◆嚴(yán)彬元

（貴州電網(wǎng)公司信息中心 貴州 550002）

4A統(tǒng)一安全管控平臺深化應(yīng)用探討

◆嚴(yán)彬元

（貴州電網(wǎng)公司信息中心 貴州 550002）

本文基于貴州電網(wǎng)4A統(tǒng)一安全管控平臺展開，在4A統(tǒng)一安全管控平臺已實現(xiàn)賬號統(tǒng)一管理、集中認證、統(tǒng)一授權(quán)和集中認證的基礎(chǔ)上，提出4A統(tǒng)一安全管控平臺應(yīng)用進一步深化的途徑，包括大數(shù)據(jù)平臺管控、VPN接入認證和賬號自動化管理三個方面。通過4A平臺在這方面的深化應(yīng)用，實現(xiàn)貴州電網(wǎng)信息化、規(guī)范化和安全的不斷提升。

信息安全；認證；自動化管理；4A統(tǒng)一安全管控平臺

0 引言

隨著南方電網(wǎng)業(yè)務(wù)發(fā)展，其內(nèi)部用戶數(shù)量持續(xù)增加，網(wǎng)絡(luò)規(guī)模迅速擴大，安全問題不斷出現(xiàn)。而每個業(yè)務(wù)系統(tǒng)分別維護一套用戶信息數(shù)據(jù)，管理本系統(tǒng)內(nèi)的賬號和口令，孤立的以日志形式審計操作者在系統(tǒng)內(nèi)的操作行為?，F(xiàn)有的這種賬號口令管理、訪問控制及審計措施已遠遠不能滿足自身業(yè)務(wù)發(fā)展需求，及與國際業(yè)務(wù)接軌的需求，急需通過4A統(tǒng)一安全管控平臺解決上述存在的賬號管理、認證等方面的問題。

現(xiàn)有4A平臺已實現(xiàn)集中賬號管理、認證管理、授權(quán)管理和審計管理。

（1）賬號管理

為用戶提供統(tǒng)一集中的賬號管理，集中維護包括主賬號（自然人）和從賬號（資源）在內(nèi)的全部賬號以及和賬號相關(guān)的可在4A 平臺中管理的賬號相關(guān)屬性。接管的從賬號包括主流操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等系統(tǒng)資源的賬號。

（2）認證管理

提供了不同強度的認證方式，既可以保持原有的靜態(tài)口令認證方式，又可以提供具有雙因子認證方式的高強度認證方式，包括一次性口令、動態(tài)口令等強認證方式。不僅為用戶提供統(tǒng)一認證管理，還實現(xiàn)了接入資源的單點登錄。

（3）授權(quán)管理

實現(xiàn)了對用戶訪問資源權(quán)限的實體級管控，包括對操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的權(quán)限控制，也包括對B/S、C/S應(yīng)用系統(tǒng)資源的訪問控制。

（4）審計管理

對用戶在4A平臺上、以及通過4A平臺訪問資源的操作日志進行集中記錄管理和分析，不僅可以對用戶行為進行監(jiān)控，并且可以通過集中的審計數(shù)據(jù)進行數(shù)據(jù)挖掘，不斷提升審計效果和權(quán)威性。

1 4A統(tǒng)一安全管控平臺深化思路

通過近幾年4A平臺建設(shè)，基礎(chǔ)的4個A的功能功能已全部覆蓋，基礎(chǔ)的資源已完成接入管控。但隨著大數(shù)據(jù)的普及和推廣、VPN設(shè)備的不斷應(yīng)用以及企業(yè)對流程自動化的要求不斷提高和網(wǎng)絡(luò)安全法的頒發(fā)實時，現(xiàn)有的4A平臺在資源接入的廣度、深度、賬號管理自動化等方面已不能很好地滿足業(yè)務(wù)需求，需要在大數(shù)據(jù)平臺管控、VPN認證、賬號自動化管理等方面進行不斷深化。

2 4A統(tǒng)一安全管控平臺進一步深化具體實現(xiàn)

2.1 大數(shù)據(jù)平臺管控

大數(shù)據(jù)平臺為了追求數(shù)據(jù)處理數(shù)量和速度上優(yōu)勢，在設(shè)計之初對安全方面考慮不足。在Hadoop 最開始的版本（Hadoop1.0 ）設(shè)計中服務(wù)器與服務(wù)器之間沒有認證機制，因此攻擊者可以偽裝成集群中合法的DataNode、TaskTracker 服務(wù)器對集群進行攻擊，或者接受NameNode 和JobTracker 發(fā)布的數(shù)據(jù)和任務(wù)。

