4A统一安全管控平台深化应用探讨.docVIP

4A统一安全管控平台深化应用探讨 严彬元 贵州电网公司信息中心 X 关注成功！ 加关注后您将方便地在 我的关注中得到本文献的被引频次变化的通知！ 新浪微博 腾讯微博 人人网 开心网 豆瓣网 网易微博 摘????要： 本文基于贵州电网4A统一安全管控平台展开, 在4A统一安全管控平台已实现账号统一管理、集中认证、统一授权和集中认证的基础上, 提出4A统一安全管控平台应用进一步深化的途径, 包括大数据平台管控、VPN接入认证和账号自动化管理三个方面。通过4A平台在这方面的深化应用, 实现贵州电网信息化、规范化和安全的不断提升。 关键词： 信息安全; 认证; 自动化管理; 4A统一安全管控平台; 0引言 随着南方电网业务发展, 其内部用户数量持续增加, 网络规模迅速扩大, 安全问题不断出现。而每个业务系统分别维护一套用户信息数据, 管理本系统内的账号和口令, 孤立的以日志形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求, 及与国际业务接轨的需求, 急需通过4A统一安全管控平台解决上述存在的账号管理、认证等方面的问题。 现有4A平台已实现集中账号管理、认证管理、授权管理和审计管理。 (1) 账号管理 为用户提供统一集中的账号管理, 集中维护包括主账号 (自然人) 和从账号 (资源) 在内的全部账号以及和账号相关的可在4A平台中管理的账号相关属性。接管的从账号包括主流操作系统、数据库、网络设备等系统资源的账号。 (2) 认证管理 提供了不同强度的认证方式, 既可以保持原有的静态口令认证方式, 又可以提供具有双因子认证方式的高强度认证方式, 包括一次性口令、动态口令等强认证方式。不仅为用户提供统一认证管理, 还实现了接入资源的单点登录。 (3) 授权管理 实现了对用户访问资源权限的实体级管控, 包括对操作系统、数据库、网络设备的权限控制, 也包括对B/S、C/S应用系统资源的访问控制。 (4) 审计管理 对用户在4A平台上、以及通过4A平台访问资源的操作日志进行集中记录管理和分析, 不仅可以对用户行为进行监控, 并且可以通过集中的审计数据进行数据挖掘, 不断提升审计效果和权威性。 1 4A统一安全管控平台深化思路 通过近几年4A平台建设, 基础的4个A的功能功能已全部覆盖, 基础的资源已完成接入管控。但随着大数据的普及和推广、VPN设备的不断应用以及企业对流程自动化的要求不断提高和网络安全法的颁发实时, 现有的4A平台在资源接入的广度、深度、账号管理自动化等方面已不能很好地满足业务需求, 需要在大数据平台管控、VPN认证、账号自动化管理等方面进行不断深化。 2 4A统一安全管控平台进一步深化具体实现 2.1大数据平台管控 大数据平台为了追求数据处理数量和速度上优势, 在设计之初对安全方面考虑不足。在Hadoop最开始的版本 (Hadoop1.0) 设计中服务器与服务器之间没有认证机制, 因此攻击者可以伪装成集群中合法的Data Node、Task Tracker服务器对集群进行攻击, 或者接受Name Node和Job Tracker发布的数据和任务。 最初版本中服务器与用户之间也没有认证机制, 因此任何用户都可以伪装成其他用户对HDFS或Map Reduce集群进行非法访问, 甚至进行一些非法活动, 例如对其他用户的作业进行修改、篡改其他用户在HDFS上的数据, 或者恶意提交作业, 占用集群资源等等。 (1) 大数据平台账号管理 大数据平台的账号应纳入4A平台集中管理, 接入4A平台管控的大数据平台必须开启Kerberos认证配置, 以集中管控大数据平台的账号信息。 大数据平台的账号集中管理应实现以下功能: 4A应在完成主账号创建后, 实时或定期将主账号的名称和密码同步至kerberos服务器。 4A修改主账号的密码后, 实时或定期将主账号的新密码同步到kerberos服务器。 4A禁用、删除主账号后, 实时或定期将主账号信息从kerberos服务器端删除。 4A中的主账号过期后, 实时或定期将主账号信息从kerberos服务器端删除。 (2) 大数据平台认证 4A平台管控的大数据平台应通过启用kerberos认证方式实现, 如果之前大数据平台已经建设Kerberos认证中心, 4A平台应具备集成已建设的Kerberos认证中心;如果之前未建设, 则由4A平台负责搭建Kerberos认证中心为所有的大数据平台提供认证服务。 所有账号在操作大数据平台前应首先向kerberos验证账号合法性, 并携带kerberos签发的票据访问对应大数据平台, 具体流程如图1所示。 图1 访问大数据平台时的认证过程 ??下载原图 (1) 用户向kerberos提交账号名和