2024年3月9日发(作者：文良翰)

华为4A式IAM解决方案

随着各大运营商在海外的上市，运营商对增强内部控制的需求日益强烈。华为4A式IAM（Identity Access Manager基于身份的访问管理）解决方案综合利用各厂家成熟的技术，结合自身对电信业务深刻地理解和研发集成能力，致力于提高各大运营商通过合理的技术和途径达到增强内部控制的要求。4A式IAM解决方案包含了集中帐号管理（Account）、集中认证(Authentication)、集中授权(Authorization)和集中审计(Audit)四个方面。方案重在帮助运营商通过合理的技术手段和建设方式达到增强内控的目的。 方案需求背景 随着各大电信运营商的业务网发展，其各种系统和内部用户数量不断增加，网络规模迅速扩大，安全问题日趋严重。现有的每个业务网系统分别存储、管理本系统内的账号和口令，独立的以日志形式审计操作者在系统内的操作行为已远远不能满足业务发展的需要，也无法满足萨班斯法案（SOX）内控的要求，无法与国际业务接轨。存在的问题主要表现在以下几个方面： 各系统中有大量的网络设备、主机和应用系统都有一套独立的认证、授权和审计机制，分别由相应的系统管理员负责维护和管理。系统中帐号繁多，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加。 各系统分别管理所属的系统资源，为本系统的用户分配权限。随着用户数量的增加，权限管理任务越来越重，且无法严格按照最小权限原则分配权限，系统的安全性无法得到充分保证。 有些账号多人共用，不仅在发生安全事故时，难以确定账号的实际使用者；而且在平时也难以对账号的扩散范围加以控制，容易造成安全漏洞。 各业务系统及支撑系统的增多，使用户需要经常在各个系统之间切换，每次从一个系统切换到另一支撑系统时，都需要输入用户名和口令进行登录。给用户的使用带来不便，影响了工作效率。但是用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的，又会危害到系统的安全性。 由于各系统独立运行、维护和管理，所以各系统的审计也是相互独立的，不但各个系统单独审计，即使同一系统中的每个网络设备，每个主机系统，每个业务系统及每个数据库系统都要分别进行审计，缺乏集中统一的系统访问审计。无法对支撑系统进行综合分析，不能及时发现入侵行为。 总之，随着系统及内部用户的增加，一方面系统维护和管理人员的工作负担增加，工作效率无法提高；另一方面无法对各业务系统实现统一的安全策略，从而在实质上降低了业务系统的安全性。因此，需要根据电信运营商业务网发展的现状，建立帐号口令集中管理机制，使得系统和安全管理人员可以对业务系统的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证各系统安全策略的实施。 4A式IAM解决方案简介 华为统一的4A安全解决方案能够解决运营商当前在账号口令管理、访问控制及安全审计等方面所面临的主要问题。 其系统框架图如下：

上图中各组件分工如下： 认证组件负责对用户的集中认证，支持各种认证方式，用户名/口令，OTP，X.509，双因素等等。 授权组件负责实现实体级授权和细粒度资源级授权，并提供鉴权接口给支持4A的应用系统和网络设备。 账号管理组件负责企业的统一身份管理。 审计组件则负责采集企业资源（网络设备、主机、应用）的日志和4A的日志，并提供分析功能，及时发现安全相关问题，实现用户行为审计。 4A管理平台提供对4A组件的管理功能，并通过统一的Portal对外提供管理界面，账号管理、审计、授权管理等都通过统一Portal进行管理。 适配器负责采集网络设备、主机、应用的日志和资源信息，并负责4A与企业资源的同步账号，同时提供LDAP的适配层。 通过SSO代理和认证开发包SDK来实现企业单点登录，同时为B/S应用提供统一的门户，并支持单点登录。 安全网关提供了增强的访问控制能力，与授权组件配合，实现增强性实体级访问控制，即使某员工知道了其它人员的从账号，也无法利用该从账号进行访问。 华为的4A框架兼顾现有系统和未来发展，为企业提供了统一高效的4A解决方案。 4A式IAM解决方案特点 4A式IAM解决方案基于华为对电信业务的深刻理解和华为自身从事电信安全解决方案开发的多年的经验形成的符合SOX要求的解决方案。通过对电信业务的深入分析以及对4A现有技术和未来发展的研究，华为4A式IAM解决方案具有更贴近电信业务实际，更注重合理实施等特点。 1、最优功能模块和科学管理理念的整合 为充分满足4A建议要求，华为4A解决方案各个核心模块全部选用业界最优组件并采用科学的安全管理理念对各个组件进行开发整合。包括：身份管理系统、集中认证系统、集中授

