【51CTO.com綜合報道】

◆安全挑戰

隨著近幾年來政府、金融、電信等行業信息化的逐步深入，業務的快速發展帶動數據和應用急劇增長，尤其是在當前數據大集中的背景下，總部及數據中心面臨眾多應用系統、網絡基礎設備等，造成應用系統及其復雜，有基于C/S模式的，也有基于B/S模式的，各個應用系統具有獨立的帳戶管理體系，系統認證手段一般采用用戶名/口令作為系統訪問的驗證手段，業務人員在不同系統擁有不同的帳戶名/口令，因此在現實的安全管理中，面臨以下的一些安全管理問題與風險：

■不同的信息系統采用獨立的方式管理用戶信息，形成了一個個信息孤島，同時產生了大量的冗余數據，并且給數據同步造成了極大的難度；

■多數業務系統采用用戶名/口令的弱認證方式，系統安全性極低；對該方式的管理缺乏有效的技術手段進行管控，如口令長度控制、定期修改口令控制等等；

■員工、管理員等都需要訪問多個業務系統，每個系統有自己獨立的權限管理方式，各種方式很難建立有效的對應或映射。用戶經常在各應用之間切換，需要記憶大量的用戶名和口令，一方面為用戶造成了不便，另一方面也增加了由于人為的懈怠和疏忽而形成安全隱患的可能性；

■業務信息系統中涉及大量的敏感信息，內部員工、管理人員、運維人員、外包人員等都可能對關鍵應用、數據庫等進行訪問、查詢等操作，如果缺乏相應的審計監控機制，一旦發生安全事件后很難進行事后分析、取證與責任認定；

■在應用系統中，存在一機多人共用或一個賬號多人共用的現象，一旦發生安全事件后難于確定帳號的實際使用者，很難通過業務系統賬號追溯到本人，不便于實現細粒度的訪問控制與審計。

◆ 解決方案

針對以上一些安全問題，大多數用戶已初步建立了多種網絡安全防護措施，如部署防火墻進行訪問控制，部署入侵檢測設備防御來自內外部的攻擊威脅，定期對弱口令等漏洞進行掃描檢查，制定嚴格的帳號密碼管理制度等，但這些都不能從技術上解決以上安全問題。為了加強對各應用系統使用者身份的管理，加強系統管理員對應用系統訪問人員的審計和管控，實現對各應用系統訪問者的識別和行為的抗抵賴，需要采取更強的身份認證措施，并在此基礎上采取更細粒度的身份授權、訪問控制、以及事后審計跟蹤措施，從事前、事中、事后全方位構建4A管理體系，其目標是將業務支撐系統中的帳號（Account）管理、認證（Authentication）管理、授權(Authorization)管理和安全審計(Audit) 整合成集中、統一的安全服務系統，簡稱4A管理平臺或4A平臺。對內部用戶的身份、訪問行為等進行一體化管理。4A平臺各功能組件（或各子系統）及業務訪問關系如下圖所示：

圖表 13 天融信4A管理平臺功能架構圖

4A平臺的搭建主要基于PKI/CA體系，涉及產品包括統一認證網關、證書管理系統、賬號管理系統、授權管理系統、網絡審計設備、數據庫審計設備以及日志審計等產品，整體部署拓撲結構如下圖所示：

圖表 14 天融信4A整體解決方案部署示意圖

總部集中部署統一認證網關、身份管理套件（包括RA、CA、賬號、授權等）、網絡審計系統、數據庫審計系統以及日志審計系統等；分支機構部署統一認證網關、RA系統、網絡審計系統等。統一認證網關為用戶訪問業務應用系統的集中入口，認證通過后用戶可以訪問被授權的相關業務應用，對業務系統、數據庫、網絡設備等相關資源的訪問操作行為都將被審計并形成記錄，以供事后事件分析、取證與責任認定。

統一認證網關采用天融信公司基于TOPVPN6000系列自主開發的安全網關，集成集中認證、單點登錄和傳輸加密等功能；網絡審計系統、數據庫審計系統、日志審計系統采用天融信公司自主開發的TA-NET系列網絡審計設備、TA-DB系列數據庫審計設備、TA-L日志審計系統，對用戶的的訪問操作行為進行事后綜合審計跟蹤；證書的頒發、管理、授權等身份管理采用天融信公司TopPolicy系統，可以為應用系統用戶、管理員、VRC生成、更新、發放證書，同時提供證書驗證與CRL文件管理等功能。對于已經建有CA系統的用戶，TopPolicy完全支持第三方的PKI系統。

通過以上方案的實施，加強針對應用層面的安全管控措施，提高身份認證強度、系統的訪問控制強度，保障訪問行為的真實性、合法性和抗抵賴性。整體實現功能以及達到的效果如下所述：

