4A统一安全管理平台解决方案
华为4A式IAM解决方案(含图)
华为4A式IAM解决方案随着各大运营商在海外的上市,运营商对增强内部控制的需求日益强烈。
华为4A式IAM (Identity Access Manager基于身份的访问管理)解决方案综合利用各厂家成熟的技术,结合自身对电信业务深刻地理解和研发集成能力,致力于提高各大运营商通过合理的技术和途径达到增强内部控制的要求。
4A式IAM解决方案包含了集中帐号管理(Account)、集中认证(Authentication)、集中授权(Authorization)和集中审计(Audit)四个方面。
方案重在帮助运营商通过合理的技术手段和建设方式达到增强内控的目的。
方案需求背景随着各大电信运营商的业务网发展,其各种系统和内部用户数量不断增加,网络规模迅速扩大,安全问题日趋严重。
现有的每个业务网系统分别存储、管理本系统内的账号和口令,独立的以日志形式审计操作者在系统内的操作行为已远远不能满足业务发展的需要,也无法满足萨班斯法案(SOX)内控的要求,无法与国际业务接轨。
存在的问题主要表现在以下几个方面:各系统中有大量的网络设备、主机和应用系统都有一套独立的认证、授权和审计机制,分别由相应的系统管理员负责维护和管理。
系统中帐号繁多,当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加。
各系统分别管理所属的系统资源,为本系统的用户分配权限。
随着用户数量的增加,权限管理任务越来越重,且无法严格按照最小权限原则分配权限,系统的安全性无法得到充分保证。
有些账号多人共用,不仅在发生安全事故时,难以确定账号的实际使用者;而且在平时也难以对账号的扩散范围加以控制,容易造成安全漏洞。
各业务系统及支撑系统的增多,使用户需要经常在各个系统之间切换,每次从一个系统切换到另一支撑系统时,都需要输入用户名和口令进行登录。
给用户的使用带来不便,影响了工作效率。
但是用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的,又会危害到系统的安全性。
中国移动4A系统介绍
移动4A系统介绍目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。
所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。
在这里结合具体情况谈谈在移动省公司或地级市公司建设4A 项目的一些想法,仅供参考。
4A之账号管理移动集团的4A规范中提出主账号和从账号的概念,主账号即自然人使用的账号,目前主要是网络准入控制系统的账号。
从账号即资源设备自身账号,主要是指自然人登录设备或应用系统时使用的账号。
为此在4A平台中需要建立两个管理模块:主账号管理模块、从账号管理模块。
4A之授权管理在“4A之账号管理”中进行主账号管理和从账号管理。
而主账号和从账号之间需要通过资源设备进行关联。
授权的目的就是使授权自然人可以登录那些设备,在相应的设备上使用从账号。
因此形成“主账号-从账号-设备”三位一体的对应关系。
目前移动系统中使用的账号情况极为复杂,因此提出“以人为本”的关系梳理。
该梳理就是要搞清“谁—能访问什么设备—使用哪个(些)系统账号”的关系,同时为认证和授权提供相应的关联列表。
4A之认证管理前面进行了授权管理,接下来要对账号的合法性进行相应的认证。
4A的认证合法性应该主要完成三项内容:主账号是否合法、从账号是否合法、授权是否合法。
见图1认证及授权模块的框图。
图1 认证及授权模块的的框图认证及授权过程●在前期的安全建设中,已经在网络中做了安全域划分及网络安全准入系统的建设。
用户进入网络访问业务系统时,网络准入系统需对自然人身份的合法性进行认证,主账号认证信息打包转发给4A平台,4A平台对主账号的合法性进行判断,合法则让网络准入控制设备放开控制策略。
●主账号认证通过后,4A平台记录自然人、主账号、终端IP的对应关系,实现网络实名制记录。
4A统一安全管控平台_产品介绍PPT-V1.4
没有技术手段情况下,很难通过日志审计发现异常或违规行为。
数据问题
Access
忽视操作过程中生成的文件,缺乏对其进行上传下载的控制,存在极大的安全隐患。 没有对文件内容进行审计控制,很难对敏感数据泄露事件进行控制和审核。
解决问题
账号集中管理 单点登录与认证
授权管理
日志集中管理 与审计
a) b) c)
d)
实现IT资源账号集中管理、 自动采集、创建、分配、同 步 实现公司统一用户目录中用 户身份信息的规范化,与公 司人力资源等实现数据同步 将资源账号和使用人员真实 身份对应的主账号进行组从 关联,建立主从账号关联关 系视图 强制口令修改。输出需要的 报表,可根据需求自动化定
SSO登录
管理员Portal
授权管理 资源管理 资源授权 分组访问控制 命令防火墙 角色管理 资源关系组
综合审计 日志采集 日志范化 关联分析 审计回放 审计告警 审计报表与查询
业务管理功能 平台自管理 用户自服务 组件管理 分级管理
状态监控 工单管理
业务数据库
审计数据库
帐号管理接口
认证接口
审计接口
体级访问控制和授权
实现系统资源和应用资源权
限的自动采集或手动管理 c)
对所有系统资源、应用资源,
支持角色定义,支持基于角
色的授权
d)
e)
支持多种系统、访问日志收 集和统一格式标准化 将系统侧采集的日志和在同 一用户接入点的文本或视频 进行日志关联 实现将日志关联到用户主账 号且对应到自然人的登录过 程、关键操作进行审计 快速检索日志,支持安全事 件责任调查 能够审计发现绕开4A系统 直接登录资源的行为
4A(统一安全管理平台)解决方案
4A(统一安全管理平台)简介企业信息门户系统供稿1、介绍企业信息化软件,一般经历下面几个阶段:无纸化办公—信息共享—信息安全等三个阶段,随着企业承载应用的越来越多,对所有应用的统一访问、统一控制、统一授权的需求也随着出现,4A就是针对此类问题的综合解决方案。
4A是指:认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为统一安全管理平台解决方案。
融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
2、4A系统背景随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统、商务平台不断推出和投入运行,信息系统在企业的运营中全面渗透。
电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户网站,使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务,提供电子商务、数据库应用、ERP和协同工作群件等服务。