权系统、行为和日志审计系统。 身份管理系统（IDM）是华为4A解决方案的核心，支持从原有HR系统的人员身份导入，能够对Windows AD、LDAP、数据库、Unix、Linux、网络设备等多种数据源进行帐户的收集管理与双向同步，具有统一的Portal方便用户自助管理帐户信息和管理员的统一身份管理。 集中认证系统帮助用户完成对各个应用系统的认证过程。用户只需要在统一的门户界面进行首次登录，即可以直接登录到其他的应用系统，而无需另外的输入用户名和密码进行身 份验证。 集中授权系统可以做到基于角色和用户的实体级访问控制，通过用户名、IP地址和端口号的绑定，集中认证系统确保了用户仅能够访问到他具有访问权限的应用系统和服务。 行为和日志审计系统对用户的操作行为和应用系统的日志进行集中分析和审计，记录每个用户对系统操作的历史记录，预先发现系统安全隐患。 最优的功能模块和科学的管理理念的整合，使得华为4A解决方案在技术上的处于领先地位。 2、最贴近用户需求 华为4A式IAM解决方案充分考虑了用户的业务特点及维护管理特点，根据用户的运营管理特点制定合理的4A建设模式和应用场景。4A系统不是简单的集中帐号管理、集中认证、集中授权和集中审计的累加，因为建设合理的4A系统要牵涉到维护习惯的改变，维护流程的调整，网络架构的调整甚至组织结构的调整。缺乏对运营商的深入理解，4A系统必然是空有其名，不能满足运营商的真正需求。 3、最具可实施性的方案 华为通过对电信业务和目前4A技术的深刻理解，提出了最合理的建设思路。4A系统的建设需要进行大量的协调工作和推动工作。其建设过程不仅牵涉到运营商内部的各个部门的协调，还涉及到各业务提供商的推动和协调。不合理的建设模式很有可能导致4A系统建设无法实施和落地，而华为通过对4A技术及电信业务实际的研究，提出了统一规划、分阶段实施的建设模式。有效地减小了4A系统实施的风险，提高4A系统实施效率和成功几率。 自有产品的有机融合 在4A式解决方案中，不仅仅集成了目前业界最为成熟的产品和技术，华为也立足于自身强大的研发实力，开发了符合4A要求的自身产品。通过这些安全产品，有效弥补了现有产品的不足。使4A解决方案更适应运营商的维护管理需求。 4A系统客户收益 通过4A系统的实施，运营商可以得到以下收益： 1安全性提升 提升安全管理能力－－4A能实现大多数的安全管理要求，如威胁管理、身份识别、访问管理和安全审计等。 提高安全符合性－－满足法规、标准遵从性的要求，提高企业安全管理的效率，降低成本，减少企业所面临的安全风险； 统一账号、口令管理－－集中化监控和管理用户； 统一认证授权－－强化认证方式，实现权限最小化，并通过权限管理流程，有效避免权限滥用； 安全SSO（Single Sign On单点登录）系统方式－－实现用户单点登录，避免多角色、用户帐号口令安全问题； 日志安全管理－－收集、管理所有系统、网络设备以及4A系统本身安全日志，并通过报表展示，使用户行为具备可追溯性；

安全审计－－提供统一审计平台，可以对所有目标用户行为进行审计。 2降低IT运营成本 用户层面 不需再向各个系统申请权限，通过统一流程，可以一次性完成不需要再记忆多个系统的账号口令，可以通过SSO来实现所有 系统的访问IT管理层面 用户生命周期管理－－账号口令管理、认证、授权有统一的电子流程管理，在管理上节约了每一个用户生命周期的投入，新增用户上线周期大大缩短，提高了工作效率；增删用户方便快捷，执行效率提高，安全性提高 系统整合－－整合原有在各个系统分布的帐号口令、认证、授权、审计功能，从而减少各个系统的人力成本投入统一管理平台－－通过统一管理平台，操作、维护易用性提高 业务系统优化的推动： 应用系统帐号、口令的规范化，应用系统认证模式的可扩展性，软件接口的开放性、标准化，多业务系统集中管理的模式探讨。

