4A統一安全管理平臺關鍵技術分析與評估

徐驍麟 中國信息通信研究院技術與標準研究所工程師

穆琙博 中國信息通信研究院技術與標準研究所工程師

宋菲 中國信息通信研究院技術與標準研究所工程師

朱曉云 中國信息通信研究院技術與標準研究所工程師

4A統一安全管理平臺關鍵技術分析與評估

徐驍麟 中國信息通信研究院技術與標準研究所工程師

穆琙博 中國信息通信研究院技術與標準研究所工程師

宋菲 中國信息通信研究院技術與標準研究所工程師

朱曉云 中國信息通信研究院技術與標準研究所工程師

互聯網時代，網絡空間安全上升到前所未有的高度，對網絡空間進行全方位安全管控成為國家、行業、企業必須推進和落實的重要工作。4A統一安全管理平臺在企業級安全管控中發揮著關鍵作用，其以身份認證為核心，對企業網絡空間的賬號、認證、權限和審計進行統一管理。本文結合網絡空間安全需求，對4A平臺的架構和關鍵技術進行分析，并對國產典型4A平臺進行綜合評測，以剖析實施4A管控方案的重點和難點。

4A；安全管理平臺；網絡空間；信息安全

1 引言

隨著互聯網在世界范圍的進一步普及，基于網絡的應用服務在各行各業深入發展，由此產生的安全問題也愈演愈烈，安全事件所導致的嚴重后果和影響難以估量。近年來，我國將網絡空間安全提升到國家戰略層面，成立了中央網絡安全和信息化領導小組。習總書記指出，“網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題”，一方面要強化網絡優勢加快促進社會經濟發展，另一方面要使網絡可管可控避免安全隱患。

4A統一安全管理平臺在網絡空間安全管控中占據著重要地位，發揮著關鍵作用。2002年，美國薩班斯法案生效，要求管理人員通過有效的技術手段能夠對內部網絡進行嚴格管理，控制、限制和追蹤用戶行為；2007年，由我國公安部、保密局、密碼管理局和國務院信息工作辦公室聯合印發的《信息安全等級保護管理辦法》及后續一系列標準也對相關安全工作做出了規定。由此，4A統一安全管理平臺的應用得到了強有力的推動和法律的保障。經過前后二十多年的發展，4A從概念到實用化，逐漸成為保障網絡空間安全不可或缺的一環。

典型的4A統一安全管理平臺以身份認證為核心，由統一賬號（Account）管理、統一認證（Authentication）管理、統一權限（Authorization）管理、統一審計（Audit）管理4個主要部分構成。它隔離了外部網絡和內部網絡，通過身份和權限認證，既可以防護外部惡意入侵和攻擊，還可以監控和審計內部行為，對整個應用環境進行全方位管控。其管控范圍之廣、涉及人員之眾、技術類型之多樣、工作流程之復雜，都對平臺的部署、測試、運行及維護帶來了極大的挑戰。

鑒于此，本文將圍繞4A統一安全管理平臺的關鍵技術進行簡要分析，并對典型4A系統開展相關評測，以剖析實施4A方案中的難點和重點。

2 網絡空間4A需求分析

4A平臺是網絡空間安全保障體系的重要組成部分。當前嚴峻的網絡安全形勢使得國家和企業對4A平臺的需求更加迫切，同時對4A平臺提供的安全保障能力也更加關注和期待。

2.1 網絡安全形勢不容樂觀

互聯網產業在社會經濟活動中深度融合發展使我國網絡空間安全形勢愈加嚴峻。據國家互聯網應急中心發布的《2015年中國互聯網網絡安全報告》所述，2015年共發現網絡安全事件超過12萬起，同比增長達125.9%。首屆中國互聯網安全領袖峰會發布的《CTO企業信息安全調查報告》顯示，超過45%的企業在3年內發生過不同量級的信息安全事故，有23.9%的企業沒有信息安全團隊。大量企業網站存在各種類型的漏洞，發生了多次嚴重的“拖庫”事件。IDC發布的報告顯示，網絡基礎設施已被全球性高危漏洞侵擾，心臟流血漏洞威脅我國約3.3萬臺服務器，Bash漏洞影響全球約5億臺服務器及相關網絡設備。這些都使我國基礎通信網絡、金融、工控等重要信息系統的安全面臨嚴峻挑戰。