由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响企业的经济运行效能,并对企业声誉造成重大影响。
另外黑客的恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。
如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为企业关心的问题。
3、4A平台的管理功能4A功能结构图为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。
2)集中认证(authentication)管理可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(一次性口令、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。
最新安全4A概念及其体系结构简介
安全4A概念及其体系结构简介安全4A概念及其体系结构简介一、4A概念4A是指包括账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit)等保障部信息安全的四个基本要素。
4A系统通过集中的帐号管理、身份认证、授权管理和安全审计等功能可为企业提供强健的、基于统一策略的解决方案,解决企业内控等问题,降低管理成本,提高系统安全性和政策符合性。
二、4A系统的必要性网络信息系统的不断发展,各种业务系统和支撑系统的用户数量快速增加,每个业务网系统分别维护用户信息数据,孤立身份管理和身份认证方式,及以日志形式的审计操作者在系统内的操作行为,已日渐不能满足信息安全的要求,因而急需解决以下几方面问题:帐号与口令管理流程的缺失——如:存在大量共享帐号;用户帐号的添加、修改以及删除、用户账号的定期审阅、职责分工没有全流程控制和执行(或者有相关措施,但难于执行),同时对应员工岗位变更和离职的用户数字身份生命周期管理没有相应的技术手段,最终导致大量帐号的产生和管理失控;(1)系统维护复杂度带来的人为安全性问题——各系统中有大量的网络设备、主机和应用系统,帐号繁多,管理困难,管理成本较高;难以实现帐号权限的有效监督和审核;难以维护有效的用户帐号列表;当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加;(2)用户认证方式和手段缺乏——目前大多数系统采用基本的帐号与口令方式进行认证,由于没有技术机制的限制,口令的设置过于简单,无法实现用户标识唯一性(无法明确到个人,无法区分内部员工、最终用户、设备厂商维护人员等),须考虑增强的认证手段和统一管理;(3)用户行为的审计和跟踪缺失——有些帐号多人共用,不仅在发生安全事故,难于确定帐号的实际使用者,而且难于对帐号的扩散范围进行控制,容易造成安全漏洞;同时,日志和审计手段分散在各个系统和设备中,容易造成日志信息丢失,缺乏集中统一的系统访问审计,审计操作复杂,无法对支撑系统进行综合分析,不能及时发现危害系统安全的事件;(4)“分散”管理的问题——系统分别属于不同的专业进行管理,目前各系统都有一套独立的认证、授权和审计机制,分别由相应的系统管理员负责维护和管理。
统一安全管理AAAA平台解决方案
统一安全管理AA平台解决方案4A包括统一用户账号(Account)管理、统一认证(Authentication)管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。
融合后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。
而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统内的操作行为。
现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求,及与国际业务接轨的需求。
问题主要表现在以下几方面:1.大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加;2.一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;3.各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;4.个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;5.随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的威胁;6.对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。
综上,由于缺乏统一的4A管理平台,加重了系统管理人员工作负担,同时,因各业务系统安全策略不一致,实质上也大大降低了业务系统的安全系数。
统一安全管理平台解决方案能够解决运营商当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。
最新4A(统一安全管理平台)解决方案资料
4A (统一安全管理平台)简介企业信息门户系统供稿1、介绍企业信息化软件,一般经历下面几个阶段:无纸化办公一信息共享一信息安全等三个阶段,随着企业承载应用的越来越多,对所有应用的统一访问、统一控制、统一授权的需求也随着出现,4A就是针对此类问题的综合解决方案。
4A是指:认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为统一安全管理平台解决方案。
融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录(SSO )等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
2、4A系统背景随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统、商务平台不断推出和投入运行,信息系统在企业的运营中全面渗透。
电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户网站,使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务,提供电子商务、数据库应用、ERP和协同工作群件等服务。
由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响企业的经济运行效能,并对企业声誉造成重大影响。
