摘 要：4A安全管理系統(tǒng)是針對目前在管理系統(tǒng)存在問題而設(shè)計的，現(xiàn)在很多管理系統(tǒng)都存在多個子系統(tǒng)，在這些子系統(tǒng)的安全設(shè)備上一般都沒有進行獨立的認證和權(quán)限審查，這就導致了賬號無法進行有效地整合。4A管理系統(tǒng)主要是通過Portal技術(shù)進行算法加密，以此實現(xiàn)多個系統(tǒng)和總的管理系統(tǒng)之間進行信息的交流和溝通，這樣就實現(xiàn)各個系統(tǒng)之間的有效安全訪問，從而為客戶提供功能更加完善和具有更高級別的管理服務(wù)。

關(guān)鍵詞：安全管理系統(tǒng)；認證；登陸權(quán)限；子系統(tǒng)管理審計

中圖分類號：TP311.52

隨著各個企業(yè)的電子商務(wù)的開展以及各自的內(nèi)部資源進行了不同程度的公開化，使得企業(yè)某些比較重要的信息財產(chǎn)安全得到威脅，特別是在當前信息比較快捷的情況下，很多信息背后都相應對應著資產(chǎn)，這也就使得很多客戶和企業(yè)的資產(chǎn)受到威脅。目前企業(yè)的當務(wù)之急就是對這些相關(guān)信息的私密性、完整性以及真實可靠性進行詳細的管理和保護，提高自身管理的安全系數(shù)。

1 傳統(tǒng)業(yè)務(wù)支撐系統(tǒng)存在問題

1.1 數(shù)據(jù)庫和管理模式相對獨立

目前國內(nèi)很多的企業(yè)業(yè)務(wù)系統(tǒng)都存在著很多子系統(tǒng)，這些子系統(tǒng)都使用相對獨立的數(shù)據(jù)庫、總系統(tǒng)的管理主機系統(tǒng)、硬件網(wǎng)絡(luò)管理設(shè)備，這些相對比較獨立的子系統(tǒng)導致了公司的常規(guī)維護工作人員無法同時對多種形態(tài)和功能的支撐系統(tǒng)進行同時地維護和完善，這就在很大程度上增加了子系統(tǒng)和整體工作系統(tǒng)的維護工作的復雜程度，提高了維護工作的人力成本，同時也給系統(tǒng)的正常運行帶來了較高的運行風險，這就使得用戶在正常使用各個業(yè)務(wù)子系統(tǒng)的工作過程中可能存在因為沒有進行及時維護而造成的數(shù)據(jù)丟失或者網(wǎng)絡(luò)資源被竊取，給系統(tǒng)的運營方帶來不可估量的損失。

1.2 權(quán)限機制和權(quán)限管理相對獨立

因為各個運行系統(tǒng)支撐的應用企業(yè)資源和系統(tǒng)資源都相對比較獨立，進行管理和配置的用戶操作也是由各個子系統(tǒng)的管理者進行操作的，這就導致了整個工作系統(tǒng)缺乏統(tǒng)一的資源權(quán)限管理平臺，隨著系統(tǒng)用戶端的不斷增長，進行權(quán)限管理的任務(wù)負擔也越來越重，最終無法實現(xiàn)系統(tǒng)工作的安全性，最終導致整個系統(tǒng)受到威脅，財產(chǎn)和有價值的信息丟失或遭到竊取，導致整個工作系統(tǒng)和管理系統(tǒng)的管理失效，進而造成整個系統(tǒng)運行環(huán)境的崩潰。