2.2 亟需統一安全管理體系

大規模信息技術的應用使得企業亟需統一化的安全管理體系來協同管控不同的業務系統。在多年的信息化建設后，企業內部采用的信息系統逐漸多樣化，且具有較高的復雜度。一方面，每個獨立的信息系統都會根據業務需求配置一定的安全防護能力，這些安全模塊各自為陣、互不交互，呈現較高的冗余性和空白點；另一方面，不同的信息系統由不同的系統管理員維護，面對安全風險時往往要協調多個系統管理員處理，存在職責不清和業務不熟等問題。這種分散的、分布式的信息系統架構給安全管理帶來了諸多困難，也引入了潛在的安全風險。統一的安全管理體系應能夠整合起所有信息系統的安全防護功能，通過統一的管理員、入口和工作流對身份和權限進行管理、控制、認證和審計。

2.3 增強安全架構擴展性

企業的持續發展和信息化水平的不斷提高要求安全平臺架構具有較高的擴展能力。在網絡空間擴展、安全管控范圍擴大、規模增加的情況下，應避免安全管理平臺出現錯漏甚至崩潰。這體現在兩個層面，分別是系統級擴展和資源級擴展。系統級擴展面向應用系統、安全系統和功能的增加場景，能夠集成、兼容網絡空間中的新系統和功能，從而保證系統在擴展后仍然處于安全可控狀態。資源級擴展面向資源、用戶數量的增加場景，能夠保證足夠的安全平臺擴容空間，從而在集成新資源、提升用戶數量后仍然能夠高效處理新增安全管控需求。通過提升這兩個層面的擴展能力來增強網絡空間安全保障的有效性和可用性。

2.4 提高管控平臺安全性

企業網絡空間安全的前提是安全管理平臺自身的安全可靠。4A平臺的安全性需求主要體現在數據安全和通信安全兩個方面。數據安全要求4A平臺在數據的生成、存儲和使用過程中應嚴格遵守相關安全規范，要有清晰的數據操作日志，要有完善的數據備份和恢復機制。對于系統中的敏感數據，如用戶名、密碼等信息要采用適當的加密方式存儲，確保關鍵數據的完整性和可恢復性。通信安全要求4A平臺在內部系統交互、數據傳輸過程中支持加密通信協議，防止信息被竊聽和篡改。只有確保了4A平臺自身的安全性，才可能保證網絡空間的安全性。

34 A平臺架構及關鍵技術

4A平臺面向信息系統的賬號、權限、認證和審計等4個方面進行統一管理，較高的安全性要求決定了其架構、功能及工作流程具有較高的復雜度，這里分別從這3個角度進行分析。

3.1 平臺架構

總體來看，一個完整4A平臺的典型架構如圖1所示，由5個層次構成，分別為展現層、功能層、數據層、接入層、資源層。

（1）展現層

4A平臺采用B/S模式構建，展現層以門戶形式集成了各項安全管控服務接口。面向管理員的門戶系統提供了對平臺的管理、維護、審計、查詢，以及對賬號的管理、授權、認證等功能的可視化訪問操作接口；面向操作員的門戶系統提供了對資源的接入管理、授權綁定等功能的可視化訪問操作接口。展現層通過對各模塊的重新組織來適應基本業務流程的變更，而不會對功能層和數據層產生影響。

（2）功能層

功能層是4A平臺的核心，提供了與4A安全管理相關的業務邏輯和子系統，包括統一的賬號、授權、認證、審計管理等核心服務，也包括平臺安全性管理、應急管理等增強型服務。縱向上，功能層向展現層暴露出各項服務的管理和應用接口，提供業務邏輯和數據訪問入口；從數據層獲取業務所需的數據結構和數據處理能力，并將數據導入各服務模塊。橫向上，功能層與外部系統進行互聯，負責與其他管理平臺的功能集成或聯動。

（3）數據層

數據層以數據為中心，對4A平臺的各類數據進行倉庫式統一集中管理，包括數據基本管控、數據處理分析和數據災備。數據的基本管控是指從接入層和功能層獲取用戶、資源相關信息，以及對信息的聚合、結構化、持久化存儲等；數據的處理分析是對采集上來的數據進行離線或在線、批量或流式的計算分析，按照業務邏輯要求向功能層提供必要的數據支持；數據災備是對數據安全的重要保障，通過雙機熱備、鏡像存儲等方式來提高數據層的可用性和可靠性。

圖1 4A統一安全管理平臺系統架構圖

（4）接入層

接入層是溝通4A平臺與應用、資源的橋梁，是用戶訪問應用系統、資源設備的統一入口。通過接入層，主機、服務器、網管系統等設備可以無縫接入4A平臺，接受統一的安全管控，支持用戶的單點登錄；應用系統同樣可以納入4A管控，在門戶系統中集成相應入口，支持用戶的直接訪問。