另外黑客的恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。
如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为企业关心的问题。
3、4A平台的管理功能1)集中帐号(account )管理4A功能结构图为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。
4A统一安全管理平台关键技术分析与评估
1引言随着互联网在世界范围的进一步普及,基于网络的应用服务在各行各业深入发展,由此产生的安全问题也愈演愈烈,安全事件所导致的严重后果和影响难以估量。
近年来,我国将网络空间安全提升到国家战略层面,成立了中央网络安全和信息化领导小组。
习总书记指出,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”,一方面要强化网络优势加快促进社会经济发展,另一方面要使网络可管可控避免安全隐患。
4A统一安全管理平台在网络空间安全管控中占据着重要地位,发挥着关键作用。
2002年,美国萨班斯法案生效,要求管理人员通过有效的技术手段能够对内部网络进行严格管理,控制、限制和追踪用户行为;2007年,由我国公安部、保密局、密码管理局和国务院信息工作办公室联合印发的《信息安全等级保护管理办法》及后续一系列标准也对相关安全工作做出了规定。
由此,4A统一安全管理平台的应用得到了强有力的推动和法律的保障。
经过前后二十多年的发展,4A 从概念到实用化,逐渐成为保障网络空间安全不可或缺的一环。
典型的4A统一安全管理平台以身份认证为核心,由统一账号(Account)管理、统一认证(Authentication)管理、统一权限(Authorization)管理、统一审计(Audit)管理4个主要部分构成。
它隔离了外部网络和内部网络,通过身份和权限认证,既可以防护外部恶意入侵和攻击,还可以监控和审计内部行为,对整个应用环境进行全方位管控。
其管控范围之广、涉及人员之众、技术类型之多样、工作流程之复杂,都对平台的部署、测试、运行及维护带来了极大的挑战。
鉴于此,本文将围绕4A统一安全管理平台的关键技术进行简要分析,并对典型4A系统开展相关评测,以剖析实施4A方案中的难点和重点。
2网络空间4A需求分析4A平台是网络空间安全保障体系的重要组成部分。
当前严峻的网络安全形势使得国家和企业对4A 平台的需求更加迫切,同时对4A平台提供的安全保障能力也更加关注和期待。
中国移动业务支撑网4A安全技术规范
中国移动业务支撑网4A安全技术规范中国移动通信企业标准QB-W-016-2007中国移动业务支撑网4A安全技术规范版本号:1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司发布目录1概述 (8)1.1范围 (8)1.2规范性引用文件 (8)1.3术语、定义和缩略语 (9)2综述 (11)2.1背景和现状分析 (11)2.24A平台建设目标 (14)2.34A平台管理范围 (16)34A管理平台总体框架 (17)44A管理平台功能要求 (21)4.1帐号管理 (21)4.1.1帐号管理的范围 (21)4.1.2帐号管理的内容 (22)4.1.3主帐号管理 (23)4.1.4从帐号管理 (24)4.1.5密码策略管理 (24)4.2认证管理 (25)4.2.1认证管理的范围 (25)4.2.2认证管理的内容 (26)4.2.3认证服务的管理 (26)4.2.4认证枢纽的管理 (26)4.2.5SSO的管理 (27)4.2.6认证手段 (27)4.2.7提供多种手段的组合使用 (28)4.3授权管理 (28)4.3.1授权管理的范围 (28)4.3.2授权管理的内容 (29)4.3.3资源管理 (30)4.3.4角色管理 (30)4.3.5资源授权 (31)4.4审计管理 (33)4.4.1审计管理范围 (33)4.4.2审计信息收集与标准化 (34)4.4.3审计分析 (35)4.4.4审计预警 (37)4.54A管理平台的自管理 (38)4.5.3组件管理 (39)4.5.4运行管理 (39)4.5.5备份管理 (39)4.64A管理平台接口管理 (40)4.6.1帐号管理接口 (40)4.6.2认证接口 (40)4.6.3审计接口 (41)4.6.4外部管理接口 (41)54A管理平台技术要求 (42)5.1总体技术框架 (42)5.2P ORTAL层技术要求 (44)5.3应用层技术要求 (44)5.3.1前台应用层技术要求 (45)5.3.2核心数据库技术要求 (46)5.3.3后台服务层技术要求 (51)5.3.4单点登录技术要求 (55)5.3.5安全审计技术要求 (57)5.4接口层技术要求 (62)5.5非功能性技术要求 (63)5.5.1业务连续性要求 (63)5.5.2开放性和可扩展性要求 (67)5.5.3性能要求 (69)5.5.4安全性要求 (69)64A管理平台接口规范 (71)6.1应用接口技术规范 (71)6.1.1总体描述 (71)6.1.2登录类接口(①) (73)6.1.3认证类接口 (75)6.1.4帐号/角色接口(④) (78)6.1.5审计类接口 (88)6.2系统接口技术规范 (93)6.2.1总体描述 (93)6.2.2登录类接口(①) (95)6.2.3认证类接口 (96)6.2.4帐号接口(⑤) (100)6.2.5审计类接口 (107)6.3外部管理接口技术规范 (111)7BOSS系统3.0的改造要求 (113)7.2.1总体改造总体要求 (114)7.2.2帐号管理要求 (117)7.2.3授权管理要求 (120)7.2.4认证管理要求 (123)7.2.5审计管理要求 (126)7.3BOSS应用的安全要求 (128)7.3.1BOSS应用帐号管理 (129)7.3.2BOSS应用授权管理 (135)7.3.3BOSS应用认证管理 (138)7.3.4BOSS应用审计要求 (139)7.3.5BOSS数据安全要求 (141)8经营分析系统2.0改造要求 (144)8.1经营分析系统应用安全建设目标 (144)8.2经营分析系统配合4A改造要求 (145)8.2.1总体改造要求 (145)8.2.2帐号管理改造要求 (148)8.2.3授权管理改造要求 (151)8.2.4认证管理改造要求 (154)8.2.5审计管理改造要求 (156)8.3经营分析系统应用安全要求 (159)8.3.1经营分析系统用户管理 (159)8.3.2经营分析系统权限管理 (169)8.3.3经营分析系统认证管理 (172)8.3.4经营分析系统日志记录 (175)8.3.5经营分析系统数据安全要求 (177)8.3.6系统平台安全要求 (179)9运营管理系统2.0改造要求 (183)9.1运营管理系统应用安全建设目标 (183)9.2运营管理系统配合4A改造要求 (184)9.2.1总体改造要求 (184)9.2.2帐号管理改造要求 (188)9.2.3授权管理改造要求 (191)9.2.4认证管理改造要求 (194)9.2.5审计管理改造要求 (196)9.3运营管理系统应用安全要求 (199)9.3.1运营管理系统用户管理 (200)9.3.2运营管理系统权限管理 (206)9.3.3运营管理系统认证管理 (209)9.3.4运营管理系统日志记录 (212)9.3.5运营管理系统数据安全要求 (214)104A平台建设指导意见 (217)10.1总体指导原则 (217)10.24A平台建设步骤 (218)10.2.1前期调研和准备阶段 (218)10.2.2平台建设和实施阶段 (220)10.2.3后期管理和维护阶段 (222)10.34A平台应急方案 (223)10.3.1应急方案流程梳理 (223)10.3.2应用功能改造实现 (224)11编制历史 (226)附录A 4A管理平台管理流程 (227)(1)用户入职流程 (229)(2)用户变更管理流程 (230)(3)离职管理流程 (231)(4)新项目纳入管理流程 (232)附录B 业务支撑系统敏感数据 (232)(1)BOSS系统中的敏感数据 (232)(2)经营分析系统中的敏感数据 (234)(3)需要关注的操作日志 (235)图形目录图3-1 业务支撑网4A管理平台总体框架图 (18)图4-1 4A平台与应用系统的帐号、角色和权限关系图 (32)图5-1 业务支撑网4A管理平台的总体技术框架 (42)图6-1 4A平台与应用资源的接口框架图 (72)图6-2 业务支撑应用的帐号/角色接口图 (79)图6-3 4A平台与系统资源的接口框架图 (94)图6-4 4A平台与系统资源的接口框架图 (101)图7-1 BOSS配合4A的改造总体示意图 (115)图7-2 BOSS配合4A的帐号管理改造图 (118)图7-3 BOSS配合4A的授权管理改造图 (122)图7-4 BOSS配合4A的认证管理改造图 (125)图7-5 BOSS配合4A的审计管理改造图 (127)图7-6 BOSS应用安全体系逻辑图 (129)图7-7 BOSS应用授权管理结构图 (137)图8-1 经营分析系统配合4A的改造总体示意图 (146)图8-2 经营分析系统配合4A的帐号管理改造图 (149)图8-3 经营分析系统配合4A的授权管理改造图 (153)图8-4 经营分析系统配合4A的认证管理改造图 (155)图8-5 经营分析系统配合4A的审计管理改造图 (158)图8-6 经营分析应用安全体系逻辑图 (159)图8-7 经营分析应用授权管理结构图 (172)图8-8 通过经营分析门户认证流程图 (174)图9-1 运营管理系统配合4A的改造总体示意图 (186)图9-2 运营管理系统配合4A的帐号管理改造图 (189)图9-3 运营管理系统配合4A的授权管理改造图 (193)图9-4 运营管理系统配合4A的认证管理改造图 (195)图9-5 运营管理系统配合4A的授权号管理改造图 (198)图9-6 运营管理应用安全体系逻辑图 (199)图9-7 运营管理应用授权管理结构图 (209)图9-8 运营管理应用门户认证流程图 (211)前言本标准规定了面向中国移动业务支撑网的应用级和系统级的集中统一的帐号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit)的安全系统(简称4A管理平台或4A平台)的总体目标、平台框架、功能要求、关键技术实现方法、接口标准、实施指导建议及注意事项。
4A与CA的区别_献给工作在第一线的技术同志
亚信4A的优势
国家电子政务外网平台
采用亚信安全4A,在今后对接中有天然的优势
国内最知名第三方安全评定机构“安全牛”评定亚信安全 为国内身份安全领导者
IAM= Identity and Access Management 即:身份识别与访问管理
7
感谢聆听!
8
单点登录
密码代填(C/S,B/S) 标准协议SSO
5
关于4A与CA的身份认证
4A的身份认证
CA的身份认证
动态令牌
身份证认证
短信认证
硬件证书
网络证书
USBKEY 二维码 人脸识别
SIM卡认证 指纹认证 声纹认证
证书 移动证书
……
简单的说,4A是以人为中心可支持多类认证手段的接入、叠加
CA是以提供数字证书为中心,做出一些形态的变化
CA认证,即电子认证服务,是指为电子签名相关各方提供 真实性、可靠性验证的活动。 证书颁发机构(CA, Certificate Authority)即颁发数字证书 的机构。是负责发放和管理数字证书的权威机构,并作为 电子商务交易中受信任的第三方,承担管理平台,CA是一种电子签名认证服务 现状是部分CA产品也提供了一些简单的身份安全管理手段,如应用单点登录
4A与CA的定义图解
CA : 认证手段中的一种
4A : 基于人的全场景 身份集中管理
3
4A与CA的管理场景
4A的管理场景
CA的管理场景
风险识别 账号托管 精细授权
数据访问 文件流转
身份认证 应用接入 设备访问
手机访问
身份认证 应用接入
简单的说,4A覆盖人在组织内的所有IT使用场景,持续识别风险,并实现统一管理 CA是验证身份,顺便做了应用的单点登录
4A安全-案例手册
4A安全案例手册案例概述4A安全应用,为企业内部的用户和各种资源进行集中管理、集中权限分配、集中审计,提供技术上保证支撑系统安全策略的实施。
如下例举两个案例来体现中间件4A安全:案例1:我的权限表单(TestB.jsp)案例2:我的业务表单(TestC.jsp)案例1:我的权限表单1.操作描述我的权限表单,以图书借阅为例,体现安全中的对用户权限的控制。
假设有User1用户,我们添加权限,授予他可以看书的权限,再回收他看书的权限。
具体步骤:1.注册资源2.定义角色3.授予用户4.在系统中绑定2.操作步骤一、注册资源(BOOK)打开中间件平台首页/cmsWeb/index.jsp,如图1.1图1.1单击,链接到“资源列表”页面,找到BUSSENV(业务属性)这个资源(资源可任意单击“新建”按钮建立)单击,链接到“资源管理”页面单击,弹出资源“新建目录”对话框,新建PERMT--“权限测试”目录下,LIB—“书库目录下,BOOK这个资源(BUSSENV.BUSSENV.PERMT.LIB.BOOK)二、定义角色安全中,通过把权限赋予角色,再把角色赋予用户,来对用户权限进行管理。
三者的关系,我们需将用户,角色,权限先创建好,在进行授予。
