视频1 视频21 视频41 视频61 视频文章1 视频文章21 视频文章41 视频文章61 推荐1 推荐3 推荐5 推荐7 推荐9 推荐11 推荐13 推荐15 推荐17 推荐19 推荐21 推荐23 推荐25 推荐27 推荐29 推荐31 推荐33 推荐35 推荐37 推荐39 推荐41 推荐43 推荐45 推荐47 推荐49 关键词1 关键词101 关键词201 关键词301 关键词401 关键词501 关键词601 关键词701 关键词801 关键词901 关键词1001 关键词1101 关键词1201 关键词1301 关键词1401 关键词1501 关键词1601 关键词1701 关键词1801 关键词1901 视频扩展1 视频扩展6 视频扩展11 视频扩展16 文章1 文章201 文章401 文章601 文章801 文章1001 资讯1 资讯501 资讯1001 资讯1501 标签1 标签501 标签1001 关键词1 关键词501 关键词1001 关键词1501 专题2001
移动4A系统
2025-09-29 02:34:53 责编:小OO
文档
点击下载本文 文档为doc格式
    目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法,仅供参考。

    4A之账号管理

    移动集团的4A规范中提出主账号和从账号的概念,主账号即自然人使用的账号,目前主要是网络准入控制系统的账号。从账号即资源设备自身账号,主要是指自然人登录设备或应用系统时使用的账号。

    为此在4A平台中需要建立两个管理模块:主账号管理模块、从账号管理模块。

    4A之授权管理

    在“4A之账号管理”中进行主账号管理和从账号管理。而主账号和从账号之间需要通过资源设备进行关联。授权的目的就是使授权自然人可以登录那些设备,在相应的设备上使用从账号。因此形成“主账号-从账号-设备”三位一体的对应关系。

    目前移动系统中使用的账号情况极为复杂,因此提出“以人为本”的关系梳理。该梳理就是要搞清“谁—能访问什么设备—使用哪个(些)系统账号”的关系,同时为认证和授权提供相应的关联列表。

    4A之认证管理

    前面进行了授权管理,接下来要对账号的合法性进行相应的认证。4A的认证合法性应该主要完成三项内容:主账号是否合法、从账号是否合法、授权是否合法。见图1认证及授权模块 的框图。

图1 认证及授权模块的的框图

    认证及授权过程

    ●在前期的安全建设中,已经在网络中做了安全域划分及网络安全准入系统的建设。用户进入网络访问业务系统时,网络准入系统需对自然人身份的合法性进行认证,主账号认证信息打包转发给4A平台,4A平台对主账号的合法性进行判断,合法则让网络准入控制设备放开控制策略。

    ●主账号认证通过后,4A平台记录自然人、主账号、终端IP的对应关系,实现网络实名制记录。

    ●用户使用从账号登录网络设备、服务器、应用系统时,资源设备将从账号信息打包后发送给4A平台进行认证。

    ●4A平台对从账号和密码进行认证,不合法则向设备发送认证失败信息。

    ●4A平台对从账号认证合法后,平台根据授权管理的列表对从账号、主账号、设备之间的对应关系进行检查,如果从账号在授权列表中,则向被登录的设备返回认证合法信息,自然人可以使用该从账号在该设备登录,反之则拒绝自然人使用该从账号在该设备登录。

    统一认证平台的建立

    不管是主账号认证还是从账号认证,都是在4A平台中进行的,统一的认证系统是进行4A平台建设的前提。因此在建设4A系统之前弃用本地认证的方式,改为第三方认证的模式。就目前移动的实际情况而言,第三方认证主要包括Raduis、LDAP、手机短信等方式,因此4A平台中提供了基于认证转发的认证模块(认证中转站)。充分兼容目前移动公司采用的第三方认证。如图2所示。

图2 基于认证转发的认证模块(认证中转站)

    ●网络准入控制设备负责向4A平台进行自然人的主账号认证请求,平台接受到认证请求信息后,通过对应的主账号管理列表中指定的认证服务器进行认证转发。具体的账号合法性判断交给后台认证系统来完成。4A平台记录相应的用户信息,如主账号、终端IP等。

    ●用户要登录设备时要输入从账号。设备向4A平台进行从账号认证请求,平台根据设备的IP地址进行第三方认证转发。从账号的合法性判断交由后台认证系统来完成。4A平台此时记录自然人终端IP、设备IP,从账号等信息。

    ●根据两次记录的信息即可得出“终端IP、主账号(自然人)、设备IP、从账号”的对应关系。再根据这种对应关系去查找授权列表,如果该对应关系在授权列表中,4A平台则向设备返回从账号认证成功信息,用户可以登录设备进行操作,反之,4A平台则向设备返回认证失败信息,设备拒绝该登录。

    4A之安全审计

    安全审计主要是记录用户在设备上所有的操作行为,目前审计信息来源主要分为三类:

    ●网络审计设备:对网络传输的数据包进行重组,通过协议解析的方式获取用户的操作信息;

    ●堡垒跳转设备:用户要登录目标设备,必须先登录堡垒跳转设备,通过堡垒机再跳转到目标设备上进行操作。堡垒跳转设备则可记录用户所有的操作信息;

    ●目标设备日志:大多数设备都支持日志记录方式保存用户的操作。

    原始审计信息统一被4A进行收集后需对主从账号进行关联从而关联到自然人,关联的具体方法如下:

    ●当用户进行网络安全准入认证(主账号认证)时,4A平台会记录“终端IP+主账号”;

    ●在主账号管理模块中已经手工录入“主账号+自然人”,因此可以关联成“终端IP+主账号+自然人”;

    ●审计设备(天玥II或天玥IV)能够提供给4A平台的数据有“终端IP+从账号+设备IP+审计内容”;

    ●通过相应的关联分析即可得出“终端IP、主账号(自然人)、设备IP、从账号、审计内容”的关联信息。

    结合移动集团的4A规范提出“时间、自然人、主账号、终端IP、目的IP、从账号、审计事件、审计级别、审计回访”九大审计要素,如图3所示。

图3 4A规范提出的九大审计要素

    ●时间:为了保证审计时间的准确性,网络中部署NTP服务器,全网设备与该NTP服务器进行同步。

    ●自然人:用户的真实姓名,在账号管理中手工进行录入。

    ●主账号:用户进行网络准入认证时使用的的账号,一般是一个自然人使用一个主账号,主账号可以进行第三方认证。

    ●源IP:自然人使用的终端IP。

    ●目的IP:自然人登录资源的IP。

    ●从账号:资源上的系统账号。

●审计事件:通过对原始审计信息进行分析处理后得到的审计结果。

    ●审计级别:自动给审计事件定级,一般分为高、中、低三个级别。

    ●会话回放:为了保证审计事件的完整性,形成一个完整的证据链条,对用户所有的输入和输出进行全部展现。下载本文

显示全文
专题
动视 51dongshi.net 版权所有
Copyright © 2019-2025