人力資源管理系統(tǒng)分析

申請免費試用、咨詢電話：400-8352-114

　　1、前言 　　隨著信息化的迅猛發(fā)展，越來越多的企業(yè)開始了信息化之路。一些大型企業(yè)更是紛紛上馬了MIS、工單管理系統(tǒng)、工單管理軟件、Notes等等系統(tǒng)，逐步實現(xiàn)企業(yè)的生產(chǎn)、管理、電子商務(wù)等諸多業(yè)務(wù)無紙化。期望借助信息化的平臺，提升企業(yè)的效率，加快企業(yè)的發(fā)展。然而，隨著越來越多信息系統(tǒng)的部署，我們卻發(fā)現(xiàn)企業(yè)生產(chǎn)效率并未達到預(yù)期的提高。相反，紛繁復(fù)雜的系統(tǒng)登錄大量占用了員工的時間，而員工登錄的混亂更是給企業(yè)信息化帶來嚴(yán)重的安全漏洞。 　　2、高信息化=低效率? 　　下面是一個典型的企業(yè)信息系統(tǒng)部署示意圖: 　　我們可以看到，該企業(yè)的信息系統(tǒng)主要包括三大塊:應(yīng)用服務(wù)系統(tǒng)、業(yè)務(wù)生產(chǎn)系統(tǒng)和外部服務(wù)系統(tǒng)。 　　應(yīng)用服務(wù)系統(tǒng)包括工單管理軟件、MIS、工單管理系統(tǒng)、Notes等;業(yè)務(wù)生產(chǎn)系統(tǒng)為各業(yè)務(wù)部門所用;外部服務(wù)系統(tǒng)主要提供如DNS、E-MAIL、WEB等服務(wù)。這些服務(wù)共由5臺UNIX服務(wù)器、20臺WindowNT服務(wù)器支撐，此外還包括數(shù)據(jù)庫系統(tǒng)、郵件系統(tǒng)和多臺網(wǎng)絡(luò)設(shè)備。 　　企業(yè)共有員工約1000人，由5名系統(tǒng)管理員按照部門、級別等分為若干等級，分別擁有訪問不同系統(tǒng)的權(quán)限。同時，該企業(yè)還有若干個分支機構(gòu)和大量的外出人員需要隨時訪問企業(yè)信息系統(tǒng)。 　　考慮到安全因素，對于每個系統(tǒng)要求分別使用不同的密碼，同時要保證密碼的長度和復(fù)雜度。此外，每個密碼還要定期更換，以防止被破解或丟失。 　　如此眾多的系統(tǒng)和密碼給企業(yè)的信息安全造成了嚴(yán)重的漏洞。一方面，系統(tǒng)管理員為了維護這些系統(tǒng)，每個人往往需要記憶大量復(fù)雜的密碼。有的管理員甚至將密碼記錄在文件或筆記中，使得密碼的管理變得很隨意。而對于用戶權(quán)限的改變與經(jīng)常性的密碼丟失，管理員需要耗費大量的時間進行確認、修改與恢復(fù)。另一方面，企業(yè)的用戶為了每天訪問大量的系統(tǒng)，也要記憶大量的密碼。一旦密碼丟失，就無法登錄系統(tǒng)開展業(yè)務(wù)，只能等待系統(tǒng)管理員確認身份、恢復(fù)密碼。然而從規(guī)章制度上去限制用戶的這些行為優(yōu)勢不現(xiàn)實的。因此極大降低了企業(yè)的運營效率。 　　3、基本原則 　　企業(yè)最初的投資并未獲得相應(yīng)地回報，反而給企業(yè)的信息安全造成嚴(yán)重地漏洞，影響員工的工作效率。因此，解決單點登錄、身份識別和信息安全訪問的問題就迫在眉睫。 　　然而，如何解決這個問題和花多大代價來解決是我們在實施項目時必須考慮的因素。由于現(xiàn)有系統(tǒng)的前期投資巨大，且經(jīng)過一段時間的應(yīng)用，系統(tǒng)與公司業(yè)務(wù)的結(jié)合也十分緊密，因此，我們提出了以下基本原則: 　　(1)、產(chǎn)品的實施要循序漸進地進行，不可大范圍地影響公司日常業(yè)務(wù)的運行; 　　(2)、方案可以快速地部署，且對原有系統(tǒng)的改動盡可能地小; 　　(3)、盡量利用和發(fā)掘原有系統(tǒng)的功能和應(yīng)用，降低企業(yè)擁有成本; 　　(4)、系統(tǒng)的實施可有效提高現(xiàn)有系統(tǒng)的登錄效率和安全，且對日后新系統(tǒng)的加入有較好地擴展性。　　4、讓高信息化=高效率 　　我們通過與北京國富安電子商務(wù)安全認證有限公司合作對現(xiàn)有系統(tǒng)進行分析后，形成了一套適合于大型企業(yè)信息系統(tǒng)單點登錄的安全解決方案。該系統(tǒng)是以國富安SSO-GATE單點登錄產(chǎn)品為中心，通過分階段地部署，為改進企業(yè)信息系統(tǒng)提供了以下功能: 　　(1)、一次登錄即可安全訪問所有信息系統(tǒng); 　　(2)、基于數(shù)字證書的身份認證，確保用戶身份的安全; 　　(3)、根據(jù)用戶身份信息，自動完成各系統(tǒng)的權(quán)限分配; 　　(4)、構(gòu)建信息加密通道，確保信息傳輸?shù)陌踩? 　　