◆嚴(yán)彬元

（貴州電網(wǎng)公司信息中心 貴州 550002）

4A統(tǒng)一安全管控平臺(tái)深化應(yīng)用探討

◆嚴(yán)彬元

（貴州電網(wǎng)公司信息中心 貴州 550002）

本文基于貴州電網(wǎng)4A統(tǒng)一安全管控平臺(tái)展開，在4A統(tǒng)一安全管控平臺(tái)已實(shí)現(xiàn)賬號(hào)統(tǒng)一管理、集中認(rèn)證、統(tǒng)一授權(quán)和集中認(rèn)證的基礎(chǔ)上，提出4A統(tǒng)一安全管控平臺(tái)應(yīng)用進(jìn)一步深化的途徑，包括大數(shù)據(jù)平臺(tái)管控、VPN接入認(rèn)證和賬號(hào)自動(dòng)化管理三個(gè)方面。通過4A平臺(tái)在這方面的深化應(yīng)用，實(shí)現(xiàn)貴州電網(wǎng)信息化、規(guī)范化和安全的不斷提升。

信息安全；認(rèn)證；自動(dòng)化管理；4A統(tǒng)一安全管控平臺(tái)

0 引言

隨著南方電網(wǎng)業(yè)務(wù)發(fā)展，其內(nèi)部用戶數(shù)量持續(xù)增加，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，安全問題不斷出現(xiàn)。而每個(gè)業(yè)務(wù)系統(tǒng)分別維護(hù)一套用戶信息數(shù)據(jù)，管理本系統(tǒng)內(nèi)的賬號(hào)和口令，孤立的以日志形式審計(jì)操作者在系統(tǒng)內(nèi)的操作行為?，F(xiàn)有的這種賬號(hào)口令管理、訪問控制及審計(jì)措施已遠(yuǎn)遠(yuǎn)不能滿足自身業(yè)務(wù)發(fā)展需求，及與國際業(yè)務(wù)接軌的需求，急需通過4A統(tǒng)一安全管控平臺(tái)解決上述存在的賬號(hào)管理、認(rèn)證等方面的問題。

現(xiàn)有4A平臺(tái)已實(shí)現(xiàn)集中賬號(hào)管理、認(rèn)證管理、授權(quán)管理和審計(jì)管理。

（1）賬號(hào)管理

為用戶提供統(tǒng)一集中的賬號(hào)管理，集中維護(hù)包括主賬號(hào)（自然人）和從賬號(hào)（資源）在內(nèi)的全部賬號(hào)以及和賬號(hào)相關(guān)的可在4A 平臺(tái)中管理的賬號(hào)相關(guān)屬性。接管的從賬號(hào)包括主流操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等系統(tǒng)資源的賬號(hào)。

（2）認(rèn)證管理

提供了不同強(qiáng)度的認(rèn)證方式，既可以保持原有的靜態(tài)口令認(rèn)證方式，又可以提供具有雙因子認(rèn)證方式的高強(qiáng)度認(rèn)證方式，包括一次性口令、動(dòng)態(tài)口令等強(qiáng)認(rèn)證方式。不僅為用戶提供統(tǒng)一認(rèn)證管理，還實(shí)現(xiàn)了接入資源的單點(diǎn)登錄。

（3）授權(quán)管理

實(shí)現(xiàn)了對(duì)用戶訪問資源權(quán)限的實(shí)體級(jí)管控，包括對(duì)操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的權(quán)限控制，也包括對(duì)B/S、C/S應(yīng)用系統(tǒng)資源的訪問控制。

（4）審計(jì)管理

對(duì)用戶在4A平臺(tái)上、以及通過4A平臺(tái)訪問資源的操作日志進(jìn)行集中記錄管理和分析，不僅可以對(duì)用戶行為進(jìn)行監(jiān)控，并且可以通過集中的審計(jì)數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，不斷提升審計(jì)效果和權(quán)威性。

1 4A統(tǒng)一安全管控平臺(tái)深化思路

通過近幾年4A平臺(tái)建設(shè)，基礎(chǔ)的4個(gè)A的功能功能已全部覆蓋，基礎(chǔ)的資源已完成接入管控。但隨著大數(shù)據(jù)的普及和推廣、VPN設(shè)備的不斷應(yīng)用以及企業(yè)對(duì)流程自動(dòng)化的要求不斷提高和網(wǎng)絡(luò)安全法的頒發(fā)實(shí)時(shí)，現(xiàn)有的4A平臺(tái)在資源接入的廣度、深度、賬號(hào)管理自動(dòng)化等方面已不能很好地滿足業(yè)務(wù)需求，需要在大數(shù)據(jù)平臺(tái)管控、VPN認(rèn)證、賬號(hào)自動(dòng)化管理等方面進(jìn)行不斷深化。

