【51CTO.com綜合報道】

◆安全挑戰(zhàn)

隨著近幾年來政府、金融、電信等行業(yè)信息化的逐步深入，業(yè)務(wù)的快速發(fā)展帶動數(shù)據(jù)和應(yīng)用急劇增長，尤其是在當前數(shù)據(jù)大集中的背景下，總部及數(shù)據(jù)中心面臨眾多應(yīng)用系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)備等，造成應(yīng)用系統(tǒng)及其復(fù)雜，有基于C/S模式的，也有基于B/S模式的，各個應(yīng)用系統(tǒng)具有獨立的帳戶管理體系，系統(tǒng)認證手段一般采用用戶名/口令作為系統(tǒng)訪問的驗證手段，業(yè)務(wù)人員在不同系統(tǒng)擁有不同的帳戶名/口令，因此在現(xiàn)實的安全管理中，面臨以下的一些安全管理問題與風險：

■不同的信息系統(tǒng)采用獨立的方式管理用戶信息，形成了一個個信息孤島，同時產(chǎn)生了大量的冗余數(shù)據(jù)，并且給數(shù)據(jù)同步造成了極大的難度；

■多數(shù)業(yè)務(wù)系統(tǒng)采用用戶名/口令的弱認證方式，系統(tǒng)安全性極低；對該方式的管理缺乏有效的技術(shù)手段進行管控，如口令長度控制、定期修改口令控制等等；

■員工、管理員等都需要訪問多個業(yè)務(wù)系統(tǒng)，每個系統(tǒng)有自己獨立的權(quán)限管理方式，各種方式很難建立有效的對應(yīng)或映射。用戶經(jīng)常在各應(yīng)用之間切換，需要記憶大量的用戶名和口令，一方面為用戶造成了不便，另一方面也增加了由于人為的懈怠和疏忽而形成安全隱患的可能性；

■業(yè)務(wù)信息系統(tǒng)中涉及大量的敏感信息，內(nèi)部員工、管理人員、運維人員、外包人員等都可能對關(guān)鍵應(yīng)用、數(shù)據(jù)庫等進行訪問、查詢等操作，如果缺乏相應(yīng)的審計監(jiān)控機制，一旦發(fā)生安全事件后很難進行事后分析、取證與責任認定；

■在應(yīng)用系統(tǒng)中，存在一機多人共用或一個賬號多人共用的現(xiàn)象，一旦發(fā)生安全事件后難于確定帳號的實際使用者，很難通過業(yè)務(wù)系統(tǒng)賬號追溯到本人，不便于實現(xiàn)細粒度的訪問控制與審計。

◆ 解決方案

針對以上一些安全問題，大多數(shù)用戶已初步建立了多種網(wǎng)絡(luò)安全防護措施，如部署防火墻進行訪問控制，部署入侵檢測設(shè)備防御來自內(nèi)外部的攻擊威脅，定期對弱口令等漏洞進行掃描檢查，制定嚴格的帳號密碼管理制度等，但這些都不能從技術(shù)上解決以上安全問題。為了加強對各應(yīng)用系統(tǒng)使用者身份的管理，加強系統(tǒng)管理員對應(yīng)用系統(tǒng)訪問人員的審計和管控，實現(xiàn)對各應(yīng)用系統(tǒng)訪問者的識別和行為的抗抵賴，需要采取更強的身份認證措施，并在此基礎(chǔ)上采取更細粒度的身份授權(quán)、訪問控制、以及事后審計跟蹤措施，從事前、事中、事后全方位構(gòu)建4A管理體系，其目標是將業(yè)務(wù)支撐系統(tǒng)中的帳號（Account）管理、認證（Authentication）管理、授權(quán)(Authorization)管理和安全審計(Audit) 整合成集中、統(tǒng)一的安全服務(wù)系統(tǒng)，簡稱4A管理平臺或4A平臺。對內(nèi)部用戶的身份、訪問行為等進行一體化管理。4A平臺各功能組件（或各子系統(tǒng)）及業(yè)務(wù)訪問關(guān)系如下圖所示：

圖表 13 天融信4A管理平臺功能架構(gòu)圖

4A平臺的搭建主要基于PKI/CA體系，涉及產(chǎn)品包括統(tǒng)一認證網(wǎng)關(guān)、證書管理系統(tǒng)、賬號管理系統(tǒng)、授權(quán)管理系統(tǒng)、網(wǎng)絡(luò)審計設(shè)備、數(shù)據(jù)庫審計設(shè)備以及日志審計等產(chǎn)品，整體部署拓撲結(jié)構(gòu)如下圖所示：

