4a统一安全管理平台解决方案
- 格式:docx
- 大小:23.60 KB
- 文档页数:15
华为4A式IAM解决方案随着各大运营商在海外的上市,运营商对增强内部控制的需求日益强烈。
华为4A式IAM (Identity Access Manager基于身份的访问管理)解决方案综合利用各厂家成熟的技术,结合自身对电信业务深刻地理解和研发集成能力,致力于提高各大运营商通过合理的技术和途径达到增强内部控制的要求。
4A式IAM解决方案包含了集中帐号管理(Account)、集中认证(Authentication)、集中授权(Authorization)和集中审计(Audit)四个方面。
方案重在帮助运营商通过合理的技术手段和建设方式达到增强内控的目的。
方案需求背景随着各大电信运营商的业务网发展,其各种系统和内部用户数量不断增加,网络规模迅速扩大,安全问题日趋严重。
现有的每个业务网系统分别存储、管理本系统内的账号和口令,独立的以日志形式审计操作者在系统内的操作行为已远远不能满足业务发展的需要,也无法满足萨班斯法案(SOX)内控的要求,无法与国际业务接轨。
存在的问题主要表现在以下几个方面:各系统中有大量的网络设备、主机和应用系统都有一套独立的认证、授权和审计机制,分别由相应的系统管理员负责维护和管理。
系统中帐号繁多,当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加。
各系统分别管理所属的系统资源,为本系统的用户分配权限。
随着用户数量的增加,权限管理任务越来越重,且无法严格按照最小权限原则分配权限,系统的安全性无法得到充分保证。
有些账号多人共用,不仅在发生安全事故时,难以确定账号的实际使用者;而且在平时也难以对账号的扩散范围加以控制,容易造成安全漏洞。
各业务系统及支撑系统的增多,使用户需要经常在各个系统之间切换,每次从一个系统切换到另一支撑系统时,都需要输入用户名和口令进行登录。
给用户的使用带来不便,影响了工作效率。
但是用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的,又会危害到系统的安全性。
移动4A系统介绍目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。
所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。
在这里结合具体情况谈谈在移动省公司或地级市公司建设4A 项目的一些想法,仅供参考。
4A之账号管理移动集团的4A规范中提出主账号和从账号的概念,主账号即自然人使用的账号,目前主要是网络准入控制系统的账号。
从账号即资源设备自身账号,主要是指自然人登录设备或应用系统时使用的账号。
为此在4A平台中需要建立两个管理模块:主账号管理模块、从账号管理模块。
4A之授权管理在“4A之账号管理”中进行主账号管理和从账号管理。
而主账号和从账号之间需要通过资源设备进行关联。
授权的目的就是使授权自然人可以登录那些设备,在相应的设备上使用从账号。
因此形成“主账号-从账号-设备”三位一体的对应关系。
目前移动系统中使用的账号情况极为复杂,因此提出“以人为本”的关系梳理。
该梳理就是要搞清“谁—能访问什么设备—使用哪个(些)系统账号”的关系,同时为认证和授权提供相应的关联列表。
4A之认证管理前面进行了授权管理,接下来要对账号的合法性进行相应的认证。
4A的认证合法性应该主要完成三项内容:主账号是否合法、从账号是否合法、授权是否合法。
见图1认证及授权模块的框图。
图1 认证及授权模块的的框图认证及授权过程●在前期的安全建设中,已经在网络中做了安全域划分及网络安全准入系统的建设。
用户进入网络访问业务系统时,网络准入系统需对自然人身份的合法性进行认证,主账号认证信息打包转发给4A平台,4A平台对主账号的合法性进行判断,合法则让网络准入控制设备放开控制策略。
●主账号认证通过后,4A平台记录自然人、主账号、终端IP的对应关系,实现网络实名制记录。
4A(统一安全管理平台)简介企业信息门户系统供稿1、介绍企业信息化软件,一般经历下面几个阶段:无纸化办公—信息共享—信息安全等三个阶段,随着企业承载应用的越来越多,对所有应用的统一访问、统一控制、统一授权的需求也随着出现,4A就是针对此类问题的综合解决方案。
4A是指:认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为统一安全管理平台解决方案。
融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
2、4A系统背景随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统、商务平台不断推出和投入运行,信息系统在企业的运营中全面渗透。
电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户网站,使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务,提供电子商务、数据库应用、ERP和协同工作群件等服务。
由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响企业的经济运行效能,并对企业声誉造成重大影响。
另外黑客的恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。
如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为企业关心的问题。
3、4A平台的管理功能4A功能结构图为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。