2 4A統(tǒng)一安全管控平臺(tái)進(jìn)一步深化具體實(shí)現(xiàn)

2.1 大數(shù)據(jù)平臺(tái)管控

大數(shù)據(jù)平臺(tái)為了追求數(shù)據(jù)處理數(shù)量和速度上優(yōu)勢，在設(shè)計(jì)之初對(duì)安全方面考慮不足。在Hadoop 最開始的版本（Hadoop1.0 ）設(shè)計(jì)中服務(wù)器與服務(wù)器之間沒有認(rèn)證機(jī)制，因此攻擊者可以偽裝成集群中合法的DataNode、TaskTracker 服務(wù)器對(duì)集群進(jìn)行攻擊，或者接受NameNode 和JobTracker 發(fā)布的數(shù)據(jù)和任務(wù)。

最初版本中服務(wù)器與用戶之間也沒有認(rèn)證機(jī)制，因此任何用戶都可以偽裝成其他用戶對(duì)HDFS 或MapReduce 集群進(jìn)行非法訪問，甚至進(jìn)行一些非法活動(dòng)，例如對(duì)其他用戶的作業(yè)進(jìn)行修改、篡改其他用戶在HDFS 上的數(shù)據(jù)，或者惡意提交作業(yè)，占用集群資源等等。

（1）大數(shù)據(jù)平臺(tái)賬號(hào)管理

大數(shù)據(jù)平臺(tái)的賬號(hào)應(yīng)納入4A平臺(tái)集中管理，接入4A平臺(tái)管控的大數(shù)據(jù)平臺(tái)必須開啟Kerberos認(rèn)證配置，以集中管控大數(shù)據(jù)平臺(tái)的賬號(hào)信息。

大數(shù)據(jù)平臺(tái)的賬號(hào)集中管理應(yīng)實(shí)現(xiàn)以下功能：

4A應(yīng)在完成主賬號(hào)創(chuàng)建后，實(shí)時(shí)或定期將主賬號(hào)的名稱和密碼同步至kerberos服務(wù)器。

4A修改主賬號(hào)的密碼后，實(shí)時(shí)或定期將主賬號(hào)的新密碼同步到kerberos服務(wù)器。

4A禁用、刪除主賬號(hào)后，實(shí)時(shí)或定期將主賬號(hào)信息從kerberos服務(wù)器端刪除。

4A中的主賬號(hào)過期后，實(shí)時(shí)或定期將主賬號(hào)信息從kerberos服務(wù)器端刪除。

（2）大數(shù)據(jù)平臺(tái)認(rèn)證

4A平臺(tái)管控的大數(shù)據(jù)平臺(tái)應(yīng)通過啟用kerberos認(rèn)證方式實(shí)現(xiàn)，如果之前大數(shù)據(jù)平臺(tái)已經(jīng)建設(shè)Kerberos認(rèn)證中心，4A平臺(tái)應(yīng)具備集成已建設(shè)的Kerberos認(rèn)證中心；如果之前未建設(shè)，則由4A平臺(tái)負(fù)責(zé)搭建Kerberos認(rèn)證中心為所有的大數(shù)據(jù)平臺(tái)提供認(rèn)證服務(wù)。

所有賬號(hào)在操作大數(shù)據(jù)平臺(tái)前應(yīng)首先向kerberos驗(yàn)證賬號(hào)合法性，并攜帶kerberos簽發(fā)的票據(jù)訪問對(duì)應(yīng)大數(shù)據(jù)平臺(tái)，具體流程如圖1所示。

