【51CTO.com綜合報(bào)道】

◆安全挑戰(zhàn)

隨著近幾年來(lái)政府、金融、電信等行業(yè)信息化的逐步深入，業(yè)務(wù)的快速發(fā)展帶動(dòng)數(shù)據(jù)和應(yīng)用急劇增長(zhǎng)，尤其是在當(dāng)前數(shù)據(jù)大集中的背景下，總部及數(shù)據(jù)中心面臨眾多應(yīng)用系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)備等，造成應(yīng)用系統(tǒng)及其復(fù)雜，有基于C/S模式的，也有基于B/S模式的，各個(gè)應(yīng)用系統(tǒng)具有獨(dú)立的帳戶管理體系，系統(tǒng)認(rèn)證手段一般采用用戶名/口令作為系統(tǒng)訪問(wèn)的驗(yàn)證手段，業(yè)務(wù)人員在不同系統(tǒng)擁有不同的帳戶名/口令，因此在現(xiàn)實(shí)的安全管理中，面臨以下的一些安全管理問(wèn)題與風(fēng)險(xiǎn)：

■不同的信息系統(tǒng)采用獨(dú)立的方式管理用戶信息，形成了一個(gè)個(gè)信息孤島，同時(shí)產(chǎn)生了大量的冗余數(shù)據(jù)，并且給數(shù)據(jù)同步造成了極大的難度；

■多數(shù)業(yè)務(wù)系統(tǒng)采用用戶名/口令的弱認(rèn)證方式，系統(tǒng)安全性極低；對(duì)該方式的管理缺乏有效的技術(shù)手段進(jìn)行管控，如口令長(zhǎng)度控制、定期修改口令控制等等；

■員工、管理員等都需要訪問(wèn)多個(gè)業(yè)務(wù)系統(tǒng)，每個(gè)系統(tǒng)有自己獨(dú)立的權(quán)限管理方式，各種方式很難建立有效的對(duì)應(yīng)或映射。用戶經(jīng)常在各應(yīng)用之間切換，需要記憶大量的用戶名和口令，一方面為用戶造成了不便，另一方面也增加了由于人為的懈怠和疏忽而形成安全隱患的可能性；

■業(yè)務(wù)信息系統(tǒng)中涉及大量的敏感信息，內(nèi)部員工、管理人員、運(yùn)維人員、外包人員等都可能對(duì)關(guān)鍵應(yīng)用、數(shù)據(jù)庫(kù)等進(jìn)行訪問(wèn)、查詢等操作，如果缺乏相應(yīng)的審計(jì)監(jiān)控機(jī)制，一旦發(fā)生安全事件后很難進(jìn)行事后分析、取證與責(zé)任認(rèn)定；

■在應(yīng)用系統(tǒng)中，存在一機(jī)多人共用或一個(gè)賬號(hào)多人共用的現(xiàn)象，一旦發(fā)生安全事件后難于確定帳號(hào)的實(shí)際使用者，很難通過(guò)業(yè)務(wù)系統(tǒng)賬號(hào)追溯到本人，不便于實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制與審計(jì)。

◆ 解決方案

針對(duì)以上一些安全問(wèn)題，大多數(shù)用戶已初步建立了多種網(wǎng)絡(luò)安全防護(hù)措施，如部署防火墻進(jìn)行訪問(wèn)控制，部署入侵檢測(cè)設(shè)備防御來(lái)自內(nèi)外部的攻擊威脅，定期對(duì)弱口令等漏洞進(jìn)行掃描檢查，制定嚴(yán)格的帳號(hào)密碼管理制度等，但這些都不能從技術(shù)上解決以上安全問(wèn)題。為了加強(qiáng)對(duì)各應(yīng)用系統(tǒng)使用者身份的管理，加強(qiáng)系統(tǒng)管理員對(duì)應(yīng)用系統(tǒng)訪問(wèn)人員的審計(jì)和管控，實(shí)現(xiàn)對(duì)各應(yīng)用系統(tǒng)訪問(wèn)者的識(shí)別和行為的抗抵賴，需要采取更強(qiáng)的身份認(rèn)證措施，并在此基礎(chǔ)上采取更細(xì)粒度的身份授權(quán)、訪問(wèn)控制、以及事后審計(jì)跟蹤措施，從事前、事中、事后全方位構(gòu)建4A管理體系，其目標(biāo)是將業(yè)務(wù)支撐系統(tǒng)中的帳號(hào)（Account）管理、認(rèn)證（Authentication）管理、授權(quán)(Authorization)管理和安全審計(jì)(Audit) 整合成集中、統(tǒng)一的安全服務(wù)系統(tǒng)，簡(jiǎn)稱4A管理平臺(tái)或4A平臺(tái)。對(duì)內(nèi)部用戶的身份、訪問(wèn)行為等進(jìn)行一體化管理。4A平臺(tái)各功能組件（或各子系統(tǒng)）及業(yè)務(wù)訪問(wèn)關(guān)系如下圖所示：

