[转帖]关于4A（统一安全管理平台）系统的理解

雪山上的蒲公英

https://www.cnblogs.com/zjfjava/p/10674577.html

关于4A（统一安全管理平台）系统的理解

 

1. 4A系统的需求分析

近年来企业用户的业务系统发展十分迅速，内部的系统数和用户数不断增加，网络规模迅速扩大，在应用扩展的同时，各业务系统的安全管理工作相对滞后，无法满足企业发展的长期要求。

各系统中有大量的网络设备、主机和应用系统，分别归属于不同的部门进行维护管理。各系统都有一套独立的认证、授权和审计机制，分别由相应的系统管理员负责维护和管理。帐号繁多，管理困难，管理成本较高；对于离职或者工作岗位变更的用户，很难干净彻底的删除或者禁止相应帐号；有些帐号多人共用，不仅易于发生安全事故，难以定位帐号的实际使用者。缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限；随着用户数量的增加，权限管理任务越来越重。用户经常要在各个系统之间切换，每次都需要输入用户名和口令进行登录，给用户的工作带来不便，影响了工作效率。现有的日志量过大，无法有效审计。需要一套集中的账号、认证、授权、审计管理系统，解决日常安全管理问题。

2. 4A系统简介

3. 4A系统管理功能

4A系统是统一安全管理平台解决方案，指 认证Authentication、账号Account、授权Authorization、审计Audit，中文名称为 统一安全管理平台解决方案。即将身份认证、授权、审计和账号（即不可否认性及数据完整性）定义为网络安全的四大组成部分，从而确立了身份认证在整个网络安全系统中的地位与作用。

4A平台的管理功能包括：集中认证管理、集中账号管理、集中权限管理和集中审计管理，具体如下：

集中认证(authentication)管理：

可以根据用户应用的实际需要，为用户提供不同强度的认证方式，既可以保持原有的静态口令方式，又可以提供具有双因子认证方式的高强度认证（一次性口令、数字证书、动态口令），而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理，并且能够为用户提供统一的认证门户，实现企业信息资源访问的单点登录。

集中帐号(account)管理：

为用户提供统一集中的帐号管理，支持管理的资源包括主流的操作系统、网络设备和应用系统；不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能，而且也可以通过平台进行帐号密码策略，密码强度、生存周期的设定。

集中权限(authorization)管理：

可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制，也可以实现对数据库、主机及网络设备的操作的权限控制，资源控制类型既包括B/S的URL、C/S的功能模块，也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。

集中审计(audit)管理：

将用户所有的操作日志集中记录管理和分析，不仅可以对用户行为进行监控，并且可以通过集中的审计数据进行数据挖掘，以便于事后的安全事故责任的认定。

4. 4A系统实现的价值

【管控范围提升】在传统堡垒主机管理主机、数据库等系统资源的基础上增加应用（业务）资源4个A方面管控。
【管控能力提升】可以为企业提供全局的帐号管理视图，有效控制随意创建帐号、僵尸帐号等带来的安全管理问题，实现基于角色、菜单的细粒度应用资源授权管理使得企业可以清晰地梳理资源与人员间的关系， 及时发现不符合权限的人员、帐号共用等问题，基于业务场景的精确审计分析和预警。
【数据安全提升】依托4A金库、个人文件夹、零下载功能，从数据的访问获取、传输、使用、销毁各个阶段实现全生命周期的管控，防止数据外泄。
【使用效率提升】自动化运维和自动口令改密，减少安全运维人员日常重复工作，提升安全运维效率。集中账号、权限、认证、审计管理，解决日常分散管理问题，提升管理效率。“一次登录到处通行”提升使用人员业务操作登录效率。
【运行保障提升】完善的应急保障措施，4A平台故障自动切换到应急系统，开启应急通道，保障业务的正常使用和运行。

5. 应用实例

参考：

https://wenku.baidu.com/view/228aaca46294dd88d0d26bad.html

https://www.venustech.com.cn/article/type/1/49.html