圖1 訪問大數(shù)據(jù)平臺(tái)時(shí)的認(rèn)證過程

①用戶向kerberos提交賬號(hào)名和密碼；

②Kerberos驗(yàn)證賬號(hào)名和密碼；

③Kerberos驗(yàn)證賬號(hào)名和密碼通過后為合法用戶簽發(fā)會(huì)話票據(jù)；

④用戶攜帶會(huì)話票據(jù)再次向kerberos請(qǐng)求目標(biāo)大數(shù)據(jù)平臺(tái)的訪問票據(jù)；

⑤Kerberos驗(yàn)證票據(jù)有效性；

⑥Kerberos返回大數(shù)據(jù)平臺(tái)的訪問票據(jù)；

⑦用戶攜帶訪問票據(jù)操作目標(biāo)大數(shù)據(jù)平臺(tái)；

⑧大數(shù)據(jù)平臺(tái)驗(yàn)證訪問票據(jù)的有效性；

⑨大數(shù)據(jù)平臺(tái)執(zhí)行請(qǐng)求的操作；

⑩大數(shù)據(jù)平臺(tái)返回用戶操作結(jié)果。

2.2 VPN接入認(rèn)證

4A平臺(tái)應(yīng)提供SSL VPN、IPSec VPN的認(rèn)證接入服務(wù)，并支持自動(dòng)或手動(dòng)兩種VPN設(shè)備接入模式：

（1）自動(dòng)模式：如果VPN為業(yè)務(wù)系統(tǒng)的專用遠(yuǎn)程訪問設(shè)備，用戶登錄VPN后應(yīng)只允許直接登錄4A平臺(tái)，防止繞過4A平臺(tái)訪問業(yè)務(wù)系統(tǒng)的行為。

（2）手動(dòng)模式：如果VPN為業(yè)務(wù)系統(tǒng)與其他IT系統(tǒng)的共享遠(yuǎn)程訪問設(shè)備，4A平臺(tái)應(yīng)作為一個(gè)登錄鏈接選項(xiàng)提供。

實(shí)現(xiàn)VPN認(rèn)證模式可以采用兩種方式：

（1）認(rèn)證代理模式

在4A平臺(tái)和VPN之間部署4A認(rèn)證代理，實(shí)現(xiàn)VPN與4A平臺(tái)之間認(rèn)證請(qǐng)求、認(rèn)證結(jié)果的傳遞，并且向VPN提供4A強(qiáng)認(rèn)證登錄界面。VPN認(rèn)證代理模式如圖2所示。

圖2 VPN認(rèn)證代理模式

（2）直通模式

4A平臺(tái)與VPN通過內(nèi)部接口方式實(shí)現(xiàn)認(rèn)證請(qǐng)求、認(rèn)證結(jié)果的傳遞，并且由 VPN自行通過改造提供強(qiáng)認(rèn)證登錄界面，直通模式只適用于VPN設(shè)備支持登錄界面改造的情況。VPN認(rèn)證直通模式如圖3所示。

圖3 VPN認(rèn)證直通模式

4A平臺(tái)提供VPN統(tǒng)一接入認(rèn)證服務(wù)需要滿足以下要求：為了保障業(yè)務(wù)系統(tǒng)以及4A平臺(tái)的安全性，降低互聯(lián)網(wǎng)用戶通過VPN和4A平臺(tái)入侵的風(fēng)險(xiǎn)，禁止VPN系統(tǒng)與4A平臺(tái)采用默認(rèn)透傳方式連接：

①4A平臺(tái)必須對(duì)主賬號(hào)登錄VPN的行為進(jìn)行限制，只有經(jīng)配置允許VPN登錄的主賬號(hào)才能通過VPN登錄4A平臺(tái)；

②通過VPN登錄后，必須通過4A平臺(tái)訪問被管資源，不允許繞過4A直接登錄被管資源。

③通過VPN訪問4A平臺(tái)和業(yè)務(wù)系統(tǒng)都必須采用強(qiáng)身份認(rèn)證方式。

2.3 賬號(hào)自動(dòng)化管理

4A平臺(tái)提供賬號(hào)自動(dòng)化管理功能，賬號(hào)自動(dòng)化管理功能接收來自流程系統(tǒng)的審批結(jié)果，自動(dòng)完成主賬號(hào)創(chuàng)建、從賬號(hào)創(chuàng)建、主從賬號(hào)綁定解綁、主賬號(hào)刪除、從賬號(hào)鎖定。

2.4 入職自動(dòng)化賬號(hào)管理

用戶入職后，管理員在流程系統(tǒng)中發(fā)起入職申請(qǐng)流程，完成流程審批之后自動(dòng)進(jìn)行主賬號(hào)創(chuàng)建、從賬號(hào)創(chuàng)建、主從賬號(hào)綁定。

