4A平台技术讲座中国移动.ppt

《4A平台技术讲座中国移动.ppt》由会员分享，可在线阅读，更多相关《4A平台技术讲座中国移动.ppt（29页珍藏版）》请在三一办公上搜索。

1、中国移动通信有限公司,4A平台技术讲座,2,目录,为什么要做4A平台4A平台的概念和作用4A平台的技术4A平台的体系架构与实现总结,3,为什么要做4A平台,安全的服务对象我们的安全服务对象一般包含数据网络和IT支撑系统两个大类。为了突出重点，我们以IT支撑系统为例来阐述。简而言之，IT支撑系统就是以计算机和网络技术为基础的，负责高效采集、分析、管理、传送所有企业信息的系统工具，是支撑企业运营的IT系统的总和。常见的IT支撑系统包括企业信息化、办公自动化、计费结算、网管监控等系统。随着经济和社会信息化的迅猛发展，企业内部核心资料和应用可以通过计算机和网络进行访问、读取、修改，在高效便捷的同时，I

2、T支撑系统也面临着的病毒泛滥、探测攻击、信息泄漏等诸多安全威胁，尤其是在与互联网连接以后，这种情况往往会进一步加剧。,4,为什么要做4A平台,IT支撑系统的安全体系概述从一般意义上讲，IT支撑系统的安全体系是保证IT支撑系统的硬件、软件及其管理的数据，不受偶然、无意或者恶意的原因而遭到破坏、更改、泄露，是保证其连续可靠运行的技术手段和管理手段。从组成上看，IT支撑系统的安全体系由两个部分组成，一是以安全策略和安全设备为中心的安全技术体系；二是以组织机构和规章制度为中心的安全管理体系。只有这两个部分统一协调地工作，才能够保证IT支撑系统可靠稳定运行。IT支撑系统及其安全体系的设备组成大量服务器、

3、大量终端、大量网络设备、海量应用、数据库防火墙防病毒入侵监测漏洞扫描本课件主要对安全技术体系中的4A平台系统进行简要介绍。,5,为什么要做4A平台,部分账号多人共用，难于确定账号的实际使用者，账号的扩散范围难于控制,大量设备、应用系统都有一套独立的认证系统、同时对多个系统进行维护时，工作复杂度高,审计相互独立的，各个系统单独审计，缺乏集中统一的系统访问审计。无法对支撑系统进行综合分析，不能及时发现入侵行为,随着支撑系统的迅速发展，各种支撑设备、应用和用户数量的不断增加，网络规模迅速扩大，信息安全问题愈见突出,缺乏集中统一的资源授权管理平台，随着用户数量的增加，权限管理任务越来越重，系统的安全性

4、无法得到充分保证,如何解决？,6,4A平台的概念和作用,伴随着SOX方案的推动，4A平台的作用逐步凸现出来。,7,4A平台的概念和作用,4A平台的概念（国内）帐号（Account）管理请出示你的证件认证（Authentication）管理对你的身份进行确认，并决定你的权限授权(Authorization)管理把资源与你的权限对应起来审计(Audit)你做了什么我都知道4A平台的概念（国外）国外一般没有帐号（Account）这个A，而是管理（Administration），突出强调账号管理、权限管理、资源管理是在统一范围集中解决。无论是国内还是国外，一般业内都逐步认同两点：一是4A平台就像我们广

5、泛使用的防火墙一样，是网络和应用安全的基础设施；二是4A平台是一个集中、统一为数据网络和支撑系统服务的公共设施。,8,4A平台的概念和作用,4A平台的管理范围系统资源：支撑系统的所有设备，包括主机操作系统、数据库系统、网络设备、安全设备（防火墙）等应用资源：支撑系统的所有上层应用系统,9,4A平台的概念和作用,集中账号管理集中账号管理是4A平台解决的第一个问题帐号管理用于在IT支撑系统环境中，集中维护包括自然人（主帐号）和资源（从帐号）在内的全部帐号，以及和帐号相关的、可在4A平台帐号管理模块中集中管理的帐号属性。集中账号管理首先需要做的事情是将现有设备、应用的账号收集起来，集中管理，并将这些

