身份的識別與管理

身份的識別與管理

   2006年以來中國移動通信集團公司（簡稱中國移動，在香港和紐約上市）的三大業務部門：管理信息系統部、業務支撐中心、網絡部，均分別完成了4A平臺規范的制定，以及著手4A平臺的建設。其他網絡運營商，金融行業也在積極調研與測試。這里就概要敘述一下這場如火如荼4A平臺建設的浪潮的來龍去脈，4A帶給客戶帶來的價值，以及對4A的展望。

4A的來源

   4A不是一個原生態創新的名稱，因此在介紹4A之前，先描述一下與之相關的術語。先介紹一下3A。AAA在IT界中 有一個知名度最高的內涵，“Authentication, Authorization and Accounting (AAA) is a framework for intelligently controlling access to computer network resources, enforcing policies, auditing usage, and providing the information necessary to bill for services. These combined processes are considered important for effective network management and security. The AAA is sometimes combined with Auditing and accordingly becomes AAAA. -SearchSecurity.com”。簡單說來就是網絡的接入控制以及上網計費的范疇，如果加入審計則變成4A。說它知名度高，主要是因為AAA protocol（AAA協議）是一個標準的規范，以著名的Radius（Remote Authentication Dial-In User Service）協議為代表，廣泛的被網絡運營商采用。

那么在安全界呢，也有一個AAA概念存在，“In computer security, Access Control includes Authentication, Authorization and Audit.- wikipedia.org”。訪問控制（Access Control）是安全界長盛不衰的研究與應用的主題。其目的是為了保證網絡資源受控、合法地使用。訪問控制是在身份識別的基礎上，根據身份對提出的資源訪問請求加以控制。用戶只能根據自己的權限大小來訪問系統資源，不能越權訪問。3A在訪問控制中分別發揮著不同的作用又相互影響。通過“Authentication（認證）”來檢驗主體的合法身份；通過“Authorization（授權）”來限制用戶對資源的訪問級別；通過“Audit（審計）”來記錄，審查用戶對資源訪問的過程。

   為了說明4A的背景，不得不再解釋另一個術語，單點登陸(SSO)。“Single sign-on is mechanism whereby a single action of user authentication and authorization can permit a user to access all computers and systems where he has access permission, without the need to enter multiple passwords. - wikipedia.org”。單點登錄最通俗的解釋就是一次認證，處處通行。其核心在于統一身份管理，用戶集中登錄與認證。一方面單點登陸有著廣大的需求，也有眾多企業使用了相關系統與技術；另一方面，目前各種單點登陸的解決方案還在不斷完善，都不能簡單的滿足廣泛企業的需求。解決單點登陸問題，國際上SAML（Security Assertion Markup Language）最為有名，支持它的廠商最多，但是由于單點登陸實施的復雜性，SAML在國內并沒有得到特別廣泛的使用。

在前文里已經提到，網絡安全界有關4A的概念在AAA protocol中指出過，不是什么新技術或者新概念。不過4A在國內的內涵與國際上通常所說的4A是不同的，目前國內所說的4A基本是以中國移動，在2005年定義的基礎上進行演化的。“4A是Account，Authentication，Authorization，Audit（帳戶管理，授權管理，認證管理，審計管理）的縮寫。將業務系統中的帳戶（Account）管理、認證（Authentication）管理、授權(Authorization)管理和安全審計(Audit) 整合成集中、統一的安全服務系統，簡稱4A管理平臺或4A平臺。—中國移動4A安全技術規范”。要理解這個概念的背景并不困難，2006年對廣大在美上市的外國公司，有著深遠影響的事情是《薩班斯法案》（SOX法案）的全面生效。SOX法案是一部由美國頒布，涉及會計職業監管、公司治理、證券市場監管等方面改革的重要法律，包括在美國注冊上市公司和在外國注冊而于美國上市的公司，都必須遵守該法案，國外的企業以及美國一些小型企業在美國上市企業在2006年7月15號或者隨后結束的財政年度開始生效，中國移動便在其中。

   研究中國移動4A技術規范，可以發現，該規范是在合規的基礎上，以加強內控審計為目的，增強帳號這種特殊資源的監管，限定了訪問控制模型的一種SSO的平臺建設方案。帳號管理是在應用中的說法，在學術上稱為身份管理（IDM）或者身份和訪問管理（IAM）“Identity Management(or Identity and Access Management)is a broad administrative area that deals with identifying individuals in a system (such as a country, a network or an organization) and controlling the access to the resources in that system by placing restrictions on the established identities. - wikipedia.org”。幾家大型IT企業如IBM，CA，Novell，Sun都有相關解決方案，其解決方案往往涉及其4-5款系列產品，而產品的發布時間基本超過5年，并有持續的版本在發布。中國移動自己提出規范，給解決方案的原因這里就不做評說。但從中國移動4A概念的提出，到許多行業的紛紛行動，可以看到的是，許多企業對訪問控制（包括身份管理，單點登錄，合規性審計）的需求有著與時俱進的變化，以及迫切的要求。

4A的價值

   中國近30年經濟發展成就了一批大型企業，這些企業人員眾多，IT化進程早，設備以及網絡規模不斷擴大，有不少已經在國內外上市。這些企業在IT運維過程中都面臨著許多急切需要解決的問題，安全方面歸納下來主要有下面三點：