■以強身份認證為基礎的統一身份管理。各個應用系統采用基于Ｘ.５０９數字證書的強身份認證方式，有效提升了認證強度，構建針對應用層面的信息安全基礎保障措施，創建統一的賬戶管理機制和平臺，面向不同的應用系統和用戶提供統一的、一致的身份管理服務和身份認證服務；

■單點登錄。實現信息系統帳戶與自然人的唯一綁定，每一個用戶在所有系統中以統一的身份進行各種業務操作，無須記憶大量的帳戶名和口令，使管理維護便捷的同時，也為行為審計提供了有效、可靠的手段；

■實現業務數據的安全傳輸功能。通過采用SSL數據加密技術避免數據傳輸過程中被竊取、盜用或篡改；

■全方位行為審計。建立起集中的行為監控機制，及時跟蹤、審計使用者對資源的訪問、使用情況，并對非授權訪問或數據篡改等行為進行跟蹤、審計監控與事后回放取證。

通過事前用戶身份標識、授權，事中集中訪問控制，事后全方位審計監控，形成有效的合規業務過程，滿足內部安全管理要求與外部合規要求。

◆方案優勢

■單點登錄

◇方案具有獨立的賬號管理、授權管理、認證管理、審計管理功能，滿足業務合規過程對4A的要求，并在此基礎上，通過認證管理、賬號管理和授權管理的高度集成，進一步實現統一的單點登錄功能。

◇在提高安全認證強度、細粒度角色授權的基礎上，實現了集中統一認證與訪問控制，從而減少了信息孤島及用戶賬戶信息冗余、簡化了應用系統認證過程、減少重復認證、提高了應用系統訪問效率及安全性。

■高安全性和可靠性

◇服務器組件之間交換的數據均使用安全套接層加密技術SSL加密；單點登錄使用PKI密鑰加密來加強Web服務器和應用服務器之間傳送的數據的安全性：密碼使用MD5散列算法口令轉換成不可恢復形式然后存儲。

◇此外，系統提供硬件和軟件的容錯、數據存儲的備份等系統可靠性措施；部分重要模塊具有自檢功能，能監視各功能模塊的運行情況，隨時發現系統自身的問題本系統還提供熱備份和負載平衡特性，可以滿足大型分布式網絡的需求，擴展服務器帶寬和增加吞吐量，加強數據處理能力。

■高可擴展性、并支持第三方PKI/CA系統

本方案能夠隨著應用的逐步完善和入網用戶的逐漸增加不斷地進行擴展，整個系統可以平滑地過渡到升級后的新系統中。

◇系統能夠提供快捷的開發平臺，方便用戶針對一些特有系統的二次開發，使這些系統能夠迅速納入3A/4A平臺的統一管理。

◇硬件系統采用模塊化結構，以保證系統內存、CPU及儲存容量的擴展；

◇在軟件系統的開發中，考慮各個功能模塊可重復利用，降低系統擴展的復雜性。

◇完全支持第三方PKI/CA系統，能夠同客戶已有的CA系統進行應用集成。

◆應用領域

■金融行業應用

中國人民財產保險股份公司（PICC）為國內規模較大的綜合型保險公司，總體上已較早的實現了數據大集中，總部及數據中心需要管理和維護眾多的應用系統、網絡基礎設備等。PICC在進行信息化建設的工程中，同樣面臨著以上一些安全挑戰?；谶@些需求，PICC于2009年啟動了第一期身份管理平臺建設項目，天融信公司協助PICC規劃、建設基于PKI/CA的3A/4A平臺，目前已完成一期3A系統的建設，在公司總部及下轄36個分公司統一規劃并部署基于PKI/CA技術的數字身份認證系統、統一認證網關等安全系統，實現本地辦公用戶、移動用戶和保險代理機構的統一接入認證、單點登錄、訪問控制等。后期將在此基礎上進一步集成1A（審計）功能，最終實現4A平臺的搭建。

■電信行業應用：

移動、聯通、電信等運營商內部有BSS、OSS、MSS等多類業務運營及管理支持系統，包括綜合賬務系統、計費系統、綜合結算系統、經營分析（BI）系統、CRM/客戶服務系統、業務管理系統、網管系統、以及眾多的增值業務應用系統等，各個系統有自己獨立的權限管理方式，部分重要系統采用數字證書認證的方式，更多的應用系統采用用戶名/口令的弱認證方式，且各種方式很難建立有效的對應或映射，安全管理中同樣面臨以上一些安全挑戰。本方案能較好的幫助電信行業用戶建立起良好的內部控制技術手段，降低內部越權違規操作風險，滿足行業合規風險管理要求。

■其它行業應用：

該方案還廣泛應用于政府、軍隊、能源、教育、醫療、大型企業等行業用戶，對數據中心、后臺核心服務區域關鍵業務系統的訪問與操作行為進行集中賬號管理、認證管理、授權管理與事后審計，建立起事前、事中、事后的合規業務過程技術體系，保護敏感信息避免被非授權訪問或被篡改，對違規業務進行審計跟蹤與回放取證，并滿足行業監管部門的監管要求。