（1）主賬號(hào)創(chuàng)建

流程系統(tǒng)將申請(qǐng)的主賬號(hào)基本信息流轉(zhuǎn)至4A平臺(tái)賬號(hào)自動(dòng)化模塊，由4A平臺(tái)自動(dòng)完成主賬號(hào)創(chuàng)建。

（2）從賬號(hào)創(chuàng)建

流程系統(tǒng)將申請(qǐng)的從賬號(hào)基本信息流轉(zhuǎn)至4A平臺(tái)賬號(hào)自動(dòng)化模塊，由4A平臺(tái)自動(dòng)完成從賬號(hào)創(chuàng)建，并同步到資源側(cè)。

（3）主從賬號(hào)綁定

流程系統(tǒng)完成審批流程之后，申請(qǐng)的主從賬號(hào)綁定信息自動(dòng)流轉(zhuǎn)至4A平臺(tái)賬號(hào)自動(dòng)化模塊，由4A平臺(tái)自動(dòng)完成主從賬號(hào)綁定。

2.5 離職自動(dòng)化賬號(hào)管理

用戶離職后，管理員在流程系統(tǒng)中發(fā)起用戶離職申請(qǐng)流程，完成審批流程之后自動(dòng)進(jìn)行主從賬號(hào)解綁、主賬號(hào)刪除(邏輯刪除)、從賬號(hào)鎖定。4A平臺(tái)應(yīng)直至自動(dòng)化處理的策略，至少支持主從賬號(hào)解綁、刪除、從賬號(hào)鎖定的期限（例如，離職工單審批完成2周后進(jìn)行賬號(hào)刪除、從賬號(hào)鎖定）。

（1）主從賬號(hào)解綁

流程系統(tǒng)完成審批流程之后，申請(qǐng)的離職基本信息自動(dòng)流轉(zhuǎn)至4A平臺(tái)賬號(hào)自動(dòng)化模塊，由4A平臺(tái)自動(dòng)完成主從賬號(hào)解綁。

（2）主賬號(hào)刪除

流程系統(tǒng)完成審批流程之后，申請(qǐng)的離職基本信息自動(dòng)流轉(zhuǎn)至4A平臺(tái)賬號(hào)自動(dòng)化模塊，由4A平臺(tái)自動(dòng)完成主賬號(hào)刪除（邏輯刪除）操作。

（3）從賬號(hào)鎖定

流程系統(tǒng)完成審批流程之后，申請(qǐng)的離職基本信息自動(dòng)流轉(zhuǎn)至4A平臺(tái)賬號(hào)自動(dòng)化模塊，由4A平臺(tái)自動(dòng)完成從賬號(hào)的鎖定操作。

3 結(jié)束語

本文從大數(shù)據(jù)管控、VPN接入認(rèn)證、賬號(hào)自動(dòng)化管理三個(gè)方面展示4A統(tǒng)一安全管控平臺(tái)應(yīng)用深化的闡述，滿足了業(yè)務(wù)合規(guī)過程對(duì)4A的要求、加強(qiáng)了4A管控的業(yè)務(wù)范圍、同時(shí)規(guī)范了賬號(hào)管理流程。在此基礎(chǔ)上，通過認(rèn)證管理、賬號(hào)管理和授權(quán)管理的高度集成，進(jìn)一步加強(qiáng)4A的安全管控能力。

4A統(tǒng)一安全管控平臺(tái)作為貴州電網(wǎng)核心的安全平臺(tái)，通過不斷推廣和深化應(yīng)用，不僅可以加強(qiáng)信息安全建設(shè)，還可以提升管理的合規(guī)性，同時(shí)提升企業(yè)信息化管理能力。

[1]李申章，郭威，毛正雄，張雪堅(jiān)．從組織人員“流動(dòng)”管理的角度探討4A的深化應(yīng)用．中國管理信息化．

[2]http：//www．doc88．com/p-7008677362917．html．

[3]田峰，蔡嘉勇，王恒毅等．中國移動(dòng)業(yè)務(wù)支撐網(wǎng)4A平臺(tái)安全技術(shù)規(guī)范，賬號(hào)管理和認(rèn)證管理分冊(cè)．

[4]https：//wenku．baidu．com/view/413f6668a98271fe910ef93 3．html．

[5]https：//wenku．baidu．com/view/0e37ef29d0d233d4b04e69 41．html．