密碼。有的管理員甚至將密碼記錄在文件或筆記中，使得密碼的管理變得很隨意。而對(duì)于用戶權(quán)限的改變與經(jīng)常性的密碼丟失，管理員需要耗費(fèi)大量的時(shí)間進(jìn)行確認(rèn)、修改與恢復(fù)。另一方面，企業(yè)的用戶為了每天訪問(wèn)大量的系統(tǒng)，也要記憶大量的密碼。一旦密碼丟失，就無(wú)法登錄系統(tǒng)開展業(yè)務(wù)，只能等待系統(tǒng)管理員確認(rèn)身份、恢復(fù)密碼。然而從規(guī)章制度上去限制用戶的這些行為優(yōu)勢(shì)不現(xiàn)實(shí)的。因此極大降低了企業(yè)的運(yùn)營(yíng)效率。 　　3、基本原則 　　企業(yè)最初的投資并未獲得相應(yīng)地回報(bào)，反而給企業(yè)的信息安全造成嚴(yán)重地漏洞，影響員工的工作效率。因此，解決單點(diǎn)登錄、身份識(shí)別和信息安全訪問(wèn)的問(wèn)題就迫在眉睫。 　　然而，如何解決這個(gè)問(wèn)題和花多大代價(jià)來(lái)解決是我們?cè)趯?shí)施項(xiàng)目時(shí)必須考慮的因素。由于現(xiàn)有系統(tǒng)的前期投資巨大，且經(jīng)過(guò)一段時(shí)間的應(yīng)用，系統(tǒng)與公司業(yè)務(wù)的結(jié)合也十分緊密，因此，我們提出了以下基本原則: 　　(1)、產(chǎn)品的實(shí)施要循序漸進(jìn)地進(jìn)行，不可大范圍地影響公司日常業(yè)務(wù)的運(yùn)行; 　　(2)、方案可以快速地部署，且對(duì)原有系統(tǒng)的改動(dòng)盡可能地小; 　　(3)、盡量利用和發(fā)掘原有系統(tǒng)的功能和應(yīng)用，降低企業(yè)擁有成本; 　　(4)、系統(tǒng)的實(shí)施可有效提高現(xiàn)有系統(tǒng)的登錄效率和安全，且對(duì)日后新系統(tǒng)的加入有較好地?cái)U(kuò)展性?！　?、讓高信息化=高效率 　　我們通過(guò)與北京國(guó)富安電子商務(wù)安全認(rèn)證有限公司合作對(duì)現(xiàn)有系統(tǒng)進(jìn)行分析后，形成了一套適合于大型企業(yè)信息系統(tǒng)單點(diǎn)登錄的安全解決方案。該系統(tǒng)是以國(guó)富安SSO-GATE單點(diǎn)登錄產(chǎn)品為中心，通過(guò)分階段地部署，為改進(jìn)企業(yè)信息系統(tǒng)提供了以下功能: 　　(1)、一次登錄即可安全訪問(wèn)所有信息系統(tǒng); 　　(2)、基于數(shù)字證書的身份認(rèn)證，確保用戶身份的安全; 　　(3)、根據(jù)用戶身份信息，自動(dòng)完成各系統(tǒng)的權(quán)限分配; 　　(4)、構(gòu)建信息加密通道，確保信息傳輸?shù)陌踩? 　　(5)、支持所有的業(yè)務(wù)系統(tǒng)、平臺(tái)、服務(wù)器或客戶端，完全兼容現(xiàn)有信息系統(tǒng); 　　(6)、對(duì)原有系統(tǒng)做到改動(dòng)最小，最大可能地減小對(duì)企業(yè)經(jīng)營(yíng)的影響; 　　(7)、全面的日志審計(jì):精確地記錄用戶的日志，可按日期、地址、用戶、資源等信息對(duì)日志進(jìn)行查詢、統(tǒng)計(jì)和分析。審計(jì)結(jié)果通過(guò)Web界面以圖表的形式展現(xiàn)給管理員; 　　(8)、雙機(jī)熱備:通過(guò)雙機(jī)熱備功能，提高系統(tǒng)的可用性，滿足企業(yè)級(jí)用戶的需求; 　?。?）、良好的擴(kuò)展性，可隨時(shí)加入新的系統(tǒng)。 　　通過(guò)較短周期地實(shí)施，系統(tǒng)的網(wǎng)絡(luò)部署如下圖所示: 　　通過(guò)在企業(yè)網(wǎng)主節(jié)點(diǎn)部署GFA SSO-GATE，使來(lái)自企業(yè)內(nèi)部和外部的所有訪問(wèn)都通過(guò)SSO-GATE來(lái)確認(rèn)和分配權(quán)限，實(shí)現(xiàn)統(tǒng)一環(huán)境的單點(diǎn)登錄。用戶對(duì)系統(tǒng)的訪問(wèn)擺脫了過(guò)去記憶復(fù)雜密碼的煩惱，將所有的信息都集中到安全管理中心，由安全管理中心自動(dòng)完成復(fù)雜的身份驗(yàn)證與權(quán)限分配過(guò)程。 　　4.1體系結(jié)構(gòu): 　　該系統(tǒng)主要包括三大模塊:單點(diǎn)登錄模塊、身份認(rèn)證模塊和權(quán)限管理模塊。 　　4.1.1單點(diǎn)登錄模塊: 　　1. 