移动公司4A项目建设之我见

一、综述
    目前各个移动公司正在如火如荼的开展着4A项目的安全建设，而参照的依据是移动集团关于4A建设的规范，而规范中很少提出具体的实现方案和相应的设备。所谓的4A就是集中统一的帐号（Account）管理、授权(Authorization)管理、认证（Authentication）管理和安全审计(Audit)，缺一不可。因此建设4A要结合本身的网络、系统、应用等情况，充分考虑4A这4个要素的具体实现方法。本人结合具体的实际谈谈在移动省公司或地级市公司建设4A项目的一些想法，仅供参考。

二、4A之帐号管理
    就目前移动的实际情况，很多公司还没有实现统一的帐号管理及认证，多数还是建立在系统本地管理和认证基础之上。因此在移动集团的4A规范中提出主帐号和从帐号的概念：
主帐号：自然人使用的帐号，目前主要是网络准入控制系统的帐号。
从帐号：资源设备自身帐号，主要是指自然人登录设备或应用系统时使用的帐号。
为此在4A平台中需要建立两个管理模块：主帐号管理模块、从帐号管理模块。如下图所示：
 

    （如果客户的系统中已经实现了一个自然人只使用同一个帐号的情况，不存在复用帐号，即一个自然人在所维护的设备使用的都是同一帐号。这样只需维护一个管理模块即可。）

三、4A之授权管理
    在“4A之帐号管理”中我们进行了主帐号管理和从帐号管理。而主帐号和从帐号之间需要通过资源设备进行关联。授权的目的就是授权自然人可以登录那些设备，在相应的设备上使用那个从帐号。因此形成“主帐号－从帐号－设备”三位一体的对应关系。但自然人、设备、系统帐号较多时就形成了一个比较庞大的网状的交叉复杂联系。如下图所示：
 
上图是目前移动系统中使用最多的帐号情况，主要有两个含义：
? 自然人（主帐号）可以访问多个设备，在每个设备上可以使用多个从帐号（系统帐号）；
? 在多个设备上可以使用相同名称的从帐号；
? 多个主帐号在一台设备上可以使用同一个从帐号，即复用帐号。
不难看出如上的关系极为复杂，因此提出“以人为本”的关系梳理。如下图所示
 
    该梳理就是要搞清“谁——能访问甚么设备——使用那个（些）系统帐号”的关系，同时为认证和授权提供相应的关联列表。
    在实际的建设中，这部分梳理工作量非常庞大，需要系统管理员和4A建设者共同努力来完成。可以采用“组”或“group”来进行相应人员、设备、帐号的集合，同一“组”或“group”可以访问相同的设备，使用相同的从帐号。

四、4A之认证管理
    前面进行了授权管理，接下来要对于帐号的合法性进行相应的认证。4A的认证合法性应该主要完成以下三项内容：
? 主帐号是否合法？
? 从帐号是否合法？
? 授权是否合法？
见如下认证及授权模块的的框图：
 
举例说明一下整个的认证及授权过程，如下图所示：
 

? 在前期的安全建设中，已经在网络中做了安全域划分及网络安全准入系统的建设。用户通过网络访问业务系统时，网络准入系统需对自然人身份的合法性进行认证，此时自然人使用主帐号的网络准入控制设备进行认证，网络准入控制设备将用户的主帐号信息打包转发给4A平台，4A平台对主帐号的合法性进行判断，合法则让网络准入控制设备放开控制策略，失败将拒绝用户使用网络。
? 主帐号认证通过后，4A平台记录自然人、主帐号、终端IP的对应关系，实现网络实名制记录。
? 用户使用从帐号登录网络设备、服务器、应用系统时，资源设备将从帐号信息打包后发送给4A平台进行认证。
? 4A平台对从帐号和密码进行认证，不合法这向设备返回认证失败信息。
? 4A平台对从帐号认证合法后，平台根据授权管理的列表对从帐号，主帐号、设备之间的对应关系进行检查，如果从帐号在授权列表中，则向被登录的设备返回认证合法信息，自然人可以使用该从帐号在该设备登录，反之则拒绝自然人使用该从帐号在该设备登录。（这里已经不需要在进行主帐号认证，第一点中用户登录网络时使用的就是主帐号登录了。已经确定了自然人的合法性了。）

