4A:账号管理、认证、授权、审计

这个安全管理框架包括用户的账号(Account)管理、认证(Authentication)管理、授权

(Authorization)管理和安全审计(Audit),简称4A框架。

账号管理是将自然人与其拥有的所有系统账号关联,集中进行管理,包括按照密码策略自动更改密码,不同系统间的账号同步等。

身份认证是信息安全的第一道防线,用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说,身份认证是一个基本的安全考虑。身份认证的方式可以有多种,包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。

授权是指对用户使用支撑系统资源的具体情况进行合理分配的技术,实现不同用户对系统不同部分资源的访问。

审计是指收集、记录用户对支撑系统资源的使用情况,以便于统计用户对网络资源的访问情况,并且在出现安全事故时,可以追踪原因,追究相关人员的责任,以减少由于内部计算机用户滥用网络资源造成的安全危害。

本文在对中国移动各支撑系统的主机、网络设备和应用系统自身的账号管理、认证、授权、审计现状分析的基础上,制定4A框架技术要求,其目的是:

1. 阐述4A基本技术,规定4A框架下各部分的基本需求,为4A框架下的产品采购提供依据。

2. 规定4A框架下各部分的连接界面,为4A框架下的产品开发提供依据。

3. 规定将应用系统纳入4A框架的方案,便于在现有基础上实施4A框架。

4. 提出4A框架实施的具体建议。

通过实施4A框架,可以达到以下目的:

1. 实现集中化的账号管理。管理员在一点上即可对不同系统中的账号进行管理,由系统自动同步不同系统下的账号;账号创建、分配过程均留下电子记录,便于审计。

2. 实现集中化的身份认证。管理员不仅可以根据需要选择不同的身份认证方式,而且在不更改或只对应用进行有限更改的情况下,即可在原来只有弱身份认证手段的应用上,增加强身份认证手段,提高系统安全性。

3. 实现集中访问授权。对企业资产进行有效保护,防止私自授权或权限未及时收回对企业信息资产造成的安全损害;对应用实现基于角色的授权管理,在人员离职、岗位变动时,只需要在一处进行更改,即可在所有纳入4A框架的应用中改变权限;可以为授权增加特定的限制,如只有在规定的时间段、来自特定地域的人员才能访问指定的资源。

4. 实现集中安全审计管理。不仅能够对人员的登录过程、登录后进行的操作进行审计,而且能够将多个主机、设备、应用日志进行对比分析,从中发现问题。

实现单点登录,方便管理员和普通用户登录不同的系统。

【账号口令管理现状与面临的困难】

1、中国移动的支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。目前各应用系统都有一套独立的认证、授权和审计系统,并且由相应的系统管理员负责维护和管理。当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加。例如,集团公司网管中心有20多套网管系统,其中主机、网络设备超过100台;管理着CMNet网络中200多套路由器、交换机等网络设备。

2、各系统分别管理所属的系统资源,为本系统的用户分配权限,缺乏集中统一的资源授权管理平台,无法严格按照最小权限原则分配权限。另外,随着用户数量的增加,权限管理任务越来越重,系统的安全性无法得到充分保证。

3、有些账号多人共用,不仅在发生安全事故,难于确定账号的实际使用者,而且在平时难于对账号的扩散范围进行控制,容易造成安全漏洞。

4、支撑系统的增多,使用户经常需要在各个系统之间切换,每次从一个系统切换到另一支撑系统时,都需要输入用户名和口令进行登录。给用户的工作带来不便,影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的,危害到系统的安全性。

5、由于各支撑系统独立运行、维护和管理,所以各系统的审计也是相互独立的,不但各个系统单独审计,即使同一系统中的每个网络设备,每个主机系统,每个业务系统及每个数据库系统都要分别进行审计,缺乏集中统一的系统访问审计。无法对支撑系统进行综合分析,不能及时发现入侵行为。

总之,随着业务系统和支撑系统的发展及内部用户的增加,一方面系统维护和管理人员的工作负担增加,工作效率无法提高;另一方面无法对各业务系统实现统一的安全策略,从而在实质上降低了业务系统的安全性。因此需要根据中国移动的现状,研究集中统一的安全管理技术和平台,使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证支撑系统安全策略的实施。

【中国移动4A框架】

4A框架结构如图所示。

4A用例描述】

【管理员工作过程】

在4A框架下,集中化的用户账号管理主要包括如下部分:

