◆安全挑战

随着近几年来政府、金融、电信等行业信息化的逐步深入，业务的快速发展带动数据和应用急剧增长，尤其是在当前数据大集中的背景下，总部及数据中心面临众多应用系统、网络基础设备等，造成应用系统及其复杂，有基于C/S模式的，也有基于B/S模式的，各个应用系统具有独立的帐户管理体系，系统认证手段一般采用用户名/口令作为系统访问的验证手段，业务人员在不同系统拥有不同的帐户名/口令，因此在现实的安全管理中，面临以下的一些安全管理问题与风险：

■不同的信息系统采用独立的方式管理用户信息，形成了一个个信息孤岛，同时产生了大量的冗余数据，并且给数据同步造成了极大的难度；

■多数业务系统采用用户名/口令的弱认证方式，系统安全性极低；对该方式的管理缺乏有效的技术手段进行管控，如口令长度控制、定期修改口令控制等等；

■员工、管理员等都需要访问多个业务系统，每个系统有自己独立的权限管理方式，各种方式很难建立有效的对应或映射。用户经常在各应用之间切换，需要记忆大量的用户名和口令，一方面为用户造成了不便，另一方面也增加了由于人为的懈怠和疏忽而形成安全隐患的可能性；

■业务信息系统中涉及大量的敏感信息，内部员工、管理人员、运维人员、外包人员等都可能对关键应用、数据库等进行访问、查询等操作，如果缺乏相应的审计监控机制，一旦发生安全事件后很难进行事后分析、取证与责任认定；

■ 在应用系统中，存在一机多人共用或一个账号多人共用的现象，一旦发生安全事件后难于确定帐号的实际使用者，很难通过业务系统账号追溯到本人，不便于实现细粒度的访问控制与审计。

◆解决方案

针对以上一些安全问题，大多数用户已初步建立了多种网络安全防护措施，如部署防火墙进行访问控制，部署入侵检测设备防御来自内外部的攻击威胁，定期对弱口令等漏洞进行扫描检查，制定严格的帐号密码管理制度等，但这些都不能从技术上解决以上安全问题。为了加强对各应用系统使用者身份的管理，加强系统管理员对应用系统访问人员的审计和管控，实现对各应用系统访问者的识别和行为的抗抵赖，需要采取更强的身份认证措施，并在此基础上采取更细粒度的身份授权、访问控制、以及事后审计跟踪措施，从事前、事中、事后全方位构建4A管理体系，其目标是将业务支撑系统中的帐号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit) 整合成集中、统一的安全服务系统，简称4A管理平台或4A平台。对内部用户的身份、访问行为等进行一体化管理。4A平台各功能组件（或各子系统）及业务访问关系如下图所示：

天融信4A管理平台功能架构图

4A平台的搭建主要基于PKI/CA体系，涉及产品包括统一认证网关、证书管理系统、账号管理系统、授权管理系统、网络审计设备、数据库审计设备以及日志审计等产品，整体部署拓扑结构如下图所示：

天融信4A整体解决方案部署示意图

总部集中部署统一认证网关、身份管理套件（包括RA、CA、账号、授权等）、网络审计系统、数据库审计系统以及日志审计系统等；分支机构部署统一认证网关、RA系统、网络审计系统等。统一认证网关为用户访问业务应用系统的集中入口，认证通过后用户可以访问被授权的相关业务应用，对业务系统、数据库、网络设备等相关资源的访问操作行为都将被审计并形成记录，以供事后事件分析、取证与责任认定。

统一认证网关采用天融信公司基于TOPVPN6000系列自主开发的安全网关，集成集中认证、单点登录和传输加密等功能；网络审计系统、数据库审计系统、日志审计系统采用天融信公司自主开发的TA-NET系列网络审计设备、TA-DB系列数据库审计设备、TA-L日志审计系统，对用户的的访问操作行为进行事后综合审计跟踪；证书的颁发、管理、授权等身份管理采用天融信公司TopPolicy系统，可以为应用系统用户、管理员、VRC生成、更新、发放证书，同时提供证书验证与CRL文件管理等功能。对于已经建有CA系统的用户，TopPolicy完全支持第三方的PKI系统。

通过以上方案的实施，加强针对应用层面的安全管控措施，提高身份认证强度、系统的访问控制强度，保障访问行为的真实性、合法性和抗抵赖性。整体实现功能以及达到的效果如下所述：

■以强身份认证为基础的统一身份管理。各个应用系统采用基于Ｘ.５０９数字证书的强身份认证方式，有效提升了认证强度，构建针对应用层面的信息安全基础保障措施，创建统一的账户管理机制和平台，面向不同的应用系统和用户提供统一的、一致的身份管理服务和身份认证服务；