圖表 13 天融信4A管理平臺(tái)功能架構(gòu)圖

4A平臺(tái)的搭建主要基于PKI/CA體系，涉及產(chǎn)品包括統(tǒng)一認(rèn)證網(wǎng)關(guān)、證書管理系統(tǒng)、賬號(hào)管理系統(tǒng)、授權(quán)管理系統(tǒng)、網(wǎng)絡(luò)審計(jì)設(shè)備、數(shù)據(jù)庫(kù)審計(jì)設(shè)備以及日志審計(jì)等產(chǎn)品，整體部署拓?fù)浣Y(jié)構(gòu)如下圖所示：

圖表 14 天融信4A整體解決方案部署示意圖

總部集中部署統(tǒng)一認(rèn)證網(wǎng)關(guān)、身份管理套件（包括RA、CA、賬號(hào)、授權(quán)等）、網(wǎng)絡(luò)審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)以及日志審計(jì)系統(tǒng)等；分支機(jī)構(gòu)部署統(tǒng)一認(rèn)證網(wǎng)關(guān)、RA系統(tǒng)、網(wǎng)絡(luò)審計(jì)系統(tǒng)等。統(tǒng)一認(rèn)證網(wǎng)關(guān)為用戶訪問(wèn)業(yè)務(wù)應(yīng)用系統(tǒng)的集中入口，認(rèn)證通過(guò)后用戶可以訪問(wèn)被授權(quán)的相關(guān)業(yè)務(wù)應(yīng)用，對(duì)業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等相關(guān)資源的訪問(wèn)操作行為都將被審計(jì)并形成記錄，以供事后事件分析、取證與責(zé)任認(rèn)定。

統(tǒng)一認(rèn)證網(wǎng)關(guān)采用天融信公司基于TOPVPN6000系列自主開發(fā)的安全網(wǎng)關(guān)，集成集中認(rèn)證、單點(diǎn)登錄和傳輸加密等功能；網(wǎng)絡(luò)審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、日志審計(jì)系統(tǒng)采用天融信公司自主開發(fā)的TA-NET系列網(wǎng)絡(luò)審計(jì)設(shè)備、TA-DB系列數(shù)據(jù)庫(kù)審計(jì)設(shè)備、TA-L日志審計(jì)系統(tǒng)，對(duì)用戶的的訪問(wèn)操作行為進(jìn)行事后綜合審計(jì)跟蹤；證書的頒發(fā)、管理、授權(quán)等身份管理采用天融信公司TopPolicy系統(tǒng)，可以為應(yīng)用系統(tǒng)用戶、管理員、VRC生成、更新、發(fā)放證書，同時(shí)提供證書驗(yàn)證與CRL文件管理等功能。對(duì)于已經(jīng)建有CA系統(tǒng)的用戶，TopPolicy完全支持第三方的PKI系統(tǒng)。

通過(guò)以上方案的實(shí)施，加強(qiáng)針對(duì)應(yīng)用層面的安全管控措施，提高身份認(rèn)證強(qiáng)度、系統(tǒng)的訪問(wèn)控制強(qiáng)度，保障訪問(wèn)行為的真實(shí)性、合法性和抗抵賴性。整體實(shí)現(xiàn)功能以及達(dá)到的效果如下所述：

■以強(qiáng)身份認(rèn)證為基礎(chǔ)的統(tǒng)一身份管理。各個(gè)應(yīng)用系統(tǒng)采用基于Ｘ.５０９數(shù)字證書的強(qiáng)身份認(rèn)證方式，有效提升了認(rèn)證強(qiáng)度，構(gòu)建針對(duì)應(yīng)用層面的信息安全基礎(chǔ)保障措施，創(chuàng)建統(tǒng)一的賬戶管理機(jī)制和平臺(tái)，面向不同的應(yīng)用系統(tǒng)和用戶提供統(tǒng)一的、一致的身份管理服務(wù)和身份認(rèn)證服務(wù)；