1.3 基于獨立賬號管理跨系統(tǒng)的訪問

一個系統(tǒng)的業(yè)務(wù)支撐系統(tǒng)要隨著系統(tǒng)業(yè)務(wù)量的增加而增加，而各個用戶需要經(jīng)常在各個子系統(tǒng)之間進行切換，在用戶進行子系統(tǒng)切換時，用戶就需要重新輸入用戶名和密碼，這就極大地影響了日常的工作效率，而且造成了大量的賬號浪費，有些用戶在一個子系統(tǒng)內(nèi)可能只是需要資源的一次性使用，但是需要占用一個客戶端資源，這也極大地增加了后臺管理系統(tǒng)的負擔，因為沒有對賬號進行及時和統(tǒng)一的管理，從而加大了對于賬號進行總體管理的難度。獨立賬號的跨系統(tǒng)管理就意味著在工作過程中可能存在審計工作的獨立，審計工作的獨立就無法保證系統(tǒng)進行關(guān)聯(lián)性分析。因為原有的各個系統(tǒng)都是系統(tǒng)進行獨立操作的，如果沒有進行集中統(tǒng)一的管理，訪問審計機制也就無法對這些系統(tǒng)的資源進行有效地整合，從而無法形成綜合性的日志系統(tǒng)分析，也無法及時發(fā)現(xiàn)入侵行為，同時也就無法進行準確的數(shù)據(jù)追蹤和安全預警。建立一個以業(yè)務(wù)為中心提供統(tǒng)一基礎(chǔ)服務(wù)技術(shù)平臺是十分必要的，通過業(yè)務(wù)運營支撐的系統(tǒng)進行多種IT數(shù)據(jù)源的管理，從而使得各個子系統(tǒng)的業(yè)務(wù)平臺實現(xiàn)相對集中和統(tǒng)一的信息安全服務(wù)，以此提高業(yè)務(wù)支撐系統(tǒng)運行的可靠性和安全性，做到最大程度上保護使用用戶的合法權(quán)益和財產(chǎn)安全。

2 基于4A系統(tǒng)的設(shè)計與實現(xiàn)

2.1 4A管理平臺技術(shù)框架設(shè)計

4A管理系統(tǒng)的核心工作部分就是4A管理工作平臺，通過這個平臺和需要整合的外部系統(tǒng)及子系統(tǒng)實現(xiàn)現(xiàn)有業(yè)務(wù)的綜合性集成，同時還能夠為系統(tǒng)的管理工作人員提供相關(guān)的資源技術(shù)管理平臺。一般的4A技術(shù)管理平臺分為三個管理層。

首先是Portal層，因為外部的應用系統(tǒng)在應用技術(shù)上存在著很大的差異性，在進行用戶資源和公司資源管理上帶來了很大的不便，通過該層的建設(shè)就能夠給用戶提供一個統(tǒng)一的方式進行用戶的接入，并且將相關(guān)的業(yè)務(wù)管理流程進行規(guī)范化，實現(xiàn)整個管理系統(tǒng)提供一個具有個性化的單點統(tǒng)一登陸的功能，并且這個系統(tǒng)作為系統(tǒng)表現(xiàn)層的宿主，可以將外部各個子系統(tǒng)的內(nèi)容集成到一個綜合頁面上，用戶可以通過服務(wù)器分配的具體通行證進行具有指定性的登陸和訪問，這些管理信息將通過加密的方式儲存在通行證管理倉庫當中，為支撐系統(tǒng)的應用管理提供比較便利的訪問入口。

而應用層作為實現(xiàn)核心技術(shù)框架管理平臺的核心層是對上一個階層進行認證體系和權(quán)限管理的工作層面，這個應用層和傳統(tǒng)網(wǎng)絡(luò)所指的應用層有所不同，應用層不僅完成了計算機網(wǎng)絡(luò)和用戶之間的接入工作還完成了數(shù)據(jù)的采集整理過程，以及相關(guān)數(shù)據(jù)的分配和賬號分配的安全服務(wù)。應用層同時還針對下層接口提供賬號的同步和授權(quán)方面的認證以及審計制度下的數(shù)據(jù)收集工作。

