4A管理電力行業(yè)信息系統(tǒng)安全建設(shè)的基石

2013-10-16 17:44:59 EP電力信息化網(wǎng)　點(diǎn)擊量：評論 (0)

作為安全體系建設(shè)的重要組成部分和基石，訪問控制管理是企業(yè)信息安全建設(shè)的第一道防線，實施有效的、安全的訪問控制解決方案是企業(yè)安全體系建設(shè)的基礎(chǔ)。主管信息安全領(lǐng)域的政府職能部門和國內(nèi)的安全企業(yè)一直在研

咨詢和醫(yī)療保險部門都必須在2005年4月以前建立安全標(biāo)準(zhǔn)，以符合HIPAA法規(guī)的規(guī)定。

4A管理在美國企業(yè)的廣泛推廣源于薩班斯法案的出臺，2002年7月，美國國會正式頒布《2002年公眾公司會計改革和投資者保護(hù)法案》（Public Company Accounting Reform and Investor Protection Act of 2002），又名薩班斯法案（SOX法案）。薩班斯法案源于由安然事件引起的公眾對美國上市公司的財務(wù)信任危機(jī)，該法案是美國有史以來通過的最具有深遠(yuǎn)意義的證券立法之一，目的是通過提高公司信息披露的準(zhǔn)確性和可靠性，增加公司責(zé)任，為上市公司會計和審計的不適當(dāng)行為規(guī)定更加嚴(yán)厲的處罰，同時保護(hù)投資者；法案對上市公司的IT內(nèi)控制度也提出了明確的要求，法案的出臺和強(qiáng)制性，引發(fā)了美國的各上市公司和打算在美國上市的外國企業(yè)紛紛加強(qiáng)企業(yè)內(nèi)部的IT控制，4A管理在企業(yè)中迅速發(fā)展起來。

我國在網(wǎng)絡(luò)安全管理制度建設(shè)和體系建設(shè)的探索和發(fā)展雖然晚于美國，但發(fā)展迅速，在1992年制定了《計算機(jī)信息系統(tǒng)安全保護(hù)條例》，在此基礎(chǔ)上，陸續(xù)出臺了多項法律法規(guī)和國家標(biāo)準(zhǔn)，并在近期頒布了《信息系統(tǒng)等級保護(hù)管理辦法》，在重點(diǎn)行業(yè)積極推動等級保護(hù)工作。《管理辦法》的發(fā)布加速了我國的信息安全體系建設(shè)，作為信息安全建設(shè)的重要組成部分的——訪問控制管理成為企業(yè)安全建設(shè)的迫切需求。

訪問控制管理是在網(wǎng)絡(luò)安全行業(yè)市場的不斷發(fā)展中細(xì)分出來的，4A的帳號（Account）、認(rèn)證(Authentication)、授權(quán)（Authorization)和審計（Audit）統(tǒng)一安全管理解決方案是將訪問控制領(lǐng)域的技術(shù)集中到安全管理平臺上，實現(xiàn)對企業(yè)帳戶及資源的統(tǒng)一認(rèn)證和管理。目前，4A的概念已經(jīng)打破了原來的訪問控制主要集中在授權(quán)、審計和認(rèn)證三大部分的狀況，而是包含了統(tǒng)一用戶帳號管理、統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)管理和統(tǒng)一安全審計四要素，涵蓋帳號同步、單點(diǎn)登錄、集中授權(quán)和集中審計等安全功能的綜合訪問控制管理平臺。在4A的概念中，各組成部分并不是完全獨(dú)立的子系統(tǒng)，而是和其它部分相結(jié)合，共同構(gòu)建企業(yè)安全的訪問控制屏障。

當(dāng)前，我國的醫(yī)療行業(yè)、政府機(jī)構(gòu)、電力行業(yè)等具有大型網(wǎng)絡(luò)基礎(chǔ)的重點(diǎn)行業(yè)對4A解決方案的需求都在不斷增長，在這方面，已經(jīng)有部分電力企業(yè)走在了前列，如福建電力將身份認(rèn)證等訪問控制技術(shù)作為其網(wǎng)絡(luò)安全建設(shè)的重要組成部分，一些大型新建電力企業(yè)也將安全評估和安全建設(shè)納入了企業(yè)信息系統(tǒng)建設(shè)的規(guī)劃，將企業(yè)信息系統(tǒng)的安全風(fēng)險控制到企業(yè)可接受的最小范圍內(nèi)。

4A體系架構(gòu)和解決方案

4A體系架構(gòu)的基本思想是將帳號（Account）管理、認(rèn)證（Authentication）管理、授權(quán)（Authorization）管理和安全審計(Audit）整合成集中、統(tǒng)一的安全服務(wù)系統(tǒng)，稱為4A管理平臺或4A平臺，并且提供接口，使新的應(yīng)用可以很容易的集成到平臺上來，同時為企業(yè)與外部系統(tǒng)的集成（如SOC平臺、外部認(rèn)證組件、外部審計組件）提供接口。

4A體系架構(gòu)的整體框架如

4A平臺主要實現(xiàn)的管理功能應(yīng)包括以下部分：

集中帳號（Account）管理：為用戶提供統(tǒng)一集中的帳號管理，支持管理的資源包括主流的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)；不僅能夠?qū)崿F(xiàn)被管理資源帳號的創(chuàng)建、刪除及同步等帳號管理生命周期所包含的基本功能，而且也可以通過平臺進(jìn)行帳號密碼策略，密碼強(qiáng)度、生存周期的設(shè)定。

集中認(rèn)證（Authentication）管理：可以根據(jù)用戶應(yīng)用的實際需要，為用戶提供不同強(qiáng)度的認(rèn)證方式，既可以保持原有的靜態(tài)口令方式，又可以提供具有雙因子認(rèn)證方式的高強(qiáng)度認(rèn)證（一次性口令、數(shù)字證書、動態(tài)口令），而且還能夠集成現(xiàn)有其它如生物特征等新型的認(rèn)證方式。不僅可以實現(xiàn)用戶認(rèn)證的統(tǒng)一管理，并且能夠為用戶提供統(tǒng)一的認(rèn)證門戶，實現(xiàn)企業(yè)信息資源訪問的單點(diǎn)登錄。

集中權(quán)限(Authorization)管理：可以對用戶的資源訪問權(quán)限進(jìn)行集中控制。它既可以實現(xiàn)對B/S、C/S應(yīng)用系統(tǒng)資源的訪問權(quán)限控制，也可以實現(xiàn)對數(shù)據(jù)庫、主機(jī)及網(wǎng)絡(luò)設(shè)備的操作的權(quán)限控制，資源控制類型既包括B/S的URL、C/S的功能模塊，也包括數(shù)據(jù)庫的數(shù)據(jù)、記錄及主機(jī)、網(wǎng)絡(luò)設(shè)備的操作命令、IP地址及端口。

集中審計(Audit)管理：將用戶所有的操作日志集中記錄管理和分析，不僅可以對用戶行為進(jìn)行監(jiān)控，并且可以通過集中的審計數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，以便于事后

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