圖表 14 天融信4A整體解決方案部署示意圖

總部集中部署統(tǒng)一認證網(wǎng)關(guān)、身份管理套件（包括RA、CA、賬號、授權(quán)等）、網(wǎng)絡(luò)審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)以及日志審計系統(tǒng)等；分支機構(gòu)部署統(tǒng)一認證網(wǎng)關(guān)、RA系統(tǒng)、網(wǎng)絡(luò)審計系統(tǒng)等。統(tǒng)一認證網(wǎng)關(guān)為用戶訪問業(yè)務(wù)應(yīng)用系統(tǒng)的集中入口，認證通過后用戶可以訪問被授權(quán)的相關(guān)業(yè)務(wù)應(yīng)用，對業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等相關(guān)資源的訪問操作行為都將被審計并形成記錄，以供事后事件分析、取證與責任認定。

統(tǒng)一認證網(wǎng)關(guān)采用天融信公司基于TOPVPN6000系列自主開發(fā)的安全網(wǎng)關(guān)，集成集中認證、單點登錄和傳輸加密等功能；網(wǎng)絡(luò)審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、日志審計系統(tǒng)采用天融信公司自主開發(fā)的TA-NET系列網(wǎng)絡(luò)審計設(shè)備、TA-DB系列數(shù)據(jù)庫審計設(shè)備、TA-L日志審計系統(tǒng)，對用戶的的訪問操作行為進行事后綜合審計跟蹤；證書的頒發(fā)、管理、授權(quán)等身份管理采用天融信公司TopPolicy系統(tǒng)，可以為應(yīng)用系統(tǒng)用戶、管理員、VRC生成、更新、發(fā)放證書，同時提供證書驗證與CRL文件管理等功能。對于已經(jīng)建有CA系統(tǒng)的用戶，TopPolicy完全支持第三方的PKI系統(tǒng)。

通過以上方案的實施，加強針對應(yīng)用層面的安全管控措施，提高身份認證強度、系統(tǒng)的訪問控制強度，保障訪問行為的真實性、合法性和抗抵賴性。整體實現(xiàn)功能以及達到的效果如下所述：

■以強身份認證為基礎(chǔ)的統(tǒng)一身份管理。各個應(yīng)用系統(tǒng)采用基于Ｘ.５０９數(shù)字證書的強身份認證方式，有效提升了認證強度，構(gòu)建針對應(yīng)用層面的信息安全基礎(chǔ)保障措施，創(chuàng)建統(tǒng)一的賬戶管理機制和平臺，面向不同的應(yīng)用系統(tǒng)和用戶提供統(tǒng)一的、一致的身份管理服務(wù)和身份認證服務(wù)；

■單點登錄。實現(xiàn)信息系統(tǒng)帳戶與自然人的唯一綁定，每一個用戶在所有系統(tǒng)中以統(tǒng)一的身份進行各種業(yè)務(wù)操作，無須記憶大量的帳戶名和口令，使管理維護便捷的同時，也為行為審計提供了有效、可靠的手段；

■實現(xiàn)業(yè)務(wù)數(shù)據(jù)的安全傳輸功能。通過采用SSL數(shù)據(jù)加密技術(shù)避免數(shù)據(jù)傳輸過程中被竊取、盜用或篡改；

■全方位行為審計。建立起集中的行為監(jiān)控機制，及時跟蹤、審計使用者對資源的訪問、使用情況，并對非授權(quán)訪問或數(shù)據(jù)篡改等行為進行跟蹤、審計監(jiān)控與事后回放取證。

通過事前用戶身份標識、授權(quán)，事中集中訪問控制，事后全方位審計監(jiān)控，形成有效的合規(guī)業(yè)務(wù)過程，滿足內(nèi)部安全管理要求與外部合規(guī)要求。

◆方案優(yōu)勢

■單點登錄

◇方案具有獨立的賬號管理、授權(quán)管理、認證管理、審計管理功能，滿足業(yè)務(wù)合規(guī)過程對4A的要求，并在此基礎(chǔ)上，通過認證管理、賬號管理和授權(quán)管理的高度集成，進一步實現(xiàn)統(tǒng)一的單點登錄功能。

◇在提高安全認證強度、細粒度角色授權(quán)的基礎(chǔ)上，實現(xiàn)了集中統(tǒng)一認證與訪問控制，從而減少了信息孤島及用戶賬戶信息冗余、簡化了應(yīng)用系統(tǒng)認證過程、減少重復(fù)認證、提高了應(yīng)用系統(tǒng)訪問效率及安全性。

■高安全性和可靠性

◇服務(wù)器組件之間交換的數(shù)據(jù)均使用安全套接層加密技術(shù)SSL加密；單點登錄使用PKI密鑰加密來加強Web服務(wù)器和應(yīng)用服務(wù)器之間傳送的數(shù)據(jù)的安全性：密碼使用MD5散列算法口令轉(zhuǎn)換成不可恢復(fù)形式然后存儲。