接口層是實現(xiàn)4A管理平臺和被管理對象以及進行外部認證之間連接的層面，這個層面以各種網(wǎng)絡(luò)數(shù)據(jù)接口的形式實現(xiàn)，通過上層提供的數(shù)據(jù)將數(shù)據(jù)按照權(quán)限和需求分配給普通用戶和系統(tǒng)管理工作人員，通過下層可以實現(xiàn)內(nèi)部資源的整合和對外進行對接，實現(xiàn)外部子系統(tǒng)和相關(guān)組件的合理管理，主要從邊界關(guān)系、接口的類型和流程上進行管理，使得外部的資源系統(tǒng)能夠有過渡性地集成到同一個整體網(wǎng)絡(luò)系統(tǒng)。

2.2 4A系統(tǒng)與業(yè)務(wù)系統(tǒng)的整合實現(xiàn)

為了能夠?qū)⒏鱾€獨立的業(yè)務(wù)系統(tǒng)有機地整合到同一個工作系統(tǒng)內(nèi)部，4A系統(tǒng)管理平臺需要和各個被管理的子系統(tǒng)進行通訊接口定義，這主要包括了通訊協(xié)議內(nèi)容以及格式上的定義。各個被管理的業(yè)務(wù)子系統(tǒng)需要對4A管理系統(tǒng)提供相關(guān)協(xié)議的技術(shù)管理支撐，以此滿足4A管理系統(tǒng)的整體要求，管理系統(tǒng)主要分為四個類型的接口，被管理的應用子系統(tǒng)在提供賬號登陸、管理和審計接口上要滿足4A系統(tǒng)的整體要求，在進行組織機構(gòu)同步管理的過程中要通過JDBC訪問方式實現(xiàn)，通過將接口和雙方的信息同步保證進行信息保持一致，防止在發(fā)生信息變更時無法實現(xiàn)登陸從而阻礙數(shù)據(jù)交換。在進行網(wǎng)絡(luò)工程的安全防護過程中首先要使用管理系統(tǒng)來保證內(nèi)部局域網(wǎng)的系統(tǒng)安全性。管理系統(tǒng)主要是利用網(wǎng)絡(luò)隔離的方式將內(nèi)部局域網(wǎng)和外部的互聯(lián)網(wǎng)進行隔離，這種防護設(shè)備在一定程度上來說是建立在內(nèi)部網(wǎng)和外部互聯(lián)網(wǎng)的溝通橋梁和信息傳輸中轉(zhuǎn)站，主要實現(xiàn)途徑是通過一臺或者多臺計算機共同組成的，管理系統(tǒng)對內(nèi)部局域網(wǎng)和外部互聯(lián)網(wǎng)進行整體的數(shù)據(jù)流量分析檢驗和管理控制，以此實現(xiàn)外部網(wǎng)絡(luò)信息進入內(nèi)部局域網(wǎng)的篩選和過濾，這就防止了沒有經(jīng)過授權(quán)的訪問直接進入內(nèi)部局域網(wǎng)，以此實現(xiàn)保護內(nèi)部局域網(wǎng)的信息資源。

