4A:賬號管理、認證、授權、審計
這個安全管理框架包括用戶的賬號(Account)管理、認證(Authentication)管理、授權
(Authorization)管理和安全審計(Audit),簡稱4A框架。
賬號管理是將自然人與其擁有的所有系統賬號關聯,集中進行管理,包括按照密碼策略自動更改密碼,不同系統間的賬號同步等。
身份認證是信息安全的第一道防線,用以實現支撐系統對操作者身份的合法性檢查。對信息統中的各種服務和應用來說,身份認證是一個基本的安全考慮。身份認證的方式可以有多種,包括靜態口令方式、動態口令方式、基於公鑰證書的認證方式以及基於各種生物特徵的認證方式。
授權是指對用戶使用支撐系統資源的具體情況進行合理分配的技術,實現不同用戶對系統不同部分資源的訪問。
審計是指收集、記錄用戶對支撐系統資源的使用情況,以便於統計用戶對網絡資源的訪問情況,並且在出現安全事故時,可以追蹤原因,追究相關人員的責任,以減少由於內部計算機用戶濫用網絡資源造成的安全危害。
本文在對中國移動各支撐系統的主機、網絡設備和應用系統自身的賬號管理、認證、授權、審計現狀分析的基礎上,制定4A框架技術要求,其目的是:
1. 闡述4A基本技術,規定4A框架下各部分的基本需求,爲4A框架下的產品採購提供依據。
2. 規定4A框架下各部分的連接界面,爲4A框架下的產品開發提供依據。
3. 規定將應用系統納入4A框架的方案,便於在現有基礎上實施4A框架。
4. 提出4A框架實施的具體建議。
通過實施4A框架,可以達到以下目的:
1. 實現集中化的賬號管理。管理員在一點上即可對不同系統中的賬號進行管理,由系統自動同步不同系統下的賬號;賬號創建、分配過程均留下電子記錄,便於審計。
2. 實現集中化的身份認證。管理員不僅可以根據需要選擇不同的身份認證方式,而且在不更改或只對應用進行有限更改的情況下,即可在原來只有弱身份認證手段的應用上,增加強身份認證手段,提高系統安全性。
3. 實現集中訪問授權。對企業資產進行有效保護,防止私自授權或權限未及時收回對企業信息資產造成的安全損害;對應用實現基於角色的授權管理,在人員離職、崗位變動時,只需要在一處進行更改,即可在所有納入4A框架的應用中改變權限;可以爲授權增加特定的限制,如只有在規定的時間段、來自特定地域的人員才能訪問指定的資源。
4. 實現集中安全審計管理。不僅能夠對人員的登錄過程、登錄後進行的操作進行審計,而且能夠將多個主機、設備、應用日誌進行對比分析,從中發現問題。
實現單點登錄,方便管理員和普通用戶登錄不同的系統。
【賬號口令管理現狀與面臨的困難】
1、中國移動的支撐系統中有大量的網絡設備、主機系統和應用系統,分別屬於不同的部門和不同的業務系統。目前各應用系統都有一套獨立的認證、授權和審計系統,並且由相應的系統管理員負責維護和管理。當維護人員同時對多個系統進行維護時,工作複雜度會成倍增加。例如,集團公司網管中心有20多套網管系統,其中主機、網絡設備超過100臺;管理着CMNet網絡中200多套路由器、交換機等網絡設備。
2、各系統分別管理所屬的系統資源,爲本系統的用戶分配權限,缺乏集中統一的資源授權管理平臺,無法嚴格按照最小權限原則分配權限。另外,隨着用戶數量的增加,權限管理任務越來越重,系統的安全性無法得到充分保證。
3、有些賬號多人共用,不僅在發生安全事故,難於確定賬號的實際使用者,而且在平時難於對賬號的擴散範圍進行控制,容易造成安全漏洞。
4、支撐系統的增多,使用戶經常需要在各個系統之間切換,每次從一個系統切換到另一支撐系統時,都需要輸入用戶名和口令進行登錄。給用戶的工作帶來不便,影響了工作效率。用戶爲便於記憶口令會採用較簡單的口令或將多個支撐系統的口令設置成相同的,危害到系統的安全性。
5、由於各支撐系統獨立運行、維護和管理,所以各系統的審計也是相互獨立的,不但各個系統單獨審計,即使同一系統中的每個網絡設備,每個主機系統,每個業務系統及每個數據庫系統都要分別進行審計,缺乏集中統一的系統訪問審計。無法對支撐系統進行綜合分析,不能及時發現入侵行爲。
總之,隨着業務系統和支撐系統的發展及內部用戶的增加,一方面系統維護和管理人員的工作負擔增加,工作效率無法提高;另一方面無法對各業務系統實現統一的安全策略,從而在實質上降低了業務系統的安全性。因此需要根據中國移動的現狀,研究集中統一的安全管理技術和平臺,使得系統和安全管理人員可以對支撐系統的用戶和各種資源進行集中管理、集中權限分配、集中審計,從技術上保證支撐系統安全策略的實施。