■單點(diǎn)登錄。實(shí)現(xiàn)信息系統(tǒng)帳戶與自然人的唯一綁定，每一個(gè)用戶在所有系統(tǒng)中以統(tǒng)一的身份進(jìn)行各種業(yè)務(wù)操作，無(wú)須記憶大量的帳戶名和口令，使管理維護(hù)便捷的同時(shí)，也為行為審計(jì)提供了有效、可靠的手段；

■實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的安全傳輸功能。通過(guò)采用SSL數(shù)據(jù)加密技術(shù)避免數(shù)據(jù)傳輸過(guò)程中被竊取、盜用或篡改；

■全方位行為審計(jì)。建立起集中的行為監(jiān)控機(jī)制，及時(shí)跟蹤、審計(jì)使用者對(duì)資源的訪問(wèn)、使用情況，并對(duì)非授權(quán)訪問(wèn)或數(shù)據(jù)篡改等行為進(jìn)行跟蹤、審計(jì)監(jiān)控與事后回放取證。

通過(guò)事前用戶身份標(biāo)識(shí)、授權(quán)，事中集中訪問(wèn)控制，事后全方位審計(jì)監(jiān)控，形成有效的合規(guī)業(yè)務(wù)過(guò)程，滿足內(nèi)部安全管理要求與外部合規(guī)要求。

◆方案優(yōu)勢(shì)

■單點(diǎn)登錄

◇方案具有獨(dú)立的賬號(hào)管理、授權(quán)管理、認(rèn)證管理、審計(jì)管理功能，滿足業(yè)務(wù)合規(guī)過(guò)程對(duì)4A的要求，并在此基礎(chǔ)上，通過(guò)認(rèn)證管理、賬號(hào)管理和授權(quán)管理的高度集成，進(jìn)一步實(shí)現(xiàn)統(tǒng)一的單點(diǎn)登錄功能。

◇在提高安全認(rèn)證強(qiáng)度、細(xì)粒度角色授權(quán)的基礎(chǔ)上，實(shí)現(xiàn)了集中統(tǒng)一認(rèn)證與訪問(wèn)控制，從而減少了信息孤島及用戶賬戶信息冗余、簡(jiǎn)化了應(yīng)用系統(tǒng)認(rèn)證過(guò)程、減少重復(fù)認(rèn)證、提高了應(yīng)用系統(tǒng)訪問(wèn)效率及安全性。

■高安全性和可靠性

◇服務(wù)器組件之間交換的數(shù)據(jù)均使用安全套接層加密技術(shù)SSL加密；單點(diǎn)登錄使用PKI密鑰加密來(lái)加強(qiáng)Web服務(wù)器和應(yīng)用服務(wù)器之間傳送的數(shù)據(jù)的安全性：密碼使用MD5散列算法口令轉(zhuǎn)換成不可恢復(fù)形式然后存儲(chǔ)。

◇此外，系統(tǒng)提供硬件和軟件的容錯(cuò)、數(shù)據(jù)存儲(chǔ)的備份等系統(tǒng)可靠性措施；部分重要模塊具有自檢功能，能監(jiān)視各功能模塊的運(yùn)行情況，隨時(shí)發(fā)現(xiàn)系統(tǒng)自身的問(wèn)題本系統(tǒng)還提供熱備份和負(fù)載平衡特性，可以滿足大型分布式網(wǎng)絡(luò)的需求，擴(kuò)展服務(wù)器帶寬和增加吞吐量，加強(qiáng)數(shù)據(jù)處理能力。

■高可擴(kuò)展性、并支持第三方PKI/CA系統(tǒng)

本方案能夠隨著應(yīng)用的逐步完善和入網(wǎng)用戶的逐漸增加不斷地進(jìn)行擴(kuò)展，整個(gè)系統(tǒng)可以平滑地過(guò)渡到升級(jí)后的新系統(tǒng)中。

◇系統(tǒng)能夠提供快捷的開發(fā)平臺(tái)，方便用戶針對(duì)一些特有系統(tǒng)的二次開發(fā)，使這些系統(tǒng)能夠迅速納入3A/4A平臺(tái)的統(tǒng)一管理。

