4A是指帐号(Account)、认证(Authentication)、授权(Authorization)和审计(Audit),4A统一安全管控平台是以身份为中心,实现帐号、认证、授权和审计统一管控的安全访问平台,可为企业IT系统提供综合安全防护。此类产品国际上通常称为IAM(Identity and Access Management ),即“身份鉴别与访问管理”。
统一帐号(Account)
功能:账号的全生命周期管理、密码管理
为用户提供统一集中的帐号管理。实现帐号的创建、删除及同步等帐号管理生命周期管理,也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。
主帐号创建,关注相关组织机构、岗位、角色、人员标准化信息来源、所管理资源及从帐号等信息。帐号变更,主要关注权限的变化,去除冗余的授权信息、以防系统中留下安全隐患,同时需要对权限变更进行记录。用户自身维护,4A系统管控平台主要提供用户对密码的修改,授权委托或临时授权申请、以及升级工程预约等服务。用户离职或外部人员离场,重点关注用户信息的逻辑删除、登录及操作信息的保留已备后续审核,管控平台还可进行主帐号证书吊销工作。
统一认证(Authentication)
功能:统一认证、认证门户、单点登录
可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(一次性口令、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。
不仅可以实现用户认证的统一管理,并且能够为用户提供统一的认证门户,实现企业信息资源访问的单点登录。
支持多种标准认证协议实现资源统一认证:CAS、SAML、OAuth2、OIDC、JWT
多因子认证方式:指纹识别、人脸识别、硬件令牌、手机令牌、数字证书、短信
统一授权(Authorization)
可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制,也可以实现对数据库、主机及网络设备的操作的权限控制,资源控制类型既包括B/S的URL、C/S的功能模块,也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。
注:授权是系统级的访问授权,账户可以访问什么系统资源。用户在系统内的权限,一般还是在各自系统内进行管理。
统一审计(Audit)
将用户所有的操作日志集中记录管理和分析,不仅可以对用户行为进行监控,并且可以通过集中的审计数据进行数据挖掘,以便于事后的安全事故责任的认定。
管控平台进行帐号、授权类、参数配置类操作的审计记录及用户登录4A,用什么帐号访问了哪些资源的操作日志; 堡垒机审计日志:通过堡垒机登录资源的详细操作记录(是系统资源的日志); 日志采集审计日志:通过日志采集方式(syslog、ftp或通过JDBC访问应用系统的数据库)获取主机、数据库、应用系统自身生成的操作记录。
门户系统与4A系统:门户都需要底层构建完善的4A系统。
逻辑关系
参考
IT应用建设中统一门户和4A系统-如何实现人员用户基础数据统一管理
网御星云4A统一安全管控平台企业版_企业IT系统综合安全防护_身份鉴别与访问管理-云巴巴