1.创建用户步骤如下:打开中间件平台,选择「4A安全」,如图2.1图2.1单击,链接到“用户管理”的主界面。
如图2.2图2.2单击界面左下方按钮,链接到用户创建页面用户创建页面填写详细如下:1.姓名:要添加用户的姓名,可以填写为中文。
2.姓名拼音:不能填写中文,姓名拼音将作为用户的登陆帐号名。
3.组织机构:设置用户的组织机构,即设置用户的部门信息。
单击组织机构选择按钮,选择用户所在的部门,如图选择一个部门,注意:单击部门文件夹图表或部门名字表示选中该部门,单击左边的加号表示进入查看该部门的子部门,如图4.组别:系统默认开发组和项目组,是一个共享的资源,不是存在于某个部门下。
中国移动4A系统建设
所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。
目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。
所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。
在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法,仅供参考。
4A之账号管理移动集团的4A规范中提出主账号和从账号的概念,主账号即自然人使用的账号,目前主要是网络准入控制系统的账号。
从账号即资源设备自身账号,主要是指自然人登录设备或应用系统时使用的账号。
为此在4A平台中需要建立两个管理模块:主账号管理模块、从账号管理模块。
4A之授权管理在“4A之账号管理”中进行主账号管理和从账号管理。
而主账号和从账号之间需要通过资源设备进行关联。
授权的目的就是使授权自然人可以登录那些设备,在相应的设备上使用从账号。
因此形成“主账号-从账号-设备”三位一体的对应关系。
目前移动系统中使用的账号情况极为复杂,因此提出“以人为本”的关系梳理。
该梳理就是要搞清“谁—能访问什么设备—使用哪个(些)系统账号”的关系,同时为认证和授权提供相应的关联列表。
4A之认证管理前面进行了授权管理,接下来要对账号的合法性进行相应的认证。
4A的认证合法性应该主要完成三项内容:主账号是否合法、从账号是否合法、授权是否合法。
见图1认证及授权模块的框图。
图1 认证及授权模块的的框图认证及授权过程●在前期的安全建设中,已经在网络中做了安全域划分及网络安全准入系统的建设。
用户进入网络访问业务系统时,网络准入系统需对自然人身份的合法性进行认证,主账号认证信息打包转发给4A平台,4A平台对主账号的合法性进行判断,合法则让网络准入控制设备放开控制策略。
构建基于4A平台的数据安全管控体系
构建基于4A平台的数据安全管控体系(来源:网络安全和信息化公众号,2019-04-28)随着企业业务的迅速扩展,企业的重要数据日积月累逐步庞大,如业务系统管理着大量客户信息、生产数据、运营数据。
为保障企业核心敏感数据的安全使用和存储,对数据的获取、运维和使用进行规范化管理,需要对业务相关的敏感数据(如客户信息)进行安全管理,确保业务网敏感数据的保密性。
大部分信息化水平较高的企业经过多年的信息安全防护体系建设,在系统安全、终端安全、物理安全等方面已经卓有成效,目前已经分别在不同控制域完成了部分防泄密手段的安全控制,为更好的实现数据安全防护,满足业务发展和监管合规要求,必须解决当前数据内容防护层面临的以下问题:敏感数据的内容识别问题:(1)数据量大,数据关系复杂,难以进行梳理;(2)无法判断出哪些是敏感数据;(3)缺乏对数据内容的分类和敏感级别分级;(4)保护措施无法和敏感数据重要级别挂钩,保护效能和效率较低。
敏感数据的存储流转问题:(1)对于重要敏感的数据存放位置无从知晓,保护难以下手;(2)数据可能存放在电脑、手机、笔记本、业务系统、数据库、存储中;(3)无法明确某类敏感数据在企业的整体分布情况;(4)缺乏对不同数据在不同位置的风险评估视图。
上述问题导致企业面对急速增长的数据安全问题无法做到主动发现、动态监控及管控措施,甚至于因问题资产引发的安全事件在爆发后相当长的一段时间后才被知晓,管控措施较为消极。
设计思路本方案通过对敏感数据管控现状深入调研和梳理,结合PDCA的信息安全管理思想,提出敏感数据管控体系的架构。
◆建立敏感数据管控策略体系和责任矩阵:以安全策略的规划和建设为核心,用安全策略指导并驱动各项安全工作,使各项安全工作的目标清晰化、责任具体化、执行规范化、稽核有理化。
◆建立敏感数据管控技术体系并将安全策略落地:通过敏感数据管控子系统的形式体现,分为事前预防、事中控制、事后追溯和审计三个阶段。
4a统一安全管理平台解决方案
4a统一安全管理平台解决方案篇一:移动应用系统安全管理平台解决方案概述1移动应用系统安全管理平台方案概述系统建设背景近日,。
无线城市规划的出台促进了。
无线应用系统快速发展。
因此,作为各种无线应用系统的核心基础—安全管理问题,也变得越来越重要,对无线应用系统安全管理方面的建设具有时间紧迫性。
XX年,Comodo, Gucci 和花期银行等国际公司的无线应用都相继发生了一系列安全事故。
这些安全事故都造成了巨大的经济损失。
我市各单位的无线应用系统(特别是政务系统和办公系统)中的数据往往都是需要保密的,一旦泄露后果不堪设想。
此外,各单位应用系统的离散独立建设和管理,会带来巨大的建设、管理成本,造成资源浪费。
例如,某单位如果不使用独立物理专线,无线应用的性能可能会难以接受;但是,如果建设将为这个单位带来巨额的专线使用费用,且容易出现专线资源的浪费。
综合政府无线城市规划的要求和各单位实际建设无线应用系统遇到的问题,本项目将重点解决我市各种无线应用系统的统一安全管理和网络资源统筹优化问题,其重点目标是在不改变各单位已有无线应用系统结构和物理联网的基础上,建立基于SSL VPN的移动应用安全管理平台,在逻辑和应用层面上将各单位移动应用系统纳入一个安全的使用范围,在移动应用系统各层面和关键节点上提供完善的防护和管理机制,最大限度的保障用户数据安全;同时,提供一个统一的VPN MSC客户端来实现用户的单点登陆管理,简化用户的操作步骤,以及降低各单位离散管理带来的安全隐患。
项目建设基础分析随着智能手机、平板电脑等移动设备的出现,移动互联网这一新兴事物蓬勃发展,移动平台正式进入大众市场。
当然,在这一发展过程中,也会遭遇一些成长的难题,比如安全问题和营收模式等。
不过无论如何,移动互联网时代正在来临。
根据XX年知名风投公司KPCB(Kleiner Perkins Caufield & Byers)发布的《移动互联网趋势报告》显示:全球ipad/iphone/ipod累计销售量达到7500万台,而Android系统移动平台更是达到2亿台;智能手机和平板电脑的销售量已经超过了笔记本和台式机的销量。
4A平台常见问题及解决办法
