用Tivoli软件构建企业4A安全管理平台

业风险与信息安全　　一谈到信息安全，人们往往首先想到的是防火墙、入侵检测、漏洞扫描、数据加密等安全防御产品。这些产品主要从网络层次上防止潜在的安全威胁。然而随着各企业不断开展电子商务和将内部资源不同程度地向客户、合作伙伴及员工开放，对于企业至关重要的信息财产安全越发得到重视。尤其是在信息访问越发便捷的背景下，这些资产也暴露在越来越多的威胁中，毫无疑问，信息保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业急待解决的安全问题。
　　随着企业的不断发展，各种支撑系统和各系统用户数量不断增加，网络规模迅速扩大，原有的简单账号口令管理措施已日渐不能满足信息安全的要求，主要表现在以下方面：
　　· 系统多，且分别属于不同的部门和不同的业务系统。每套应用系统都有一套独立的认证、授权和审计系统，并且由相应的系统管理员负责维护和管理。出现同一台服务器或网络设备需要多人维护，或同一人需要维护多台服务器和网络设备情况，系统维护成本增加。
　　· 由于缺乏统一的身份管理平台，难以管理系统运维帐号，超级用户帐号共享的现象普遍存在。账号的多人共用，不仅在发生安全事故，难于确定账号的实际使用者，在平时也难于对账号的扩散范围进行控制，容易造成安全漏洞。
　　· 每个系统分别管理所属的系统资源，为本系统的用户分配权限，缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限，系统的安全性无法得到充分保证。
　　· 随着系统的增多，使用户经常需要在各个系统之间切换，每次从一个系统切换到另一支撑系统时，都需要输入用户名和口令进行登录。给用户的工作带来不便，影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的，危害到系统的安全性。
　　· 由于各系统独立运行、维护和管理，所以各系统的审计也是相互独立的，缺乏集中统一的系统访问审计。无法对支撑系统进行综合分析，不能及时发现入侵行为。
　　因此需要系统和安全管理人员可以对企业内部的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证支撑系统安全策略的实施。所以构建信息级的企业安全必须解决用户的账号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit)方面的问题，即4A解决方案。4A主要回答了这样几个问题，即："谁能进来？""他们能够做什么？""是否能够为

4A安全管理平台的价值　　账号管理即是将自然人与其拥有的所有系统账号关联，集中进行管理，包括按照密码策略自动更改密码，不同系统间的账号同步等。身份认证用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说，身份认证是一个基本的安全考虑。授权是指对用户使用支撑系统资源的具体情况进行合理分配的技术，实现不同用户对系统不同部分资源的访问。审计是指收集、记录用户对支撑系统资源的使用情况，以便于统计用户对网络资源的访问情况，并且在出现安全事故时，可以追踪原因，追究相关人员的责任，以减少由于内部计算机用户滥用网络资源造成的安全危害。4A一起确保合法用户安全、方便使用特定资源。这样既有效地保障了合法用户的权益，又能有效地保障支撑系统安全可靠地运行。
　　4A框架的作用主要体现在系统管理员方面、普通用户方面、系统安全性、系统管理费用等方面。
　　企业角度
　　对于企业来说，由于企业内部账号、授权管理的混乱，造成私设账号、账号失效后未及时收回、某些账号的扩散范围难于控制，从而给企业造成的安全损失是很严重的。
　　在4A框架下，账号、授权管理将纳入统一、可控的框架和过程，账号设置、分配均有详细记录，可以审计；账号撤消、更改后的同步工作（包括从集中账号管理系统向各主机、设备、系统下发账号，及集中账号管理系统从各主机、设备、系统收集账号）均由系统自动完成，避免手工同步；对账号的有效期可以用时间、地域等附加因素进行限制，防止滥用；在多人共用账号的情况下，审计也可以精确到实际使用账号的个人；针对高价值资产、高权限账号，通过灵活支持动态口令、PKI、生物认证等强认证技术，提高信息资产的安全性，并实现不同权限等级账号的不同安全策略。
　　这些措施无疑将给企业信息资产的安全防护提供强有力的手段，避免安全损失，同时通过保障企业内主机、设备、应用系统的顺畅运行，给企业增加效益。
　　管理员角度
　　采用4A框架，方便了系统中包括从系统用户聘用到辞职的整个生命周期的管理。如账号创建、授权、权限更改、个人信息更改、口令更改、账号删除等，均可在一个平台上进行管理，使用户与其账号的对应关系符合实际情况，保证用户拥有的权限是完成其工作所需的最小权限。
　　通过4A框架，系统管理员可以方便高效地对支撑系统进行审计，及时发现未授权的信息资源访问，权限滥用，入侵企图等等。
　　4A框架还为安全策略的强制统一执行提供技术保证，如监测用户口令的强度，口令更改周期等等。
　　减少由于用户忘记密码产生的维护成本。
　　这些都使管理员对信息资源管理的效率大大提高。
　　普通用户角度
　　通过4A框架，可以保证用户权限的分配符合安全策略要求，拥有完成任务所需要的最小权限。
　　用户可以通过4A框架提供的自助管理接口，可以方便地更改自己的口令和个人基本信息，减轻了系统管理员的工作负担，也提高了用户的工作效率。
　　通过4A框架提供的单点登录系统，用户一次登录即可方便地访问被授权的所有系统，省去了记忆多个账号名和口令的麻烦，提高了工作效率。
　　系统安全角度
　　4A框架可以使用户的工作变动情况及时在支撑系统中得到体现，通过集中平台，一个指令，即可以干净、彻底的清除与每个用户相关的所有账号，防止出现用户已经离职但账号还存在的情况。