身份的识别与管理

  2006年以来中国移动通信集团公司(简称中国移动,在香港和纽约上市)的三大业务部门:管理信息系统部、业务支撑中心、网络部,均分别完成了4A平台规范的制定,以及着手4A平台的建设。其他网络运营商,金融行业也在积极调研与测试。这里就概要叙述一下这场如火如荼4A平台建设的浪潮的来龙去脉,4A带给客户带来的价值,以及对4A的展望。

  4A的来源

  4A不是一个原生态创新的名称,因此在介绍4A之前,先描述一下与之相关的术语。先介绍一下3A。AAA在IT界中 有一个知名度最高的内涵,“Authentication, Authorization and Accounting (AAA) is a framework for intelligently controlling access to computer network resources, enforcing policies, auditing usage, and providing the information necessary to bill for services. These combined processes are considered important for effective network management and security. The AAA is sometimes combined with Auditing and accordingly becomes AAAA. -SearchSecurity.com”。简单说来就是网络的接入控制以及上网计费的范畴,如果加入审计则变成4A。说它知名度高,主要是因为AAA protocol(AAA协议)是一个标准的规范,以著名的Radius(Remote Authentication Dial-In User Service)协议为代表,广泛的被网络运营商采用。

  那么在安全界呢,也有一个AAA概念存在,“In computer security, Access Control includes Authentication, Authorization and Audit.- wikipedia.org”。访问控制(Access Control)是安全界长盛不衰的研究与应用的主题。其目的是为了保证网络资源受控、合法地使用。访问控制是在身份识别的基础上,根据身份对提出的资源访问请求加以控制。用户只能根据自己的权限大小来访问系统资源,不能越权访问。3A在访问控制中分别发挥着不同的作用又相互影响。通过“Authentication(认证)”来检验主体的合法身份;通过“Authorization(授权)”来限制用户对资源的访问级别;通过“Audit(审计)”来记录,审查用户对资源访问的过程。

  为了说明4A的背景,不得不再解释另一个术语,单点登陆(SSO)。“Single sign-on is mechanism whereby a single action of user authentication and authorization can permit a user to access all computers and systems where he has access permission, without the need to enter multiple passwords. – wikipedia.org”。单点登录最通俗的解释就是一次认证,处处通行。其核心在于统一身份管理,用户集中登录与认证。一方面单点登陆有着广大的需求,也有众多企业使用了相关系统与技术;另一方面,目前各种单点登陆的解决方案还在不断完善,都不能简单的满足广泛企业的需求。解决单点登陆问题,国际上SAML(Security Assertion Markup Language)最为有名,支持它的厂商最多,但是由于单点登陆实施的复杂性,SAML在国内并没有得到特别广泛的使用。

  在前文里已经提到,网络安全界有关4A的概念在AAA protocol中指出过,不是什么新技术或者新概念。不过4A在国内的内涵与国际上通常所说的4A是不同的,目前国内所说的4A基本是以中国移动,在2005年定义的基础上进行演化的。“4A是Account,Authentication,Authorization,Audit(帐户管理,授权管理,认证管理,审计管理)的缩写。将业务系统中的帐户(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit) 整合成集中、统一的安全服务系统,简称4A管理平台或4A平台。—中国移动4A安全技术规范”。要理解这个概念的背景并不困难,2006年对广大在美上市的外国公司,有着深远影响的事情是《萨班斯法案》(SOX法案)的全面生效。SOX法案是一部由美国颁布,涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律,包括在美国注册上市公司和在外国注册而于美国上市的公司,都必须遵守该法案,国外的企业以及美国一些小型企业在美国上市企业在2006年7月15号或者随后结束的财政年度开始生效,中国移动便在其中。

  研究中国移动4A技术规范,可以发现,该规范是在合规的基础上,以加强内控审计为目的,增强帐号这种特殊资源的监管,限定了访问控制模型的一种SSO的平台建设方案。帐号管理是在应用中的说法,在学术上称为身份管理(IDM)或者身份和访问管理(IAM)“Identity Management(or Identity and Access Management)is a broad administrative area that deals with identifying individuals in a system (such as a country, a network or an organization) and controlling the access to the resources in that system by placing restrictions on the established identities. – wikipedia.org”。几家大型IT企业如IBM,CA,Novell,Sun都有相关解决方案,其解决方案往往涉及其4-5款系列产品,而产品的发布时间基本超过5年,并有持续的版本在发布。中国移动自己提出规范,给解决方案的原因这里就不做评说。但从中国移动4A概念的提出,到许多行业的纷纷行动,可以看到的是,许多企业对访问控制(包括身份管理,单点登录,合规性审计)的需求有着与时俱进的变化,以及迫切的要求。

  中国近30年经济发展成就了一批大型企业,这些企业人员众多,IT化进程早,设备以及网络规模不断扩大,有不少已经在国内外上市。这些企业在IT运维过程中都面临着许多急切需要解决的问题,安全方面归纳下来主要有下面三点:

