目前各個移動公 司正在如火如荼地開展着4A項目的安全建設,參照的依據是移動集團關於4A建設的規範,而規範中很少提出具體的實現方案和相應的設備。所謂的4A就是集中 統一的賬號(Account)管理、授權(Authorization)管理、認證(Authentication)管理和安全審計(Audit),缺一 不可。在這裏結合具體情況談談在移動省公司或地級市公司建設4A項目的一些想法,僅供參考。
4A之賬號管理
移動集團的4A規範中提出主賬號和從賬號的概念,主賬號即自然人使用的賬號,目前主要是網絡准入控制系統的賬號。從賬號即資源設備自身賬號,主要是指自然人登錄設備或應用系統時使用的賬號。
爲此在4A平臺中需要建立兩個管理模塊:主賬號管理模塊、從賬號管理模塊。
4A之授權管理
在“4A之賬號管理”中進行主賬號管理和從賬號管理。而主賬號和從賬號之間需要通過資源設備進行關聯。授權的目的就是使授權自然人可以登錄那些設備,在相應的設備上使用從賬號。因此形成“主賬號-從賬號-設備”三位一體的對應關係。
目前移動系統中使用的賬號情況極爲複雜,因此提出“以人爲本”的關係梳理。該梳理就是要搞清“誰—能訪問什麼設備—使用哪個(些)系統賬號”的關係,同時爲認證和授權提供相應的關聯列表。
4A之認證管理
前面進行了授權管理,接下來要對賬號的合法性進行相應的認證。4A的認證合法性應該主要完成三項內容:主賬號是否合法、從賬號是否合法、授權是否合法。見圖1認證及授權模塊 的框圖。
圖1 認證及授權模塊的的框圖
認證及授權過程
●在前期的安全建設中,已經在網絡中做了安全域劃分及網絡安全准入系統的建設。用戶進入網絡訪問業務系統時,網絡准入系統需對自然人身份的合法性進行認 證,主賬號認證信息打包轉發給4A平臺,4A平臺對主賬號的合法性進行判斷,合法則讓網絡准入控制設備放開控制策略。
●主賬號認證通過後,4A平臺記錄自然人、主賬號、終端IP的對應關係,實現網絡實名制記錄。
●用戶使用從賬號登錄網絡設備、服務器、應用系統時,資源設備將從賬號信息打包後發送給4A平臺進行認證。
●4A平臺對從賬號和密碼進行認證,不合法則向設備發送認證失敗信息。
●4A平臺對從賬號認證合法後,平臺根據授權管理的列表對從賬號、主賬號、設備之間的對應關係進行檢查,如果從賬號在授權列表中,則向被登錄的設備返回認證合法信息,自然人可以使用該從賬號在該設備登錄,反之則拒絕自然人使用該從賬號在該設備登錄。
統一認證平臺的建立
不管是主賬號認證還是從賬號認證,都是在4A平臺中進行的,統一的認證系統是進行4A平臺建設的前提。因此在建設4A系統之前棄用本地認證的方式,改爲第三方認證的模式。就目前移動的實際情況而言,第三方認證主要包括Raduis、LDAP、手機短信等方式,因此4A平臺中提供了基於認證轉發的認證模塊(認證中轉站)。充分兼容目前移動公司採用的第三方認證。如圖2所示。
圖2 基於認證轉發的認證模塊(認證中轉站)
●網絡准入控制設備負責向4A平臺進行自然人的主賬號認證請求,平臺接受到認證請求信息後,通過對應的主賬號管理列表中指定的認證服務器進行認證轉發。具體的賬號合法性判斷交給後臺認證系統來完成。4A平臺記錄相應的用戶信息,如主賬號、終端IP等。
●用戶要登錄設備時要輸入從賬號。設備向4A平臺進行從賬號認證請求,平臺根據設備的IP地址進行第三方認證轉發。從賬號的合法性判斷交由後臺認證系統來完成。4A平臺此時記錄自然人終端IP、設備IP,從賬號等信息。
●根據兩次記錄的信息即可得出“終端IP、主賬號(自然人)、設備IP、從賬號”的對應關係。再根據這種對應關係去查找授權列表,如果該對應關係在授權列 表中,4A平臺則向設備返回從賬號認證成功信息,用戶可以登錄設備進行操作,反之,4A平臺則向設備返回認證失敗信息,設備拒絕該登錄。
4A之安全審計
安全審計主要是記錄用戶在設備上所有的操作行爲,目前審計信息來源主要分爲三類:
●網絡審計設備:對網絡傳輸的數據包進行重組,通過協議解析的方式獲取用戶的操作信息;
●堡壘跳轉設備:用戶要登錄目標設備,必須先登錄堡壘跳轉設備,通過堡壘機再跳轉到目標設備上進行操作。堡壘跳轉設備則可記錄用戶所有的操作信息;
●目標設備日誌:大多數設備都支持日誌記錄方式保存用戶的操作。
原始審計信息統一被4A進行收集後需對主從賬號進行關聯從而關聯到自然人,關聯的具體方法如下:
●當用戶進行網絡安全准入認證(主賬號認證)時,4A平臺會記錄“終端IP+主賬號”;
●在主賬號管理模塊中已經手工錄入“主賬號+自然人”,因此可以關聯成“終端IP+主賬號+自然人”;
●審計設備(天玥II或天玥IV)能夠提供給4A平臺的數據有“終端IP+從賬號+設備IP+審計內容”;
●通過相應的關聯分析即可得出“終端IP、主賬號(自然人)、設備IP、從賬號、審計內容”的關聯信息。
結合移動集團的4A規範提出“時間、自然人、主賬號、終端IP、目的IP、從賬號、審計事件、審計級別、審計回訪”九大審計要素,如圖3所示。
圖3 4A規範提出的九大審計要素
●時間:爲了保證審計時間的準確性,網絡中部署NTP服務器,全網設備與該NTP服務器進行同步。
●自然人:用戶的真實姓名,在賬號管理中手工進行錄入。
●主賬號:用戶進行網絡准入認證時使用的的賬號,一般是一個自然人使用一個主賬號,主賬號可以進行第三方認證。
●源IP:自然人使用的終端IP。
●目的IP:自然人登錄資源的IP。
●從賬號:資源上的系統賬號。
●審計事件:通過對原始審計信息進行分析處理後得到的審計結果。
●審計級別:自動給審計事件定級,一般分爲高、中、低三個級別。
●會話回放:爲了保證審計事件的完整性,形成一個完整的證據鏈條,對用戶所有的輸入和輸出進行全部展現。