4A管理电力行业信息系统安全建设的基石

2013-10-16 17:44:59 EP电力信息化网　点击量：评论 (0)

作为安全体系建设的重要组成部分和基石，访问控制管理是企业信息安全建设的第一道防线，实施有效的、安全的访问控制解决方案是企业安全体系建设的基础。主管信息安全领域的政府职能部门和国内的安全企业一直在研

咨询和医疗保险部门都必须在2005年4月以前建立安全标准，以符合HIPAA法规的规定。

4A管理在美国企业的广泛推广源于萨班斯法案的出台，2002年7月，美国国会正式颁布《2002年公众公司会计改革和投资者保护法案》（Public Company Accounting Reform and Investor Protection Act of 2002），又名萨班斯法案（SOX法案）。萨班斯法案源于由安然事件引起的公众对美国上市公司的财务信任危机，该法案是美国有史以来通过的最具有深远意义的证券立法之一，目的是通过提高公司信息披露的准确性和可靠性，增加公司责任，为上市公司会计和审计的不适当行为规定更加严厉的处罚，同时保护投资者；法案对上市公司的IT内控制度也提出了明确的要求，法案的出台和强制性，引发了美国的各上市公司和打算在美国上市的外国企业纷纷加强企业内部的IT控制，4A管理在企业中迅速发展起来。

我国在网络安全管理制度建设和体系建设的探索和发展虽然晚于美国，但发展迅速，在1992年制定了《计算机信息系统安全保护条例》，在此基础上，陆续出台了多项法律法规和国家标准，并在近期颁布了《信息系统等级保护管理办法》，在重点行业积极推动等级保护工作。《管理办法》的发布加速了我国的信息安全体系建设，作为信息安全建设的重要组成部分的——访问控制管理成为企业安全建设的迫切需求。

访问控制管理是在网络安全行业市场的不断发展中细分出来的，4A的帐号（Account）、认证(Authentication)、授权（Authorization)和审计（Audit）统一安全管理解决方案是将访问控制领域的技术集中到安全管理平台上，实现对企业帐户及资源的统一认证和管理。目前，4A的概念已经打破了原来的访问控制主要集中在授权、审计和认证三大部分的状况，而是包含了统一用户帐号管理、统一认证管理、统一授权管理和统一安全审计四要素，涵盖帐号同步、单点登录、集中授权和集中审计等安全功能的综合访问控制管理平台。在4A的概念中，各组成部分并不是完全独立的子系统，而是和其它部分相结合，共同构建企业安全的访问控制屏障。

当前，我国的医疗行业、政府机构、电力行业等具有大型网络基础的重点行业对4A解决方案的需求都在不断增长，在这方面，已经有部分电力企业走在了前列，如福建电力将身份认证等访问控制技术作为其网络安全建设的重要组成部分，一些大型新建电力企业也将安全评估和安全建设纳入了企业信息系统建设的规划，将企业信息系统的安全风险控制到企业可接受的最小范围内。

4A体系架构和解决方案

4A体系架构的基本思想是将帐号（Account）管理、认证（Authentication）管理、授权（Authorization）管理和安全审计(Audit）整合成集中、统一的安全服务系统，称为4A管理平台或4A平台，并且提供接口，使新的应用可以很容易的集成到平台上来，同时为企业与外部系统的集成（如SOC平台、外部认证组件、外部审计组件）提供接口。

4A体系架构的整体框架如

4A平台主要实现的管理功能应包括以下部分：

集中帐号（Account）管理：为用户提供统一集中的帐号管理，支持管理的资源包括主流的操作系统、网络设备和应用系统；不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能，而且也可以通过平台进行帐号密码策略，密码强度、生存周期的设定。

集中认证（Authentication）管理：可以根据用户应用的实际需要，为用户提供不同强度的认证方式，既可以保持原有的静态口令方式，又可以提供具有双因子认证方式的高强度认证（一次性口令、数字证书、动态口令），而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理，并且能够为用户提供统一的认证门户，实现企业信息资源访问的单点登录。

集中权限(Authorization)管理：可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制，也可以实现对数据库、主机及网络设备的操作的权限控制，资源控制类型既包括B/S的URL、C/S的功能模块，也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。

集中审计(Audit)管理：将用户所有的操作日志集中记录管理和分析，不仅可以对用户行为进行监控，并且可以通过集中的审计数据进行数据挖掘，以便于事后