【中國移動4A框架】
4A框架結構如圖所示。
【4A用例描述】
在4A框架下,集中化的用戶賬號管理主要包括如下部分:
1、角色定義
在企業範圍內定義、維護角色。
2、角色授權
對角色賦予相應權限,權限包括允許訪問的對象,及對對象的訪問方式。
3、用戶創建
建立用戶,用戶信息與實際人員對應。
4、分配角色
根據用戶的工作部門和崗位,爲用戶分配相應的角色。
5、策略制定
包括口令策略制定、訪問策略制定等。
6、賬號管理
包括賬號收集(發現)、賬號同步、賬號增加、賬號刪除等。
7、安全審計
根據安全記錄,及時發現各種入侵行爲,或可能對系統造成危害的操作;在發生事故後,能夠及時、準確定位事故原因及責任。
在4A框架下,用戶獲取、行使訪問權限的過程可以分爲以下幾步:
1、用戶創建
通過管理員或用戶自助註冊系統建立用戶,用戶信息與實際人員的身份識別標誌對應。
2、獲得授權
由管理員分配角色,基於角色,用戶獲得訪問支撐系統相關資源的權限。
3、登錄系統訪問資源
用戶登錄到支撐系統,根據身份認證結果及爲其分配的角色,與支撐系統交互。如果採用SSO,則用戶只需要在系統啓動後,用SSO主賬號登錄到SSO服務器,以後再登錄其它主機、網絡設備、應用系統時,其登錄過程由系統自動完成,用戶不再需要記憶多個密碼、進行多次登錄。
【4A框架的價值】
4A框架的作用主要體現在系統管理員方面、普通用戶方面、系統安全性、系統管理費用等方面。
【企業角度】
對於企業來說,由於企業內部賬號、授權管理的混亂,造成私設賬號、賬號失效後未及時收回、某些賬號的擴散範圍難於控制,從而給企業造成的安全損失是很嚴重的。
在4A框架下,賬號、授權管理將納入統一、可控的框架和過程,賬號設置、分配均有詳細記錄,可以審計;賬號撤消、更改後的同步工作(包括從集中賬號管理系統向各主機、設備、系統下發賬號,及集中賬號管理系統從各主機、設備、系統收集賬號)均由系統自動完成,避免手工同步;對賬號的有效期可以用時間、地域等附加因素進行限制,防止濫用;在多人共用賬號的情況下,審計也可以精確到實際使用賬號的個人;針對高價值資產、高權限賬號,通過靈活支持動態口令、PKI、生物認證等強認證技術,提高信息資產的安全性,並實現不同權限等級賬號的不同安全策略。
這些措施無疑將給企業信息資產的安全防護提供強有力的手段,避免安全損失,同時通過保障企業內主機、設備、應用系統的順暢運行,給企業增加效益。
【管理員角度】
採用4A框架,方便了系統中包括從系統用戶聘用到辭職的整個生命週期的管理。如賬號創建、授權、權限更改、個人信息更改、口令更改、賬號刪除等,均可在一個平臺上進行管理,使用戶與其賬號的對應關係符合實際情況,保證用戶擁有的權限是完成其工作所需的最小權限。
通過4A框架,系統管理員可以方便高效地對支撐系統進行審計,及時發現未授權的信息資源訪問,權限濫用,入侵企圖等等。
4A框架還爲安全策略的強制統一執行提供技術保證,如監測用戶口令的強度,口令更改週期等等。
減少由於用戶忘記密碼產生的維護成本。
這些都使管理員對信息資源管理的效率大大提高。
【普通用戶的角度】
通過4A框架,可以保證用戶權限的分配符合安全策略要求,擁有完成任務所需要的最小權限。
用戶可以通過4A框架提供的自助管理接口,可以方便地更改自己的口令和個人基本信息,減輕了系統管理員的工作負擔,也提高了用戶的工作效率。
通過4A框架提供的單點登錄系統,用戶一次登錄即可方便地訪問被授權的所有系統,省去了記憶多個賬號名和口令的麻煩,提高了工作效率。
【系統安全角度】
4A框架可以使用戶的工作變動情況及時在支撐系統中得到體現,通過集中平臺,一個指令,即可以乾淨、徹底的清除與每個用戶相關的所有賬號,防止出現用戶已經離職但賬號還存在的情況。
另外4A框架爲安全策略的強制執行提供了技術手段,如單點登錄系統可以爲用戶在不同應用系統中自動設置足夠強的口令,並且可以自動定期修改口令。這種設置和修改對用戶是透明的,用戶只需記住登錄到單點登錄系統的口令即可,提高了用戶的效率,防止弱口令的存在。
通過方便高效的審計手段,可以及時發現系統中存在的安全問題和各種入侵企圖,爲安全管理員採取相應的措施提供及時準確的信息,增強系統的安全性。
【系統管理成本角度】
用戶自我服務使用戶可以維護自己的信息,單點登錄減少了用戶忘記口令的情況,這都使得系統的管理成本,尤其是在用戶數目巨大的情況下大幅度降低。