6、信息与自然人对应起来。同时保证账号管理具有一致性、准确性、实效性和安全性。有了账号管理，企业员工和外围人员就有了唯一的账号，这种唯一性保证了认证、授权、审计的可行性。,10,4A平台的概念和作用,集中认证管理认证是确认访问系统的用户身份的手段，是进入安全系统的第一道关卡。认证的方式或者手段：需要用户提供相应的凭据所知：口令所有：智能卡、动态口令发生器、数字证书、生物特征当前各系统都有自己的认证功能，方式不是太少而是太多、太杂。因此SSO（一次登录）就成为认证需要重点解决的问题。,11,4A平台的概念和作用,集中授权对用户访问的各种系统的各种资源进行权限分配和访问控制，即集中实现拥有某种权限的用

7、户，能够以什么方式，访问或者使用哪些资源。授权公式F（O,T,P）：O是访问或者使用的对象，T是访问类型，取决于访问者的权限；P是条件表达式授权的粒度实体级（设备、应用的主体资源），实际上就是能够做到权限与资源的IP地址网络端口对应应用级（实体内部细粒度的资源），实际上就是对实体内部各种资源的使用，例如可以控制到HTML页面，表记录等授权方式访问控制列表（ACL）基于角色的访问控制（RBAC）其他,12,4A平台的概念和作用,集中审计对4A平台系统的账号管理、权限分配、登录过程、资源访问等等一些环节进行记录和检查，从而发现其中存在的问题。审计按照阶段划分可以分为事前和事后事前审计：重点检查对4

8、A平台的设置，如账号逾期没有收回、授权过渡或者不足等事后审计：重点检查是否存在利用假冒账号尝试登录，试图使用合法账号访问未经授权的资源集中审计要从账号管理、认证管理、授权管理系统收集相应的日志文件，然后再进行分析、比对，最终生成可识别、可判断的报表。从理论而言，审计是一个相对独立的部分，即使没有集中的账号、认证、授权管理，审计也可以实现。,13,统一授权统一集中的访问控制功能,统一认证对所有访问系统的用户统一认证,统一审计对日志进行综合分析，及时发现异常,帐号管理对应用和系统内的帐号统一管理,单点登录 一次登录 全网通行,系统资源应用资源,4A平台的概念和作用,14,4A平台的技术,4A平台的

9、技术涉及非常广泛，标准也多种多样，因此4A技术应该抓住关键问题进行分析判断，并提出相应的解决办法。4A平台的关键问题：如何在统一框架下提供各种认证方式，并且这种方式能够与授权有机地结合起来。,15,4A平台的技术,当前国际主流标准SAML（Security Assertion Markup Language，安全断点标记语言），是一种基于XML的安全标准，主要用于在Internet不同的安全域中交换身份验证和授权凭证。SAML可以融合现有的各种认证技术，如口令密码、X.509等。支持SAML的产品包括IBM Tivoli Access ManagerSUN Identity ServerCA

10、eTrust identityXACML(Extensible Access Control Markup Language，可扩展访问控制标记语言)，同样是一种基于XML的安全标注，是一种标识访问控制策略的语言。其他技术或者标准,16,4A平台的体系架构与实现,4A平台的体系框架,17,4A平台的体系架构与实现,4A平台体系概述展示层：通过Portal为管理人员和普通用户提供服务，Portal作为平台使用的统一入口。应用层：由身份管理、认证管理、授权权利、审计管理构成，负责用户主从帐号管理、认证管理和调度、权限分配和控制、审计信息搜集和管理。接口层：实现对资源层信息收集和权限管理，以及与第三

11、方组件的信息交互。资源层：系统资源和应用资源外部组件认证组件：PKI/CA数字证书；短信随机码审计组件：独立的第三方产品,18,4A平台的体系架构与实现,账号、权限、授权、审计的现状,现状1：分散的、大量的、多样的应用和不同的系统管理员,现状2：分散的系统授权机制和授权管理,现状3：自然人身份和应用系统帐号重叠,现状4：多系统的访问频繁切换都基于分散的帐号管理实现,问题5：分散的审计，缺乏关联分析和责任定位,19,4A平台的体系架构与实现,4A平台建设的难点现状梳理系统改造项目协调,20,4A平台的体系架构与实现,4A平台的发展阶段4A平台系统涉及到大量的系统设备（主机、数据库、网络设备）和应