1、角色定义

在企业范围内定义、维护角色。

2、角色授权

对角色赋予相应权限,权限包括允许访问的对象,及对对象的访问方式。

3、用户创建

建立用户,用户信息与实际人员对应。

4、分配角色

根据用户的工作部门和岗位,为用户分配相应的角色。

5、策略制定

包括口令策略制定、访问策略制定等。

6、账号管理

包括账号收集(发现)、账号同步、账号增加、账号删除等。

7、安全审计

根据安全记录,及时发现各种入侵行为,或可能对系统造成危害的操作;在发生事故后,能够及时、准确定位事故原因及责任。

【普通用户工作过程】

在4A框架下,用户获取、行使访问权限的过程可以分为以下几步:

1、用户创建

通过管理员或用户自助注册系统建立用户,用户信息与实际人员的身份识别标志对应。

2、获得授权

由管理员分配角色,基于角色,用户获得访问支撑系统相关资源的权限。

3、登录系统访问资源

用户登录到支撑系统,根据身份认证结果及为其分配的角色,与支撑系统交互。如果采用SSO,则用户只需要在系统启动后,用SSO主账号登录到SSO服务器,以后再登录其它主机、网络设备、应用系统时,其登录过程由系统自动完成,用户不再需要记忆多个密码、进行多次登录。

4A框架的价值】

4A框架的作用主要体现在系统管理员方面、普通用户方面、系统安全性、系统管理费用等方面。

【企业角度】

对于企业来说,由于企业内部账号、授权管理的混乱,造成私设账号、账号失效后未及时收回、某些账号的扩散范围难于控制,从而给企业造成的安全损失是很严重的。

在4A框架下,账号、授权管理将纳入统一、可控的框架和过程,账号设置、分配均有详细记录,可以审计;账号撤消、更改后的同步工作(包括从集中账号管理系统向各主机、设备、系统下发账号,及集中账号管理系统从各主机、设备、系统收集账号)均由系统自动完成,避免手工同步;对账号的有效期可以用时间、地域等附加因素进行限制,防止滥用;在多人共用账号的情况下,审计也可以精确到实际使用账号的个人;针对高价值资产、高权限账号,通过灵活支持动态口令、PKI、生物认证等强认证技术,提高信息资产的安全性,并实现不同权限等级账号的不同安全策略。

这些措施无疑将给企业信息资产的安全防护提供强有力的手段,避免安全损失,同时通过保障企业内主机、设备、应用系统的顺畅运行,给企业增加效益。

【管理员角度】

采用4A框架,方便了系统中包括从系统用户聘用到辞职的整个生命周期的管理。如账号创建、授权、权限更改、个人信息更改、口令更改、账号删除等,均可在一个平台上进行管理,使用户与其账号的对应关系符合实际情况,保证用户拥有的权限是完成其工作所需的最小权限。

通过4A框架,系统管理员可以方便高效地对支撑系统进行审计,及时发现未授权的信息资源访问,权限滥用,入侵企图等等。

4A框架还为安全策略的强制统一执行提供技术保证,如监测用户口令的强度,口令更改周期等等。

减少由于用户忘记密码产生的维护成本。

这些都使管理员对信息资源管理的效率大大提高。

【普通用户的角度】

通过4A框架,可以保证用户权限的分配符合安全策略要求,拥有完成任务所需要的最小权限。

用户可以通过4A框架提供的自助管理接口,可以方便地更改自己的口令和个人基本信息,减轻了系统管理员的工作负担,也提高了用户的工作效率。

通过4A框架提供的单点登录系统,用户一次登录即可方便地访问被授权的所有系统,省去了记忆多个账号名和口令的麻烦,提高了工作效率。

【系统安全角度】

4A框架可以使用户的工作变动情况及时在支撑系统中得到体现,通过集中平台,一个指令,即可以干净、彻底的清除与每个用户相关的所有账号,防止出现用户已经离职但账号还存在的情况。

另外4A框架为安全策略的强制执行提供了技术手段,如单点登录系统可以为用户在不同应用系统中自动设置足够强的口令,并且可以自动定期修改口令。这种设置和修改对用户是透明的,用户只需记住登录到单点登录系统的口令即可,提高了用户的效率,防止弱口令的存在。

通过方便高效的审计手段,可以及时发现系统中存在的安全问题和各种入侵企图,为安全管理员采取相应的措施提供及时准确的信息,增强系统的安全性。

【系统管理成本角度】

用户自我服务使用户可以维护自己的信息,单点登录减少了用户忘记口令的情况,这都使得系统的管理成本,尤其是在用户数目巨大的情况下大幅度降低。

中国移动规范学习——4A技术要求(综述)相关推荐

  1. 中国移动规范学习——4A技术要求(账号管理)

    [集中账号管理的目的] 随着信息系统复杂性的增加,对中国移动企业内部用户权限的管理要求,将大大超过手工管理跨异构系统的能力.管理上的复杂性还会导致出错机会和安全风险的增加.比如,人员的快速流转导致系统 ...