（5）資源層

廣義上，資源層是所有可以被納入4A管控體系的虛擬實體、物理實體等資源構成的集合；狹義上，資源層是所有受4A平臺管控的應用、設備的集合，這些資源由不同廠商開發和生產，具備或不具備自身安全管控能力，對訪問和其他操作有一定的鑒權需求。資源層中的實體應當具有一定兼容性和擴展能力，以支持4A平臺的接入和集成。

3.2 核心功能

如上所述，4A平臺的核心是提供面向4個A的管理，即統一的賬號管理、統一的認證管理、統一的權限管理及統一的審計管理，這里對這4個核心功能的關鍵點做一歸納。

（1）賬號（Account）

統一賬號管理是對包括系統主賬號、從賬號、賬號密碼策略、同步等功能在內的全生命周期管理。4A平臺通過主賬號來標識一個唯一的自然人，該類賬號可以為內部系統員工賬號、系統運維人員賬號、外部系統接入賬號等。從賬號為綁定具體資源的可被主賬號使用的接入賬號，通過主從賬號間的映射實現應用或設備資源的登錄與操作。賬號信息包括與用戶身份識別相關的基本信息、與部門機構相關的組織信息、與賬號可用性相關的時效信息等。

（2）認證（Authentication）

統一認證管理是對用戶登錄各信息系統過程進行集中管控，維護認證策略，根據用戶的身份標識來鑒別用戶是否能登錄相關系統，并提供應用系統和設備資源的單點登錄功能。在傳統的“用戶名—密碼”認證方式基礎上，還可以集成短信動態認證、郵件認證、智能卡、數字證書等多種高級認證方式。對于不同安全等級的用戶或場景，可以自定義不同的認證策略，也可以選擇多種認證策略的協同。

（3）權限（Authorization）

統一權限管理是對用戶、角色、資源等一系列元素間關系的集中管控，維護“用戶—角色”、“角色—權限”、“權限—資源”的配置策略，控制用戶對應用和資源的操作粒度。通過權限管理可以實現角色（組）、權限、資源（組）的創建、修改、查詢、刪除等基本控制操作，還可以實現權限綁定、角色綁定、資源綁定等授權操作。認證管理和權限管理的結合構成了平臺訪問控制的基礎，通過認證實現入口管控，通過授權實現內部管控，從而達到全工作流程的安全控制。

（4）審計（Audit）

統一審計管理是對合法和非法用戶對各類應用和資源的訪問操作的記錄、統計和分析過程。通過對終端、主機、網絡設備的系統日志采集、自定義日志采集、網絡偵聽等多種方式來獲取操作記錄，并通過相關數據和用戶行為的關聯分析實現敏感事件的統計和過濾，并具備高危事件的告警能力。平臺管理員可以自定義配置審計策略和報表規則，從而選取合適的審計模塊和報表模塊，在效率和精確性中做出權衡。

（5）安全性管理

平臺安全性管理模塊是對4A平臺自身安全性的增強，提供關鍵模塊間及跨平臺的加密通信功能，針對敏感數據的加密存儲和備份功能，采用VPN等安全遠程訪問通道。應急管理功能是對4A平臺可用性的增強，提供在突發事故時的平臺可用性。應急系統能夠（準）實時同步主系統數據，在主系統損壞無法訪問時臨時承擔部分安全管理功能。

3.3 關鍵業務流程

在上述核心功能中，起到關鍵作用的是主從賬號之間的映射、用戶單點登錄、用戶權限映射等3個主要業務。

（1）主、從賬號映射

主賬號與從賬號之間的映射決定了用戶可以通過哪些從賬號訪問到哪些資源。在4A平臺運行時，主、從賬號映射如圖2所示。

業務流程如下：

配置具有主、從賬號和資源管理權限的管理員賬號，通過此賬號登錄管理門戶。

創建/選擇用戶主賬號，配置主賬號信息。

創建/選擇從賬號，配置從賬號信息，并將從賬號同步至資源上。

進入目標主賬號配置界面，將上述從賬號綁定至該主賬號下，映射信息持久化存入數據庫。

由目標主賬號登錄用戶門戶，通過上述從賬號測試訪問應用和資源。

（2）單點登錄

單點登錄使得用戶對多應用、多資源的訪問更加便捷和安全。在通過主賬號登錄認證后，即可操作所有已被授權的應用資源；在登出當前主賬號后，所有相關應用資源即同步登出。單點登錄如圖3所示。