最初版本中服務(wù)器與用戶之間也沒有認證機制，因此任何用戶都可以偽裝成其他用戶對HDFS 或MapReduce 集群進行非法訪問，甚至進行一些非法活動，例如對其他用戶的作業(yè)進行修改、篡改其他用戶在HDFS 上的數(shù)據(jù)，或者惡意提交作業(yè)，占用集群資源等等。

（1）大數(shù)據(jù)平臺賬號管理

大數(shù)據(jù)平臺的賬號應(yīng)納入4A平臺集中管理，接入4A平臺管控的大數(shù)據(jù)平臺必須開啟Kerberos認證配置，以集中管控大數(shù)據(jù)平臺的賬號信息。

大數(shù)據(jù)平臺的賬號集中管理應(yīng)實現(xiàn)以下功能：

4A應(yīng)在完成主賬號創(chuàng)建后，實時或定期將主賬號的名稱和密碼同步至kerberos服務(wù)器。

4A修改主賬號的密碼后，實時或定期將主賬號的新密碼同步到kerberos服務(wù)器。

4A禁用、刪除主賬號后，實時或定期將主賬號信息從kerberos服務(wù)器端刪除。

4A中的主賬號過期后，實時或定期將主賬號信息從kerberos服務(wù)器端刪除。

（2）大數(shù)據(jù)平臺認證

4A平臺管控的大數(shù)據(jù)平臺應(yīng)通過啟用kerberos認證方式實現(xiàn)，如果之前大數(shù)據(jù)平臺已經(jīng)建設(shè)Kerberos認證中心，4A平臺應(yīng)具備集成已建設(shè)的Kerberos認證中心；如果之前未建設(shè)，則由4A平臺負責(zé)搭建Kerberos認證中心為所有的大數(shù)據(jù)平臺提供認證服務(wù)。

所有賬號在操作大數(shù)據(jù)平臺前應(yīng)首先向kerberos驗證賬號合法性，并攜帶kerberos簽發(fā)的票據(jù)訪問對應(yīng)大數(shù)據(jù)平臺，具體流程如圖1所示。

圖1 訪問大數(shù)據(jù)平臺時的認證過程

①用戶向kerberos提交賬號名和密碼；

②Kerberos驗證賬號名和密碼；

③Kerberos驗證賬號名和密碼通過后為合法用戶簽發(fā)會話票據(jù)；

④用戶攜帶會話票據(jù)再次向kerberos請求目標(biāo)大數(shù)據(jù)平臺的訪問票據(jù)；

⑤Kerberos驗證票據(jù)有效性；

⑥Kerberos返回大數(shù)據(jù)平臺的訪問票據(jù)；

⑦用戶攜帶訪問票據(jù)操作目標(biāo)大數(shù)據(jù)平臺；

⑧大數(shù)據(jù)平臺驗證訪問票據(jù)的有效性；

⑨大數(shù)據(jù)平臺執(zhí)行請求的操作；

⑩大數(shù)據(jù)平臺返回用戶操作結(jié)果。

2.2 VPN接入認證

4A平臺應(yīng)提供SSL VPN、IPSec VPN的認證接入服務(wù)，并支持自動或手動兩種VPN設(shè)備接入模式：

（1）自動模式：如果VPN為業(yè)務(wù)系統(tǒng)的專用遠程訪問設(shè)備，用戶登錄VPN后應(yīng)只允許直接登錄4A平臺，防止繞過4A平臺訪問業(yè)務(wù)系統(tǒng)的行為。

（2）手動模式：如果VPN為業(yè)務(wù)系統(tǒng)與其他IT系統(tǒng)的共享遠程訪問設(shè)備，4A平臺應(yīng)作為一個登錄鏈接選項提供。

實現(xiàn)VPN認證模式可以采用兩種方式：

（1）認證代理模式

在4A平臺和VPN之間部署4A認證代理，實現(xiàn)VPN與4A平臺之間認證請求、認證結(jié)果的傳遞，并且向VPN提供4A強認證登錄界面。VPN認證代理模式如圖2所示。

圖2 VPN認證代理模式

（2）直通模式

4A平臺與VPN通過內(nèi)部接口方式實現(xiàn)認證請求、認證結(jié)果的傳遞，并且由 VPN自行通過改造提供強認證登錄界面，直通模式只適用于VPN設(shè)備支持登錄界面改造的情況。VPN認證直通模式如圖3所示。