綜合性的系統(tǒng)管理設(shè)置可以實現(xiàn)在可信任的內(nèi)部局域網(wǎng)和具有不可知信任度的公共網(wǎng)設(shè)置的一個安全過渡階段。管理系統(tǒng)能夠根據(jù)外部入侵的實際供給能力提供全方位的安全服務(wù)，實現(xiàn)在進行數(shù)據(jù)信息傳輸?shù)陌踩?。從?shù)據(jù)指令邏輯上來講，管理系統(tǒng)不僅是一個分離限制工具，更是一個分析工具，能夠不斷對內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間的活動進行全時段的監(jiān)控，這就保證了內(nèi)部網(wǎng)絡(luò)工作過程中的安全。管理系統(tǒng)的主要體系結(jié)構(gòu)是雙重宿主系統(tǒng)的結(jié)構(gòu)，這種結(jié)構(gòu)至少要有兩個或者兩個以上的信息結(jié)構(gòu)作為信息傳輸設(shè)備，能夠從一個信息源地址發(fā)送到另外一個數(shù)據(jù)源地址，實現(xiàn)數(shù)據(jù)包的IP傳輸。這種管理系統(tǒng)機制能夠在進行IP傳輸?shù)倪^程中阻止含有危險信號的數(shù)據(jù)傳輸。外部的互聯(lián)網(wǎng)絡(luò)通過管理系統(tǒng)和內(nèi)部網(wǎng)絡(luò)進行通信的過程是要進行不斷地濾凈和控制的。當主機體系結(jié)構(gòu)被屏蔽時，就需要通過管理系統(tǒng)將路由器把內(nèi)部和外部網(wǎng)絡(luò)隔離開。在這種安全數(shù)據(jù)傳輸?shù)捏w系結(jié)構(gòu)中，管理系統(tǒng)主要負責數(shù)據(jù)包的信息過濾，在過濾的過程中主要能夠防止登錄用戶繞過代理服務(wù)器和內(nèi)部局域網(wǎng)進行直接連接。這種體系結(jié)構(gòu)涉及了主機系統(tǒng)，主機系統(tǒng)是能夠?qū)⑼獠炕ヂ?lián)網(wǎng)和內(nèi)部局域網(wǎng)進行連接的網(wǎng)絡(luò)系統(tǒng)，任意一個外部系統(tǒng)訪問內(nèi)部局域網(wǎng)在進行登錄之前都必須要連接到這臺主機上，因此主機的管理系統(tǒng)設(shè)置應該為最高級別。在數(shù)據(jù)包進行過濾的過程中要保證主機處于允許連接的設(shè)置狀態(tài)下，而對于允許可以連接的狀態(tài)就要按照站點的安全策略決定，當主機認為這種連接不會對內(nèi)部局域網(wǎng)絡(luò)產(chǎn)生威脅或者不良影響才能夠?qū)?nèi)部網(wǎng)絡(luò)連接到外部互聯(lián)網(wǎng)。這就從源頭上控制了外部惡意代碼和病毒以及黑客的入侵，有效地提高了內(nèi)部局域網(wǎng)和外部互聯(lián)網(wǎng)的整體連接，保證了信息傳輸?shù)男剩岣吡藬?shù)據(jù)的傳輸質(zhì)量。同時對系統(tǒng)要進行認證服務(wù)，4A管理系統(tǒng)一般要通過賬號和憑證方式兩個部分才能實現(xiàn)登陸，登陸方式一般以XML實現(xiàn)，應用登陸系統(tǒng)需要發(fā)送登陸憑證之后進行合理的身份認證才能進行登陸，在審計數(shù)據(jù)的統(tǒng)計過程中要同時完成網(wǎng)路數(shù)據(jù)日志的接收和保存工作。

2.3 4A系統(tǒng)業(yè)務(wù)處理流程

為了完成總系統(tǒng)下被管理的各個外部業(yè)務(wù)子系統(tǒng)在4A系統(tǒng)上的集成，需要對應用的資源進行注冊，同時進行及時的修改和維護，對于應用賬號的變化進行改查核授權(quán)維護，實現(xiàn)多個登陸賬號以統(tǒng)一樣式的表文件進行嵌入，以此形成統(tǒng)一的界面風格，這就給客戶在登陸上減少了很大的不便，使得客戶能夠根據(jù)自身的要求和相關(guān)業(yè)務(wù)進入相應的子系統(tǒng)，而這些操作模式和賬號資源對于客戶來說是透明公開的，這些用戶可以通過后臺處理服務(wù)完成資源的一致性以及定期檢測保證資源信息的使用安全性。

