安全4A概念及其体系结构简介.doc

安全4A概念及其体系结构简介李伟平1魏明欣2 (1.长春吉大正元信息技术股份有限公司 长春130012 2.吉林省政府发展研究中心 130021)摘要：本文简要介绍了4A的概念、4A系统的体系结构以大中型网络中建设4A系统的必要性等内容。关键词：4A、账号、认证、授权、审计一、4A概念4A是指包括账号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit)等保障部信息安全的四个基本要素。4A系统通过集中的帐号管理、身份认证、授权管理和安全审计等功能可为企业提供强健的、基于统一策略的解决方案，解决企业内控等问题，降低管理成本，提高系统安全性和政策符合性。二、4A系统的必要性网络信息系统的不断发展，各种业务系统和支撑系统的用户数量快速增加，每个业务网系统分别维护用户信息数据，孤立身份管理和身份认证方式，及以日志形式的审计操作者在系统内的操作行为，已日渐不能满足信息安全的要求，因而急需解决以下几方面问题：帐号与口令管理流程的缺失如：存在大量共享帐号；用户帐号的添加、修改以及删除、用户账号的定期审阅、职责分工没有全流程控制和执行（或者有相关措施，但难于执行），同时对应员工岗位变更和离职的用户数字身份生命周期管理没有相应的技术手段，最终导致大量帐号的产生和管理失控；（1）系统维护复杂度带来的人为安全性问题各系统中有大量的网络设备、主机和应用系统，帐号繁多，管理困难，管理成本较高；难以实现帐号权限的有效监督和审核；难以维护有效的用户帐号列表；当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加；（2）用户认证方式和手段缺乏目前大多数系统采用基本的帐号与口令方式进行认证，由于没有技术机制的限制，口令的设置过于简单，无法实现用户标识唯一性（无法明确到个人，无法区分内部员工、最终用户、设备厂商维护人员等），须考虑增强的认证手段和统一管理；（3）用户行为的审计和跟踪缺失有些帐号多人共用，不仅在发生安全事故，难于确定帐号的实际使用者，而且难于对帐号的扩散范围进行控制，容易造成安全漏洞；同时，日志和审计手段分散在各个系统和设备中，容易造成日志信息丢失，缺乏集中统一的系统访问审计，审计操作复杂，无法对支撑系统进行综合分析，不能及时发现危害系统安全的事件；（4）“分散”管理的问题系统分别属于不同的专业进行管理，目前各系统都有一套独立的认证、授权和审计机制，分别由相应的系统管理员负责维护和管理。“分散”管理难于实现统一信息安全策略，不符合“维护集中化”“管理信息化”等改革思路。总体来说，随着各种系统和用户数量不断增加，一方面系统维护和管理人员的工作负担增加，工作效率无法提高；另一方面无法对各业务系统实现统一的安全策略，从而在实质上降低了业务系统的安全性。现有的帐号口令管理措施已经无法满足企业内控和信息安全的要求。因此，发展帐号口令集中管理的身份和访问控制管理和审计系统，为信息安全管理，提供高效安全的4A系统，使得系统和安全管理人员可以对信息系统的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证各系统安全策略的实施，从而实现可识别、能控制、跑不脱、抗抵赖的的综合安全防控体系，是系统解决上述问题的最好方案。三、4A系统体系结构4A系统体系结构图基于4A的集成解决方案为系统的维护管理提供最优功能模块和科学管理理念的整合，贴近用户需求，降低安全技术的复杂度，具有实施性好，安全性高，能有效降低IT运营成本并推动业务系统的优化。四、4A市场前景随着企业信息化建设的发展，集中帐号管理、统一身份认证、集中授权、安全审计和单点登录等系统在很多行业中都有着广泛的需求，如门户网站、教育行业、移动电信行业、新闻报业、制造业、零售商业等。也就是，当企业信息系统达到一定数量和规模，用户数量不断增加，对安全性、数据共享和应用性能的要求就会提出更高的要求，研发具有自主知识产权满足国家安全标准及行业规范的4A安全支撑产品，形成信息安全整体解决能力，应对当前信息管理和信息安全的挑战具有十分积极的意义。据IDC2007年上半年网络安全市场研究报告，2007年安全管理市场将达到50亿元人民币（$731.2M），其中，2007年上半年，身份管理管理与访问控制软件市场的市场规范为1.5亿元人民币（$20.5M），同比增长35.4%,下半年该市场规模将达到2亿元人民币（$28.9M），全年将达到3.5亿元人民币（$49.4M）。吉大正元（JIT）以20.1%的市场占比在身份管理与访问控制软件市场占第一位，接下来是上海格尔、IBM和EMC。IDC同时预测，2006年到2011年，中国IT安全市场的复合增长率为25.1%。未来两年，将有49.8%的用户会考虑投资“综合的安全网关”以完成身份认证、访问控制等基本功能，29.8%的用户会考虑投资“数据失窃泄密管理”以增强对信息系统的安全审计，保障系统的事前事后的安全和可追述。并有23.2%的用户会考虑“加强内部员工的身份管理”等。综上，我们可以看出作为4A的核心功能身份管理、访问控制、授权管理和安全审计符合市场提高系统安全、加强内控制的现实需求，未来一段时间内市场需求强烈，有近50%的用户需要该安全基础平台。五、国内主要厂商当前，国内有一大批可从事安全产品生产和销售的企业，其中很多企业投入大量的力量进行了4A产品的研发，并为电信、金融、政府、军工等关键行业提供完整的4A安全解决方案。（注：欢迎来信一起探讨4A有关问题，来信请寄）4A平台主要实现的管理功能应包括以下部分：集中帐号（Account）管理：为用户提供统一集中的帐号管理，支持管理的资源包括主流的操作系统、网络设备和应用系统；不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能，而且也可以通过平台进行帐号密码策略，密码强度、生存周期的设定。集中认证（Authentication）管理：可以根据用户应用的实际需要，为用户提供不同强度的认证方式，既可以保持原有的静态口令方式，又可以提供具有双因子认证方式的高强度认证（一次性口令、数字证书、动态口令），而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理，并且能够为用户提供统一的认证门户，实现企业信息资源访问的单点登录。集中权限(Authorization)管理：可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制，也可以实现对数据库、主机及网络设备的操作的权限控制，资