范楷

1 4A系統(tǒng)功能簡述

4A系統(tǒng)中文名稱為統(tǒng)一安全管理平臺。該解決方案是將賬號（Account）、認(rèn)證（Authentication）、授權(quán)（Authorization）、審計（Audit）定義為網(wǎng)絡(luò)安全的四大組成部分。

企業(yè)單位使用的4A系統(tǒng)，建立了一個信息系統(tǒng)內(nèi)的賬號的全生命周期管理體系，并且將用戶及運(yùn)維人員使用的多種設(shè)備及資產(chǎn)也一并納入管理范圍，實現(xiàn)了以身份為中心的全面管控。

2 SDP對4A安全管理能力互補(bǔ)的探討

2.1 4A系統(tǒng)的安全管理能力。

賬號管理：4A 平臺提供統(tǒng)一集中的帳號管理，能夠?qū)崿F(xiàn)被管理資源帳號的創(chuàng)建、刪除和同步等帳號等全生命周期管理。還可以實現(xiàn)子從賬號管理，管理員可建立主賬號到從賬號的對應(yīng)關(guān)系，實現(xiàn)賬號分層管理。

認(rèn)證管理：4A 平臺可以根據(jù)用戶應(yīng)用的實際需要，為用戶提供不同強(qiáng)度的認(rèn)證方式，不僅可以實現(xiàn)用戶認(rèn)證的統(tǒng)一管理，并且能夠為用戶提供統(tǒng)一的認(rèn)證門戶，實現(xiàn)企業(yè)信息資源訪問的SSO（單點登錄）對接。

授權(quán)管理：4A 平臺可以對用戶的資源訪問權(quán)限進(jìn)行集中控制。管理員將業(yè)務(wù)系統(tǒng)資源賬號按需分配給用戶，實現(xiàn)對應(yīng)用系統(tǒng)、主機(jī)及網(wǎng)絡(luò)設(shè)備賬號的最小權(quán)限分配原則。

審計管理：4A 平臺將用戶的所有的登錄訪問、操作信息及命令等日志集中記錄管理和分析，這樣可以對用戶行為進(jìn)行監(jiān)控，以便于事后的安全事故責(zé)任的認(rèn)定，方便未來堵住安全漏洞。

2.2 SDP安全模型的優(yōu)點

2.2.1 架構(gòu)優(yōu)點-控制面與數(shù)據(jù)面分離

用戶接入訪問時不再直接連接到應(yīng)用服務(wù)器，而是首先從IH用戶訪問入口發(fā)送信息到安全控制中心去進(jìn)行驗證。安全控制中心驗證用戶權(quán)限合法之后才對應(yīng)開放IH和AH之間的連接通道，并由AH代理進(jìn)行其后端的業(yè)務(wù)系統(tǒng)訪問。

2.2.2 場景優(yōu)點-解決云化服務(wù)安全邊界模糊的問題

SDP的天然優(yōu)勢是可以實現(xiàn)邊界移動到和應(yīng)用系統(tǒng)容器的邊緣，進(jìn)行貼近化的防護(hù)，這是傳統(tǒng)安全硬件系統(tǒng)無法企及的優(yōu)勢點。在如今云計算，移動互聯(lián)網(wǎng)等技術(shù)大量應(yīng)用的環(huán)境下，SDP軟件定義邊界將模糊的邊界從防火墻處直接推進(jìn)到客戶端和應(yīng)用端，真正實現(xiàn)了從端-端的安全防護(hù)。

2.2.3 技術(shù)優(yōu)點1-SPA技術(shù)實現(xiàn)被訪問對象隱身

SDP使用了SPA（單包授權(quán)）機(jī)制進(jìn)行安全防護(hù)，所有對外TCP端口全部關(guān)閉，僅保留指定UDP端口接收報文，只有合法的用戶發(fā)出的正確報文才能通過初步認(rèn)證，并由安全控制中心根據(jù)約定規(guī)則和AH可行安全代理建立連接，進(jìn)行后續(xù)訪問動作。

2.2.4 技術(shù)優(yōu)點2-動態(tài)訪問管控評估

通過屬性來感知用戶的訪問上下文行為，并動態(tài)調(diào)整用戶信任級別。這些屬性可以包括用戶身份，終端類型，設(shè)備屬性，接入方式、位置、時間等。并啟用動態(tài)的防護(hù)策略，例如可以實現(xiàn)：當(dāng)用戶訪問的屬性出現(xiàn)變化時，根據(jù)系統(tǒng)的評分規(guī)則，可讓用戶保留低敏系統(tǒng)的訪問，但要訪問高敏業(yè)務(wù)時需進(jìn)行二次認(rèn)證或者進(jìn)行阻斷。