4A平台常见问题及解决办法V2.0 4A功能简述:4A系统的主要功能是完成登录BOSS系统的功能,登录4A系统时一定要确保通过BOSS网络拨小钥匙后进行登录,登录进去后页面将跳转至http://10.204.37.149:11000/页面后将完成4A系统的功能。
登录IP:10.204.33.153 (以下问题的解决办法只适用于登录4A系统访问BOSS系统)支撑网门户帐号锁定(1)报错场景,当员工登陆支撑网门户(http://10.204.33.153/SX4AEAI/login.jsp)的时候,提示错误,如图6-1;图6-1(1)解决方案1.管理员进入集中帐号管理平台的用户管理界面,如图6-2;图6-22.点击需要解除锁定的用户的登录名(图6-2),进入到帐号管理界面,会看到服务app_jf_支撑网门户状态为锁定状态,如图6-3;图6-33.选择服务,点击恢复帐号,弹出初始化密码框,如图6-4;图6-44.输入初始化密码,点击继续,完成解锁过程。
员工可以利用初始化的密码登陆支撑网门户。
1 访问支撑网门户报错(1)报错场景,员工访问支撑网门户http://10.204.33.153/SX4AEAI/login.jsp时,输入4A帐号和密码,点击确认不弹出短信验证码窗口,页面报错;(2)问题原因,浏览器没有装JDK;(3)解决方案,需要安装java虚拟机,如果浏览器没有弹出自动下载的提示,请手动下载下载地址:http://10.204.33.153/SX4AEAI/nresources/jre-6u15-windows-i586-s.exe2 员工绑定工号提示错误(1)报错场景,员工在绑定工号时,提示员工工号与人员信息不对应;(2)问题原因,BOSS工号中对应人员属性和人员中属性对应不上;(3)解决方案,管理员进入集中账号管理平台,给员工分配BOSS工号,具体分配操作查看《BOSS管理员统一安全管理平台使用手册3.0》3.33 点击营业视图报500错误第一步:第二步:第三步:删除Java(TM)6 Update 15第四步:关闭所有浏览器后访问地址http://10.204.33.153/SX4AEAI/nresources//jre-6u15-windows-i586-s.exe,下载java虚拟机后安装。
启明星辰外网安全4A
符合萨班斯(SOX)法案的4A(账号、认证、授权、审计)统一安全管理平台解决方案在萨班斯(SOX)法案要求上市公司实现企业内控的国际形势下,启明星辰公司推出了针对国内电信运营商市场定制的4A解决方案,该方案结合了启明星辰天玥业务审计产品的优势,引入了SafeWord产品系列中的3A组件。
4A包括统一用户账号(Account)管理、统一认证(Authentication)管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。
融合后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。
而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统内的操作行为。
现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求,及与国际业务接轨的需求。
问题主要表现在以下几方面:1. 大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加;2. 一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;3. 各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;4. 个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;5. 随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的威胁;6. 对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。
4A统一安全管控平台_产品介绍PPT-V1.4
体级访问控制和授权
实现系统资源和应用资源权
限的自动采集或手动管理 c)
对所有系统资源、应用资源,
支持角色定义,支持基于角
色的授权
d)
e)
支持多种系统、访问日志收 集和统一格式标准化 将系统侧采集的日志和在同 一用户接入点的文本或视频 进行日志关联 实现将日志关联到用户主账 号且对应到自然人的登录过 程、关键操作进行审计 快速检索日志,支持安全事 件责任调查 能够审计发现绕开4A系统 直接登录资源的行为
4A安全管控平台
被管系统1 (主机、网络 设备)
被管系统2 (数据库)
终端
被管系统3 (业务系统如 CRM)
4A体系建设总体框架图
运维Portal
账号管理 主从账号管理 账号双向同步 生命周期管理 账号属性管理 账号组管理 密码策略管理
认证管理 强认证服务 认证组合 认证转发 主账号认证 二次登录认证
金库模式
ls
rm
特性
支持本地授权 支持远程授权 支持实时授权 支持预授权
ls
rm
高危命令,rm指 令被告警、忽略、 阻断,或是需要审 批员进行二次审批
防绕行-绕行阻断
通过堡垒主机对系统资源进行操作时,为了加强安全审计,杜绝人员绕行 4A平台,达到集中使用4A平台的目的,采用具备流量采集与阻断功能的防绕行设 备,辅助并引导维护人员统一登录4A平台进行日常运维操作
账号管理
系统资源:堡垒主机使用特权账号采集系统资源的从账号,并且通过该 特权账号可以实 现对系统资源上的从账号的增删改等管理;
应用资源:应用系统为4A安全管控平台开放数据库接口,通过应用系统的数据库采集资 源上的从账号,然后通过webservice,4A安全管控平台将增删改等命令推送到应用系统上, 实现对应用资源从账号的管理;
立足SOX法案的系列安全解决方案
萨班斯(SOX)法案内控审计要求的出台,提升了IT控制在企业内部控制中的重要性,对电信运营商IT设施的安全性提出了更高的要求,如何改进IT控制和完善IT治理,是电信运营商的CIO们面临的新挑战。
潜心关注电信行业安全并不断创新的启明星辰信息技术有限公司结合多年在安全领域的丰富经验与最佳实践,推出了针对电信运营商SOX内控的系列安全解决方案,从宏观到微观,包括ISO27001安全认证咨询服务解决方案、安全域解决方案、4A(账号、认证、授权、审计)统一安全管理平台解决方案、以及面向业务保障的安全服务体系解决方案。
一、ISO27001安全认证咨询服务解决方案近年来,国家出台了一系列信息安全的法律法规,信息产业部已将安全与业务准入挂钩,与此同时,海外政府、资本市场提出的新监管要求(如:SOX法案)的强制执行都要求运营商进一步遵守安全内控要求。