◇硬件系統(tǒng)采用模塊化結(jié)構(gòu)，以保證系統(tǒng)內(nèi)存、CPU及儲(chǔ)存容量的擴(kuò)展；

◇在軟件系統(tǒng)的開發(fā)中，考慮各個(gè)功能模塊可重復(fù)利用，降低系統(tǒng)擴(kuò)展的復(fù)雜性。

◇完全支持第三方PKI/CA系統(tǒng)，能夠同客戶已有的CA系統(tǒng)進(jìn)行應(yīng)用集成。

◆應(yīng)用領(lǐng)域

■金融行業(yè)應(yīng)用

中國(guó)人民財(cái)產(chǎn)保險(xiǎn)股份公司（PICC）為國(guó)內(nèi)規(guī)模較大的綜合型保險(xiǎn)公司，總體上已較早的實(shí)現(xiàn)了數(shù)據(jù)大集中，總部及數(shù)據(jù)中心需要管理和維護(hù)眾多的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)備等。PICC在進(jìn)行信息化建設(shè)的工程中，同樣面臨著以上一些安全挑戰(zhàn)。基于這些需求，PICC于2009年啟動(dòng)了第一期身份管理平臺(tái)建設(shè)項(xiàng)目，天融信公司協(xié)助PICC規(guī)劃、建設(shè)基于PKI/CA的3A/4A平臺(tái)，目前已完成一期3A系統(tǒng)的建設(shè)，在公司總部及下轄36個(gè)分公司統(tǒng)一規(guī)劃并部署基于PKI/CA技術(shù)的數(shù)字身份認(rèn)證系統(tǒng)、統(tǒng)一認(rèn)證網(wǎng)關(guān)等安全系統(tǒng)，實(shí)現(xiàn)本地辦公用戶、移動(dòng)用戶和保險(xiǎn)代理機(jī)構(gòu)的統(tǒng)一接入認(rèn)證、單點(diǎn)登錄、訪問(wèn)控制等。后期將在此基礎(chǔ)上進(jìn)一步集成1A（審計(jì)）功能，最終實(shí)現(xiàn)4A平臺(tái)的搭建。

■電信行業(yè)應(yīng)用：

移動(dòng)、聯(lián)通、電信等運(yùn)營(yíng)商內(nèi)部有BSS、OSS、MSS等多類業(yè)務(wù)運(yùn)營(yíng)及管理支持系統(tǒng)，包括綜合賬務(wù)系統(tǒng)、計(jì)費(fèi)系統(tǒng)、綜合結(jié)算系統(tǒng)、經(jīng)營(yíng)分析（BI）系統(tǒng)、CRM/客戶服務(wù)系統(tǒng)、業(yè)務(wù)管理系統(tǒng)、網(wǎng)管系統(tǒng)、以及眾多的增值業(yè)務(wù)應(yīng)用系統(tǒng)等，各個(gè)系統(tǒng)有自己獨(dú)立的權(quán)限管理方式，部分重要系統(tǒng)采用數(shù)字證書認(rèn)證的方式，更多的應(yīng)用系統(tǒng)采用用戶名/口令的弱認(rèn)證方式，且各種方式很難建立有效的對(duì)應(yīng)或映射，安全管理中同樣面臨以上一些安全挑戰(zhàn)。本方案能較好的幫助電信行業(yè)用戶建立起良好的內(nèi)部控制技術(shù)手段，降低內(nèi)部越權(quán)違規(guī)操作風(fēng)險(xiǎn)，滿足行業(yè)合規(guī)風(fēng)險(xiǎn)管理要求。

■其它行業(yè)應(yīng)用：

該方案還廣泛應(yīng)用于政府、軍隊(duì)、能源、教育、醫(yī)療、大型企業(yè)等行業(yè)用戶，對(duì)數(shù)據(jù)中心、后臺(tái)核心服務(wù)區(qū)域關(guān)鍵業(yè)務(wù)系統(tǒng)的訪問(wèn)與操作行為進(jìn)行集中賬號(hào)管理、認(rèn)證管理、授權(quán)管理與事后審計(jì)，建立起事前、事中、事后的合規(guī)業(yè)務(wù)過(guò)程技術(shù)體系，保護(hù)敏感信息避免被非授權(quán)訪問(wèn)或被篡改，對(duì)違規(guī)業(yè)務(wù)進(jìn)行審計(jì)跟蹤與回放取證，并滿足行業(yè)監(jiān)管部門的監(jiān)管要求。