安全4A概念及其體系結(jié)構(gòu)簡介

1、安全4a概念及其體系結(jié)構(gòu)簡介（1.長春吉人正元信息技術(shù)股份有限公司 長春1300122.吉林省政府發(fā)展研究屮心130021）摘要：本文簡要介紹了 4a的概念、4a系統(tǒng)的體系結(jié)構(gòu)以大中型網(wǎng)絡(luò)中建設(shè)4a系統(tǒng)的 必要性等內(nèi)容。關(guān)鍵詞：4a、賬號、認證、授權(quán)、審計、4a概念4a 是指包括賬號（account）管理、認證（authentication）管理、授權(quán)（authorization） 管理和安全審計（audit）等保障部信息安全的四個基本要素。4a系統(tǒng)通過集屮的帳號管理、身份認證、授權(quán)管理和安全審計等功能可為企業(yè)提供強 健的、基于統(tǒng)一策略的解決方案，解決企業(yè)內(nèi)控等問題，降低管理成木，提高系統(tǒng)安全

2、性和 政策符合性。二、4a系統(tǒng)的必要性網(wǎng)絡(luò)信息系統(tǒng)的不斷發(fā)展，各種業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)的用戶數(shù)量快速增加，每個業(yè)務(wù) 網(wǎng)系統(tǒng)分別維護用戶信息數(shù)據(jù)，孤立身份管理和身份認證方式，及以日志形式的審計操作者 在系統(tǒng)內(nèi)的操作行為，已fi漸不能滿足信息安全的耍求，因而急需解決以下兒方面問題：帳號與口令管理流程的缺失如：存在人量共亨帳號；卅戶帳號的添加、修改以及 刪除、用戶賬號的定期審閱、職責(zé)分丄沒有全流程控制和執(zhí)行（或者有相關(guān)措施，但難于執(zhí) 行），同時對應(yīng)員工崗位變更和離職的用戶數(shù)字身份生命周期管理沒冇相應(yīng)的技術(shù)手段，授 終導(dǎo)致大量帳號的產(chǎn)生和管理失控；（1）系統(tǒng)維護復(fù)雜度帶來的人為安全性問題各系統(tǒng)中有大量的

3、網(wǎng)絡(luò)設(shè)備、主機和 應(yīng)丿ij系統(tǒng)，帳號繁多，管理困難，管理成本較高；難以實現(xiàn)帳號權(quán)限的有效監(jiān)督和審核；難 以維護冇效的用戶帳號列表；當(dāng)維護人員同時對多個系統(tǒng)進行維護時，工作復(fù)雜度會成倍增 加；（2）用戶認證方式和手段缺乏冃前大多數(shù)系統(tǒng)采用基本的帳號與口令方式進行認 證，由于沒有技術(shù)機制的限制，口令的設(shè)置過于簡單，無法實現(xiàn)用戶標(biāo)識唯一性（無法明確 到個人，無法區(qū)分內(nèi)部員工、最終用戶、設(shè)備廠商維護人員等），須考慮增強的認證手段和 統(tǒng)一管理；（3）用戶行為的審計和跟蹤缺失有些帳號多人共用，不僅在發(fā)生安全事故，難于 確定帳號的實際使用者，而口難于對帳號的擴散范圍進行控制，容易造成安全漏洞；同時, fi志

4、和審計手段分散在各個系統(tǒng)和設(shè)備屮，容易造成h志信息丟失，缺乏集屮統(tǒng)一的系統(tǒng)訪 問審計，審計操作復(fù)雜，無法對支撐系統(tǒng)進行綜合分析，不能及時發(fā)現(xiàn)危害系統(tǒng)安全的事件;（4）“分散”管理的問題系統(tǒng)分別屬于不同的專業(yè)進行管理，目前各系統(tǒng)都有一 套獨立的認證、授權(quán)和審計機制，分別由相應(yīng)的系統(tǒng)管理員負責(zé)維護和管理?！胺稚ⅰ惫芾?難于實現(xiàn)統(tǒng)一信息安全策略，不符合“維護集中化”“管理信息化”等改革思路。總體來說，隨著各種系統(tǒng)和用戶數(shù)量不斷增加，一方面系統(tǒng)維護和管理人員的工作負 擔(dān)增加，工作效率無法提高；另一方面無法對各業(yè)務(wù)系統(tǒng)實現(xiàn)統(tǒng)一的安全策略，從而在實質(zhì) 上降低了業(yè)務(wù)系統(tǒng)的安全性?，F(xiàn)有的帳號口令管理措施已經(jīng)無