2)集中认证(authentication)管理可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(一次性口令、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。
一体化管理平台解决方案目录1. 一体化管理平台概述 (3)1.1 平台目标 (3)1.2 平台功能 (4)1.3 平台优势 (6)2. 系统架构设计 (7)2.1 技术选型 (9)2.2 模块划分 (11)2.3 接口设计 (12)2.4 数据流程设计 (13)3. 平台功能模块 (15)3.1 用户管理模块 (16)3.1.1 用户注册与登录 (18)3.1.2 用户权限管理 (19)3.1.3 用户信息维护 (20)3.2 业务管理模块 (21)3.2.1 业务分类与标签设置 (22)3.2.2 业务流程配置 (23)3.2.3 业务数据录入与查询 (25)3.3 数据分析模块 (26)3.3.1 数据汇总与展示 (27)3.3.2 数据分析与挖掘 (29)3.3.3 数据可视化 (30)3.4 通知与公告模块 (31)3.4.1 通知发布与管理 (32)3.4.2 公告发布与管理 (34)3.5 系统设置模块 (35)3.5.1 参数配置 (36)3.5.2 日志管理 (38)4. 平台实施与部署 (41)4.1 环境准备 (43)4.2 平台安装与配置 (45)4.3 数据库设计与创建 (45)4.4 系统测试与验收 (47)5. 平台运维与管理 (49)5.1 日常运维 (50)5.1.1 系统监控 (52)5.1.2 故障处理与优化 (53)5.2 安全管理 (53)5.2.1 访问控制 (54)5.2.2 数据安全保障 (56)5.3 系统升级与维护 (57)5.3.1 版本迭代 (58)6. 项目案例与实践 (60)6.1 成功案例介绍 (62)6.2 客户反馈与评价 (63)6.3 后续改进与发展建议 (64)1. 一体化管理平台概述随着业务规模的扩大和数字化转型进程的加速,企业面临着数据分散、管理复杂、效率低下等痛点。
为了有效应对这些挑战,我们为用户推出一体化管理平台解决方案,旨在打破传统信息孤岛,实现对企业资源和业务的统一管理和控制。
安全4A概念及其体系结构简介安全4A概念及其体系结构简介一、4A概念4A是指包括账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit)等保障部信息安全的四个基本要素。
4A系统通过集中的帐号管理、身份认证、授权管理和安全审计等功能可为企业提供强健的、基于统一策略的解决方案,解决企业内控等问题,降低管理成本,提高系统安全性和政策符合性。
二、4A系统的必要性网络信息系统的不断发展,各种业务系统和支撑系统的用户数量快速增加,每个业务网系统分别维护用户信息数据,孤立身份管理和身份认证方式,及以日志形式的审计操作者在系统内的操作行为,已日渐不能满足信息安全的要求,因而急需解决以下几方面问题:帐号与口令管理流程的缺失——如:存在大量共享帐号;用户帐号的添加、修改以及删除、用户账号的定期审阅、职责分工没有全流程控制和执行(或者有相关措施,但难于执行),同时对应员工岗位变更和离职的用户数字身份生命周期管理没有相应的技术手段,最终导致大量帐号的产生和管理失控;(1)系统维护复杂度带来的人为安全性问题——各系统中有大量的网络设备、主机和应用系统,帐号繁多,管理困难,管理成本较高;难以实现帐号权限的有效监督和审核;难以维护有效的用户帐号列表;当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加;(2)用户认证方式和手段缺乏——目前大多数系统采用基本的帐号与口令方式进行认证,由于没有技术机制的限制,口令的设置过于简单,无法实现用户标识唯一性(无法明确到个人,无法区分内部员工、最终用户、设备厂商维护人员等),须考虑增强的认证手段和统一管理;(3)用户行为的审计和跟踪缺失——有些帐号多人共用,不仅在发生安全事故,难于确定帐号的实际使用者,而且难于对帐号的扩散范围进行控制,容易造成安全漏洞;同时,日志和审计手段分散在各个系统和设备中,容易造成日志信息丢失,缺乏集中统一的系统访问审计,审计操作复杂,无法对支撑系统进行综合分析,不能及时发现危害系统安全的事件;(4)“分散”管理的问题——系统分别属于不同的专业进行管理,目前各系统都有一套独立的认证、授权和审计机制,分别由相应的系统管理员负责维护和管理。
统一安全管理AA平台解决方案4A包括统一用户账号(Account)管理、统一认证(Authentication)管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。
融合后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。
而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统内的操作行为。
现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求,及与国际业务接轨的需求。
问题主要表现在以下几方面:1.大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加;2.一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;3.各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;4.个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;5.随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的威胁;6.对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。
