◆严彬元

（贵州电网公司信息中心 贵州 550002）

4A统一安全管控平台深化应用探讨

◆严彬元

（贵州电网公司信息中心 贵州 550002）

本文基于贵州电网4A统一安全管控平台展开，在4A统一安全管控平台已实现账号统一管理、集中认证、统一授权和集中认证的基础上，提出4A统一安全管控平台应用进一步深化的途径，包括大数据平台管控、VPN接入认证和账号自动化管理三个方面。通过4A平台在这方面的深化应用，实现贵州电网信息化、规范化和安全的不断提升。

信息安全；认证；自动化管理；4A统一安全管控平台

0 引言

随着南方电网业务发展，其内部用户数量持续增加，网络规模迅速扩大，安全问题不断出现。而每个业务系统分别维护一套用户信息数据，管理本系统内的账号和口令，孤立的以日志形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求，及与国际业务接轨的需求，急需通过4A统一安全管控平台解决上述存在的账号管理、认证等方面的问题。

现有4A平台已实现集中账号管理、认证管理、授权管理和审计管理。

（1）账号管理

为用户提供统一集中的账号管理，集中维护包括主账号（自然人）和从账号（资源）在内的全部账号以及和账号相关的可在4A 平台中管理的账号相关属性。接管的从账号包括主流操作系统、数据库、网络设备等系统资源的账号。

（2）认证管理

提供了不同强度的认证方式，既可以保持原有的静态口令认证方式，又可以提供具有双因子认证方式的高强度认证方式，包括一次性口令、动态口令等强认证方式。不仅为用户提供统一认证管理，还实现了接入资源的单点登录。

（3）授权管理

实现了对用户访问资源权限的实体级管控，包括对操作系统、数据库、网络设备的权限控制，也包括对B/S、C/S应用系统资源的访问控制。

（4）审计管理

对用户在4A平台上、以及通过4A平台访问资源的操作日志进行集中记录管理和分析，不仅可以对用户行为进行监控，并且可以通过集中的审计数据进行数据挖掘，不断提升审计效果和权威性。

1 4A统一安全管控平台深化思路

通过近几年4A平台建设，基础的4个A的功能功能已全部覆盖，基础的资源已完成接入管控。但随着大数据的普及和推广、VPN设备的不断应用以及企业对流程自动化的要求不断提高和网络安全法的颁发实时，现有的4A平台在资源接入的广度、深度、账号管理自动化等方面已不能很好地满足业务需求，需要在大数据平台管控、VPN认证、账号自动化管理等方面进行不断深化。

2 4A统一安全管控平台进一步深化具体实现

2.1 大数据平台管控

大数据平台为了追求数据处理数量和速度上优势，在设计之初对安全方面考虑不足。在Hadoop 最开始的版本（Hadoop1.0 ）设计中服务器与服务器之间没有认证机制，因此攻击者可以伪装成集群中合法的DataNode、TaskTracker 服务器对集群进行攻击，或者接受NameNode 和JobTracker 发布的数据和任务。

最初版本中服务器与用户之间也没有认证机制，因此任何用户都可以伪装成其他用户对HDFS 或MapReduce 集群进行非法访问，甚至进行一些非法活动，例如对其他用户的作业进行修改、篡改其他用户在HDFS 上的数据，或者恶意提交作业，占用集群资源等等。

（1）大数据平台账号管理

大数据平台的账号应纳入4A平台集中管理，接入4A平台管控的大数据平台必须开启Kerberos认证配置，以集中管控大数据平台的账号信息。

大数据平台的账号集中管理应实现以下功能：

4A应在完成主账号创建后，实时或定期将主账号的名称和密码同步至kerberos服务器。

4A修改主账号的密码后，实时或定期将主账号的新密码同步到kerberos服务器。

4A禁用、删除主账号后，实时或定期将主账号信息从kerberos服务器端删除。

4A中的主账号过期后，实时或定期将主账号信息从kerberos服务器端删除。

（2）大数据平台认证

4A平台管控的大数据平台应通过启用kerberos认证方式实现，如果之前大数据平台已经建设Kerberos认证中心，4A平台应具备集成已建设的Kerberos认证中心；如果之前未建设，则由4A平台负责搭建Kerberos认证中心为所有的大数据平台提供认证服务。