圖3 VPN認證直通模式

4A平臺提供VPN統(tǒng)一接入認證服務(wù)需要滿足以下要求：為了保障業(yè)務(wù)系統(tǒng)以及4A平臺的安全性，降低互聯(lián)網(wǎng)用戶通過VPN和4A平臺入侵的風(fēng)險，禁止VPN系統(tǒng)與4A平臺采用默認透傳方式連接：

①4A平臺必須對主賬號登錄VPN的行為進行限制，只有經(jīng)配置允許VPN登錄的主賬號才能通過VPN登錄4A平臺；

②通過VPN登錄后，必須通過4A平臺訪問被管資源，不允許繞過4A直接登錄被管資源。

③通過VPN訪問4A平臺和業(yè)務(wù)系統(tǒng)都必須采用強身份認證方式。

2.3 賬號自動化管理

4A平臺提供賬號自動化管理功能，賬號自動化管理功能接收來自流程系統(tǒng)的審批結(jié)果，自動完成主賬號創(chuàng)建、從賬號創(chuàng)建、主從賬號綁定解綁、主賬號刪除、從賬號鎖定。

2.4 入職自動化賬號管理

用戶入職后，管理員在流程系統(tǒng)中發(fā)起入職申請流程，完成流程審批之后自動進行主賬號創(chuàng)建、從賬號創(chuàng)建、主從賬號綁定。

（1）主賬號創(chuàng)建

流程系統(tǒng)將申請的主賬號基本信息流轉(zhuǎn)至4A平臺賬號自動化模塊，由4A平臺自動完成主賬號創(chuàng)建。

（2）從賬號創(chuàng)建

流程系統(tǒng)將申請的從賬號基本信息流轉(zhuǎn)至4A平臺賬號自動化模塊，由4A平臺自動完成從賬號創(chuàng)建，并同步到資源側(cè)。

（3）主從賬號綁定

流程系統(tǒng)完成審批流程之后，申請的主從賬號綁定信息自動流轉(zhuǎn)至4A平臺賬號自動化模塊，由4A平臺自動完成主從賬號綁定。

2.5 離職自動化賬號管理

用戶離職后，管理員在流程系統(tǒng)中發(fā)起用戶離職申請流程，完成審批流程之后自動進行主從賬號解綁、主賬號刪除(邏輯刪除)、從賬號鎖定。4A平臺應(yīng)直至自動化處理的策略，至少支持主從賬號解綁、刪除、從賬號鎖定的期限（例如，離職工單審批完成2周后進行賬號刪除、從賬號鎖定）。

（1）主從賬號解綁

流程系統(tǒng)完成審批流程之后，申請的離職基本信息自動流轉(zhuǎn)至4A平臺賬號自動化模塊，由4A平臺自動完成主從賬號解綁。

（2）主賬號刪除

流程系統(tǒng)完成審批流程之后，申請的離職基本信息自動流轉(zhuǎn)至4A平臺賬號自動化模塊，由4A平臺自動完成主賬號刪除（邏輯刪除）操作。

（3）從賬號鎖定

流程系統(tǒng)完成審批流程之后，申請的離職基本信息自動流轉(zhuǎn)至4A平臺賬號自動化模塊，由4A平臺自動完成從賬號的鎖定操作。

3 結(jié)束語

本文從大數(shù)據(jù)管控、VPN接入認證、賬號自動化管理三個方面展示4A統(tǒng)一安全管控平臺應(yīng)用深化的闡述，滿足了業(yè)務(wù)合規(guī)過程對4A的要求、加強了4A管控的業(yè)務(wù)范圍、同時規(guī)范了賬號管理流程。在此基礎(chǔ)上，通過認證管理、賬號管理和授權(quán)管理的高度集成，進一步加強4A的安全管控能力。

4A統(tǒng)一安全管控平臺作為貴州電網(wǎng)核心的安全平臺，通過不斷推廣和深化應(yīng)用，不僅可以加強信息安全建設(shè)，還可以提升管理的合規(guī)性，同時提升企業(yè)信息化管理能力。

[1]李申章，郭威，毛正雄，張雪堅．從組織人員“流動”管理的角度探討4A的深化應(yīng)用．中國管理信息化．

[2]http：//www．doc88．com/p-7008677362917．html．

[3]田峰，蔡嘉勇，王恒毅等．中國移動業(yè)務(wù)支撐網(wǎng)4A平臺安全技術(shù)規(guī)范，賬號管理和認證管理分冊．

[4]https：//wenku．baidu．com/view/413f6668a98271fe910ef93 3．html．

[5]https：//wenku．baidu．com/view/0e37ef29d0d233d4b04e69 41．html．