業務流程如下：

用戶通過主賬號登錄門戶系統。

統一認證管理模塊鑒別登錄請求合法性及信息的正確性。

登錄成功后獲得訪問令牌，在令牌有效期內選擇從賬號直接訪問所有已授權應用資源。

令牌失效后，發出的訪問請求被鑒別為非法，無法繼續訪問資源，可通過重新登錄再次獲取。

登出系統后，設置令牌為失效狀態或將其刪除。

（3）用戶、角色、權限映射

圖2 4A平臺主、從賬號映射流程示意圖

圖3 4A平臺用戶單點登錄流程示意圖

權限映射是實現訪問控制至關重要的一步，通過對權限的細粒度劃分，實現用戶對資源訪問操作的細粒度控制。用戶、角色、權限3者的映射如圖4所示。

圖4 4A平臺用戶、角色、權限映射流程示意圖

業務流程如下：

配置具有用戶、角色、權限管理權限的管理員賬號，通過此賬號登錄管理門戶。

創建角色，給該角色配置功能模塊權限，實現角色與權限綁定。

選取主賬號，將上述角色分配給該主賬號，實現用戶與角色綁定。

用戶通過上述主賬號登錄門戶系統，可執行綁定角色所具備權限的操作。

更新用戶、角色綁定或角色、權限綁定后，可（準）實時反饋至當前會話中。

4 典型4A平臺評估

當前4A統一安全管理平臺已基本實現國產化，為了深入了解國產4A平臺的發展現狀，選取5個典型平臺進行評測，重點關注4A平臺的基本功能，同時關注不同4A平臺在功能和性能表現上的差異。

4.1 評測項目及標準

此次評測覆蓋4A平臺共7個大類的功能項和4個大類的性能項，具體參見表1。這些測試項可進一步細化成共計49項功能項和8項性能項，針對這57個測試項對所選取的4個典型4A平臺逐一進行評測。

功能測試范圍為：賬號管理、權限管理、認證管理、訪問控制、審計管理、安全性管理、應急管理。

評測結果分為：通過、不通過。

性能測試范圍為：用戶并發、響應時間、實時性、穩定性。

評測結果分為3個檔次：通過、不通過、比較項。

在評測過程中，允許對系統進行一定調試，在調試后仍然不能滿足要求的，該步驟將被判定為不通過，受此影響，該測試項會被判定為不通過項。

4.2 評測結果及分析

（1）功能評測結果

功能測試總體結果如表2所示。

按照通過項數量分類，5個4A平臺劃分為3個梯隊，第一梯隊（A）平臺通過了全部的功能測試，第二梯隊（B、C、D）平臺存在少數不通過項，第三梯隊（E）平臺存在大量不通過項。由此可以看出，不同國產4A平臺在功能完備性上存在顯著差距，部分平臺未能覆蓋主要工作流程，甚至缺少關鍵功能模塊。

為進一步探究4A平臺的功能缺陷主要集中在哪些模塊，分析了通過項和不通過項在各測試大項中的分布情況。經過調試后通過項集中在前3個大項中，即賬號管理、權限管理、認證管理，特別是在涉及到賬號生命周期管理和資源接入時，存在較多的不穩定狀態，需要進行多次調試才能繼續測試。不通過項在各測試大項中均有所分布，特別是D平臺在功能完備性的各方面都較弱。

表1 4A平臺評測項范圍及判定標準

表2 4A平臺功能項評測結果

（2）性能評測結果

性能評測在功能評測基礎之上展開，測試數據未達到預設值的性能項判定為不通過，不具備所需功能項的性能項也判定為不通過，對并發數和響應時長數據進行歸一化處理。4A平臺性能項評測結果參見表3。

可以看出，絕大多數平臺都順利通過判定項測試，B、C兩個平臺因部分功能缺失和數據不達標而產生不通過項。并發性體現了4A平臺在（性能可接受前提下）所能承受的最大負載量，越大的并發性說明平臺能承受越大的負載壓力。對比各平臺的并發數據，D平臺具有最高的并發性能，C平臺并發性最差，A、B、E平臺處于同一水平線。響應時間體現了4A平臺處理事務的效率，越短的響應時間體現了平臺具有較高的處理能力。對比各平臺的響應時長數據，B平臺具有最短的響應時間，因此具有最好的事務處理能力，C平臺的響應時間最長，E平臺與C平臺處于同一水平線。穩定性體現了4A平臺在長時間大負載壓力下的性能維持情況，如果在測試中出現會話斷開的情況認為不穩定。C平臺在12h壓測中的掉線率為3.4%，為評測中唯一出現會話斷開的平臺。