统一认证平台的建立
    不管是主帐号认证还是从帐号认证，都是在4A平台中进行的，统一的认证系统是进行4A平台建设的前提。因此在建设4A系统之前对目前的设备的认证方式进行一次改进，弃用本地认证的方式，改为第三方认证的模式。就目前移动的实际情况，第三方认证主要包括Raduis、LDAP、手机短信等方式，因此在我们的4A平台中提供了基于认证转发的认证模块（认证中转站）。充分兼容目前移动公司采用的第三方认证。如下图所示：
 
? 网络准入控制设备负责向4A平台进行自然人的主帐号认证请求，4A平台接受到认证请求信息后，通过对应的主帐号管理列表中指定的认证服务器进行认证转发。具体的帐号合法性判断交给后台认证系统来完成。4A平台记录相应的用户信息，如主帐号、终端IP等。
? 用户要登录设备时要输入系统帐号，即从帐号，从帐号的认证进行第三方来完成。设备向4A平台进行从帐号认证请求，4A平台根据设备的IP地址进行第三方认证转发。从帐号的合法性判断交由后台认证系统来完成。4A平台此时记录自然人终端IP、设备IP，从帐号等信息。
? 根据两次记录的信息即可得出“终端IP、主帐号（自然人）、设备IP、从帐号”的对应关系。再根据这种对应关系去查找授权列表，如果该对应关系在授权列表中，4A平台则向设备返回从帐号认证成功信息，用户可以登录设备进行操作，反之，4A平台则向设备返回认证失败信息，设备拒绝该登录。

五、4A之安全审计
审计事件的采集
安全审计主要是记录用户在设备上所有的操作行为，目前审计信息来源主要分为三类：
? 网络审计设备：对网络传输的数据包进行重组，通过协议解析的方式获取用户的操作信息；
? 堡垒跳转设备：在目标设备前部署堡垒跳转设备，用户要登录目标设备，必须先登录堡垒跳转设备，通过堡垒机再跳转到目标设备上进行操作。此时堡垒跳转设备在目标设备和用户之间构建了一道通信桥梁。堡垒跳转设备则可记录用户所有的操作信息。
? 目标设备日志：大多数设备都支持日志记录方式保存用户的操作。

我们在建设4A平台时要充分考虑到这三种信息源，对三种信息源都要进行采集和分析。如下图所示：

 

    原始审计信息统一被4A进行收集后需对主从帐号进行关联从而关联到自然人，那么该如何进行关联呢？
这个关键点就是自然人使用的终端的IP地址简称终端IP。
1、 当用户进行网络安全准入认证（主帐号认证）时，4A平台会记录“终端IP＋主帐号”；
2、 在主帐号管理模块中我们已经手工录入了“主帐号＋自然人”；
3、 通过1和2的关联即可得出用户进行网络安全准入时“终端IP＋主帐号＋自然人”；
4、 审计设备（天玥II或天玥IV）能够提供给4A平台的数据有“终端IP＋从帐号＋设备IP＋审计内容”；
5、 3和4中都有终端IP这个值。通过相应的关联分析即可得出“终端IP、主帐号（自然人）、设备IP、从帐号、审计内容”的关联信息。

    （4A平台中应该要有一个主帐号和终端IP进行动态绑定和动态解除的机制。这样可以彻底解决DHCP分配造成终端IP不固定的问题。）

    结合移动集团的4A规范提出“时间、自然人、主帐号、终端IP、目的IP、从帐号、审计事件、审计级别、审计回访”九大审计要素，如下图所示
 

时间：为了保证审计时间的准确性，网络中部署NTP服务器，全网设备与该NTP服务器进行同步；
自然人：用户的真实姓名，在帐号管理中手工进行录入；
主帐号：用户进行网络准入认证时使用的的帐号，一般是一个自然人使用一个主帐号，主帐号可以进行第三方认证；
源IP：自然人使用的终端IP；
目的IP：自然人登录的资源的IP；
从帐号：资源上的系统帐号；
审计事件：通过对原始审计信息进行分析处理后得到的审计结果
审计级别：自动给审计事件定级，一般分为“高、中、低”三个级别
会话回放：为了保证审计事件的完整性，形成一个完整的证据链条，对用户所有的输入和输出进行全部展现。
转自：http://www.venustech.com.cn/Case/181/120.Html