4A管理電力行業(yè)信息系統(tǒng)安全建設(shè)的基石

2013-10-16 17:44:59 EP電力信息化網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

作為安全體系建設(shè)的重要組成部分和基石，訪問(wèn)控制管理是企業(yè)信息安全建設(shè)的第一道防線，實(shí)施有效的、安全的訪問(wèn)控制解決方案是企業(yè)安全體系建設(shè)的基礎(chǔ)。主管信息安全領(lǐng)域的政府職能部門(mén)和國(guó)內(nèi)的安全企業(yè)一直在研

咨詢和醫(yī)療保險(xiǎn)部門(mén)都必須在2005年4月以前建立安全標(biāo)準(zhǔn)，以符合HIPAA法規(guī)的規(guī)定。

4A管理在美國(guó)企業(yè)的廣泛推廣源于薩班斯法案的出臺(tái)，2002年7月，美國(guó)國(guó)會(huì)正式頒布《2002年公眾公司會(huì)計(jì)改革和投資者保護(hù)法案》（Public Company Accounting Reform and Investor Protection Act of 2002），又名薩班斯法案（SOX法案）。薩班斯法案源于由安然事件引起的公眾對(duì)美國(guó)上市公司的財(cái)務(wù)信任危機(jī)，該法案是美國(guó)有史以來(lái)通過(guò)的最具有深遠(yuǎn)意義的證券立法之一，目的是通過(guò)提高公司信息披露的準(zhǔn)確性和可靠性，增加公司責(zé)任，為上市公司會(huì)計(jì)和審計(jì)的不適當(dāng)行為規(guī)定更加嚴(yán)厲的處罰，同時(shí)保護(hù)投資者；法案對(duì)上市公司的IT內(nèi)控制度也提出了明確的要求，法案的出臺(tái)和強(qiáng)制性，引發(fā)了美國(guó)的各上市公司和打算在美國(guó)上市的外國(guó)企業(yè)紛紛加強(qiáng)企業(yè)內(nèi)部的IT控制，4A管理在企業(yè)中迅速發(fā)展起來(lái)。

我國(guó)在網(wǎng)絡(luò)安全管理制度建設(shè)和體系建設(shè)的探索和發(fā)展雖然晚于美國(guó)，但發(fā)展迅速，在1992年制定了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在此基礎(chǔ)上，陸續(xù)出臺(tái)了多項(xiàng)法律法規(guī)和國(guó)家標(biāo)準(zhǔn)，并在近期頒布了《信息系統(tǒng)等級(jí)保護(hù)管理辦法》，在重點(diǎn)行業(yè)積極推動(dòng)等級(jí)保護(hù)工作。《管理辦法》的發(fā)布加速了我國(guó)的信息安全體系建設(shè)，作為信息安全建設(shè)的重要組成部分的——訪問(wèn)控制管理成為企業(yè)安全建設(shè)的迫切需求。

訪問(wèn)控制管理是在網(wǎng)絡(luò)安全行業(yè)市場(chǎng)的不斷發(fā)展中細(xì)分出來(lái)的，4A的帳號(hào)（Account）、認(rèn)證(Authentication)、授權(quán)（Authorization)和審計(jì)（Audit）統(tǒng)一安全管理解決方案是將訪問(wèn)控制領(lǐng)域的技術(shù)集中到安全管理平臺(tái)上，實(shí)現(xiàn)對(duì)企業(yè)帳戶及資源的統(tǒng)一認(rèn)證和管理。目前，4A的概念已經(jīng)打破了原來(lái)的訪問(wèn)控制主要集中在授權(quán)、審計(jì)和認(rèn)證三大部分的狀況，而是包含了統(tǒng)一用戶帳號(hào)管理、統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)管理和統(tǒng)一安全審計(jì)四要素，涵蓋帳號(hào)同步、單點(diǎn)登錄、集中授權(quán)和集中審計(jì)等安全功能的綜合訪問(wèn)控制管理平臺(tái)。在4A的概念中，各組成部分并不是完全獨(dú)立的子系統(tǒng)，而是和其它部分相結(jié)合，共同構(gòu)建企業(yè)安全的訪問(wèn)控制屏障。

