压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　2006年以來中國移動通信集團(tuán)公司（簡稱中國移動，在香港和紐約上市）的三大業(yè)務(wù)部門：管理信息系統(tǒng)部、業(yè)務(wù)支撐中心、網(wǎng)絡(luò)部，均分別完成了4A平臺規(guī)范的制定，以及著手4A平臺的建設(shè)。其他網(wǎng)絡(luò)運營商，金融行業(yè)也在積極調(diào)研與測試。這里就概要敘述一下這場如火如荼4A平臺建設(shè)的浪潮的來龍去脈，4A帶給客戶帶來的價值，以及對4A的展望。

　　4A的來源

　　4A不是一個原生態(tài)創(chuàng)新的名稱，因此在介紹4A之前，先描述一下與之相關(guān)的術(shù)語。先介紹一下3A。AAA在IT界中 有一個知名度最高的內(nèi)涵，“Authentication， Authorization and Accounting (AAA) is a framework for intelligently controlling access to computer network resources， enforcing policies， auditing usage， and providing the information necessary to bill for services. These combined processes are considered important for effective network management and security. The AAA is sometimes combined with Auditing and accordingly becomes AAAA. -SearchSecurity.com”。簡單說來就是網(wǎng)絡(luò)的接入控制以及上網(wǎng)計費的范疇，如果加入審計則變成4A。說它知名度高，主要是因為AAA protocol（AAA協(xié)議）是一個標(biāo)準(zhǔn)的規(guī)范，以著名的Radius（Remote Authentication Dial-In User Service）協(xié)議為代表，廣泛的被網(wǎng)絡(luò)運營商采用。

　　那么在安全界呢，也有一個AAA概念存在，“In computer security， Access Control includes Authentication， Authorization and Audit.- wikipedia.org”。訪問控制（Access Control）是安全界長盛不衰的研究與應(yīng)用的主題。其目的是為了保證網(wǎng)絡(luò)資源受控、合法地使用。訪問控制是在身份識別的基礎(chǔ)上，根據(jù)身份對提出的資源訪問請求加以控制。用戶只能根據(jù)自己的權(quán)限大小來訪問系統(tǒng)資源，不能越權(quán)訪問。3A在訪問控制中分別發(fā)揮著不同的作用又相互影響。通過“Authentication（認(rèn)證）”來檢驗主體的合法身份；通過“Authorization（授權(quán)）”來限制用戶對資源的訪問級別；通過“Audit（審計）”來記錄，審查用戶對資源訪問的過程。

　　為了說明4A的背景，不得不再解釋另一個術(shù)語，單點登陸(SSO)。“Single sign-on is mechanism whereby a single action of user authentication and authorization can permit a user to access all computers and systems where he has access permission， without the need to enter multiple passwords. – wikipedia.org”。單點登錄最通俗的解釋就是一次認(rèn)證，處處通行。其核心在于統(tǒng)一身份管理，用戶集中登錄與認(rèn)證。一方面單點登陸有著廣大的需求，也有眾多企業(yè)使用了相關(guān)系統(tǒng)與技術(shù)；另一方面，目前各種單點登陸的解決方案還在不斷完善，都不能簡單的滿足廣泛企業(yè)的需求。解決單點登陸問題，國際上SAML（Security Assertion Markup Language）最為有名，支持它的廠商最多，但是由于單點登陸實施的復(fù)雜性，SAML在國內(nèi)并沒有得到特別廣泛的使用。

　　在前文里已經(jīng)提到，網(wǎng)絡(luò)安全界有關(guān)4A的概念在AAA protocol中指出過，不是什么新技術(shù)或者新概念。不過4A在國內(nèi)的內(nèi)涵與國際上通常所說的4A是不同的，目前國內(nèi)所說的4A基本是以中國移動，在2005年定義的基礎(chǔ)上進(jìn)行演化的。“4A是Account，Authentication，Authorization，Audit（帳戶管理，授權(quán)管理，認(rèn)證管理，審計管理）的縮寫。將業(yè)務(wù)系統(tǒng)中的帳戶（Account）管理、認(rèn)證（Authentication）管理、授權(quán)(Authorization)管理和安全審計(Audit) 整合成集中、統(tǒng)一的安全服務(wù)系統(tǒng)，簡稱4A管理平臺或4A平臺。—中國移動4A安全技術(shù)規(guī)范”。要理解這個概念的背景并不困難，2006年對廣大在美上市的外國公司，有著深遠(yuǎn)影響的事情是《薩班斯法案》（SOX法案）的全面生效。SOX法案是一部由美國頒布，涉及會計職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管等方面改革的重要法律，包括在美國注冊上市公司和在外國注冊而于美國上市的公司，都必須遵守該法案，國外的企業(yè)以及美國一些小型企業(yè)在美國上市企業(yè)在2006年7月15號或者隨后結(jié)束的財政年度開始生效，中國移動便在其中。