  1、企业内部IT系统使用者情况复杂。具体表现在人员构成复杂,有内部员工、外包员工、集成商、合作伙伴、客户;人员流动情况复杂,入职、调岗、离职、借调,有合作加深的,有解除部分合作的。要想做到企业资源授权高效、清晰、规范,有效地保障合法用户的权益,同时不受人员变迁而带来的冲击,这是一个巨大的挑战。

  2、企业IT系统建设情况的复杂。许多企业都是IT系统都发展了10多年,而许多初期业务系统还在持续发挥着它的作用。因此在企业内部的IT环境中,往往充斥着多个年代的设备,不同时代技术,不同版本的各类系统。企业的IT运维人员无法对各业务系统实现集中管理,执行统一的安全策略。

  3、随着各国对企业内控的关注,一系列的法律法规要求企业进一步加强管理,对股东投资负责。以SOX法案为例,要求企业的内控活动,不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录,对审计过程也有存档的要求。这就要求企业完善IT治理,加强内部控制和全面信息审计,以保证达到法律法规的要求。

  使用者和资源的管理本身已经很复杂,为了合规,进行相关的帐号管理,口令定期更改等操作将会使企业工作量增加,运行效率降低,管理员出错的概率提高,从而导致企业运行成本不断升高。4A系统就是中国移动针对上述问题而提出的技术手段,使得企业对众多应用、系统、设备的用户帐号进行有效管理,保证用户登录的安全性,并满足SOX审计的相关要求。

  因此在企业内建设一个集中安全服务平台,在传统访问控制概念中AAA的基础上增强对账号(Account)这种特殊资源的管理与控制,将能给企业的可持续发展,带来众多价值,如下所述:

  简化管理,统一认证、授权和审计,工作复杂度大幅度降低;

  提高帐号安全性,帐号维护的监管得到加强,各系统口令维护策略可以统一执行;

  安全自知,访问操作资源过程中的各种审计信息,已经业务运行中的各种审计信息,能集中管理,集中监控,安全状况尽在掌握;

  责任到人,安全事故定位到人,避免多人共享账号导致问题无法问责;

  方便使用,单点登录免去员工在各系统间切换时,需要再次输入用户名和口令的繁琐,也不用担心记不住各种口令而苦恼;

  发现异常,对各个系统,和所有用户,进行统一的访问审计,利于综合统计,用户行为关联分析,及时发现异常操作行为;

  企业合规,使企业用最小的运行成本符合与国家法律法规的要求;

  保护投资,企业后续系统完全可以建立在该系统之上;用户管理,资产管理,认证授权,安全响应不用重复开发;

  消除信息孤岛,使各系统能够共享用户,资产等信息;并可以高效、方便的进行数据安全管理。

  4A发展观察

  4A经过四五年的发展,正发生着潜移默化的改变。4A平台已经逐渐演变成企业的IT基础设施建设,而原来是在AAA中增加的Account(账号)管理,则独立成为平台下的一个应用。在未来几年里,可以预见这些趋势将持续下去,同时4A还会有那些变化和发展呢?

  1与SIEM组成立体型审计环境

  合规性审计在未来几年任将是企业需求的源泉之一。例如2008年5月22日,财政部、证监会、审计署、银监会、保监会五个部门联合《企业内部控制基本规范》(即“中国的萨班斯法案”,亦称C-SOX)将于2009年7月1日起先在上市公司范围内施行。SIEM类产品收集各类系统日志与事件,并有能力进行关联分析。但是SIEM类产品在审计到人和人员操作类审计上,目前无法独立给企业提供帮助。因此将行业内已经多年积累的SIEM经验与4A有机结合,为企业安全运行提供保障,给企业建立立体型审计环境,切实有效帮助企业的降低运行成本,也能达到法律法规的要求,将得到深入的研究与发展。

  2与应用网关、终端管理组成全方位的访问控制体系

  完善的访问控制体系,是企业安全的直接保障,独立的访问控制手段在一定程度上缺少全面证明能力。因此在业务的两端,业务使用方,和业务提供方,双管齐下,即监视使用者的设备以及使用者的身份与操作,又监控支撑业务的设备及系统的使用情况,将达到最佳效果。这样4A的将不仅仅是监控提供者,同时是主动报告者,策略实施者,是从而建立起全方位的访问控制体系。

  3帮助企业实现IT系统的基础设施建设

  自2006年开始4A的完善与建设从没有停止。一方面,“大4A平台”的规划正在起步,新的概念,名词还将应运而生;另一方面,随着中小企业在信息化建设的发展,集中安全服务平台的建设将逐步普遍化。通过统一的安全服务技术架构,使新的应用可以很容易的集成到统一平台中。通过该平台对业务支撑,系统各种IT资源(包括应用和系统)进行集中管理,为各个业务系统提供集中安全服务,提升业务的安全性和可管理能力。

  总之,4A的发展将继续在深度和广度两个方面持续发展下去。一方面成为企业集中安全服务平台这样的基础设施;另一方面还会继续深入到企业的业务系统中,为用户的业务保驾护航。

 

发表评论

邮箱地址不会被公开。 必填项已用*标注