身份的识别与管理

  2006年以来中国移动通信集团公司（简称中国移动，在香港和纽约上市）的三大业务部门：管理信息系统部、业务支撑中心、网络部，均分别完成了4A平台规范的制定，以及着手4A平台的建设。其他网络运营商，金融行业也在积极调研与测试。这里就概要叙述一下这场如火如荼4A平台建设的浪潮的来龙去脉，4A带给用户带来的价值，以及对4A的展望。

  4A不是一个原生态创新的名称，因此在介绍4A之前，先描述一下与之相关的术语。先介绍一下3A。AAA在IT界中 有一个知名度最高的内涵，“。简单说来就是网络的接入控制以及上网计费的范畴，如果加入审计则变成4A。说它知名度高，还在于AAA protocol（AAA协议）是一个标准的规范，以著名的Radius（Remote Authentication Dial-In User Service）协议为代表，广泛的被网络运营商采用。

  那么在安全界呢，也有一个AAA概念存在，“。访问控制（Access Control）是安全界长盛不衰的研究与应用的主题。其目的是为了能够更好的保证网络资源受控、合法地使用。访问控制是在身份识别的基础上，根据身份对提出的资源访问请求加以控制。用户只能通过你自己的权限大小来访问系统资源，不能越权访问。3A在访问控制中分别发挥着不同的作用又相互影响。通过“Authentication（认证）”来检验主体的合法身份；通过“Authorization（授权）”来限制用户对资源的访问级别；通过“Audit（审计）”来记录，审查用户对资源访问的过程。

  在前文里已经提到，网络安全界有关4A的概念在AAA protocol中指出过，不是什么新技术或者新概念。不过4A在国内的内涵与国际上通常所说的4A是不同的，目前国内所说的4A基本是以中国移动，在2005年定义的基础上进行演化的。“4A是Account，Authentication，Authorization，Audit（帐户管理，授权管理，认证管理，审计管理）的缩写。将业务系统中的帐户（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit) 整合成集中、统一的安全服务系统，简称4A管理平台或4A平台。—中国移动4A安全技术规范”。要理解这个概念的背景并不困难，2006年对广大在美上市的外国公司，有着深远影响的事情是《萨班斯法案》（SOX法案）的全面生效。SOX法案是一部由美国颁布，涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律，包括在美国注册上市公司和在外国注册而于美国上市的公司，都一定要遵守该法案，国外的企业和美国一些小企业在美国上市企业在2006年7月15号或者随后结束的财政年度开始生效，中国移动便在其中。

  中国近30年经济发展成就了一批大规模的公司，这一些企业人员众多，IT化进程早，设备和网络规模逐步扩大，有不少已经在国内外上市。这一些企业在IT运维过程中都面临着许多急切要解决的问题，安全方面归纳下来主要有下面三点：

  1、企业内部IT系统使用者情况复杂。具体表现在人员构成复杂，有内部员工、外包员工、集成商、合作伙伴、客户；人员流动情况复杂，入职、调岗、离职、借调，有合作加深的，有解除部分合作的。要想做到企业资源授权高效、清晰、规范，有效地保障合法用户的权益，同时不受人员变迁而带来的冲击，这是一个巨大的挑战。

  2、企业IT系统建设情况的复杂。许多企业都是IT系统都发展了10多年，而许多初期业务系统还在持续发挥着它的作用。因此在企业内部的IT环境中，往往充斥着多个年代的设备，不同时代技术，不同版本的各类系统。企业的IT运维人没办法对各业务系统实现集中管理，执行统一的安全策略。

  3、随着各国对企业内控的关注，一系列的法律和法规要求企业逐步加强管理，对股东投资负责。以SOX法案为例，要求企业的内控活动，不论是人还是信息系统的操作的过程都一定要明白地定义并保存相关记录，对审计过程也有存档的要求。这就要求企业完善IT治理，加强内部控制和全面信息审计，以保证达到法律和法规的要求。

  使用者和资源的管理本身已经很复杂，为了合规，进行有关的帐号管理，口令定期更改等操作将会使企业工作量增加，运行效率降低，管理员出错的概率提高，因此导致企业运行成本不断升高。4A系统就是中国移动针对以上问题而提出的技术方法，使得企业对众多应用、系统、设备的用户帐号进行相对有效管理，保证用户登录的安全性，并满足SOX审计的相关要求。

  因此在企业内建设一个集中安全服务平台，在传统访问控制概念中AAA的基础上增强对账号（Account）这种特殊资源的管理与控制，将能给企业的可持续发展，带来众多价值，如下所述：

  提高帐号安全性，帐号维护的监管得到加强，各系统口令维护策略可以统一执行；

  安全自知，访问操作资源过程中的各种审计信息，已经业务运行中的各种审计信息，能集中管理，集中监控，安全状况尽在掌握；

  方便使用，单点登录免去员工在各系统间切换时，需要再次输入用户名和口令的繁琐，也不需要过多的担心记不住各种口令而苦恼；

  发现异常，对各个系统，和全用户，进行统一的访问审计，利于综合统计，用户行为关联分析，及时有效地发现异常操作行为；

  保护投资，企业后续系统可完全建立在该系统之上；用户管理，资产管理，认证授权，安全响应不用重复开发；

  消除信息孤岛，使各系统能够共享用户，资产等信息；并可以高效、方便的进行数据安全管理。

  4A经过四五年的发展，正发生着潜移默化的改变。4A平台已经逐渐演变成企业的IT基础设施建设，而原来是在AAA中增加的Account（账号）管理，则独立成为平台下的一个应用。在未来几年里，能预见这些趋势将持续下去，同时4A还会有那些变化和发展呢？

  合规性审计在未来几年任将是企业需求的源泉之一。例如2008年5月22日，财政部、证监会、审计署、银监会、保监会五个部门联合《企业内部控制基本规范》（即“中国的萨班斯法案”，亦称C-SOX）将于2009年7月1日起先在上市公司范围内施行。SIEM类产品收集各类系统日志与事件，并有能力进行关联分析。但是SIEM类产品在审计到人和人员操作类审计上，目前无法独立给公司可以提供帮助。因此将行业内已经多年积累的SIEM经验与4A有机结合，为企业安全运作提供保障，给企业建立立体型审计环境，切实有效帮企业的降低运行成本，也能达到法律和法规的要求，将得到深入的研究与发展。

  完善的访问控制体系，是企业安全的直接保障，独立的访问控制手段在某些特定的程度上缺少全面证明能力。因此在业务的两端，业务使用方，和业务提供方，双管齐下，即监视使用者的设备和使用者的身份与操作，又监控支撑业务的设备及系统的使用情况，将达到最佳效果。这样4A的将不单单是监控提供者，同时是主动报告者，策略实施者，是从而建立起全方位的访问控制体系。

  自2006年开始4A的完善与建设从没有停止。一方面，“大4A平台”的规划正在起步，新的概念，名词还将应运而生；另一方面，随着中小企业在信息化建设的发展，集中安全服务平台的建设将逐步普遍化。通过统一的安全服务技术架构，使新的应用可以很容易的集成到统一平台中。通过该平台对业务支撑，系统各种IT资源（包括应用和系统）进行集中管理，为各个业务系统提供集中安全服务，提升业务的安全性和可管理能力。

  总之，4A的发展将继续在深度和广度两个方面持续发展下去。一方面成为企业集中安全服务平台这样的基础设施；另一方面还会继续深入到企业的业务系统中，为用户的业务保驾护航。