在4A管理系統(tǒng)的應用過程中要保證管理系統(tǒng)內(nèi)部的賬號在應用進行初步注冊但沒有進行初始化的過程中不能查看內(nèi)部的賬號和資源，只有當應用資源和相關(guān)系統(tǒng)數(shù)據(jù)完成初始化之后才可以查看賬號歸屬和數(shù)據(jù)。當定期的同步系統(tǒng)任務(wù)完成之后，系統(tǒng)中可能會出現(xiàn)管理人員的賬號不一致，在這種情況下系統(tǒng)的管理工作人員要對產(chǎn)生不一致的客戶接入點進行及時的同步處理，同步的標準要以4A管理系統(tǒng)為主或者以實際應用的管理系統(tǒng)為主進行同步。同時這也給網(wǎng)絡(luò)信息傳輸提出了更高的要求，在敏感文件和數(shù)據(jù)完整性上要做出更為準確的保護，通過更加嚴密的加密方式來滿足工作要求，為了能夠?qū)崿F(xiàn)網(wǎng)絡(luò)上數(shù)據(jù)和信息的安全使用和傳輸4A管理系統(tǒng)的資源在進行數(shù)據(jù)交互的過程中主要通過XML的方式得以實現(xiàn)，系統(tǒng)進行數(shù)據(jù)傳輸?shù)倪^程中要通過合理的資源數(shù)據(jù)編排進行資源管理，當信息發(fā)生錯時及時回饋錯誤信息然后進行及時合理的更正，保證信息和數(shù)據(jù)傳輸?shù)臏蚀_性。

在企業(yè)實現(xiàn)網(wǎng)絡(luò)工程先進級數(shù)設(shè)計和整體性能優(yōu)化的過程中，要避免原有設(shè)計技術(shù)的停滯，同時也要避免偏低級數(shù)對企業(yè)網(wǎng)絡(luò)的限制。目前網(wǎng)絡(luò)的主流傳輸室依靠快速以太網(wǎng)、千兆以太網(wǎng)和ATM三種方式進行傳輸。這些網(wǎng)絡(luò)能夠?qū)崿F(xiàn)網(wǎng)絡(luò)信息數(shù)據(jù)的快速傳輸，這些信息傳輸過程中都需要傳輸設(shè)備具有非常強的實時性，同時還要求了在傳輸過程中的長時間穩(wěn)定。而對于信息管理和銷售管理系統(tǒng)等多種系統(tǒng)則相對比較復雜，這些系統(tǒng)在工作的過程中不僅要對傳統(tǒng)的信息數(shù)據(jù)傳輸進行信息分類和查詢，還要在需要傳輸?shù)臄?shù)據(jù)中加載圖片、視頻和音頻等多種多媒體應用，這就要求了信息傳輸過程中要具有大量的可變量突發(fā)性信息傳輸渠道，在進行數(shù)據(jù)傳輸和接收時還要充分考慮到信息傳輸?shù)木鶆蛐院偷脱舆t性，從這些方面的要求來看，上述三種信息傳輸方式都能夠進行有效的信息傳輸。從網(wǎng)絡(luò)工程設(shè)計的成本角度來看，在設(shè)計網(wǎng)絡(luò)工程的過程中還要考慮到未來的維護成本和各種信息網(wǎng)絡(luò)之間的類型搭配等多種因素。但是對于數(shù)以百計的網(wǎng)絡(luò)接入點來講這就需要更大的投資量和較高水平的維護技術(shù)。在進行網(wǎng)絡(luò)工程建設(shè)中要重視多媒體技術(shù)的信息傳輸技術(shù)，所以要在建設(shè)過程中以發(fā)展的眼光滿足設(shè)計的需要，這就要求了企業(yè)加大對技術(shù)水平的重視，同時也要注重對原有信息網(wǎng)絡(luò)傳輸水平的提高和技術(shù)革新，通過及時地信息技術(shù)升級不斷提高自身的科技水平滿足更高速更便捷和更有效率的信息傳輸。只有為信息傳輸提供更加穩(wěn)定的信息傳輸環(huán)境和外部條件才能提高企業(yè)在信息傳輸上的整體水平，在日益激烈的市場競爭中立于不敗之地。