　　研究中國移動4A技術(shù)規(guī)范，可以發(fā)現(xiàn)，該規(guī)范是在合規(guī)的基礎(chǔ)上，以加強內(nèi)控審計為目的，增強帳號這種特殊資源的監(jiān)管，限定了訪問控制模型的一種SSO的平臺建設(shè)方案。帳號管理是在應(yīng)用中的說法，在學(xué)術(shù)上稱為身份管理（IDM）或者身份和訪問管理（IAM）“Identity Management(or Identity and Access Management)is a broad administrative area that deals with identifying individuals in a system (such as a country， a network or an organization) and controlling the access to the resources in that system by placing restrictions on the established identities. – wikipedia.org”。幾家大型IT企業(yè)如IBM，CA，Novell，Sun都有相關(guān)解決方案，其解決方案往往涉及其4-5款系列產(chǎn)品，而產(chǎn)品的發(fā)布時間基本超過5年，并有持續(xù)的版本在發(fā)布。中國移動自己提出規(guī)范，給解決方案的原因這里就不做評說。但從中國移動4A概念的提出，到許多行業(yè)的紛紛行動，可以看到的是，許多企業(yè)對訪問控制（包括身份管理，單點登錄，合規(guī)性審計）的需求有著與時俱進(jìn)的變化，以及迫切的要求。

　　中國近30年經(jīng)濟(jì)發(fā)展成就了一批大型企業(yè)，這些企業(yè)人員眾多，IT化進(jìn)程早，設(shè)備以及網(wǎng)絡(luò)規(guī)模不斷擴大，有不少已經(jīng)在國內(nèi)外上市。這些企業(yè)在IT運維過程中都面臨著許多急切需要解決的問題，安全方面歸納下來主要有下面三點：

　　1、企業(yè)內(nèi)部IT系統(tǒng)使用者情況復(fù)雜。具體表現(xiàn)在人員構(gòu)成復(fù)雜，有內(nèi)部員工、外包員工、集成商、合作伙伴、客戶；人員流動情況復(fù)雜，入職、調(diào)崗、離職、借調(diào)，有合作加深的，有解除部分合作的。要想做到企業(yè)資源授權(quán)高效、清晰、規(guī)范，有效地保障合法用戶的權(quán)益，同時不受人員變遷而帶來的沖擊，這是一個巨大的挑戰(zhàn)。

　　2、企業(yè)IT系統(tǒng)建設(shè)情況的復(fù)雜。許多企業(yè)都是IT系統(tǒng)都發(fā)展了10多年，而許多初期業(yè)務(wù)系統(tǒng)還在持續(xù)發(fā)揮著它的作用。因此在企業(yè)內(nèi)部的IT環(huán)境中，往往充斥著多個年代的設(shè)備，不同時代技術(shù)，不同版本的各類系統(tǒng)。企業(yè)的IT運維人員無法對各業(yè)務(wù)系統(tǒng)實現(xiàn)集中管理，執(zhí)行統(tǒng)一的安全策略。

　　3、隨著各國對企業(yè)內(nèi)控的關(guān)注，一系列的法律法規(guī)要求企業(yè)進(jìn)一步加強管理，對股東投資負(fù)責(zé)。以SOX法案為例，要求企業(yè)的內(nèi)控活動，不論是人還是信息系統(tǒng)的操作流程都必須明白地定義并保存相關(guān)記錄，對審計過程也有存檔的要求。這就要求企業(yè)完善IT治理，加強內(nèi)部控制和全面信息審計，以保證達(dá)到法律法規(guī)的要求。

　　使用者和資源的管理本身已經(jīng)很復(fù)雜，為了合規(guī)，進(jìn)行相關(guān)的帳號管理，口令定期更改等操作將會使企業(yè)工作量增加，運行效率降低，管理員出錯的概率提高，從而導(dǎo)致企業(yè)運行成本不斷升高。4A系統(tǒng)就是中國移動針對上述問題而提出的技術(shù)手段，使得企業(yè)對眾多應(yīng)用、系統(tǒng)、設(shè)備的用戶帳號進(jìn)行有效管理，保證用戶登錄的安全性，并滿足SOX審計的相關(guān)要求。

　　因此在企業(yè)內(nèi)建設(shè)一個集中安全服務(wù)平臺，在傳統(tǒng)訪問控制概念中AAA的基礎(chǔ)上增強對賬號（Account）這種特殊資源的管理與控制，將能給企業(yè)的可持續(xù)發(fā)展，帶來眾多價值，如下所述：