2024年3月9日发(作者：文良翰)

华为4A式IAM解决方案

随着各大运营商在海外的上市，运营商对增强内部控制的需求日益强烈。华为4A式IAM（Identity Access Manager基于身份的访问管理）解决方案综合利用各厂家成熟的技术，结合自身对电信业务深刻地理解和研发集成能力，致力于提高各大运营商通过合理的技术和途径达到增强内部控制的要求。4A式IAM解决方案包含了集中帐号管理（Account）、集中认证(Authentication)、集中授权(Authorization)和集中审计(Audit)四个方面。方案重在帮助运营商通过合理的技术手段和建设方式达到增强内控的目的。 方案需求背景 随着各大电信运营商的业务网发展，其各种系统和内部用户数量不断增加，网络规模迅速扩大，安全问题日趋严重。现有的每个业务网系统分别存储、管理本系统内的账号和口令，独立的以日志形式审计操作者在系统内的操作行为已远远不能满足业务发展的需要，也无法满足萨班斯法案（SOX）内控的要求，无法与国际业务接轨。存在的问题主要表现在以下几个方面： 各系统中有大量的网络设备、主机和应用系统都有一套独立的认证、授权和审计机制，分别由相应的系统管理员负责维护和管理。系统中帐号繁多，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加。 各系统分别管理所属的系统资源，为本系统的用户分配权限。随着用户数量的增加，权限管理任务越来越重，且无法严格按照最小权限原则分配权限，系统的安全性无法得到充分保证。 有些账号多人共用，不仅在发生安全事故时，难以确定账号的实际使用者；而且在平时也难以对账号的扩散范围加以控制，容易造成安全漏洞。 各业务系统及支撑系统的增多，使用户需要经常在各个系统之间切换，每次从一个系统切换到另一支撑系统时，都需要输入用户名和口令进行登录。给用户的使用带来不便，影响了工作效率。但是用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的，又会危害到系统的安全性。 由于各系统独立运行、维护和管理，所以各系统的审计也是相互独立的，不但各个系统单独审计，即使同一系统中的每个网络设备，每个主机系统，每个业务系统及每个数据库系统都要分别进行审计，缺乏集中统一的系统访问审计。无法对支撑系统进行综合分析，不能及时发现入侵行为。 总之，随着系统及内部用户的增加，一方面系统维护和管理人员的工作负担增加，工作效率无法提高；另一方面无法对各业务系统实现统一的安全策略，从而在实质上降低了业务系统的安全性。因此，需要根据电信运营商业务网发展的现状，建立帐号口令集中管理机制，使得系统和安全管理人员可以对业务系统的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证各系统安全策略的实施。 4A式IAM解决方案简介 华为统一的4A安全解决方案能够解决运营商当前在账号口令管理、访问控制及安全审计等方面所面临的主要问题。 其系统框架图如下：

上图中各组件分工如下： 认证组件负责对用户的集中认证，支持各种认证方式，用户名/口令，OTP，X.509，双因素等等。 授权组件负责实现实体级授权和细粒度资源级授权，并提供鉴权接口给支持4A的应用系统和网络设备。 账号管理组件负责企业的统一身份管理。 审计组件则负责采集企业资源（网络设备、主机、应用）的日志和4A的日志，并提供分析功能，及时发现安全相关问题，实现用户行为审计。 4A管理平台提供对4A组件的管理功能，并通过统一的Portal对外提供管理界面，账号管理、审计、授权管理等都通过统一Portal进行管理。 适配器负责采集网络设备、主机、应用的日志和资源信息，并负责4A与企业资源的同步账号，同时提供LDAP的适配层。 通过SSO代理和认证开发包SDK来实现企业单点登录，同时为B/S应用提供统一的门户，并支持单点登录。 安全网关提供了增强的访问控制能力，与授权组件配合，实现增强性实体级访问控制，即使某员工知道了其它人员的从账号，也无法利用该从账号进行访问。 华为的4A框架兼顾现有系统和未来发展，为企业提供了统一高效的4A解决方案。 4A式IAM解决方案特点 4A式IAM解决方案基于华为对电信业务的深刻理解和华为自身从事电信安全解决方案开发的多年的经验形成的符合SOX要求的解决方案。通过对电信业务的深入分析以及对4A现有技术和未来发展的研究，华为4A式IAM解决方案具有更贴近电信业务实际，更注重合理实施等特点。 1、最优功能模块和科学管理理念的整合 为充分满足4A建议要求，华为4A解决方案各个核心模块全部选用业界最优组件并采用科学的安全管理理念对各个组件进行开发整合。包括：身份管理系统、集中认证系统、集中授