综上,由于缺乏统一的4A管理平台,加重了系统管理人员工作负担,同时,因各业务系统安全策略不一致,实质上也大大降低了业务系统的安全系数。
统一安全管理平台解决方案能够解决运营商当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。
第36卷作者简介:杨雪莲中国移动通信集团内蒙古有限公司工程师统一4A 系统三域数据融合创新研究与实现杨雪莲中国移动通信集团内蒙古有限公司内蒙古呼和浩特市010000【摘要】随着中国移动通信集团内蒙古有限公司各项业务的不断发展,企业规模飞速扩张,公司内部各类IT 支撑系统也在迅速扩大。
为保证系统和信息安全,防止被越权访问,公司网络部、业务支撑系统部及管理信息系统部等部门均发布了4A 系统管理相关的管理办法和技术规范。
本文主要介绍内蒙古移动公司采用新的管理思路、新架构打造统一4A 系统。
【关键词】系统研究4A 系统系统建设【中图分类号】TP311.5【文献标识码】B【文章编号】2096-0751(2019)06-0013-03前言内蒙古移动统一4A 系统是以移动集团系列规范为标准并结合三域本地需求进行IT 资源一体化整合总体规划。
通过部署公司级统一4A 系统,分步骤归纳管理支撑域、网管支撑域、业务支撑域系统资源及应用资源;通过4A 系统管理后台、集中维护平台的建设,提升4A 系统对全公司各域的支撑能力。
14A 系统工程规划4A 整合工程的建设主要目标是建设一套能够覆盖业务支撑域(B 域)、网管支撑域(O 域)、管理支撑域(M 域)所有功能的4A 系统,满足支撑系统部、网络管理中心、信息系统部三个部门对4A 系统的建设需求。
24A 系统技术架构统一4A 系统核心(主用)节点部署在云计算三枢纽资源池,应急(备用)节点部署在金川二枢纽资源池;主备节点采用oracle 数据库数据同步技术并结合F5负载均衡技术实现了主备节点无缝切换;三域(管理支撑域、网管支撑域、业务支撑域)分别部署统一4A 的前置堡垒机,利用大数技术应用--59数字传媒研究第36卷2019年第6期据、云计算虚拟化技术实现了前置机的数据共享、高可靠、高可用以及热迁移,并利用SSL VPN 技术实现了网管支撑域的互联网访问出口,如图1所示。
门户展现层:实现统一4A 平台的门户功能,完成互联网化风格改造,包括登录首页、综合视图、个人工作台和金库管理等部分,同时满足管信、网管和业支的集团规范。
4A (统一安全管理平台)简介企业信息门户系统供稿1、介绍企业信息化软件,一般经历下面几个阶段:无纸化办公一信息共享一信息安全等三个阶段,随着企业承载应用的越来越多,对所有应用的统一访问、统一控制、统一授权的需求也随着出现,4A就是针对此类问题的综合解决方案。
4A是指:认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为统一安全管理平台解决方案。
融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录(SSO )等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
2、4A系统背景随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统、商务平台不断推出和投入运行,信息系统在企业的运营中全面渗透。
电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户网站,使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务,提供电子商务、数据库应用、ERP和协同工作群件等服务。
由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响企业的经济运行效能,并对企业声誉造成重大影响。
另外黑客的恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。
如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为企业关心的问题。
3、4A平台的管理功能1)集中帐号(account )管理4A功能结构图为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。
移动4A系统介绍目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。
所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。
在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法,仅供参考。
4A之账号管理移动集团的4A规范中提出主账号和从账号的概念,主账号即自然人使用的账号,目前主要是网络准入控制系统的账号。
从账号即资源设备自身账号,主要是指自然人登录设备或应用系统时使用的账号。
为此在4A平台中需要建立两个管理模块:主账号管理模块、从账号管理模块。
4A之授权管理在“4A之账号管理”中进行主账号管理和从账号管理。
而主账号和从账号之间需要通过资源设备进行关联。
授权的目的就是使授权自然人可以登录那些设备,在相应的设备上使用从账号。
因此形成“主账号-从账号-设备”三位一体的对应关系。
目前移动系统中使用的账号情况极为复杂,因此提出“以人为本”的关系梳理。
该梳理就是要搞清“谁—能访问什么设备—使用哪个(些)系统账号”的关系,同时为认证和授权提供相应的关联列表。