1、企業內部IT系統使用者情況復雜。具體表現在人員構成復雜，有內部員工、外包員工、集成商、合作伙伴、客戶；人員流動情況復雜，入職、調崗、離職、借調，有合作加深的，有解除部分合作的。要想做到企業資源授權高效、清晰、規范，有效地保障合法用戶的權益，同時不受人員變遷而帶來的沖擊，這是一個巨大的挑戰。

2、企業IT系統建設情況的復雜。許多企業都是IT系統都發展了10多年，而許多初期業務系統還在持續發揮著它的作用。因此在企業內部的IT環境中，往往充斥著多個年代的設備，不同時代技術，不同版本的各類系統。企業的IT運維人員無法對各業務系統實現集中管理，執行統一的安全策略。

3、隨著各國對企業內控的關注，一系列的法律法規要求企業進一步加強管理，對股東投資負責。以SOX法案為例，要求企業的內控活動，不論是人還是信息系統的操作流程都必須明白地定義并保存相關記錄，對審計過程也有存檔的要求。這就要求企業完善IT治理，加強內部控制和全面信息審計，以保證達到法律法規的要求。

   使用者和資源的管理本身已經很復雜，為了合規，進行相關的帳號管理，口令定期更改等操作將會使企業工作量增加，運行效率降低，管理員出錯的概率提高，從而導致企業運行成本不斷升高。4A系統就是中國移動針對上述問題而提出的技術手段，使得企業對眾多應用、系統、設備的用戶帳號進行有效管理，保證用戶登錄的安全性，并滿足SOX審計的相關要求。

   因此在企業內建設一個集中安全服務平臺，在傳統訪問控制概念中AAA的基礎上增強對賬號（Account）這種特殊資源的管理與控制，將能給企業的可持續發展，帶來眾多價值，如下所述：

簡化管理，統一認證、授權和審計，工作復雜度大幅度降低；

提高帳號安全性，帳號維護的監管得到加強，各系統口令維護策略可以統一執行；

安全自知，訪問操作資源過程中的各種審計信息，已經業務運行中的各種審計信息，能集中管理，集中監控，安全狀況盡在掌握；

責任到人，安全事故定位到人，避免多人共享賬號導致問題無法問責；

方便使用，單點登錄免去員工在各系統間切換時，需要再次輸入用戶名和口令的繁瑣，也不用擔心記不住各種口令而苦惱；

發現異常，對各個系統，和所有用戶，進行統一的訪問審計，利于綜合統計，用戶行為關聯分析，及時發現異常操作行為；

企業合規，使企業用最小的運行成本符合與國家法律法規的要求；

保護投資，企業后續系統完全可以建立在該系統之上；用戶管理，資產管理，認證授權，安全響應不用重復開發；

消除信息孤島，使各系統能夠共享用戶，資產等信息；并可以高效、方便的進行數據安全管理。

4A發展觀察

   4A經過四五年的發展，正發生著潛移默化的改變。4A平臺已經逐漸演變成企業的IT基礎設施建設，而原來是在AAA中增加的Account（賬號）管理，則獨立成為平臺下的一個應用。在未來幾年里，可以預見這些趨勢將持續下去，同時4A還會有那些變化和發展呢？

1與SIEM組成立體型審計環境

   合規性審計在未來幾年任將是企業需求的源泉之一。例如2008年5月22日，財政部、證監會、審計署、銀監會、保監會五個部門聯合《企業內部控制基本規范》（即“中國的薩班斯法案”，亦稱C-SOX）將于2009年7月1日起先在上市公司范圍內施行。SIEM類產品收集各類系統日志與事件，并有能力進行關聯分析。但是SIEM類產品在審計到人和人員操作類審計上，目前無法獨立給企業提供幫助。因此將行業內已經多年積累的SIEM經驗與4A有機結合，為企業安全運行提供保障，給企業建立立體型審計環境，切實有效幫助企業的降低運行成本，也能達到法律法規的要求，將得到深入的研究與發展。

2與應用網關、終端管理組成全方位的訪問控制體系

   完善的訪問控制體系，是企業安全的直接保障，獨立的訪問控制手段在一定程度上缺少全面證明能力。因此在業務的兩端，業務使用方，和業務提供方，雙管齊下，即監視使用者的設備以及使用者的身份與操作，又監控支撐業務的設備及系統的使用情況，將達到最佳效果。這樣4A的將不僅僅是監控提供者，同時是主動報告者，策略實施者，是從而建立起全方位的訪問控制體系。

3幫助企業實現IT系統的基礎設施建設

   自2006年開始4A的完善與建設從沒有停止。一方面，“大4A平臺”的規劃正在起步，新的概念，名詞還將應運而生；另一方面，隨著中小企業在信息化建設的發展，集中安全服務平臺的建設將逐步普遍化。通過統一的安全服務技術架構，使新的應用可以很容易的集成到統一平臺中。通過該平臺對業務支撐，系統各種IT資源（包括應用和系統）進行集中管理，為各個業務系統提供集中安全服務，提升業務的安全性和可管理能力。

   總之，4A的發展將繼續在深度和廣度兩個方面持續發展下去。一方面成為企業集中安全服務平臺這樣的基礎設施；另一方面還會繼續深入到企業的業務系統中，為用戶的業務保駕護航。