权系统、行为和日志审计系统。 身份管理系统（IDM）是华为4A解决方案的核心，支持从原有HR系统的人员身份导入，能够对Windows AD、LDAP、数据库、Unix、Linux、网络设备等多种数据源进行帐户的收集管理与双向同步，具有统一的Portal方便用户自助管理帐户信息和管理员的统一身份管理。 集中认证系统帮助用户完成对各个应用系统的认证过程。用户只需要在统一的门户界面进行首次登录，即可以直接登录到其他的应用系统，而无需另外的输入用户名和密码进行身 份验证。 集中授权系统可以做到基于角色和用户的实体级访问控制，通过用户名、IP地址和端口号的绑定，集中认证系统确保了用户仅能够访问到他具有访问权限的应用系统和服务。 行为和日志审计系统对用户的操作行为和应用系统的日志进行集中分析和审计，记录每个用户对系统操作的历史记录，预先发现系统安全隐患。 最优的功能模块和科学的管理理念的整合，使得华为4A解决方案在技术上的处于领先地位。 2、最贴近用户需求 华为4A式IAM解决方案充分考虑了用户的业务特点及维护管理特点，根据用户的运营管理特点制定合理的4A建设模式和应用场景。4A系统不是简单的集中帐号管理、集中认证、集中授权和集中审计的累加，因为建设合理的4A系统要牵涉到维护习惯的改变，维护流程的调整，网络架构的调整甚至组织结构的调整。缺乏对运营商的深入理解，4A系统必然是空有其名，不能满足运营商的真正需求。 3、最具可实施性的方案 华为通过对电信业务和目前4A技术的深刻理解，提出了最合理的建设思路。4A系统的建设需要进行大量的协调工作和推动工作。其建设过程不仅牵涉到运营商内部的各个部门的协调，还涉及到各业务提供商的推动和协调。不合理的建设模式很有可能导致4A系统建设无法实施和落地，而华为通过对4A技术及电信业务实际的研究，提出了统一规划、分阶段实施的建设模式。有效地减小了4A系统实施的风险，提高4A系统实施效率和成功几率。 自有产品的有机融合 在4A式解决方案中，不仅仅集成了目前业界最为成熟的产品和技术，华为也立足于自身强大的研发实力，开发了符合4A要求的自身产品。通过这些安全产品，有效弥补了现有产品的不足。使4A解决方案更适应运营商的维护管理需求。 4A系统客户收益 通过4A系统的实施，运营商可以得到以下收益： 1安全性提升 提升安全管理能力－－4A能实现大多数的安全管理要求，如威胁管理、身份识别、访问管理和安全审计等。 提高安全符合性－－满足法规、标准遵从性的要求，提高企业安全管理的效率，降低成本，减少企业所面临的安全风险； 统一账号、口令管理－－集中化监控和管理用户； 统一认证授权－－强化认证方式，实现权限最小化，并通过权限管理流程，有效避免权限滥用； 安全SSO（Single Sign On单点登录）系统方式－－实现用户单点登录，避免多角色、用户帐号口令安全问题； 日志安全管理－－收集、管理所有系统、网络设备以及4A系统本身安全日志，并通过报表展示，使用户行为具备可追溯性；

安全审计－－提供统一审计平台，可以对所有目标用户行为进行审计。 2降低IT运营成本 用户层面 不需再向各个系统申请权限，通过统一流程，可以一次性完成不需要再记忆多个系统的账号口令，可以通过SSO来实现所有 系统的访问IT管理层面 用户生命周期管理－－账号口令管理、认证、授权有统一的电子流程管理，在管理上节约了每一个用户生命周期的投入，新增用户上线周期大大缩短，提高了工作效率；增删用户方便快捷，执行效率提高，安全性提高 系统整合－－整合原有在各个系统分布的帐号口令、认证、授权、审计功能，从而减少各个系统的人力成本投入统一管理平台－－通过统一管理平台，操作、维护易用性提高 业务系统优化的推动： 应用系统帐号、口令的规范化，应用系统认证模式的可扩展性，软件接口的开放性、标准化，多业务系统集中管理的模式探讨。