放眼电信市场,各大运营商的“转型”都在寻找新的蓝海,IT与电信迅速融为一体成为ICT,而IT为传统通信产业注入无限活力的同时,也引发了大量安全问题,能否解决这些安全问题,已成为运营商与竞争对手拉开差距的关键,并已成为新的业务增长点。
在此背景下,各大运营商需要建立完善的信息安全管理体系(ISMS),通过国际权威机构的安全认证,并不断巩固完善,旨在赢得国内外客户的信任与国际资本市场的青睐,为企业的持续健康发展保驾护航。
相关国际标准与法案作为建立信息安全管理体系(ISMS)的重要规范,BS7799标准被ISO组织采纳后,衍生为ISO 17799《信息安全管理实施细则》和ISO 27001《信息安全管理体系规范》。
ISO 17799是建立并实施信息安全管理体系的指导性标准,ISO 27001是对信息安全管理体系进行审核的依据性标准。
获得ISO 27001认证是企业拥有完善的信息安全管理体系的象征。
萨班斯(SOX)法案是另一部更加具有国际性影响的规章,始创于2002 年,由美国证券交易委员会(SEC)提交,是一部旨在消除企业财务欺诈行为和弊端的历史性法案,它要求在美国上市的所有企业必须通过该法案审核。
中国移动4A系统介绍.pdf
移动4A系统介绍目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。
所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。
在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法,仅供参考。
4A之账号管理移动集团的4A规范中提出主账号和从账号的概念,主账号即自然人使用的账号,目前主要是网络准入控制系统的账号。
从账号即资源设备自身账号,主要是指自然人登录设备或应用系统时使用的账号。
为此在4A平台中需要建立两个管理模块:主账号管理模块、从账号管理模块。
4A之授权管理在“4A之账号管理”中进行主账号管理和从账号管理。
而主账号和从账号之间需要通过资源设备进行关联。
授权的目的就是使授权自然人可以登录那些设备,在相应的设备上使用从账号。
因此形成“主账号-从账号-设备”三位一体的对应关系。
目前移动系统中使用的账号情况极为复杂,因此提出“以人为本”的关系梳理。
该梳理就是要搞清“谁—能访问什么设备—使用哪个(些)系统账号”的关系,同时为认证和授权提供相应的关联列表。
4A之认证管理前面进行了授权管理,接下来要对账号的合法性进行相应的认证。
4A的认证合法性应该主要完成三项内容:主账号是否合法、从账号是否合法、授权是否合法。
见图1认证及授权模块的框图。
图1认证及授权模块的的框图认证及授权过程●在前期的安全建设中,已经在网络中做了安全域划分及网络安全准入系统的建设。
用户进入网络访问业务系统时,网络准入系统需对自然人身份的合法性进行认证,主账号认证信息打包转发给4A平台,4A平台对主账号的合法性进行判断,合法则让网络准入控制设备放开控制策略。
●主账号认证通过后,4A平台记录自然人、主账号、终端IP的对应关系,实现网络实名制记录。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4A统一安全管理平台解决方案4A包括统一用户账号(Account)管理、统一认证(Authentication)管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。
融合后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。
而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统内的操作行为。
现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求,及与国际业务接轨的需求。
问题主要表现在以下几方面:1.大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加;2.一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;3.各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;4.个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;5.随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的威胁;6.对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。
综上,由于缺乏统一的4A管理平台,加重了系统管理人员工作负担,同时,因各业务系统安全策略不一致,实质上也大大降低了业务系统的安全系数。
统一安全管理平台解决方案能够解决运营商当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。
该解决方案由5个子系统组成:统一的4A管理平台、统一的认证授权子系统、统一的账号管理子系统、统一的日志审计子系统、网络行为审计子系统。
统一4A管理平台向其它四个子系统传递配置参数,包括认证参数、账号参数、审计策略参数等,而四个子系统则将自身的运行状态值传递给统一4A管理平台;统一4A管理平台上各参数的变更,以及各告警值通过syslog的方式传递给统一日志审计子系统;统一认证授权子系统对用户进行统一接入认证后,产生的认证记录通过syslog的方式发送给统一日志审计子系统;统一账号管理子系统对用户账号进行维护的操作通过syslog的方式发送给统一日志审计子系统;网络审计引擎部件将采集到的日志信息通过syslog方式发送给统一日志审计子系统。
统一日志审计子系统功能:安全日志采集安全日志多维分析安全日志实时展现报表分析审计策略配置数据存储统一认证授权子系统功能:统一身份认证集中账号口令管理统一认证和授权网络设备的身份认证及授权主机系统的身份认证及授权远程接入或VPN接入用户的认证及授权数据库管理的身份认证及授权基于Web的运营系统的身份认证及授权基于C/S结构的业务系统的身份认证统一账号管理子系统功能:单点登陆账号同步统一账号管理与统一认证授权协作网络行为审计子系统功能:FTP/TELNET审计XWINDOW审计常用数据库的操作审计(ORACLE审计、DB2审计、SQL SERVER审计、SYBASE 审计)堡垒机跳转行为审计NETBIOS审计HTTP审计SMTP审计POP3审计非正常网络行为的审计各种协议的审计报表投资收益统一认证、授权和审计,工作复杂度大幅度降低;统一监管,安全状况尽在掌握;避免多人共用相同账号,安全事故易于追踪;单点登录(SSO)免去用户在各系统间切换时,需要再次输入用户名和口令的繁琐;对各个系统进行统一的访问审计,利于综合分析,及时发现入侵行为;与萨班斯法案(SOX)内控需求一致。
