华为4A式IAM解决方案(含图).pdfVIP

华为4A式IAM解决方案

随着各大运营商在海外的上市，运营商对增强内部控制的需求日益强烈。华为4A式IAM

（IdentityAccessManager基于身份的访问管理）解决方案综合利用各厂家成熟的技术，结

合自身对电信业务深刻地理解和研发集成能力，致力于提高各大运营商通过合理的技术和途

径达到增强内部控制的要求。4A式IAM解决方案包含了集中帐号管理（Account）、集中认

证(Authentication)、集中授权(Authorization)和集中审计(Audit)四个方面。方案重在帮助运营

商通过合理的技术手段和建设方式达到增强内控的目的。

方案需求背景

随着各大电信运营商的业务网发展，其各种系统和内部用户数量不断增加，网络规模迅

速扩大，安全问题日趋严重。现有的每个业务网系统分别存储、管理本系统内的账号和口令，

独立的以日志形式审计操作者在系统内的操作行为已远远不能满足业务发展的需要，也无法

满足萨班斯法案（SOX）内控的要求，无法与国际业务接轨。存在的问题主要表现在以下几

个方面：

各系统中有大量的网络设备、主机和应用系统都有一套独立的认证、授权和审计机制，

分别由相应的系统管理员负责维护和管理。系统中帐号繁多，当维护人员同时对多个系统进

行维护时，工作复杂度会成倍增加。

各系统分别管理所属的系统资源，为本系统的用户分配权限。随着用户数量的增加，权

限管理任务越来越重，且无法严格按照最小权限原则分配权限，系统的安全性无法得到充分

保证。

有些账号多人共用，不仅在发生安全事故时，难以确定账号的实际使用者；而且在平时

也难以对账号的扩散范围加以控制，容易造成安全漏洞。

各业务系统及支撑系统的增多，使用户需要经常在各个系统之间切换，每次从一个系统切换

到另一支撑系统时，都需要输入用户名和口令进行登录。给用户的使用带来不便，影响了工

作效率。但是用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同

的，又会危害到系统的安全性。

由于各系统独立运行、维护和管理，所以各系统的审计也是相互独立的，不但各个系统

单独审计，即使同一系统中的每个网络设备，每个主机系统，每个业务系统及每个数据库系

统都要分别进行审计，缺乏集中统一的系统访问审计。无法对支撑系统进行综合分析，不能

及时发现入侵行为。

总之，随着系统及内部用户的增加，一方面系统维护和管理人员的工作负担增加，工作

效率无法提高；另一方面无法对各业务系统实现统一的安全策略，从而在实质上降低了业务

系统的安全性。因此，需要根据电信运营商业务网发展的现状，建立帐号口令集中管理机制，

使得系统和安全管理人员可以对业务系统的用户和各种资源进行集中管理、集中权限分配、

集中审计，从技术上保证各系统安全策略的实施。

4A式IAM解决方案简介

华为统一的4A安全解决方案能够解决运营商当前在账号口令管理、访问控制及安全审

计等方面所面临的主要问题。

其系统框架图如下：

上图中各组件分工如下：

认证组件负责对用户的集中认证，支持各种认证方式，用户名/口令，OTP，X.509，双

因素等等。

授权组件负责实现实体级授权和细粒度资源级授权，并提供鉴权接口给支持4A的应用

系统和网络设备。

账号管理组件负责企业的统一身份管理。

审计组件则负责采集企业资源（网络设备、主机、应用）的日志和4A的日志，并提供

分析功能，及时发现安全相关问题，实现用户行为审计。

4A管理平台提供对4A组件的管理功能，并通过统一的Portal对外提供管理界面，账号

管理、审计、授权管理等都通过统一Portal进行管理。

适配器负责采集网络设备、主机、应用的日志和资源信息，并负责4A与企业资源的同

步账号，同时提供LDAP的适配层。

通过SSO代理和认证开发包SDK来实现企业单点登录，同时为B/S应用提供统一的门

户，并支持单点登录。

安全网关提供了增强的访问控制能力，与授权组件配合，实现增强性实体级访问控制，

即使某员工知道了其它人员的从账号，也无法利用该从账号进行访问。

华为的4A框架兼顾现有系统和未来发展，为企业提供了统一高效的4A解决方案。

4A式IAM解决方案特点

4A式IAM解决方案基于华为对电信业务的深刻理解和华为自身从事电信安全解决方案

开发的多年的经验形成的符合SOX要求的解决方案。通