　　簡化管理，統(tǒng)一認(rèn)證、授權(quán)和審計，工作復(fù)雜度大幅度降低；

　　提高帳號安全性，帳號維護(hù)的監(jiān)管得到加強，各系統(tǒng)口令維護(hù)策略可以統(tǒng)一執(zhí)行；

　　安全自知，訪問操作資源過程中的各種審計信息，已經(jīng)業(yè)務(wù)運行中的各種審計信息，能集中管理，集中監(jiān)控，安全狀況盡在掌握；

　　責(zé)任到人，安全事故定位到人，避免多人共享賬號導(dǎo)致問題無法問責(zé)；

　　方便使用，單點登錄免去員工在各系統(tǒng)間切換時，需要再次輸入用戶名和口令的繁瑣，也不用擔(dān)心記不住各種口令而苦惱；

　　發(fā)現(xiàn)異常，對各個系統(tǒng)，和所有用戶，進(jìn)行統(tǒng)一的訪問審計，利于綜合統(tǒng)計，用戶行為關(guān)聯(lián)分析，及時發(fā)現(xiàn)異常操作行為；

　　企業(yè)合規(guī)，使企業(yè)用最小的運行成本符合與國家法律法規(guī)的要求；

　　保護(hù)投資，企業(yè)后續(xù)系統(tǒng)完全可以建立在該系統(tǒng)之上；用戶管理，資產(chǎn)管理，認(rèn)證授權(quán)，安全響應(yīng)不用重復(fù)開發(fā)；

　　消除信息孤島，使各系統(tǒng)能夠共享用戶，資產(chǎn)等信息；并可以高效、方便的進(jìn)行數(shù)據(jù)安全管理。

　　4A發(fā)展觀察

　　4A經(jīng)過四五年的發(fā)展，正發(fā)生著潛移默化的改變。4A平臺已經(jīng)逐漸演變成企業(yè)的IT基礎(chǔ)設(shè)施建設(shè)，而原來是在AAA中增加的Account（賬號）管理，則獨立成為平臺下的一個應(yīng)用。在未來幾年里，可以預(yù)見這些趨勢將持續(xù)下去，同時4A還會有那些變化和發(fā)展呢？

　　1與SIEM組成立體型審計環(huán)境

　　合規(guī)性審計在未來幾年任將是企業(yè)需求的源泉之一。例如2008年5月22日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會五個部門聯(lián)合《企業(yè)內(nèi)部控制基本規(guī)范》（即“中國的薩班斯法案”，亦稱C-SOX）將于2009年7月1日起先在上市公司范圍內(nèi)施行。SIEM類產(chǎn)品收集各類系統(tǒng)日志與事件，并有能力進(jìn)行關(guān)聯(lián)分析。但是SIEM類產(chǎn)品在審計到人和人員操作類審計上，目前無法獨立給企業(yè)提供幫助。因此將行業(yè)內(nèi)已經(jīng)多年積累的SIEM經(jīng)驗與4A有機結(jié)合，為企業(yè)安全運行提供保障，給企業(yè)建立立體型審計環(huán)境，切實有效幫助企業(yè)的降低運行成本，也能達(dá)到法律法規(guī)的要求，將得到深入的研究與發(fā)展。

　　2與應(yīng)用網(wǎng)關(guān)、終端管理組成全方位的訪問控制體系

　　完善的訪問控制體系，是企業(yè)安全的直接保障，獨立的訪問控制手段在一定程度上缺少全面證明能力。因此在業(yè)務(wù)的兩端，業(yè)務(wù)使用方，和業(yè)務(wù)提供方，雙管齊下，即監(jiān)視使用者的設(shè)備以及使用者的身份與操作，又監(jiān)控支撐業(yè)務(wù)的設(shè)備及系統(tǒng)的使用情況，將達(dá)到最佳效果。這樣4A的將不僅僅是監(jiān)控提供者，同時是主動報告者，策略實施者，是從而建立起全方位的訪問控制體系。

　　3幫助企業(yè)實現(xiàn)IT系統(tǒng)的基礎(chǔ)設(shè)施建設(shè)

　　自2006年開始4A的完善與建設(shè)從沒有停止。一方面，“大4A平臺”的規(guī)劃正在起步，新的概念，名詞還將應(yīng)運而生；另一方面，隨著中小企業(yè)在信息化建設(shè)的發(fā)展，集中安全服務(wù)平臺的建設(shè)將逐步普遍化。通過統(tǒng)一的安全服務(wù)技術(shù)架構(gòu)，使新的應(yīng)用可以很容易的集成到統(tǒng)一平臺中。通過該平臺對業(yè)務(wù)支撐，系統(tǒng)各種IT資源（包括應(yīng)用和系統(tǒng)）進(jìn)行集中管理，為各個業(yè)務(wù)系統(tǒng)提供集中安全服務(wù)，提升業(yè)務(wù)的安全性和可管理能力。

　　總之，4A的發(fā)展將繼續(xù)在深度和廣度兩個方面持續(xù)發(fā)展下去。一方面成為企業(yè)集中安全服務(wù)平臺這樣的基礎(chǔ)設(shè)施；另一方面還會繼續(xù)深入到企業(yè)的業(yè)務(wù)系統(tǒng)中，為用戶的業(yè)務(wù)保駕護(hù)航。