(5)、支持所有的業(yè)務(wù)系統(tǒng)、平臺、服務(wù)器或客戶端，完全兼容現(xiàn)有信息系統(tǒng); 　　(6)、對原有系統(tǒng)做到改動最小，最大可能地減小對企業(yè)經(jīng)營的影響; 　　(7)、全面的日志審計:精確地記錄用戶的日志，可按日期、地址、用戶、資源等信息對日志進行查詢、統(tǒng)計和分析。審計結(jié)果通過Web界面以圖表的形式展現(xiàn)給管理員; 　　(8)、雙機熱備:通過雙機熱備功能，提高系統(tǒng)的可用性，滿足企業(yè)級用戶的需求; 　?。?）、良好的擴展性，可隨時加入新的系統(tǒng)。 　　通過較短周期地實施，系統(tǒng)的網(wǎng)絡(luò)部署如下圖所示: 　　通過在企業(yè)網(wǎng)主節(jié)點部署GFA SSO-GATE，使來自企業(yè)內(nèi)部和外部的所有訪問都通過SSO-GATE來確認和分配權(quán)限，實現(xiàn)統(tǒng)一環(huán)境的單點登錄。用戶對系統(tǒng)的訪問擺脫了過去記憶復(fù)雜密碼的煩惱，將所有的信息都集中到安全管理中心，由安全管理中心自動完成復(fù)雜的身份驗證與權(quán)限分配過程。 　　4.1體系結(jié)構(gòu): 　　該系統(tǒng)主要包括三大模塊:單點登錄模塊、身份認證模塊和權(quán)限管理模塊。 　　4.1.1單點登錄模塊: 　　1. 統(tǒng)一授權(quán)服務(wù)器。它決定著用戶是否可以登錄以及他們可以訪問哪些資源。它通過安全地管理用戶身份標(biāo)識并自動對企業(yè)后臺應(yīng)用提交正確的用戶標(biāo)識來完成本功能。它簡化了最終用戶的登錄過程，通過引入數(shù)字證書和身份訪問硬件令牌的雙因素認證，減少了各種密碼、口令等信息的管理工作量，并增強了總體應(yīng)用的安全性。 　　·數(shù)據(jù)庫 存儲了所有關(guān)于用戶、組、資源、應(yīng)用、登錄參數(shù)和訪問控制規(guī)則等信息。支持LDAP、RADIUS、Windows Active Directory和本地信息庫等。同時還可以通過擴展接口，與用戶合作集成現(xiàn)有的應(yīng)用系統(tǒng)身份信息數(shù)據(jù)庫作為SSO應(yīng)用軟件系統(tǒng)的用戶數(shù)據(jù)庫。 　　·登錄會話信息 統(tǒng)一保存管理，提供用戶登錄應(yīng)用操作時所需要保存的信息。 　　2. 客戶端軟件 安裝運行于每一個使用SSO-GATE系統(tǒng)的終端。客戶端軟件的功能有: 　　·與SSO-GATE進行通訊，對訪問用戶進行雙因素身份驗證。 　　·統(tǒng)一訪問最終用戶被授權(quán)使用的應(yīng)用。 　　·執(zhí)行登錄會話并使用戶登錄所授權(quán)應(yīng)用。 　　·SSO-GATE與客戶端軟件搭配使用，可以通過強認證+單點登錄實現(xiàn)任意應(yīng)用系統(tǒng)的統(tǒng)一安全登錄與管理。 　　4.1.2身份認證模塊 　　認證服務(wù)　客戶端通過數(shù)字證書+USB Key的雙因素認證方式登錄，認證服務(wù)器確認用戶身份是否合法，鑒權(quán), 然后才允許訪問授權(quán)的應(yīng)用系統(tǒng)，以達到安全登錄和訪問的目的。 　　4.1.3權(quán)限管理模塊 　　授權(quán)服務(wù) 基于PMI/AA基礎(chǔ)設(shè)施頒發(fā)的標(biāo)準(zhǔn)X.509 V3證書，完成用戶權(quán)限的分配、管理、存儲、分發(fā)和撤銷等功能。當(dāng)然，也可根據(jù)用戶的實際情況，使用原有授權(quán)系統(tǒng)，以滿足不同的用戶環(huán)境。 　　4.2改進的登錄過程 　　在系統(tǒng)實施過程中，由管理員將原來需要用戶記憶的各種登錄過程、用戶名和口令等信息集中記錄在服務(wù)器的數(shù)據(jù)庫中; 　　最終用戶在登錄任何應(yīng)用系統(tǒng)之前，首先在要登錄身份認證服務(wù)器，獲得該系統(tǒng)的安全認證后，系統(tǒng)自動從數(shù)據(jù)庫中取出該用戶被授權(quán)登錄的系統(tǒng)信息和過程記錄進行登錄，無需用戶再次進行登錄。自動完成用戶名稱、口令等信息的輸入，完成對目標(biāo)應(yīng)用系統(tǒng)的登錄過程。同時，企業(yè)對個別極度敏感的系統(tǒng)，還可以要求進行二次驗證，以保證系統(tǒng)的絕對安全。 　　從最終用戶的角度看，他開機后首先要做的是通過客戶端登錄單點登錄系統(tǒng)。登錄完成后，可以和原來訪問方式一樣去訪問應(yīng)用系統(tǒng)，單點登錄SSO-GATE會在鑒權(quán)后幫助用戶自動提交標(biāo)識信息進行登錄，在不進行任何額外輸入的情況下，就可以進入應(yīng)用系統(tǒng)。也就是實現(xiàn)了“一人一個身份標(biāo)識”登錄所有后臺系統(tǒng)的管理模式。 　　4.3逐步推進 　　由于在系統(tǒng)實施中需要對原系統(tǒng)作少許必要的改動，為了不影響原系統(tǒng)的正常運行，國富