所有账号在操作大数据平台前应首先向kerberos验证账号合法性，并携带kerberos签发的票据访问对应大数据平台，具体流程如图1所示。

图1 访问大数据平台时的认证过程

①用户向kerberos提交账号名和密码；

②Kerberos验证账号名和密码；

③Kerberos验证账号名和密码通过后为合法用户签发会话票据；

④用户携带会话票据再次向kerberos请求目标大数据平台的访问票据；

⑤Kerberos验证票据有效性；

⑥Kerberos返回大数据平台的访问票据；

⑦用户携带访问票据操作目标大数据平台；

⑧大数据平台验证访问票据的有效性；

⑨大数据平台执行请求的操作；

⑩大数据平台返回用户操作结果。

2.2 VPN接入认证

4A平台应提供SSL VPN、IPSec VPN的认证接入服务，并支持自动或手动两种VPN设备接入模式：

（1）自动模式：如果VPN为业务系统的专用远程访问设备，用户登录VPN后应只允许直接登录4A平台，防止绕过4A平台访问业务系统的行为。

（2）手动模式：如果VPN为业务系统与其他IT系统的共享远程访问设备，4A平台应作为一个登录链接选项提供。

实现VPN认证模式可以采用两种方式：

（1）认证代理模式

在4A平台和VPN之间部署4A认证代理，实现VPN与4A平台之间认证请求、认证结果的传递，并且向VPN提供4A强认证登录界面。VPN认证代理模式如图2所示。

图2 VPN认证代理模式

（2）直通模式

4A平台与VPN通过内部接口方式实现认证请求、认证结果的传递，并且由 VPN自行通过改造提供强认证登录界面，直通模式只适用于VPN设备支持登录界面改造的情况。VPN认证直通模式如图3所示。

图3 VPN认证直通模式

4A平台提供VPN统一接入认证服务需要满足以下要求：为了保障业务系统以及4A平台的安全性，降低互联网用户通过VPN和4A平台入侵的风险，禁止VPN系统与4A平台采用默认透传方式连接：

①4A平台必须对主账号登录VPN的行为进行限制，只有经配置允许VPN登录的主账号才能通过VPN登录4A平台；

②通过VPN登录后，必须通过4A平台访问被管资源，不允许绕过4A直接登录被管资源。

③通过VPN访问4A平台和业务系统都必须采用强身份认证方式。

2.3 账号自动化管理

4A平台提供账号自动化管理功能，账号自动化管理功能接收来自流程系统的审批结果，自动完成主账号创建、从账号创建、主从账号绑定解绑、主账号删除、从账号锁定。

2.4 入职自动化账号管理

用户入职后，管理员在流程系统中发起入职申请流程，完成流程审批之后自动进行主账号创建、从账号创建、主从账号绑定。

（1）主账号创建

流程系统将申请的主账号基本信息流转至4A平台账号自动化模块，由4A平台自动完成主账号创建。

（2）从账号创建

流程系统将申请的从账号基本信息流转至4A平台账号自动化模块，由4A平台自动完成从账号创建，并同步到资源侧。

（3）主从账号绑定

流程系统完成审批流程之后，申请的主从账号绑定信息自动流转至4A平台账号自动化模块，由4A平台自动完成主从账号绑定。

2.5 离职自动化账号管理

用户离职后，管理员在流程系统中发起用户离职申请流程，完成审批流程之后自动进行主从账号解绑、主账号删除(逻辑删除)、从账号锁定。4A平台应直至自动化处理的策略，至少支持主从账号解绑、删除、从账号锁定的期限（例如，离职工单审批完成2周后进行账号删除、从账号锁定）。

（1）主从账号解绑

流程系统完成审批流程之后，申请的离职基本信息自动流转至4A平台账号自动化模块，由4A平台自动完成主从账号解绑。

（2）主账号删除

流程系统完成审批流程之后，申请的离职基本信息自动流转至4A平台账号自动化模块，由4A平台自动完成主账号删除（逻辑删除）操作。

（3）从账号锁定

流程系统完成审批流程之后，申请的离职基本信息自动流转至4A平台账号自动化模块，由4A平台自动完成从账号的锁定操作。

3 结束语

本文从大数据管控、VPN接入认证、账号自动化管理三个方面展示4A统一安全管控平台应用深化的阐述，满足了业务合规过程对4A的要求、加强了4A管控的业务范围、同时规范了账号管理流程。在此基础上，通过认证管理、账号管理和授权管理的高度集成，进一步加强4A的安全管控能力。

4A统一安全管控平台作为贵州电网核心的安全平台，通过不断推广和深化应用，不仅可以加强信息安全建设，还可以提升管理的合规性，同时提升企业信息化管理能力。

[1]李申章，郭威，毛正雄，张雪坚．从组织人员“流动”管理的角度探讨4A的深化应用．中国管理信息化．

[2]http：//www．doc88．com/p-7008677362917．html．

[3]田峰，蔡嘉勇，王恒毅等．中国移动业务支撑网4A平台安全技术规范，账号管理和认证管理分册．

[4]https：//wenku．baidu．com/view/413f6668a98271fe910ef93 3．html．

[5]https：//wenku．baidu．com/view/0e37ef29d0d233d4b04e69 41．html．