統(tǒng)一授權(quán)服務(wù)器。它決定著用戶是否可以登錄以及他們可以訪問(wèn)哪些資源。它通過(guò)安全地管理用戶身份標(biāo)識(shí)并自動(dòng)對(duì)企業(yè)后臺(tái)應(yīng)用提交正確的用戶標(biāo)識(shí)來(lái)完成本功能。它簡(jiǎn)化了最終用戶的登錄過(guò)程，通過(guò)引入數(shù)字證書和身份訪問(wèn)硬件令牌的雙因素認(rèn)證，減少了各種密碼、口令等信息的管理工作量，并增強(qiáng)了總體應(yīng)用的安全性。 　　·數(shù)據(jù)庫(kù) 存儲(chǔ)了所有關(guān)于用戶、組、資源、應(yīng)用、登錄參數(shù)和訪問(wèn)控制規(guī)則等信息。支持LDAP、RADIUS、Windows Active Directory和本地信息庫(kù)等。同時(shí)還可以通過(guò)擴(kuò)展接口，與用戶合作集成現(xiàn)有的應(yīng)用系統(tǒng)身份信息數(shù)據(jù)庫(kù)作為SSO應(yīng)用軟件系統(tǒng)的用戶數(shù)據(jù)庫(kù)。 　　·登錄會(huì)話信息 統(tǒng)一保存管理，提供用戶登錄應(yīng)用操作時(shí)所需要保存的信息。 　　2. 客戶端軟件 安裝運(yùn)行于每一個(gè)使用SSO-GATE系統(tǒng)的終端?？蛻舳塑浖墓δ苡? 　　·與SSO-GATE進(jìn)行通訊，對(duì)訪問(wèn)用戶進(jìn)行雙因素身份驗(yàn)證。 　　·統(tǒng)一訪問(wèn)最終用戶被授權(quán)使用的應(yīng)用。 　　·執(zhí)行登錄會(huì)話并使用戶登錄所授權(quán)應(yīng)用。 　　·SSO-GATE與客戶端軟件搭配使用，可以通過(guò)強(qiáng)認(rèn)證+單點(diǎn)登錄實(shí)現(xiàn)任意應(yīng)用系統(tǒng)的統(tǒng)一安全登錄與管理。 　　4.1.2身份認(rèn)證模塊 　　認(rèn)證服務(wù)　客戶端通過(guò)數(shù)字證書+USB Key的雙因素認(rèn)證方式登錄，認(rèn)證服務(wù)器確認(rèn)用戶身份是否合法，鑒權(quán), 然后才允許訪問(wèn)授權(quán)的應(yīng)用系統(tǒng)，以達(dá)到安全登錄和訪問(wèn)的目的。 　　4.1.3權(quán)限管理模塊 　　授權(quán)服務(wù) 基于PMI/AA基礎(chǔ)設(shè)施頒發(fā)的標(biāo)準(zhǔn)X.509 V3證書，完成用戶權(quán)限的分配、管理、存儲(chǔ)、分發(fā)和撤銷等功能。當(dāng)然，也可根據(jù)用戶的實(shí)際情況，使用原有授權(quán)系統(tǒng)，以滿足不同的用戶環(huán)境。 　　4.2改進(jìn)的登錄過(guò)程 　　在系統(tǒng)實(shí)施過(guò)程中，由管理員將原來(lái)需要用戶記憶的各種登錄過(guò)程、用戶名和口令等信息集中記錄在服務(wù)器的數(shù)據(jù)庫(kù)中; 　　最終用戶在登錄任何應(yīng)用系統(tǒng)之前，首先在要登錄身份認(rèn)證服務(wù)器，獲得該系統(tǒng)的安全認(rèn)證后，系統(tǒng)自動(dòng)從數(shù)據(jù)庫(kù)中取出該用戶被授權(quán)登錄的系統(tǒng)信息和過(guò)程記錄進(jìn)行登錄，無(wú)需用戶再次進(jìn)行登錄。自動(dòng)完成用戶名稱、口令等信息的輸入，完成對(duì)目標(biāo)應(yīng)用系統(tǒng)的登錄過(guò)程。同時(shí)，企業(yè)對(duì)個(gè)別極度敏感的系統(tǒng)，還可以要求進(jìn)行二次驗(yàn)證，以保證系統(tǒng)的絕對(duì)安全。 　　從最終用戶的角度看，他開機(jī)后首先要做的是通過(guò)客戶端登錄單點(diǎn)登錄系統(tǒng)。登錄完成后，可以和原來(lái)訪問(wèn)方式一樣去訪問(wèn)應(yīng)用系統(tǒng)，單點(diǎn)登錄SSO-GATE會(huì)在鑒權(quán)后幫助用戶自動(dòng)提交標(biāo)識(shí)信息進(jìn)行登錄，在不進(jìn)行任何額外輸入的情況下，就可以進(jìn)入應(yīng)用系統(tǒng)。也就是實(shí)現(xiàn)了“一人一個(gè)身份標(biāo)識(shí)”登錄所有后臺(tái)系統(tǒng)的管理模式。 　　4.3逐步推進(jìn) 　　由于在系統(tǒng)實(shí)施中需要對(duì)原系統(tǒng)作少許必要的改動(dòng)，為了不影響原系統(tǒng)的正常運(yùn)行，國(guó)富