4A之认证管理前面进行了授权管理,接下来要对账号的合法性进行相应的认证。
4A的认证合法性应该主要完成三项内容:主账号是否合法、从账号是否合法、授权是否合法。
见图1认证及授权模块的框图。
图1认证及授权模块的的框图认证及授权过程●在前期的安全建设中,已经在网络中做了安全域划分及网络安全准入系统的建设。
用户进入网络访问业务系统时,网络准入系统需对自然人身份的合法性进行认证,主账号认证信息打包转发给4A平台,4A平台对主账号的合法性进行判断,合法则让网络准入控制设备放开控制策略。
●主账号认证通过后,4A平台记录自然人、主账号、终端IP的对应关系,实现网络实名制记录。
1引言随着互联网在世界范围的进一步普及,基于网络的应用服务在各行各业深入发展,由此产生的安全问题也愈演愈烈,安全事件所导致的严重后果和影响难以估量。
近年来,我国将网络空间安全提升到国家战略层面,成立了中央网络安全和信息化领导小组。
习总书记指出,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”,一方面要强化网络优势加快促进社会经济发展,另一方面要使网络可管可控避免安全隐患。
4A统一安全管理平台在网络空间安全管控中占据着重要地位,发挥着关键作用。
2002年,美国萨班斯法案生效,要求管理人员通过有效的技术手段能够对内部网络进行严格管理,控制、限制和追踪用户行为;2007年,由我国公安部、保密局、密码管理局和国务院信息工作办公室联合印发的《信息安全等级保护管理办法》及后续一系列标准也对相关安全工作做出了规定。
由此,4A统一安全管理平台的应用得到了强有力的推动和法律的保障。
经过前后二十多年的发展,4A 从概念到实用化,逐渐成为保障网络空间安全不可或缺的一环。
典型的4A统一安全管理平台以身份认证为核心,由统一账号(Account)管理、统一认证(Authentication)管理、统一权限(Authorization)管理、统一审计(Audit)管理4个主要部分构成。
它隔离了外部网络和内部网络,通过身份和权限认证,既可以防护外部恶意入侵和攻击,还可以监控和审计内部行为,对整个应用环境进行全方位管控。
其管控范围之广、涉及人员之众、技术类型之多样、工作流程之复杂,都对平台的部署、测试、运行及维护带来了极大的挑战。
鉴于此,本文将围绕4A统一安全管理平台的关键技术进行简要分析,并对典型4A系统开展相关评测,以剖析实施4A方案中的难点和重点。
2网络空间4A需求分析4A平台是网络空间安全保障体系的重要组成部分。
当前严峻的网络安全形势使得国家和企业对4A 平台的需求更加迫切,同时对4A平台提供的安全保障能力也更加关注和期待。
中国移动业务支撑网4A安全技术规范中国移动通信企业标准QB-W-016-2007中国移动业务支撑网4A安全技术规范版本号:1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司发布目录1概述 (8)1.1范围 (8)1.2规范性引用文件 (8)1.3术语、定义和缩略语 (9)2综述 (11)2.1背景和现状分析 (11)2.24A平台建设目标 (14)2.34A平台管理范围 (16)34A管理平台总体框架 (17)44A管理平台功能要求 (21)4.1帐号管理 (21)4.1.1帐号管理的范围 (21)4.1.2帐号管理的内容 (22)4.1.3主帐号管理 (23)4.1.4从帐号管理 (24)4.1.5密码策略管理 (24)4.2认证管理 (25)4.2.1认证管理的范围 (25)4.2.2认证管理的内容 (26)4.2.3认证服务的管理 (26)4.2.4认证枢纽的管理 (26)4.2.5SSO的管理 (27)4.2.6认证手段 (27)4.2.7提供多种手段的组合使用 (28)4.3授权管理 (28)4.3.1授权管理的范围 (28)4.3.2授权管理的内容 (29)4.3.3资源管理 (30)4.3.4角色管理 (30)4.3.5资源授权 (31)4.4审计管理 (33)4.4.1审计管理范围 (33)4.4.2审计信息收集与标准化 (34)4.4.3审计分析 (35)4.4.4审计预警 (37)4.54A管理平台的自管理 (38)4.5.3组件管理 (39)4.5.4运行管理 (39)4.5.5备份管理 (39)4.64A管理平台接口管理 (40)4.6.1帐号管理接口 (40)4.6.2认证接口 (40)4.6.3审计接口 (41)4.6.4外部管理接口 (41)54A管理平台技术要求 (42)5.1总体技术框架 (42)5.2P ORTAL层技术要求 (44)5.3应用层技术要求 (44)5.3.1前台应用层技术要求 (45)5.3.2核心数据库技术要求 (46)5.3.3后台服务层技术要求 (51)5.3.4单点登录技术要求 (55)5.3.5安全审计技术要求 (57)5.4接口层技术要求 (62)5.5非功能性技术要求 (63)5.5.1业务连续性要求 (63)5.5.2开放性和可扩展性要求 (67)5.5.3性能要求 (69)5.5.4安全性要求 (69)64A管理平台接口规范 (71)6.1应用接口技术规范 (71)6.1.1总体描述 (71)6.1.2登录类接口(①) (73)6.1.3认证类接口 (75)6.1.4帐号/角色接口(④) (78)6.1.5审计类接口 (88)6.2系统接口技术规范 (93)6.2.1总体描述 (93)6.2.2登录类接口(①) (95)6.2.3认证类接口 (96)6.2.4帐号接口(⑤) (100)6.2.5审计类接口 (107)6.3外部管理接口技术规范 (111)7BOSS系统3.0的改造要求 (113)7.2.1总体改造总体要求 (114)7.2.2帐号管理要求 (117)7.2.3授权管理要求 (120)7.2.4认证管理要求 (123)7.2.5审计管理要求 (126)7.3BOSS应用的安全要求 (128)7.3.1BOSS应用帐号管理 (129)7.3.2BOSS应用授权管理 (135)7.3.3BOSS应用认证管理 (138)7.3.4BOSS应用审计要求 (139)7.3.5BOSS数据安全要求 (141)8经营分析系统2.0改造要求 (144)8.1经营分析系统应用安全建设目标 (144)8.2经营分析系统配合4A改造要求 (145)8.2.1总体改造要求 (145)8.2.2帐号管理改造要求 (148)8.2.3授权管理改造要求 (151)8.2.4认证管理改造要求 (154)8.2.5审计管理改造要求 (156)8.3经营分析系统应用安全要求 (159)8.3.1经营分析系统用户管理 (159)8.3.2经营分析系统权限管理 (169)8.3.3经营分析系统认证管理 (172)8.3.4经营分析系统日志记录 (175)8.3.5经营分析系统数据安全要求 (177)8.3.6系统平台安全要求 (179)9运营管理系统2.0改造要求 (183)9.1运营管理系统应用安全建设目标 (183)9.2运营管理系统配合4A改造要求 (184)9.2.1总体改造要求 (184)9.2.2帐号管理改造要求 (188)9.2.3授权管理改造要求 (191)9.2.4认证管理改造要求 (194)9.2.5审计管理改造要求 (196)9.3运营管理系统应用安全要求 (199)9.3.1运营管理系统用户管理 (200)9.3.2运营管理系统权限管理 (206)9.3.3运营管理系统认证管理 (209)9.3.4运营管理系统日志记录 (212)9.3.5运营管理系统数据安全要求 (214)104A平台建设指导意见 (217)10.1总体指导原则 (217)10.24A平台建设步骤 (218)10.2.1前期调研和准备阶段 (218)10.2.2平台建设和实施阶段 (220)10.2.3后期管理和维护阶段 (222)10.34A平台应急方案 (223)10.3.1应急方案流程梳理 (223)10.3.2应用功能改造实现 (224)11编制历史 (226)附录A 4A管理平台管理流程 (227)(1)用户入职流程 (229)(2)用户变更管理流程 (230)(3)离职管理流程 (231)(4)新项目纳入管理流程 (232)附录B 业务支撑系统敏感数据 (232)(1)BOSS系统中的敏感数据 (232)(2)经营分析系统中的敏感数据 (234)(3)需要关注的操作日志 (235)图形目录图3-1 业务支撑网4A管理平台总体框架图 (18)图4-1 4A平台与应用系统的帐号、角色和权限关系图 (32)图5-1 业务支撑网4A管理平台的总体技术框架 (42)图6-1 4A平台与应用资源的接口框架图 (72)图6-2 业务支撑应用的帐号/角色接口图 (79)图6-3 4A平台与系统资源的接口框架图 (94)图6-4 4A平台与系统资源的接口框架图 (101)图7-1 BOSS配合4A的改造总体示意图 (115)图7-2 BOSS配合4A的帐号管理改造图 (118)图7-3 BOSS配合4A的授权管理改造图 (122)图7-4 BOSS配合4A的认证管理改造图 (125)图7-5 BOSS配合4A的审计管理改造图 (127)图7-6 BOSS应用安全体系逻辑图 (129)图7-7 BOSS应用授权管理结构图 (137)图8-1 经营分析系统配合4A的改造总体示意图 (146)图8-2 经营分析系统配合4A的帐号管理改造图 (149)图8-3 经营分析系统配合4A的授权管理改造图 (153)图8-4 经营分析系统配合4A的认证管理改造图 (155)图8-5 经营分析系统配合4A的审计管理改造图 (158)图8-6 经营分析应用安全体系逻辑图 (159)图8-7 经营分析应用授权管理结构图 (172)图8-8 通过经营分析门户认证流程图 (174)图9-1 运营管理系统配合4A的改造总体示意图 (186)图9-2 运营管理系统配合4A的帐号管理改造图 (189)图9-3 运营管理系统配合4A的授权管理改造图 (193)图9-4 运营管理系统配合4A的认证管理改造图 (195)图9-5 运营管理系统配合4A的授权号管理改造图 (198)图9-6 运营管理应用安全体系逻辑图 (199)图9-7 运营管理应用授权管理结构图 (209)图9-8 运营管理应用门户认证流程图 (211)前言本标准规定了面向中国移动业务支撑网的应用级和系统级的集中统一的帐号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit)的安全系统(简称4A管理平台或4A平台)的总体目标、平台框架、功能要求、关键技术实现方法、接口标准、实施指导建议及注意事项。
4A安全案例手册案例概述4A安全应用,为企业内部的用户和各种资源进行集中管理、集中权限分配、集中审计,提供技术上保证支撑系统安全策略的实施。
如下例举两个案例来体现中间件4A安全:案例1:我的权限表单(TestB.jsp)案例2:我的业务表单(TestC.jsp)案例1:我的权限表单1.操作描述我的权限表单,以图书借阅为例,体现安全中的对用户权限的控制。
假设有User1用户,我们添加权限,授予他可以看书的权限,再回收他看书的权限。
具体步骤:1.注册资源2.定义角色3.授予用户4.在系统中绑定2.操作步骤一、注册资源(BOOK)打开中间件平台首页/cmsWeb/index.jsp,如图1.1图1.1单击,链接到“资源列表”页面,找到BUSSENV(业务属性)这个资源(资源可任意单击“新建”按钮建立)单击,链接到“资源管理”页面单击,弹出资源“新建目录”对话框,新建PERMT--“权限测试”目录下,LIB—“书库目录下,BOOK这个资源(BUSSENV.BUSSENV.PERMT.LIB.BOOK)二、定义角色安全中,通过把权限赋予角色,再把角色赋予用户,来对用户权限进行管理。