5、法滿足企業(yè)內(nèi)控和信息安全的 要求。因此，發(fā)展帳號口令集小管理的身份和訪問控制管理和審計系統(tǒng)，為信息安全管理, 提供高效安全的4a系統(tǒng)，使得系統(tǒng)和安全管理人員可以對信息系統(tǒng)的用戶和各種資源進行 集中管理、集中權(quán)限分配、集中審計，從技術(shù)上保證各系統(tǒng)安全策略的實施，從而實現(xiàn)可識 別、能控制、跑不脫、抗抵賴的的綜合安全防控體系，是系統(tǒng)解決上述問題的最好方案。三、4a系統(tǒng)體系結(jié)構(gòu)應(yīng)用層業(yè)務(wù)系統(tǒng)操作系統(tǒng) 數(shù)據(jù)庫其它帳號同步1甲點登錄j訪問控制志采集adapteragent1api1syslog：適 配 層a帳號管理i a身份認證a授權(quán)管理 a安金川計丿pki/pmi基礎(chǔ)設(shè)施 9安全數(shù)據(jù)存儲,4a系統(tǒng)體系結(jié)

6、構(gòu)圖基于4a的集成解決方案為系統(tǒng)的維護管理提供最優(yōu)功能模塊和科學(xué)管理理念的整合， 貼近用八需求，降低安全技術(shù)的復(fù)朵度，具有實施性好，安全性高，能有效降低1t運營成 本并推動業(yè)務(wù)系統(tǒng)的優(yōu)化。四、4a市場前景隨著企業(yè)信息化建設(shè)的發(fā)展，集中帳號管理、統(tǒng)一身份認證、集小授權(quán)、安全審計和 單點登錄等系統(tǒng)在很多行業(yè)中都冇著廣泛的需求，如門戶網(wǎng)站、教育行業(yè)、移動電信行業(yè)、 新聞報業(yè)、制造業(yè)、零售商業(yè)等。也就是，當(dāng)企業(yè)信息系統(tǒng)達到一定數(shù)量和規(guī)模，用戶數(shù)量 不斷增加，對安全性、數(shù)據(jù)共厚和應(yīng)用性能的要求就會提出更高的要求，研發(fā)具冇自主知識 產(chǎn)權(quán)滿足國家安全標(biāo)準及行業(yè)規(guī)范的4a安全支撐產(chǎn)品，形成信息安全整體解決能力

7、，應(yīng)對 當(dāng)詢信息管理和信息丈全的挑戰(zhàn)具有十分積極的意義。據(jù)1dc2007年上半年網(wǎng)絡(luò)安全市場研究報告，2007年安全管理市場將達到50億元人民 幣($731.2"),英中，2007年上半年，身份管理管理與訪問控制軟件市場的市場規(guī)范為1.5 億元人民幣($20. 5m),同比增長35. 4%,下半年該市場規(guī)模將達到2億元人民幣($28. 9m), 全年將達到3. 5億元人民幣($49. 4m)。吉大正元(jit)以20. 1%的市場占比在身份管理與 訪問控制軟件市場占第一位，接下來是上海格爾、ibm和emc。idc同時預(yù)測,2006年到2011年,中國1t安全市場的復(fù)合增長率為25. 1%。未來兩年, 將有49. 8%的用戶會考慮投資“綜合的安全網(wǎng)關(guān)”以完成身份認證、訪問控制等基本功能， 29. 8%的用戶會考慮投資“數(shù)據(jù)失竊泄密管理”以增強對信息系統(tǒng)的安全審計，保障系統(tǒng)的 事前事后的安全和可追述。并冇23. 2%的用戶會考慮“加強內(nèi)部員工的身份管理”等。綜上，我們可以看出作為4a的核心功能身份管理、訪問控制、授權(quán)管理和安全審計符 合市場提高系統(tǒng)安全、加強內(nèi)控制的現(xiàn)實需求，未來一段時間內(nèi)市場需求強烈，有近50%的 用八需要該安全基礎(chǔ)平臺。五、