标签:#身份治理 #SSO #密码管理 #等保三级 #信创 #无源码集成
一、背景:30套系统,5种账号体系,权限像“蜘蛛网”
我们是一家省属能源集团,下属电厂、调度中心、财务公司等8个二级单位。随着数字化推进,各业务线陆续上线了:
- 自研系统:生产监控平台(Java)、设备台账(.NET);
- 采购软件:SAP ERP、用友 NC、泛微 OA;
- 行业专用系统:电网调度终端(Delphi)、安全培训平台(VB6);
- SaaS 工具:钉钉、企业微信、帆软 BI。
问题随之而来:
- 员工平均拥有5–7 个账号;
- 新员工入职,IT 要手动在12+ 个系统中创建账号;
- 离职人员权限回收常有遗漏,曾发生外包人员离职后仍能访问生产数据;
- 更严重的是:80% 的系统共用弱口令(如
Energy@2024)。
在最近一次等保三级测评中,被明确指出:
“未实现用户身份集中管理,存在账号共享、弱口令、权限回收不及时等高风险项。”
但现实很骨感:
- 老系统无源码,无法集成 OAuth/SAML;
- 无预算采购大型 IAM 产品;
- 开发资源紧张,排期至少半年。
怎么办?
二、破局思路:不改应用,也能做“统一身份入口”
我们意识到:真正的挑战不是技术先进性,而是对存量系统的兼容能力。
于是提出一个务实目标:
不改造任何应用,通过外挂式代理 + 凭据托管,实现“一次认证、自动登录、权限集中”。
核心组件:
- ASP(身份认证系统):轻量级身份与凭据管理中心;
- SYP 客户端代理:部署在用户终端,实现 BS/CS 应用自动填密。
✅关键原则:
- 零代码侵入;
- 支持 Web 与桌面程序;
- 凭据加密托管,用户不可见密码。
三、技术实现:三步完成统一身份治理
步骤1:部署 ASP 身份平台(信创环境)
- 在国产化服务器(麒麟 OS + 鲲鹏 CPU)上部署 ASP;
- 对接现有 AD 域,同步组织架构与用户信息;
- 内置国密 SM2/SM4 加密模块,满足密评要求;
- 提供 RESTful API,供后续扩展。
💡 部署方式:Docker 容器化,2 小时完成上线。
步骤2:注册异构应用凭据模板
在 ASP 中为每类系统创建“登录模板”,例如:
# SAP ERP(Web)name:sap-prodtype:weburl:https://sap.energy.localfields:username:${user.employee_id}password:${vault.sap_password}injector:browser-extension# 电网调度终端(Delphi CS 应用)name:dispatch-clienttype:desktopexe_path:C:\Dispatch\dispatch.exefields:username:${user.id}password:${vault.dispatch_password}injector:keystroke-simulator🔐 所有密码由 ASP 动态生成并加密存储,用户无法查看或导出。
步骤3:终端部署 SYP 代理
- 通过组策略静默安装
syp-agent到 Windows 电脑; - 代理启动后,监听 ASP 下发的登录指令;
- 当用户访问统一门户并认证后:
- 浏览器插件自动填充 Web 系统;
- 本地代理模拟键盘输入,启动并登录 CS 软件。
⏱️ 用户体验:
只需记住一个主密码(或使用 USB Key),其余系统“无感登录”。
四、权限与审计:从“人管权限”到“系统管权限”
1. 自动化授权
- 新员工加入“调度中心” → 自动获得调度终端、监控平台权限;
- 员工调岗 → 旧权限自动移除,无需人工干预。
2. 凭据生命周期管理
- 数据库密码每 90 天自动轮换;
- 离职流程触发后,10 分钟内全局禁用所有系统访问。
3. 审计日志满足等保
ASP 记录完整操作链:
- 谁在何时访问了哪个系统;
- 使用何种认证方式(密码/USB Key);
- 登录是否成功;
- 会话持续时间。
📊 在后续等保复测中,该方案作为“用户身份集中管理”证据,顺利通过。
五、效果对比:降本、增效、合规
| 指标 | 实施前 | 实施后 |
|---|---|---|
| IT 人力(月) | 30+ 小时(账号管理) | 80% |
| 等保合规 | 不达标 | 达标 |
| 初期投入 | — | ≈ ¥8 万元(含 100 用户许可 + 信创适配) |
💡ROI 极高:不到 6 个月即收回成本。
六、为什么适合中小企业和国企?
该方案特别适用于:
- 混合架构环境(SaaS + 自建 + 外包系统);
- 无源码、无法改造的老系统;
- 信创/等保/密评合规压力大的单位;
- IT 人力有限,追求快速落地。
✅核心价值:
用最低成本,把“账号混乱”升级为“身份可信”。
七、写在最后
安全不是大厂的专利,
也不是堆砌昂贵产品的游戏。
在资源有限的现实下,
选择对的工具,比追求完美的架构更重要。
通过轻量级身份平台,
我们让 30+ 套“孤岛系统”首次实现了权限统一,
也让安全,真正融入了日常运营。
互动话题:
你们公司有多少套独立账号体系?
是如何管理权限和密码的?
欢迎评论区交流你的“身份治理故事”!
参考资料:
- GB/T 22239-2019《网络安全等级保护基本要求》
- GM/T 0115-2021《信息系统密码应用基本要求》
