2022年移动A系统 .pdf

《2022年移动A系统 .pdf》由会员分享，可在线阅读，更多相关《2022年移动A系统 .pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、目前各个 移动 公司正在如火如荼地开展着4A项目的安全建设，参照的依据是移动集团关于 4A建设的规范，而规范中很少提出具体的实现方案和相应的设备。所谓的 4A就是集中统一的账号（Account）管理、授权(Authorization)管理、认证（Authentication）管理和安全审计(Audit)，缺一不可。在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法，仅供参考。4A之账号管理移动集团的4A规范中提出主账号和从账号的概念，主账号即自然人使用的账号，目前主要是网络准入控制系统的账号。从账号即资源设备自身账号，主要是指自然人登录设备或应用系统时使用的账号。为此在 4A

2、 平台中需要建立两个管理模块：主账号管理模块、从账号管理模块。4A 之授权管理在“4A 之账号管理”中进行主账号管理和从账号管理。而主账号和从账号之间需要通过资源设备进行关联。授权的目的就是使授权自然人可以登录那些设备，在相应的设备上使用从账号。因此形成“主账号从账号设备”三位一体的对应关系。目前移动系统中使用的账号情况极为复杂，因此提出“以人为本”的关系梳理。该梳理就是要搞清“谁能访问什么设备使用哪个（些）系统账号”的关系，同时为认证和授权提供相应的关联列表。4A之认证管理前面进行了授权管理，接下来要对账号的合法性进行相应的认证。4A的认证合法性应该主要完成三项内容：主账号是否合法、从账号是

3、否合法、授权是否合法。见图 1 认证及授权模块的框图。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 5 页 -图 1 认证及授权模块的的框图认证及授权过程在前期的安全建设中，已经在网络中做了安全域划分及网络安全准入系统的建设。用户进入网络访问业务系统时，网络准入系统需对自然人身份的合法性进行认证，主账号认证信息打包转发给4A平台，4A 平台对主账号的合法性进行判断，合法则让网络准入控制设备放开控制策略。主账号认证通过后，4A平台记录自然人、主账号、终端IP 的对应关系，实现网络实名制记录。用户使用从账号登录网络设备、服务器、应用系统时，资源设备将从账号信息打包后发送给 4A平台

4、进行认证。4A平台对从账号和密码进行认证，不合法则向设备发送认证失败信息。4A平台对从账号认证合法后，平台根据授权管理的列表对从账号、主账号、设备之间的对应关系进行检查，如果从账号在授权列表中，则向被登录的设备返回认证合法信息，自然人可以使用该从账号在该设备登录，反之则拒绝自然人使用该从账号在该设备登录。统一认证平台的建立名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 5 页 -不管是主账号认证还是从账号认证，都是在4A平台中进行的，统一的认证系统是进行4A平台建设的前提。因此在建设4A系统之前弃用本地认证的方式，改为第三方认证的模式。就目前移动的实际情况而言，第三方认证主要包括

5、Raduis、LDAP、手机 短信等方式，因此4A平台中提供了基于认证转发的认证模块（认证中转站）。充分兼容目前移动公司采用的第三方认证。如图2 所示。图 2 基于认证转发的认证模块（认证中转站）网络准入控制设备负责向4A平台进行自然人的主账号认证请求，平台接受到认证请求信息后，通过对应的主账号管理列表中指定的认证服务器进行认证转发。具体的账号合法性判断交给后台认证系统来完成。4A平台记录相应的用户信息，如主账号、终端IP 等。用户要登录设备时要输入从账号。设备向4A平台进行从账号认证请求，平台根据设备的 IP 地址进行第三方认证转发。从账号的合法性判断交由后台认证系统来完成。4A平台此时记录

6、自然人终端IP、设备 IP，从账号等信息。根据两次记录的信息即可得出“终端IP、主账号（自然人）、设备IP、从账号”的对应关系。再根据这种对应关系去查找授权列表，如果该对应关系在授权列表中，4A平台则向设备返回从账号认证成功信息，用户可以登录设备进行操作，反之，4A平台则向设备返回认证失败信息，设备拒绝该登录。4A之安全审计名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 5 页 -安全审计主要是记录用户在设备上所有的操作行为，目前审计信息来源主要分为三类：网络审计设备：对网络 传输 的数据包进行重组，通过协议解析的方式获取用户的操作信息；堡垒跳转设备：用户要登录目标设备，必须先登

7、录堡垒跳转设备，通过堡垒机再跳转到目标设备上进行操作。堡垒跳转设备则可记录用户所有的操作信息；目标设备日志：大多数设备都支持日志记录方式保存用户的操作。原始审计信息统一被4A进行收集后需对主从账号进行关联从而关联到自然人，关联的具体方法如下：当用户进行网络安全准入认证（主账号认证）时，4A 平台会记录“终端IP主账号”；在主账号管理模块中已经手工录入“主账号自然人”，因此可以关联成“终端IP主账号自然人”；审计设备（天玥II或天玥 IV）能够提供给4A平台的数据有“终端IP从账号设备 IP审计内容”；通过相应的关联分析即可得出“终端IP、主账号（自然人）、设备IP、从账号、审计内容”的关联信息

8、。结合移动集团的4A规范提出“时间、自然人、主账号、终端IP、目的 IP、从账号、审计事件、审计级别、审计回访”九大审计要素，如图3 所示。图 3 4A 规范提出的九大审计要素时间：为了保证审计时间的准确性，网络中部署NTP服务器，全网设备与该NTP服务器进行同步。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 5 页 -自然人：用户的真实姓名，在账号管理中手工进行录入。主账号：用户进行网络准入认证时使用的的账号，一般是一个自然人使用一个主账号，主账号可以进行第三方认证。源 IP：自然人使用的终端IP。目的 IP：自然人登录资源的IP。从账号：资源上的系统账号。审计事件：通过对原始审计信息进行分析处理后得到的审计结果。审计级别：自动给审计事件定级，一般分为高、中、低三个级别。会话回放：为了保证审计事件的完整性，形成一个完整的证据链条，对用户所有的输入和输出进行全部展现。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 5 页 -