3 結(jié)束語

綜上所述，本系統(tǒng)在應用過程中，能夠很好地對原有分散系統(tǒng)進行有機整合，有效地實現(xiàn)了多個系統(tǒng)和4A管理平臺的信息關(guān)聯(lián)和功能交互兩者的一致性，同時4A管理平臺對敏感數(shù)據(jù)傳送的加密處理，確保了服務(wù)調(diào)用的可靠性和安全性.從目前信息系統(tǒng)有待整合的發(fā)展趨勢來看，推廣應用前景十分廣闊。在進行4A統(tǒng)一管理解決的管理過程中，該系統(tǒng)實現(xiàn)和完成了對認證和權(quán)限的管理以及審計和賬號管理多種要素的有機統(tǒng)一和資源整合，這其中也涵蓋了單個點登陸的安全實現(xiàn)功能，系統(tǒng)一方面可以為用戶提供更高安全級別的管理工作系統(tǒng)，另一方面也可以為使用的用戶提供符合要求的控制報表，工作系統(tǒng)具有這樣幾個特點：一致性，本工作系統(tǒng)是按照安全規(guī)范要求和說明進行統(tǒng)一性改造的，原有的各個系統(tǒng)和管理平臺的信息和關(guān)聯(lián)功能具有統(tǒng)一的連接途徑?？煽啃裕驗楣芾硐到y(tǒng)使用的改造的技術(shù)措施和技術(shù)手段都是比較成熟穩(wěn)定的技術(shù)，所以對各個子業(yè)務(wù)工作系統(tǒng)不存在任何方面的影響，如果發(fā)生4A管理平臺無法提供有效服務(wù)的情況下，系統(tǒng)工作就無法保證原有的業(yè)務(wù)系統(tǒng)能夠進行正常的功能。安全性，因為各個進行業(yè)務(wù)處理的業(yè)務(wù)子系統(tǒng)和管理平臺在敏感或者比較重要的數(shù)據(jù)的傳送過程中進行了極為嚴密的加密管理處理，這樣就可以實現(xiàn)信息傳輸和使用服務(wù)的安全性。靈活性，在對原有的各個系統(tǒng)進行規(guī)范改造的過程中，4A系統(tǒng)充分地考慮到了業(yè)務(wù)可能在未來存在的拓展空間，因此管理系統(tǒng)在進行管理的過程中增加了更多的靈活性，以此適應未來更高要求的管理目標和管理方案。

參考文獻：

[1]陳芳.基于Portal的企業(yè)信息門戶系統(tǒng)研究[J].計算機與數(shù)字工程，2011，37（11）：115-117.

[2]中國移動通信有限公司.中國移動業(yè)務(wù)支撐網(wǎng)4A安全技術(shù)規(guī)范[M].北京：中國移動通信有限公司，2012.

[3]周賢偉，劉寧，覃伯平.IEEE802.1X協(xié)議的認證機制及其改進[J].計算機應用，2013，26（12）：2894-2896.

[4]張銳，張建林，孫國忠.多業(yè)務(wù)支撐系統(tǒng)的統(tǒng)一認證權(quán)限研究與設(shè)計[J].計算機工程與設(shè)計，2011，30（8）：1826-1828.

作者簡介：徐積森（1978.08-），男，浙江松陽縣人，碩士研究生，職員，工程師，研究方向：電子商務(wù)系統(tǒng)架構(gòu)設(shè)計、實現(xiàn)；程莉莉（1979.07-），女，江蘇宜興人，碩士研究生，職員，工程師，研究方向：寬帶業(yè)務(wù)產(chǎn)品管理、項目管理。

作者單位：中國聯(lián)合網(wǎng)絡(luò)通信有限公司，北京 100032；聯(lián)通寬帶在線有限公司，北京 100032