■单点登录。实现信息系统帐户与自然人的唯一绑定，每一个用户在所有系统中以统一的身份进行各种业务操作，无须记忆大量的帐户名和口令，使管理维护便捷的同时，也为行为审计提供了有效、可靠的手段；

■ 实现业务数据的安全传输功能。通过采用SSL数据加密技术避免数据传输过程中被窃取、盗用或篡改；

■ 全方位行为审计。建立起集中的行为监控机制，及时跟踪、审计使用者对资源的访问、使用情况，并对非授权访问或数据篡改等行为进行跟踪、审计监控与事后回放取证。

通过事前用户身份标识、授权，事中集中访问控制，事后全方位审计监控，形成有效的合规业务过程，满足内部安全管理要求与外部合规要求。

◆方案优势

■单点登录

☆方案具有独立的账号管理、授权管理、认证管理、审计管理功能，满足业务合规过程对4A的要求，并在此基础上，通过认证管理、账号管理和授权管理的高度集成，进一步实现统一的单点登录功能。

☆在提高安全认证强度、细粒度角色授权的基础上，实现了集中统一认证与访问控制，从而减少了信息孤岛及用户账户信息冗余、简化了应用系统认证过程、减少重复认证、提高了应用系统访问效率及安全性。

■高安全性和可靠性

☆服务器组件之间交换的数据均使用安全套接层加密技术SSL加密；单点登录使用PKI密钥加密来加强Web服务器和应用服务器之间传送的数据的安全性：密码使用MD5散列算法口令转换成不可恢复形式然后存储。

☆此外，系统提供硬件和软件的容错、数据存储的备份等系统可靠性措施；部分重要模块具有自检功能，能监视各功能模块的运行情况，随时发现系统自身的问题本系统还提供热备份和负载平衡特性，可以满足大型分布式网络的需求，扩展服务器带宽和增加吞吐量，加强数据处理能力。

■高可扩展性、并支持第三方PKI/CA系统

本方案能够随着应用的逐步完善和入网用户的逐渐增加不断地进行扩展，整个系统可以平滑地过渡到升级后的新系统中。

☆系统能够提供快捷的开发平台，方便用户针对一些特有系统的二次开发，使这些系统能够迅速纳入3A/4A平台的统一管理。

☆硬件系统采用模块化结构，以保证系统内存、CPU及储存容量的扩展；

☆在软件系统的开发中，考虑各个功能模块可重复利用，降低系统扩展的复杂性。

☆完全支持第三方PKI/CA系统，能够同客户已有的CA系统进行应用集成。

◆应用领域

■金融行业应用

中国人民财产保险股份公司（PICC）为国内规模较大的综合型保险公司，总体上已较早的实现了数据大集中，总部及数据中心需要管理和维护众多的应用系统、网络基础设备等。PICC在进行信息化建设的工程中，同样面临着以上一些安全挑战。基于这些需求，PICC于2009年启动了第一期身份管理平台建设项目，天融信公司协助PICC规划、建设基于PKI/CA的3A/4A平台，目前已完成一期3A系统的建设，在公司总部及下辖36个分公司统一规划并部署基于PKI/CA技术的数字身份认证系统、统一认证网关等安全系统，实现本地办公用户、移动用户和保险代理机构的统一接入认证、单点登录、访问控制等。后期将在此基础上进一步集成1A（审计）功能，最终实现4A平台的搭建。

■电信行业应用：

移动、联通、电信等运营商内部有BSS、OSS、MSS等多类业务运营及管理支持系统，包括综合账务系统、计费系统、综合结算系统、经营分析（BI）系统、CRM/客户服务系统、业务管理系统、网管系统、以及众多的增值业务应用系统等，各个系统有自己独立的权限管理方式，部分重要系统采用数字证书认证的方式，更多的应用系统采用用户名/口令的弱认证方式，且各种方式很难建立有效的对应或映射，安全管理中同样面临以上一些安全挑战。本方案能较好的帮助电信行业用户建立起良好的内部控制技术手段，降低内部越权违规操作风险，满足行业合规风险管理要求。

■其它行业应用：

该方案还广泛应用于政府、军队、能源、教育、医疗、大型企业等行业用户，对数据中心、后台核心服务区域关键业务系统的访问与操作行为进行集中账号管理、认证管理、授权管理与事后审计，建立起事前、事中、事后的合规业务过程技术体系，保护敏感信息避免被非授权访问或被篡改，对违规业务进行审计跟踪与回放取证，并满足行业监管部门的监管要求。