机房360首页
当前位置:首页 » 安全案例 » 天融信打造4A管理平台 整体管控安全接入

天融信打造4A管理平台 整体管控安全接入

来源:天融信 作者:Randy编辑 更新时间:2011-10-22 1:38:23

摘要:为了加强对各应用系统使用者身份的管理,加强系统管理员对应用系统访问人员的审计和管控,实现对各应用系统访问者的识别和行为的抗抵赖,需要采取更强的身份认证措施,并在此基础上采取更细粒度的身份授权、访问控制、以及事后审计跟踪措施,从事前、事中、事后全方位构建4A管理体系。

  安全挑战
  
  随着近几年来政府、金融、电信等行业信息化的逐步深入,业务的快速发展带动数据和应用急剧增长,尤其是在当前数据大集中的背景下,总部及数据中心面临众多应用系统、网络基础设备等,造成应用系统及其复杂,有基于C/S模式的,也有基于B/S模式的,各个应用系统具有独立的帐户管理体系,系统认证手段一般采用用户名/口令作为系统访问的验证手段,业务人员在不同系统拥有不同的帐户名/口令,因此在现实的安全管理中,面临以下的一些安全管理问题与风险:
  
  ■不同的信息系统采用独立的方式管理用户信息,形成了一个个信息孤岛,同时产生了大量的冗余数据,并且给数据同步造成了极大的难度;
  
  ■多数业务系统采用用户名/口令的弱认证方式,系统安全性极低;对该方式的管理缺乏有效的技术手段进行管控,如口令长度控制、定期修改口令控制等等;
  
  ■员工、管理员等都需要访问多个业务系统,每个系统有自己独立的权限管理方式,各种方式很难建立有效的对应或映射。用户经常在各应用之间切换,需要记忆大量的用户名和口令,一方面为用户造成了不便,另一方面也增加了由于人为的懈怠和疏忽而形成安全隐患的可能性;
  
  ■业务信息系统中涉及大量的敏感信息,内部员工、管理人员、运维人员、外包人员等都可能对关键应用、数据库等进行访问、查询等操作,如果缺乏相应的审计监控机制,一旦发生安全事件后很难进行事后分析、取证与责任认定;
  
  ■在应用系统中,存在一机多人共用或一个账号多人共用的现象,一旦发生安全事件后难于确定帐号的实际使用者,很难通过业务系统账号追溯到本人,不便于实现细粒度的访问控制与审计。
  
  ◆解决方案
  
  针对以上一些安全问题,大多数用户已初步建立了多种网络安全防护措施,如部署防火墙进行访问控制,部署入侵检测设备防御来自内外部的攻击威胁,定期对弱口令等漏洞进行扫描检查,制定严格的帐号密码管理制度等,但这些都不能从技术上解决以上安全问题。为了加强对各应用系统使用者身份的管理,加强系统管理员对应用系统访问人员的审计和管控,实现对各应用系统访问者的识别和行为的抗抵赖,需要采取更强的身份认证措施,并在此基础上采取更细粒度的身份授权、访问控制、以及事后审计跟踪措施,从事前、事中、事后全方位构建4A管理体系,其目标是将业务支撑系统中的帐号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit)整合成集中、统一的安全服务系统,简称4A管理平台或4A平台。对内部用户的身份、访问行为等进行一体化管理。4A平台各功能组件(或各子系统)及业务访问关系如下图所示:
  


天融信4A管理平台功能架构图

  4A平台的搭建主要基于PKI/CA体系,涉及产品包括统一认证网关、证书管理系统、账号管理系统、授权管理系统、网络审计设备、数据库审计设备以及日志审计等产品,整体部署拓扑结构如下图所示:
  


天融信4A整体解决方案部署示意图

本文地址:http://www.jifang360.com/news/20111022/n058630559.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
更多
推荐图片