三者的关系,我们需将用户,角色,权限先创建好,在进行授予。
1.创建用户步骤如下:打开中间件平台,选择「4A安全」,如图2.1图2.1单击,链接到“用户管理”的主界面。
如图2.2图2.2单击界面左下方按钮,链接到用户创建页面用户创建页面填写详细如下:1.姓名:要添加用户的姓名,可以填写为中文。
2.姓名拼音:不能填写中文,姓名拼音将作为用户的登陆帐号名。
3.组织机构:设置用户的组织机构,即设置用户的部门信息。
单击组织机构选择按钮,选择用户所在的部门,如图选择一个部门,注意:单击部门文件夹图表或部门名字表示选中该部门,单击左边的加号表示进入查看该部门的子部门,如图4.组别:系统默认开发组和项目组,是一个共享的资源,不是存在于某个部门下。
4A平台常见问题及解决办法V2.0 4A功能简述:4A系统的主要功能是完成登录BOSS系统的功能,登录4A系统时一定要确保通过BOSS网络拨小钥匙后进行登录,登录进去后页面将跳转至http://10.204.37.149:11000/页面后将完成4A系统的功能。
登录IP:10.204.33.153 (以下问题的解决办法只适用于登录4A系统访问BOSS系统)支撑网门户帐号锁定(1)报错场景,当员工登陆支撑网门户(http://10.204.33.153/SX4AEAI/login.jsp)的时候,提示错误,如图6-1;图6-1(1)解决方案1.管理员进入集中帐号管理平台的用户管理界面,如图6-2;图6-22.点击需要解除锁定的用户的登录名(图6-2),进入到帐号管理界面,会看到服务app_jf_支撑网门户状态为锁定状态,如图6-3;图6-33.选择服务,点击恢复帐号,弹出初始化密码框,如图6-4;图6-44.输入初始化密码,点击继续,完成解锁过程。
员工可以利用初始化的密码登陆支撑网门户。
1 访问支撑网门户报错(1)报错场景,员工访问支撑网门户http://10.204.33.153/SX4AEAI/login.jsp时,输入4A帐号和密码,点击确认不弹出短信验证码窗口,页面报错;(2)问题原因,浏览器没有装JDK;(3)解决方案,需要安装java虚拟机,如果浏览器没有弹出自动下载的提示,请手动下载下载地址:http://10.204.33.153/SX4AEAI/nresources/jre-6u15-windows-i586-s.exe2 员工绑定工号提示错误(1)报错场景,员工在绑定工号时,提示员工工号与人员信息不对应;(2)问题原因,BOSS工号中对应人员属性和人员中属性对应不上;(3)解决方案,管理员进入集中账号管理平台,给员工分配BOSS工号,具体分配操作查看《BOSS管理员统一安全管理平台使用手册3.0》3.33 点击营业视图报500错误第一步:第二步:第三步:删除Java(TM)6 Update 15第四步:关闭所有浏览器后访问地址http://10.204.33.153/SX4AEAI/nresources//jre-6u15-windows-i586-s.exe,下载java虚拟机后安装。
4a统一安全管理平台解决方案篇一:移动应用系统安全管理平台解决方案概述1移动应用系统安全管理平台方案概述系统建设背景近日,。
无线城市规划的出台促进了。
无线应用系统快速发展。
因此,作为各种无线应用系统的核心基础—安全管理问题,也变得越来越重要,对无线应用系统安全管理方面的建设具有时间紧迫性。
XX年,Comodo, Gucci 和花期银行等国际公司的无线应用都相继发生了一系列安全事故。
这些安全事故都造成了巨大的经济损失。
我市各单位的无线应用系统(特别是政务系统和办公系统)中的数据往往都是需要保密的,一旦泄露后果不堪设想。
此外,各单位应用系统的离散独立建设和管理,会带来巨大的建设、管理成本,造成资源浪费。
例如,某单位如果不使用独立物理专线,无线应用的性能可能会难以接受;但是,如果建设将为这个单位带来巨额的专线使用费用,且容易出现专线资源的浪费。
综合政府无线城市规划的要求和各单位实际建设无线应用系统遇到的问题,本项目将重点解决我市各种无线应用系统的统一安全管理和网络资源统筹优化问题,其重点目标是在不改变各单位已有无线应用系统结构和物理联网的基础上,建立基于SSL VPN的移动应用安全管理平台,在逻辑和应用层面上将各单位移动应用系统纳入一个安全的使用范围,在移动应用系统各层面和关键节点上提供完善的防护和管理机制,最大限度的保障用户数据安全;同时,提供一个统一的VPN MSC客户端来实现用户的单点登陆管理,简化用户的操作步骤,以及降低各单位离散管理带来的安全隐患。
项目建设基础分析随着智能手机、平板电脑等移动设备的出现,移动互联网这一新兴事物蓬勃发展,移动平台正式进入大众市场。
当然,在这一发展过程中,也会遭遇一些成长的难题,比如安全问题和营收模式等。
不过无论如何,移动互联网时代正在来临。
根据XX年知名风投公司KPCB(Kleiner Perkins Caufield & Byers)发布的《移动互联网趋势报告》显示:全球ipad/iphone/ipod累计销售量达到7500万台,而Android系统移动平台更是达到2亿台;智能手机和平板电脑的销售量已经超过了笔记本和台式机的销量。
符合萨班斯(SOX)法案的4A(账号、认证、授权、审计)统一安全管理平台解决方案在萨班斯(SOX)法案要求上市公司实现企业内控的国际形势下,启明星辰公司推出了针对国内电信运营商市场定制的4A解决方案,该方案结合了启明星辰天玥业务审计产品的优势,引入了SafeWord产品系列中的3A组件。
4A包括统一用户账号(Account)管理、统一认证(Authentication)管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。
融合后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。
