移动通信4A认证审计系统实现

项目背景

随着移动通信业务的发展，各种信息系统的种类和数量不断增加，给信息安全管理带来了新的问题。面临着业务系统多、人员变更频繁、用户名管理和授权审批尚未电子化、无法进行统一的用户鉴权和日志管理、缺乏集中统一的系统访问审计、无法进行综合分析等实际问题，移动通信亟待在省公司业务系统中建立4A管理系统，实现统一的账号管理、认证管理、授权管理和综合审计管理。为移动业务支撑系统、网管支撑系统和企业信息化系统三套业务网分别建立4A管理平台，实现对各自管辖范围内系统以及应用的账号集中管理、集中认证授权与综合审计，并在省中心再建立一套统一管理平台，以形成二级管理结构。

服务能力

4A之账号管理

移动集团的4A规范中提出主账号和从账号的概念，主账号即自然人使用的账号，目前主要是网络准入控制系统的账号。从账号即资源设备自身账号，主要是指自然人登录设备或应用系统时使用的账号。为此在4A平台中需要建立两个管理模块：主账号管理模块、从账号管理模块。

4A之授权管理

在“4A之账号管理”中进行主账号管理和从账号管理。而主账号和从账号之间需要通过资源设备进行关联。授权的目的就是使授权自然人可以登录那些设备，在相应的设备上使用从账号。因此形成“主账号－从账号－设备”三位一体的对应关系。目前移动系统中使用的账号情况极为复杂，因此提出“以人为本”的关系梳理。该梳理就是要搞清“谁—能访问什么设备—使用哪个（些）系统账号”的关系，同时为认证和授权提供相应的关联列表。

4A之认证管理

4A的认证合法性主要完成三项内容：主账号是否合法、从账号是否合法、授权是否合法。　不管是主账号认证还是从账号认证，都是在4A平台中进行的，统一的认证系统是进行4A平台建设的前提。因此在建设4A系统之前弃用本地认证的方式，改为第三方认证的模式。就目前移动的实际情况而言，第三方认证主要包括 Raduis、LDAP、手机短信等方式，因此4A平台中提供了基于认证转发的认证模块（认证中转站）。充分兼容目前移动公司采用的第三方认证。

4A之安全审计

安全审计主要是记录用户在设备上所有的操作行为，目前审计信息来源主要分为三类：

• 网络审计设备：对网络传输的数据包进行重组，通过协议解析的方式获取用户的操作信息；
• 堡垒跳转设备：用户要登录目标设备，必须先登录堡垒跳转设备，通过堡垒机再跳转到目标设备上进行操作。堡垒跳转设备则可记录用户所有的操作信息；
• 目标设备日志：大多数设备都支持日志记录方式保存用户的操作。

结合移动集团的4A规范提出“时间、自然人、主账号、终端IP、目的IP、从账号、审计事件、审计级别、审计回访”九大审计要素。

客户收益

所谓的4A就是集中统一的账号（Account）管理、授权(Authorization)管理、认证（Authentication）管理和安全审计(Audit)，缺一不可。通过4A管理系统的实施为更多的电信客户提升IT系统内控管理发挥了积极的作用。