當(dāng)前，我國(guó)的醫(yī)療行業(yè)、政府機(jī)構(gòu)、電力行業(yè)等具有大型網(wǎng)絡(luò)基礎(chǔ)的重點(diǎn)行業(yè)對(duì)4A解決方案的需求都在不斷增長(zhǎng)，在這方面，已經(jīng)有部分電力企業(yè)走在了前列，如福建電力將身份認(rèn)證等訪問(wèn)控制技術(shù)作為其網(wǎng)絡(luò)安全建設(shè)的重要組成部分，一些大型新建電力企業(yè)也將安全評(píng)估和安全建設(shè)納入了企業(yè)信息系統(tǒng)建設(shè)的規(guī)劃，將企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)控制到企業(yè)可接受的最小范圍內(nèi)。

4A體系架構(gòu)和解決方案

4A體系架構(gòu)的基本思想是將帳號(hào)（Account）管理、認(rèn)證（Authentication）管理、授權(quán)（Authorization）管理和安全審計(jì)(Audit）整合成集中、統(tǒng)一的安全服務(wù)系統(tǒng)，稱為4A管理平臺(tái)或4A平臺(tái)，并且提供接口，使新的應(yīng)用可以很容易的集成到平臺(tái)上來(lái)，同時(shí)為企業(yè)與外部系統(tǒng)的集成（如SOC平臺(tái)、外部認(rèn)證組件、外部審計(jì)組件）提供接口。

4A體系架構(gòu)的整體框架如

4A平臺(tái)主要實(shí)現(xiàn)的管理功能應(yīng)包括以下部分：

集中帳號(hào)（Account）管理：為用戶提供統(tǒng)一集中的帳號(hào)管理，支持管理的資源包括主流的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)；不僅能夠?qū)崿F(xiàn)被管理資源帳號(hào)的創(chuàng)建、刪除及同步等帳號(hào)管理生命周期所包含的基本功能，而且也可以通過(guò)平臺(tái)進(jìn)行帳號(hào)密碼策略，密碼強(qiáng)度、生存周期的設(shè)定。

集中認(rèn)證（Authentication）管理：可以根據(jù)用戶應(yīng)用的實(shí)際需要，為用戶提供不同強(qiáng)度的認(rèn)證方式，既可以保持原有的靜態(tài)口令方式，又可以提供具有雙因子認(rèn)證方式的高強(qiáng)度認(rèn)證（一次性口令、數(shù)字證書(shū)、動(dòng)態(tài)口令），而且還能夠集成現(xiàn)有其它如生物特征等新型的認(rèn)證方式。不僅可以實(shí)現(xiàn)用戶認(rèn)證的統(tǒng)一管理，并且能夠?yàn)橛脩籼峁┙y(tǒng)一的認(rèn)證門(mén)戶，實(shí)現(xiàn)企業(yè)信息資源訪問(wèn)的單點(diǎn)登錄。

集中權(quán)限(Authorization)管理：可以對(duì)用戶的資源訪問(wèn)權(quán)限進(jìn)行集中控制。它既可以實(shí)現(xiàn)對(duì)B/S、C/S應(yīng)用系統(tǒng)資源的訪問(wèn)權(quán)限控制，也可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)、主機(jī)及網(wǎng)絡(luò)設(shè)備的操作的權(quán)限控制，資源控制類型既包括B/S的URL、C/S的功能模塊，也包括數(shù)據(jù)庫(kù)的數(shù)據(jù)、記錄及主機(jī)、網(wǎng)絡(luò)設(shè)備的操作命令、IP地址及端口。

集中審計(jì)(Audit)管理：將用戶所有的操作日志集中記錄管理和分析，不僅可以對(duì)用戶行為進(jìn)行監(jiān)控，并且可以通過(guò)集中的審計(jì)數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，以便于事后

上一頁(yè) 1 2 3 下一頁(yè)

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