启明星辰4A管理产品在萨班斯(SOX)法案要求上市公司实现企业内控的国际形势下,启明星辰公司推出了针对国内电信运营商市场定制的4A解决方案,该方案结合了启明星辰天玥业务审计产品的优势,引入了SafeWord 产品系列中的3A组件。
4A包括统一用户账号(Account)管理、统一认证(Authentication) 管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。
融合后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。
而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统内的操作行为。
现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求,及与国际业务接轨的需求。
问题主要表现在以下几方面:1. 大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加;2. 一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;3. 各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;4. 个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;5. 随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的威胁;6. 对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。
综上,由于缺乏统一的4A管理平台,加重了系统管理人员工作负担,同时,因各业务系统安全策略不一致,实质上也大大降低了业务系统的安全系数。
用Tivoli软件构建企业4A安全管理平台业风险与信息安全一谈到信息安全,人们往往首先想到的是防火墙、入侵检测、漏洞扫描、数据加密等安全防御产品。
这些产品主要从网络层次上防止潜在的安全威胁。
然而随着各企业不断开展电子商务和将内部资源不同程度地向客户、合作伙伴及员工开放,对于企业至关重要的信息财产安全越发得到重视。
尤其是在信息访问越发便捷的背景下,这些资产也暴露在越来越多的威胁中,毫无疑问,信息保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业急待解决的安全问题。
随着企业的不断发展,各种支撑系统和各系统用户数量不断增加,网络规模迅速扩大,原有的简单账号口令管理措施已日渐不能满足信息安全的要求,主要表现在以下方面:·系统多,且分别属于不同的部门和不同的业务系统。
每套应用系统都有一套独立的认证、授权和审计系统,并且由相应的系统管理员负责维护和管理。
出现同一台服务器或网络设备需要多人维护,或同一人需要维护多台服务器和网络设备情况,系统维护成本增加。
·由于缺乏统一的身份管理平台,难以管理系统运维帐号,超级用户帐号共享的现象普遍存在。
账号的多人共用,不仅在发生安全事故,难于确定账号的实际使用者,在平时也难于对账号的扩散范围进行控制,容易造成安全漏洞。
·每个系统分别管理所属的系统资源,为本系统的用户分配权限,缺乏集中统一的资源授权管理平台,无法严格按照最小权限原则分配权限,系统的安全性无法得到充分保证。
·随着系统的增多,使用户经常需要在各个系统之间切换,每次从一个系统切换到另一支撑系统时,都需要输入用户名和口令进行登录。
给用户的工作带来不便,影响了工作效率。
用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的,危害到系统的安全性。
·由于各系统独立运行、维护和管理,所以各系统的审计也是相互独立的,缺乏集中统一的系统访问审计。
无法对支撑系统进行综合分析,不能及时发现入侵行为。
因此需要系统和安全管理人员可以对企业内部的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证支撑系统安全策略的实施。
所以构建信息级的企业安全必须解决用户的账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(AudIT)方面的问题,即4A解决方案。
4A主要回答了这样几个问题,即:"谁能进来?""他们能够做什么?""是否能够为4A安全管理平台的价值账号管理即是将自然人与其拥有的所有系统账号关联,集中进行管理,包括按照密码策略自动更改密码,不同系统间的账号同步等。
身份认证用以实现支撑系统对操作者身份的合法性检查。
对信息统中的各种服务和应用来说,身份认证是一个基本的安全考虑。
授权是指对用户使用支撑系统资源的具体情况进行合理分配的技术,实现不同用户对系统不同部分资源的访问。
审计是指收集、记录用户对支撑系统资源的使用情况,以便于统计用户对网络资源的访问情况,并且在出现安全事故时,可以追踪原因,追究相关人员的责任,以减少由于内部计算机用户滥用网络资源造成的安全危害。
4A一起确保合法用户安全、方便使用特定资源。
这样既有效地保障了合法用户的权益,又能有效地保障支撑系统安全可靠地运行。
4A框架的作用主要体现在系统管理员方面、普通用户方面、系统安全性、系统管理费用等方面。
企业角度对于企业来说,由于企业内部账号、授权管理的混乱,造成私设账号、账号失效后未及时收回、某些账号的扩散范围难于控制,从而给企业造成的安全损失是很严重的。
在4A框架下,账号、授权管理将纳入统一、可控的框架和过程,账号设置、分配均有详细记录,可以审计;账号撤消、更改后的同步工作(包括从集中账号管理系统向各主机、设备、系统下发账号,及集中账号管理系统从各主机、设备、系统收集账号)均由系统自动完成,避免手工同步;对账号的有效期可以用时间、地域等附加因素进行限制,防止滥用;在多人共用账号的情况下,审计也可以精确到实际使用账号的个人;针对高价值资产、高权限账号,通过灵活支持动态口令、PKI、生物认证等强认证技术,提高信息资产的安全性,并实现不同权限等级账号的不同安全策略。
这些措施无疑将给企业信息资产的安全防护提供强有力的手段,避免安全损失,同时通过保障企业内主机、设备、应用系统的顺畅运行,给企业增加效益。
管理员角度采用4A框架,方便了系统中包括从系统用户聘用到辞职的整个生命周期的管理。