而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统内的操作行为。
现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求,及与国际业务接轨的需求。
问题主要表现在以下几方面:1. 大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加;2. 一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;3. 各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;4. 个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;5. 随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的威胁;6. 对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。
4a统一安全管理平台解决方案篇一:移动应用系统安全管理平台解决方案概述1移动应用系统安全管理平台方案概述系统建设背景近日,。
无线城市规划的出台促进了。
无线应用系统快速发展。
因此,作为各种无线应用系统的核心基础—安全管理问题,也变得越来越重要,对无线应用系统安全管理方面的建设具有时间紧迫性。
XX年,Comodo, Gucci 和花期银行等国际公司的无线应用都相继发生了一系列安全事故。
这些安全事故都造成了巨大的经济损失。
我市各单位的无线应用系统(特别是政务系统和办公系统)中的数据往往都是需要保密的,一旦泄露后果不堪设想。
此外,各单位应用系统的离散独立建设和管理,会带来巨大的建设、管理成本,造成资源浪费。
例如,某单位如果不使用独立物理专线,无线应用的性能可能会难以接受;但是,如果建设将为这个单位带来巨额的专线使用费用,且容易出现专线资源的浪费。
综合政府无线城市规划的要求和各单位实际建设无线应用系统遇到的问题,本项目将重点解决我市各种无线应用系统的统一安全管理和网络资源统筹优化问题,其重点目标是在不改变各单位已有无线应用系统结构和物理联网的基础上,建立基于SSL VPN的移动应用安全管理平台,在逻辑和应用层面上将各单位移动应用系统纳入一个安全的使用范围,在移动应用系统各层面和关键节点上提供完善的防护和管理机制,最大限度的保障用户数据安全;同时,提供一个统一的VPN MSC客户端来实现用户的单点登陆管理,简化用户的操作步骤,以及降低各单位离散管理带来的安全隐患。
项目建设基础分析随着智能手机、平板电脑等移动设备的出现,移动互联网这一新兴事物蓬勃发展,移动平台正式进入大众市场。
当然,在这一发展过程中,也会遭遇一些成长的难题,比如安全问题和营收模式等。
不过无论如何,移动互联网时代正在来临。
根据XX年知名风投公司KPCB(Kleiner Perkins Caufield & Byers)发布的《移动互联网趋势报告》显示:全球ipad/iphone/ipod累计销售量达到7500万台,而Android系统移动平台更是达到2亿台;智能手机和平板电脑的销售量已经超过了笔记本和台式机的销量。
在这个背景下,我国的移动互联网用户已经达到世界首位,移动互联网促使我国社交网络加速向移动网络发展,移动商务和移动广告突飞猛进,移动政务开始流行。
随着信息技术的不断发展,特别是改革开放以来,整个社会的信息化水平迅速提升,各级政府部门也在不断地加快推进办公自动化和电子政务领域的建设,整个国家以及各单位的政务处理实时性和简洁性都大大提高。
可是,传统的办公和政务系统只能守在电脑旁才能进行操作,而领导的日常工作需要经常外出(例如,下基层、外出开会与汇报工作、视察与验收建设项目等),因此,为了解决这个突出矛盾,突破我国政务处理的时间和空间局限性,基于移动互联网的移动办公和政务系统在我国开始普及。
在此背景下,本项目的建设基础主要是各单位的移动应用系统(包括移动办公和移动政务系统等)。
目前,我市移动应用系统包含的主要基础资源包括:(一)各单位数据中心政府数据中心机房提供电子政务和办公系统的网络接入,机房配置有OLTP和OLAP数据服务器、双路市电、UPS、柴油发电机、精密空调、消防、视频监控等多项保障措施。
目前,各单位数据中心机房已为移动电子政务和办公应用提供了良好的数据支持和管理机制。
(二)中间服务器中间件服务器是位于数据中心和应用软件客户端之间的通用服务,通过将复杂的移动通信协议和移动信息化应用处理技术封装起来,为企业、政府的移动信息化建设提供一套标准化、简单的开发环境和应用服务。
它主要用于实现与原有的PC 应用系统的无缝整合与快速部署,从而完成对原有应用系统的移动化。
目前,我市移动应用系统的中间件服务器主要是用于封装数据提取操作和信息处理操作,大体包括三种方式:? 基于HTTP/Socket/SOAP/RMI等网络协议的持久化框架如hibernate、myBatis等。
优点是可以快速生成SQL查询语句并得到查询结果。
缺点是对海量数据处理的性能不足。
? 网页提取与解析。
这种方式的优势是单位原有的Web 应用系统无需改造,就能转变为手机客户端可以识别的终端数据,从而完成业务系统的快速、安全地移动化。
缺陷是速度上会比用HTTP/Socket/SOAP/RMI的查询语句直接传输方式慢。
? WebService。
Web Service是一个应用组件,它逻辑性的为其他应用程序提供数据与服务.各应用程序通过网络协议和规定的一些标准数据格式(Http,XML,Soap)来访问Web Service,通过Web Service内部执行得到所需结果.Web Service可以执行从简单的请求到复杂商务处理的任何功能。