  2. 中国移动规范学习——4A技术要求(集中认证)

    身份认证是实现网络安全的重要机制之一,是安全系统中的第一道关卡,是赋予用户访问权限的依据. 用户在访问受保护的系统之前,首先经过身份认证系统识别身份,然后访问控制器根据用户的身份和授权,决定用户是否能 ...

  3. 读“基于深度学习的图像识别技术研究综述”有感

    "基于深度学习的图像识别技术研究综述"总结 现在流行的图像识别技术都是基于深度学习的算法,经过前辈们的探索改进,图像识别技术经历很多阶段,现如今图像识别技术已经广泛的应用于生活的方 ...

  4. 【技术综述】基于弱监督深度学习的图像分割方法综述​

    文章首发于微信公众号<有三AI> [技术综述]基于弱监督深度学习的图像分割方法综述​ 本文是基于弱监督的深度学习的图像分割方法的综述,阐述了弱监督方法的原理以及相对于全监督方法的优势,首发 ...

  5. 基于深度学习的智能车辆视觉里程计技术发展综述*--陈涛

    [1]陈涛, 范林坤, 李旭川,等. 基于深度学习的智能车辆视觉里程计技术发展综述[J]. 汽车技术, 2021(1):10. 本文内容: 介绍了基于模型的里程计研究现状 对比了常用智能车数据集, 将 ...

  6. 网络攻击机制和技术发展综述

    网络攻击机制和技术发展综述 一.概述 在这个世界上,人类不断研究和发展新的信息安全机制和工程实践,为战胜计算机网络安全威胁付出了艰巨的努力.似乎如果计算机攻击手法不再翻新,关于信息安全的战争将很快结束 ...

  7. 【深度学习】老师木讲架构:深度学习平台技术演进

    新智元推荐   来源:OneFlow [新智元导读]近日,袁进辉(老师木)代表OneFlow团队在全球互联网架构大会上海站做了<深度学习平台技术演进>的报告.报告包括深度学习的计算力问题. ...

  8. 《强化学习周刊》第34期:牛津、谷歌、Facebook等 | 自动强化学习 (AutoRL):研究综述和开放性问题...

    No.34 智源社区 强化学习组 强 化 学  习 研究 观点 资源 活动 关于周刊 强化学习作为人工智能领域研究热点之一,其研究进展与成果也引发了众多关注.为帮助研究与工程人员了解该领域的相关进展和 ...

  9. 【西安交大】2020年最新深度学习目标检测方法综述

    关注上方"深度学习技术前沿",选择"星标公众号", 资源干货,第一时间送达! 目标检测的任务是从图像中精确且高效地识别.定位出大量预定义类别的物体实例.随着深度 ...

最新文章

  1. 如何为你的代码选择一个开源协议
  2. redis value多大会影响性能_redis面试总结
  3. 实现一个简单的模板引擎,输入模板和数据,输出html
  4. POJ 1200 Crazy Search(RK)
  5. js修改id的值_如何修改pytesthtml源码来优化接口自动化测试报告
  6. 如何判断字符串已经被url编码_如何判断回文数?不要再将整数转为字符串来解决这个问题了...
  7. file对象怎么才会有值_怎么去聊天女生才会跟你约会
  8. linux 导出io,Linux基础知识之IO重定向
  9. A Byte of Python 笔记(12)python 标准库:sys、os,更多内容
  10. 爬虫笔记1-Requests库的基本方法
  11. Android 应用程序之间数据共享—ContentProvider
  12. easyMule-VeryCD-src---VS2010调试笔记
  13. SD卡无法格式化怎么办?解决方法免费分享
  14. Backtrack 算法思路
  15. linux mysql 备份 压缩_Linux下mysql定时备份压缩
  16. Springboot + Quartz 实现分布式定时任务集群
  17. 矩阵乘法实现卷积运算
  18. JAVA钓鱼游戏_java实现小猫钓鱼游戏
  19. python 重定向 网址错_Python URL重定向问题
  20. android qq传文件夹,电脑传到手机QQ的资料在哪个文件夹里?

热门文章

  1. 用R制作gif动态图以及从gif中提取图片
  2. 推荐系统与知识图谱(2)
  3. 最长公共子序列(LCS)C++版递归算法实现
  4. 2019年3月WHQL认证最新申请流程
  5. android 高德地图定位圈,android ------ 实现高德定位并获取相应信息 ( 最新版高德SDK 和 Android SDK版本)...
  6. 使用Visio画各种可视化的流程图之基本流程图和跨职能流程图
  7. Mac 卸载重装 brew
  8. Windows 在目录中搜索哪个文件中有指定字符串
  9. EzOES报盘、接口及平台
  10. 详解AES对称加密(python实现文件加密)