◆安全挑战
随着近几年来政府、金融、电信等行业信息化的逐步深入,业务的快速发展带动数据和应用急剧增长,尤其是在当前数据大集中的背景下,总部及数据中心面临众多应用系统、网络基础设备等,造成应用系统及其复杂,有基于C/S模式的,也有基于B/S模式的,各个应用系统具有独立的帐户管理体系,系统认证手段一般采用用户名/口令作为系统访问的验证手段,业务人员在不同系统拥有不同的帐户名/口令,因此在现实的安全管理中,面临以下的一些安全管理问题与风险:
■不同的信息系统采用独立的方式管理用户信息,形成了一个个信息孤岛,同时产生了大量的冗余数据,并且给数据同步造成了极大的难度;
■多数业务系统采用用户名/口令的弱认证方式,系统安全性极低;对该方式的管理缺乏有效的技术手段进行管控,如口令长度控制、定期修改口令控制等等;
■员工、管理员等都需要访问多个业务系统,每个系统有自己独立的权限管理方式,各种方式很难建立有效的对应或映射。用户经常在各应用之间切换,需要记忆大量的用户名和口令,一方面为用户造成了不便,另一方面也增加了由于人为的懈怠和疏忽而形成安全隐患的可能性;
■业务信息系统中涉及大量的敏感信息,内部员工、管理人员、运维人员、外包人员等都可能对关键应用、数据库等进行访问、查询等操作,如果缺乏相应的审计监控机制,一旦发生安全事件后很难进行事后分析、取证与责任认定;
■ 在应用系统中,存在一机多人共用或一个账号多人共用的现象,一旦发生安全事件后难于确定帐号的实际使用者,很难通过业务系统账号追溯到本人,不便于实现细粒度的访问控制与审计。
◆解决方案
针对以上一些安全问题,大多数用户已初步建立了多种网络安全防护措施,如部署防火墙进行访问控制,部署入侵检测设备防御来自内外部的攻击威胁,定期对弱口令等漏洞进行扫描检查,制定严格的帐号密码管理制度等,但这些都不能从技术上解决以上安全问题。为了加强对各应用系统使用者身份的管理,加强系统管理员对应用系统访问人员的审计和管控,实现对各应用系统访问者的识别和行为的抗抵赖,需要采取更强的身份认证措施,并在此基础上采取更细粒度的身份授权、访问控制、以及事后审计跟踪措施,从事前、事中、事后全方位构建4A管理体系,其目标是将业务支撑系统中的帐号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit) 整合成集中、统一的安全服务系统,简称4A管理平台或4A平台。对内部用户的身份、访问行为等进行一体化管理。4A平台各功能组件(或各子系统)及业务访问关系如下图所示:
天融信4A管理平台功能架构图
4A平台的搭建主要基于PKI/CA体系,涉及产品包括统一认证网关、证书管理系统、账号管理系统、授权管理系统、网络审计设备、数据库审计设备以及日志审计等产品,整体部署拓扑结构如下图所示:
天融信4A整体解决方案部署示意图