其优点是跨平台,支持复杂数据和业务的传递,且容易实现加密传输。
缺点是对服务器性能要求较高,消耗大。
(三)移动应用终端目前xx市移动应用系统的手机终端既包括C/S 模式也有B/S模式。
(四)其它可利用资源xx云计算中心:目前,xx云计算资源可以提供基于X86 64位主流处理器搭建的云计算服务平台,提供无限CPULicenses的MS SQL ServerXX企业版数据库环境,云计算资源可动态扩容。
CA认证中心:xx省数字证书认证管理中心是全省统一的数字证书认证服务机构,提供电子签名信任服务、可信网站服务、安全电子邮件服务、时间认证服务、电子签章系统服务、电子证据保全系统服务,可实现网上业务的身份验证,确保信息的保密性、完整性和网上行为的抗抵赖性。
综上所述,当前xx相关单位以各自职能和业务为核心建成了一批与电子政务和办公相关的移动应用系统,大多数部门实现了随时随地办公,摆脱了物理网络的限制,节省了办公费用,提高了工作效率。
但是,由于这些系统的离散性,导致它们普遍存在安全隐患,而且网络资源使用成本高,无法进行统筹优化。
基于这个原因,研究如何利用各部门已有的移动应用资源,建立移用应用系统安全管理平台,为各单位的移动应用系统提供统一的、透明的安全管理和网络性能优化服务具有十分重要的现实意义和时间的紧迫性。
总体架构设计根据系统建设的要求,本系统设计中将遵循以下原则:1.遵从性符合我省移动城市相关政策,为实现移动城市提供保障和支撑。
2.安全性全面、统一地对我市主要政府和企事业单位的移动应用系统进行安全防护和管理,抵御各种恶意入侵和非法信息窃取,规范用户的访问及使用,保证重要信息流通。
3.可用性避免重复建设和对原有系统改建造成的浪费。
保证原有系统加入安全管理平台后,各项功能的正常运行,并确保业务的快速恢复。
4.可管理性通过最小的管理负担,达到最大的管理效能。
确保提供完善的安全审计报告。
5.性能在不显著增加各单位无线应用系统投入正本和改变物理网络结构的前提下,优化网络资源,减少各无线应用系统的响应时间。
在以上四大原则的基础上,本系统总体架构需要满足在尽量不改变各部门原有移动应用系统和物理网络结构的基础上,利用VPN原理,在逻辑层面上对各部门应用系统进行安全防护和管理,主要包括:统一的VPN MSC(Mobile SmartClient)智能客户端、智能单点VPN入口管理、无线传输安全管理、接入安全管理、VPN内网联接及网间加速。
系统总体架构图如下:图一:系统总体架构图各功能模块介绍(一) VPN MSC智能客户终端本系统的VPN MSC 智能客户端是将VPN客户机原理和MSC技术相接结合。
MSC(Mobile Smart Client)跨平台移动智能客户端,包括一套开发语言和覆盖所有手机平台的客户端虚拟机,可以支持Windows phone、iOS、Android、Symbian (包括symbian S603、Symbian S605、Symbian3)、Linux、Blackberry、Ophone、Brew、Wap、xHtml等。
它采用一种介于C/S结构和B/S结构之间的网络结构模式,集C/S和B/S 的优势于一身,可屏蔽手机终端的差异性,具有多终端支持能力和业务的快速更新能力。
本系统VPN MSC智能客户终端的结构如下所示:图二: VPN MSC智能客户终端结构图用户访问控制层通过手机号、密码、手机设备串号多重绑定对用户身份进行判断,看是否有资格接入移动应用VPN。
业务层主要用于支撑用户对各自移动应用系统业务的使用,主要包括: ? 智能映射:当用户获准进入移动应用VPN,智能映射模块可以透明地帮助用户进入各自部门的移动应用系统。
例如,旅游局用户可以通过VPN MSC直接进入旅游局建立的移动应用系统。
? 统一界面展现机制:基于MSC特性,统一界面展现机制可以在统一风格的窗口中同时支持各部门原有系统的C/S和B/S用户端界面。
? 政务处理提醒:当用户出现紧急政务需要处理时,VPN MSC终端将提醒用户及时处理。
? 智能升级:当有新版本程序时,终端会自动接收服务器发来的推送(PUSH)并建议安装升级。
安全支撑层用于各部门移动应用系统在客户端的安全管理与控制,主要包括:SSL VPN 通信管理:SSL VPN通信管理是VPN MSC客户端的关键核心,由于iOS浏览器不支持第三方插件,特别是PKI插件,以及基于本安全管理系统的特殊客户群考虑,本项目必须专门开发集成SSL VPN的客户端,以支持跨平台的SSL VPN安全通信。
VPN(Virtual Private Network),即虚拟专用网,是指利用开放的公共网络资源建立私有传输通路,将远程的分支机构,商业伙伴,移动办公人员等连接起来,并且提供安全的端到端的数据通信的一种技术。
它有两层含义:第一,它是“虚拟的”,即用户实际上并不存在一个独立专用的网络,既不需要建设或租用专线,也不需要装备专用的设备,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM、Frame Relay等之上的逻辑网络,用户数据在逻辑链路中传输;第二,它是“专用的”,相对于“公用的”来说,它强调私有性和安全可靠性。
SSL 是一种在套接层上的安全协议,它支持数据全程加密传输,是远程用户访问敏感数据的最安全、最简单的解决途径,与IPSec相比,SSL VPN部署更加简单、方便。
本项目SSL VPN通信管理模块需要研究如何通过建立SSL的记录子协议、握手子协议和PKI体系,解决客户终端对以下功能的支持:? 身份认证:基于握手协议和PKI体系,实现VPN MSC 客户终端和VPN入口服务器之间的相互身份认证。
PKI体系中的CA可以利用xx省数字证书认证管理中心提供的发证和证书管理服务。
? 通信数据加密:实现VPN MSC客户端和VPN入口服务器之间的加密算法,密钥的协商与管理,和数据的加密传输。