比較功能評測和性能評測結果，由于各4A平臺采用的架構和實現技術的差異，部分在功能測試中表現優異的平臺，在性能評測中取得的結果卻并不理想。因此，在設計4A平臺過程中，應全面考慮功能需求和性能需求，避免由復雜結構和工作流程所導致的潛在性能瓶頸。

4.3 存在的主要問題

從整體來看，國內主流的成熟4A平臺基本實現了功能覆蓋，基于不同業務模式和處理流程達到了統一安全管控的目的。但是，各個平臺之間在性能、易用性、可靠性等方面還存在一定差距，也存在一些共同問題，值得進一步探討和改進。具體可以從以下幾個方面持續進行完善：

表3 4A平臺性能項評測結果

（1）加強4A平臺標準化建設

標準化是對4A平臺外部特性和內部特性的規范，同時也是對企業采用4A平臺行為的規范。以中國移動、中國聯通為代表的一些大型企業已經或正在制定相關的企業標準，這在一定程度上能夠促進4A平臺標準化建設。但從整體上看，4A平臺的標準化依然任重而道遠。

（2）提高兼容性

4A平臺在網絡空間中的獨特地位要求其必須具有較強的兼容性，以保障不同型號設備的可靠接入和各種類型軟件的有效集成。對典型4A平臺的評測顯示，應用和設備接入兼容性是一個普遍存在的軟肋，這將是4A平臺在今后發展中值得重點關注的一個地方。

（3）改善易用性

4A平臺的用戶類型多樣，用戶需求也不盡相同，這對平臺的易用性提出了較高要求。平臺界面應發揮有效的人機交互接口作用，使用戶便于理解相應的功能；平臺操作流程應統一、流暢，避免易產生誤解和誤操作的冗余過程。部分4A平臺仍需對這兩個方面進行改善。

（4）持續優化技術路線

當前，針對網絡空間的攻擊和入侵手段日益復雜。作為多種安全保障技術的集大成者，4A平臺必須持續優化技術路線，不斷引入新的安全機制和策略，通過不斷的技術集成和更新來確保4A平臺對網絡空間的有效和可靠地防護。

5 結束語

在安全威脅日益嚴重的今天，保障網絡不受非法入侵和使用成為一個企業必須關注和解決的一個重要課題。作為保障企業網絡空間安全的關鍵組件，4A統一安全管理平臺能夠識別用戶身份，設置和驗證用戶權限，安全接入終端設備，監控和審計操作流程，通過一系列工作流來管控人、機、物的行為模式、規范性和安全性。一個成熟的4A平臺，在滿足必要功能的同時，還應當滿足一定的性能要求，通過性能的提升來增強系統的抗壓能力和防攻擊能力，從而進一步提高網絡空間安全防護水平。未來，可以通過推進標準化建設、持續集成新技術與新應用、關注易用性與兼容性等方式來強化4A平臺的研發與部署，以更穩定、更可靠、更高效地履行自身職責，保障網絡空間安全。

[1]http∶//www.venustech.com.cn/Case/181/120.Html.

[2]http∶//www.ecdoer.com/post/cmcc-boss-bass-bomc-vgop. html.

[3]姜泓.中國移動4A管理平臺的測試研究與實踐[D].南京：南京郵電大學,2013.

[4]劉竑宇.4A安全平臺在管理信息系統中的部署和實現[D]西安：西安電子科技大學,2013.

[5]馮志杰,檀鵬.基于SOA架構的業務支撐網4A系統設計[A].中國通信學會信息通信網絡技術委員會.中國通信學會信息通信網絡技術委員會2009年年會論文集（上冊）[C].中國通信學會信息通信網絡技術委員會,2009∶5.

Keytechnologies analysis and evaluation of 4Aplatforms

XUXiaolin，MUYubo，SONGFei，ZHUXiaoyun

In the Internet era, the network space security has raised to an unprecedented height. The full range of securitymanagement and control of the network space has become an important work that nationals, industries, and enterprises have topromote and implement. The 4A unified security management platform plays a key role in the security management on anenterprise level. It makes identity authentication as the core, managing accounts, authentication, authorization, and auditwithin a unified form. In this paper,weanalyze the architecture and key technologies of the 4Aplatform by combining with thenetwork space security requirements, and evaluate some typical 4Aplatforms comprehensively in order to indicate the keyand difficult points during the implementation of future4Aprojects.

4A；securitymanagementplatform；networkspace；informationsecurity

2016-11-20）