IT支撑系统账户信息统一管理初探

摘要：本文根据当前企业IT支撑系统的实际情况，通过对各系统使用游离账户信息情况的分析，指出存在的问题，提出对本地网业务支撑系统账户信息进行统一管理的目标、实施步骤和实施要点。

关键词：IT；支撑系统；账户信息；统一；目录服务

中图分类号：F721.7 文献标识码：A文章编号：1007-9599 （2011） 16-0000-01

IT Support System Account Information Management Study

Guan Shiyan,Fan Shijun

(China Unicom Co.,Ltd.Dezhou Branch,Dezhou253000,China)

Abstract:According to the current enterprise IT support systems of the actual situation,through the account information of the system free of the analysis,that the problems raised on the local network service account information support system for unified management objectives,implementation steps,and implementation of key points.

Keywords:IT;Support system;Account information;

Unity;Directory services

一、引言

随着计算机应用的迅猛发展，企业开始陆续大量建设业务、运营、管理等支撑系统。各支撑系统的建设因缺乏统一规划，形成了当前多个厂家开发的多个系统、多模块独立存在的现状。每个系统拥有自己独立的人员身份、权限等账户信息。从保证信息安全和管理的灵活程度等方面考虑，各支撑系统的用户、权限等账户信息的统一管理就变的越来越重要。

二、现用支撑系统现状

IT支撑系统经过多年的建设，当前使用的有20余个，根据其建设来源和系统的覆盖情况，可分为以下几类：有本地网集中建设统一使用的，有全省集中建设推广到本地网使用的，有区县公司或单位内部为满足内部特殊的需求开发使用的。以上三种系统人员权限的管理都在各自系统内部实现，涉及的使用人员，以本地网集中建设部署的系统使用人员最多，全省推广的次之，各单位内部使用的涉及人员相对较少。

三、现有支撑系统账户信息管理存在的问题

以上各个系统，从形式上看，都有各自的身份鉴别方式及权限管理，也在系统使用中发挥了相应的作用。但通过对以上各系统账户的使用和管理情况的统一分析，现有系统的账户信息管理存在的问题集中体现在如下几点：

（一）账户信息管理分散，模式不统一。开户启用后，在人员变动时，账户信息不能及时在系统中调整；而相关人员变动后不再使用系统或无权再使用系统时，账户信息也不能及时清理、关闭，一方面造成不再使用的垃圾账户越来越多，另一方面，多余的垃圾账户给系统和信息安全带来严重的隐患。

（二）一人多个账户。从使用人员方面讲，因人员工作内容不同，需要使用不同的支撑系统，就需要在不同的系统单独开户。而管理的不统一，使开出的账户各不相同，给使用多个系统的用户造成记忆混乱，应用不同系统时经常需要进行多次尝试才能登录。

（三）多人共用同一账号。在实际使用中，会出现一个账户，供一个部门或单位有需要的多个人员使用。这就造成：一方面不便于明确各个人员的责任，会在出现问题时，不能定位到明确的责任人；另一方面，共用这一账号的不同用户的权限难以明确，会造成有意或无意的越权使用。

综上所述，当前IT支撑系统的账户信息管理存在一些问题，必须建立和完善相关制度，并采取必要的技术手段，以适应日益激烈的竞争环境下，系统信息安全性和系统使用高效灵活的要求。

四、支撑系统账户信息统一管理的思路

（一）支撑系统账户信息统一管理实施阶段――规划：登录账户的规范：结合现有各支撑系统账户使用情况，按照一定的规则为公司现有的全体人员每人生成一个编号。此编号在整个公司范围内是唯一的，编号作为一个标识一直伴随着拥有此编号的人员，永不变化。当人员因各种原因离开公司后，此标识也会永久保留但不再可以使用。新人员进入公司后得到新的编号作为登录账户。人员的变化将产生相应的信息供管理员使用。

新开账户管理规范：制定统一的管理方案，对现有系统和将来的系统的登录账户开户进行规范，保证新开出的账户采用以上提到的编号并对应到人，做到一人一户，权限明确，避免出现共用账号。因账户开放都由管理员开放，账号采用统一的编号比过去采用其他方式定义编号更合理和有效，且能在各系统保持统一。

（二）支撑系统账户信息统一管理实施阶段－－清理：通过清理过程，基本结束各系统混乱的管理状态，初步达到了一人一账户，并清理掉了所有的垃圾用户。虽然各系统仍然处于相对独立的状态，但已经从管理层面上上升到一个可管理、可控制的高度。

（三）支撑系统账户信息统一管理实施阶段DD完善：要解决各系统间同步的问题，需要引入目录服务技术，并建立人员基础信息系统，既可以对全公司使用人员进行宏观管理，又可以由各部门对人员进行细致管理，能够通过授权灵活的定义组织和组织内的个人、群组等，并通过目录的复制技术，保证整个组织内的人员同步。

基于此，可对部分系统进行改造，但更主要的是对于新上系统，要求其能够提供目录服务的接口来进行账户信息管理。经过对相关系统的整合和开发，可对具有目录服务接口能力的系统实现统一的账户和权限管理。再在此基础上进一步开发，便可在使用者的层面上实现统一登录界面，实现一次登录使用多个系统。

（四）支撑系统账户信息统一管理实施阶段－－提高：在实际的支撑系统维护过程中，可以发现，并非所有的系统都能把用户账户信息等标识保存在目录中，很多应用程序也无法被轻易修改或没有能力被修改以使用目录。也有一些很充分的理由，比如各种复制和安全的需要，账户信息也必须保持为那个系统自己的格式。再有一些系统，可能不一定是技术可行性的原因，其他方面的原因也制约着完全到目录服务的合并。

基于以上原因，起到标识作用的账户信息数据会继续存放在很多地方，就需要找到适当的方法使不同目录服务和应用程序数据库可以协同工作。要解决这样的问题就必须提供以下三种能力：连接到多种形式的账户信息数据的能力；管理不同应用系统间账户信息变化的能力；管理不同系统之间账户信息数据完整性的能力。通过这种方式的整合，各系统的账户信息数据被聚合到一起进行集中管理、修改、同步，并通过一定的技术手段保持各系统的一致性。这种方式可以解决较多系统账户信息的统一管理，在技术上有其实现的复杂性，但在技术复杂的背后，是一个统一而有序的管理。

五、结束语

通过按阶段、分步骤、逐步引入相关技术手段实施IT支撑系统账户信息的统一管理，将各IT支撑系统的账户信息管理将逐步统一，系统的权限管理等更加准确，系统的安全性和使用方便性逐步增强，整体达到一个较高的层次。