◇此外，系統(tǒng)提供硬件和軟件的容錯、數(shù)據(jù)存儲的備份等系統(tǒng)可靠性措施；部分重要模塊具有自檢功能，能監(jiān)視各功能模塊的運行情況，隨時發(fā)現(xiàn)系統(tǒng)自身的問題本系統(tǒng)還提供熱備份和負載平衡特性，可以滿足大型分布式網(wǎng)絡(luò)的需求，擴展服務(wù)器帶寬和增加吞吐量，加強數(shù)據(jù)處理能力。

■高可擴展性、并支持第三方PKI/CA系統(tǒng)

本方案能夠隨著應(yīng)用的逐步完善和入網(wǎng)用戶的逐漸增加不斷地進行擴展，整個系統(tǒng)可以平滑地過渡到升級后的新系統(tǒng)中。

◇系統(tǒng)能夠提供快捷的開發(fā)平臺，方便用戶針對一些特有系統(tǒng)的二次開發(fā)，使這些系統(tǒng)能夠迅速納入3A/4A平臺的統(tǒng)一管理。

◇硬件系統(tǒng)采用模塊化結(jié)構(gòu)，以保證系統(tǒng)內(nèi)存、CPU及儲存容量的擴展；

◇在軟件系統(tǒng)的開發(fā)中，考慮各個功能模塊可重復(fù)利用，降低系統(tǒng)擴展的復(fù)雜性。

◇完全支持第三方PKI/CA系統(tǒng)，能夠同客戶已有的CA系統(tǒng)進行應(yīng)用集成。

◆應(yīng)用領(lǐng)域

■金融行業(yè)應(yīng)用

中國人民財產(chǎn)保險股份公司（PICC）為國內(nèi)規(guī)模較大的綜合型保險公司，總體上已較早的實現(xiàn)了數(shù)據(jù)大集中，總部及數(shù)據(jù)中心需要管理和維護眾多的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)備等。PICC在進行信息化建設(shè)的工程中，同樣面臨著以上一些安全挑戰(zhàn)。基于這些需求，PICC于2009年啟動了第一期身份管理平臺建設(shè)項目，天融信公司協(xié)助PICC規(guī)劃、建設(shè)基于PKI/CA的3A/4A平臺，目前已完成一期3A系統(tǒng)的建設(shè)，在公司總部及下轄36個分公司統(tǒng)一規(guī)劃并部署基于PKI/CA技術(shù)的數(shù)字身份認證系統(tǒng)、統(tǒng)一認證網(wǎng)關(guān)等安全系統(tǒng)，實現(xiàn)本地辦公用戶、移動用戶和保險代理機構(gòu)的統(tǒng)一接入認證、單點登錄、訪問控制等。后期將在此基礎(chǔ)上進一步集成1A（審計）功能，最終實現(xiàn)4A平臺的搭建。

■電信行業(yè)應(yīng)用：

移動、聯(lián)通、電信等運營商內(nèi)部有BSS、OSS、MSS等多類業(yè)務(wù)運營及管理支持系統(tǒng)，包括綜合賬務(wù)系統(tǒng)、計費系統(tǒng)、綜合結(jié)算系統(tǒng)、經(jīng)營分析（BI）系統(tǒng)、CRM/客戶服務(wù)系統(tǒng)、業(yè)務(wù)管理系統(tǒng)、網(wǎng)管系統(tǒng)、以及眾多的增值業(yè)務(wù)應(yīng)用系統(tǒng)等，各個系統(tǒng)有自己獨立的權(quán)限管理方式，部分重要系統(tǒng)采用數(shù)字證書認證的方式，更多的應(yīng)用系統(tǒng)采用用戶名/口令的弱認證方式，且各種方式很難建立有效的對應(yīng)或映射，安全管理中同樣面臨以上一些安全挑戰(zhàn)。本方案能較好的幫助電信行業(yè)用戶建立起良好的內(nèi)部控制技術(shù)手段，降低內(nèi)部越權(quán)違規(guī)操作風險，滿足行業(yè)合規(guī)風險管理要求。

■其它行業(yè)應(yīng)用：

該方案還廣泛應(yīng)用于政府、軍隊、能源、教育、醫(yī)療、大型企業(yè)等行業(yè)用戶，對數(shù)據(jù)中心、后臺核心服務(wù)區(qū)域關(guān)鍵業(yè)務(wù)系統(tǒng)的訪問與操作行為進行集中賬號管理、認證管理、授權(quán)管理與事后審計，建立起事前、事中、事后的合規(guī)業(yè)務(wù)過程技術(shù)體系，保護敏感信息避免被非授權(quán)訪問或被篡改，對違規(guī)業(yè)務(wù)進行審計跟蹤與回放取證，并滿足行業(yè)監(jiān)管部門的監(jiān)管要求。