2.3 4A和SDP配合結(jié)合方式探討

4A系統(tǒng)和SDP系統(tǒng)，各自有著以上能力優(yōu)點。但是，現(xiàn)在使用4A或系統(tǒng)的單位，如尚未開始實施基于零信任身份認(rèn)證改造，常會停留在以下狀態(tài)：（1）靜態(tài)規(guī)則和部分單點登錄對接;（2）采用某些認(rèn)證技術(shù)，實現(xiàn)設(shè)備合規(guī)性和登錄信息的單一驗證;（3）相對薄弱的網(wǎng)絡(luò)設(shè)施，身份有泄露風(fēng)險。

技術(shù)能力更強(qiáng)一些的一些單位則會做某些安全策略升級。例如：采取混合身份和優(yōu)化的訪問策略，限制了不合法用戶對數(shù)據(jù)、應(yīng)用程序和網(wǎng)絡(luò)的訪問。設(shè)備入網(wǎng)需要進(jìn)行注冊，或?qū)⒕W(wǎng)絡(luò)進(jìn)行分割形成各個不同的功能域，在邊界做防護(hù)加強(qiáng)等。

可以看到技術(shù)能力較強(qiáng)的單位的升級改造理念，其實也是零信任的一種摸索方向。下面將SDP作為一個能力補(bǔ)充工具來做結(jié)合方式以及能力提升的探討。

2.3.1 端側(cè)做訪問代理進(jìn)行結(jié)合的方式

4A系統(tǒng)一般會放置于內(nèi)網(wǎng)環(huán)境，因此可以將SDP作為不區(qū)分內(nèi)外網(wǎng)的統(tǒng)一訪問入口。從外網(wǎng)訪問時，用戶首先登錄訪問SDP平臺，并由SDP平臺接入4A系統(tǒng)，4A系統(tǒng)和SDP平臺做單點對接，可以從SDP平臺方便的進(jìn)入4A平臺進(jìn)行訪問，這種方式對于B/S形態(tài)的4A系統(tǒng)較為友好，同時也支持C/S形態(tài)的4A系統(tǒng)訪問。在不需要對原有4A系統(tǒng)進(jìn)行太多改動的情況下，將4A系統(tǒng)的認(rèn)證服務(wù)器嚴(yán)密的保護(hù)到SDP的防護(hù)之下。

2.3.2 和4A原有的端側(cè)軟件集成SDK改造的方式

對于有端的C/S形態(tài)的4A系統(tǒng)，SDP可以和原有4A端側(cè)進(jìn)行SDK（軟件開發(fā)工具包）集成，將SDP平臺至于4A之前，在SDP完成認(rèn)證之前拒絕從端側(cè)的任何對4A服務(wù)器及后面的業(yè)務(wù)系統(tǒng)的所有訪問請求。完成SDP請求，確認(rèn)為合法用戶后，再根據(jù)其權(quán)限開放指定端口允許進(jìn)行訪問4A系統(tǒng)。此改造方式對于終端用戶較為友好，特別是SDK集成時同時做了SSO的對接后，終端用戶的登錄感知幾乎和改造之前沒有變化，降低推廣成本。

2.3.3 SDP的應(yīng)用級日志分析能力和4A原有集中審計能力結(jié)合

SDP系統(tǒng)本身具備收集其上掛載系統(tǒng)的訪問數(shù)據(jù)，并進(jìn)行審計的能力，該數(shù)據(jù)主要來源于第7層應(yīng)用層的數(shù)據(jù)，相比于其他的日志收集來說可進(jìn)行更加細(xì)粒度以及不同維度的分析，例如可以得出用戶訪問熱度，賬號訪問登錄錯誤次數(shù)等分析結(jié)果。而4A系統(tǒng)本身則具有更加強(qiáng)大的日志分析能力和更多層級的數(shù)據(jù)來進(jìn)行對比，因此SDP系統(tǒng)通過預(yù)設(shè)接口，將收集的應(yīng)用層日志提供給4A系統(tǒng)，并由4A系統(tǒng)進(jìn)行綜合分析，對系統(tǒng)安全審計也會形成能力補(bǔ)充。

3 總結(jié)與展望

我們看到，如果將SDP和4A系統(tǒng)做有機(jī)結(jié)合，可以在登錄防護(hù)，抗DooS攻擊，還有安全審計等方面形成能力互補(bǔ)。未來的4A可能不僅結(jié)合零信任理念和能力，還有會結(jié)合AI等新技術(shù)，將訪問用戶的管理做到更加細(xì)致和安全。

參考文獻(xiàn)：

[1]嚴(yán)彬元. 4A統(tǒng)一安全管控平臺深化應(yīng)用探討. 行業(yè)與應(yīng)用安全.2017.12

[2]秦益飛、張英濤、張曉東. 零信任落地路徑研究. 信息安全與通信保密.2021.01

[3]劉凡、鐘榮鋒. 4A 技術(shù)在企業(yè)信息安全方面的應(yīng)用研究. 長江信息通信.2021.01