12、用系统，其发展和实现过程中必然有相应的改造工作，因此4A平台系统的建设应该遵循统筹规划、分步实现的原则。第一阶段：现状梳理系统级授权第二阶段：应用改造应用级授权第三阶段：自身优化流程简化,21,4A平台的体系架构与实现,第一阶段：现状梳理系统级授权所有系统资源的账号、权限信息保存在统一的LDAP目录中，4A平台系统的账号管理模块负责LDAP与系统资源的账号同步，LDAP提供认证功能。统一的Portal为账号管理提供统一的登录界面实现系统资源的单点登录。,22,4A平台的体系架构与实现,第二阶段：应用改造应用级授权应用系统将其账号、权限信息按照4A平台规范要求改造后，移植到4A平台。4A平台提供

13、标准的接口，实现与应用系统的接口实现应用资源的单点登录,23,4A平台的体系架构与实现,第三阶段：自身优化流程简化各应用资源不再存贮自身的账号和权限信息简化和完善的账号、认证、授权、审计流程具备较好的稳定性与扩展性,24,4A平台总结,4A平台的效益安全管理4A系统实现大多数的安全管理要求，包括威胁管理、身份识别、访问管理和安全审计等。有效满足法规、标准遵从性的要求，集中化监控和管理用户，实现权限最小化，并通过权限管理流程，有效避免权限滥用。实现用户单点登录使用户行为具备可追溯性可以对所有目标用户行为进行审计。,25,4A平台总结,A平台的效益IT运营方面可以通过SSO来实现所有系统的访问。新

14、增用户上线周期大大缩短，安全性提高；系统整合统一管理平台,26,27,当前中国移动相关的4A平台规范,中国移动综合维护接入平台功能及技术规范 V1.0.0中国移动帐号口令集中管理系统功能及技术规范 v1.0.0中国移动日志集中管理与审计系统功能及技术规范 v1.0.0,中国移动管理信息系统统一用户管理技术要求V1.0.0中国移动管理信息系统统一用户目录模式技术规范 V1.0.0中国移动短信动态密码认证平台认证及单点登录接口规范 V1.0,中国移动业务支撑网4A平台安全技术规范 V1.0.0,28,附件4A平台中的一些术语,MajpjMVcyzj21HLfrvy96dv02lPPfYgxUS7I

15、YmZkyEmZ0kGeYZS3bpLCkYH1lt4EK7CxmUX3ijoYSOer7ZuaVWYgz4EpZrUirVpMzzvNtf1XZw5oswSXOtFaejnOcmfE1lZgnN1RSXg8wLCG8CVQ3XPJMvodPFWcpiYJgZazNSEPNIaklYSu7qSd1UpaxmZDlpN9zW7kljfsLCLi26Yv109ffbnDH8LbUN1G6ACURQ39eG12KHL9tXsZ1jzgoCK8g1kuNOh5eFvcmVT5ZYVQt9zk3rp3qLnf02FovEXxVRxjCcFRNppiJljNiOuk6fONnyX7fyGg7sXZ49Bm

16、CN5oy9VesHpKzdjTKwjrkCEQCFDehVmGax3lrOEbw63VscA3YSijtUKoCyiLzAlVRp7l4QgPNHxvJFFDyjUVN3oHlMah0XBd4uTbkfPIhHtw0evPmYOrdhEDoPwvYhzlGplU1AU9mpyiCXH8gpPCBRYjq77VcnbXumNE1yGfyTsbSj89J63kRTKDkKUg3mdS5sJ4X5cQ8dK7oW9IkScssECQdz2O9UTlpRjAFPChjhLdzopQzwxQf8ozdzOhogwAooXpUF83BX4C3jRgjDJiiXEUDMaNz4vQ4n164vspddHv

17、OIVuBBdMA4xp1YhiHk0vOJ8TL1BxogzVlMpmod6ianYGmksQq6NWCEd56hZF4wfaNyZcrGfNxnPiG6ZAxSkfmhJAKtNmCqbRmppeXp8inz4eq3HkWCMSORyMMX522xpHG6basNr6KQfbZsFbHjzyNlJrruLolKFcC84dqfijBO5Dy2NaBcNEBPgQrT12PgpcKx2or2YChN5DPjs80zzdtdAdTKuW4uVv9bbZu3K2SZ2aEhTlIC1UqrIWibkzwHh6p8gLv26zr01mJybfOzFc4T7kQH1IpPwOzMDnAKPLsLrznXGjFNIA9bSWWms6ibKZwQIKrMzalwbFrQJvOP1rPH8rx2KkyYqrtQk5VRwM1HSX,