4A安全管理系统的研究与设计

摘 要：4A安全管理系统是针对目前在管理系统存在问题而设计的，现在很多管理系统都存在多个子系统，在这些子系统的安全设备上一般都没有进行独立的认证和权限审查，这就导致了账号无法进行有效地整合。4A管理系统主要是通过Portal技术进行算法加密，以此实现多个系统和总的管理系统之间进行信息的交流和沟通，这样就实现各个系统之间的有效安全访问，从而为客户提供功能更加完善和具有更高级别的管理服务。

关键词：安全管理系统；认证；登陆权限；子系统管理审计

中图分类号：TP311.52

随着各个企业的电子商务的开展以及各自的内部资源进行了不同程度的公开化，使得企业某些比较重要的信息财产安全得到威胁，特别是在当前信息比较快捷的情况下，很多信息背后都相应对应着资产，这也就使得很多客户和企业的资产受到威胁。目前企业的当务之急就是对这些相关信息的私密性、完整性以及真实可靠性进行详细的管理和保护，提高自身管理的安全系数。

1 传统业务支撑系统存在问题

1.1 数据库和管理模式相对独立

目前国内很多的企业业务系统都存在着很多子系统，这些子系统都使用相对独立的数据库、总系统的管理主机系统、硬件网络管理设备，这些相对比较独立的子系统导致了公司的常规维护工作人员无法同时对多种形态和功能的支撑系统进行同时地维护和完善，这就在很大程度上增加了子系统和整体工作系统的维护工作的复杂程度，提高了维护工作的人力成本，同时也给系统的正常运行带来了较高的运行风险，这就使得用户在正常使用各个业务子系统的工作过程中可能存在因为没有进行及时维护而造成的数据丢失或者网络资源被窃取，给系统的运营方带来不可估量的损失。

1.2 权限机制和权限管理相对独立

因为各个运行系统支撑的应用企业资源和系统资源都相对比较独立，进行管理和配置的用户操作也是由各个子系统的管理者进行操作的，这就导致了整个工作系统缺乏统一的资源权限管理平台，随着系统用户端的不断增长，进行权限管理的任务负担也越来越重，最终无法实现系统工作的安全性，最终导致整个系统受到威胁，财产和有价值的信息丢失或遭到窃取，导致整个工作系统和管理系统的管理失效，进而造成整个系统运行环境的崩溃。

1.3 基于独立账号管理跨系统的访问

一个系统的业务支撑系统要随着系统业务量的增加而增加，而各个用户需要经常在各个子系统之间进行切换，在用户进行子系统切换时，用户就需要重新输入用户名和密码，这就极大地影响了日常的工作效率，而且造成了大量的账号浪费，有些用户在一个子系统内可能只是需要资源的一次性使用，但是需要占用一个客户端资源，这也极大地增加了后台管理系统的负担，因为没有对账号进行及时和统一的管理，从而加大了对于账号进行总体管理的难度。独立账号的跨系统管理就意味着在工作过程中可能存在审计工作的独立，审计工作的独立就无法保证系统进行关联性分析。因为原有的各个系统都是系统进行独立操作的，如果没有进行集中统一的管理，访问审计机制也就无法对这些系统的资源进行有效地整合，从而无法形成综合性的日志系统分析，也无法及时发现入侵行为，同时也就无法进行准确的数据追踪和安全预警。建立一个以业务为中心提供统一基础服务技术平台是十分必要的，通过业务运营支撑的系统进行多种IT数据源的管理，从而使得各个子系统的业务平台实现相对集中和统一的信息安全服务，以此提高业务支撑系统运行的可靠性和安全性，做到最大程度上保护使用用户的合法权益和财产安全。

2 基于4A系统的设计与实现

2.1 4A管理平台技术框架设计

4A管理系统的核心工作部分就是4A管理工作平台，通过这个平台和需要整合的外部系统及子系统实现现有业务的综合性集成，同时还能够为系统的管理工作人员提供相关的资源技术管理平台。一般的4A技术管理平台分为三个管理层。

首先是Portal层，因为外部的应用系统在应用技术上存在着很大的差异性，在进行用户资源和公司资源管理上带来了很大的不便，通过该层的建设就能够给用户提供一个统一的方式进行用户的接入，并且将相关的业务管理流程进行规范化，实现整个管理系统提供一个具有个性化的单点统一登陆的功能，并且这个系统作为系统表现层的宿主，可以将外部各个子系统的内容集成到一个综合页面上，用户可以通过服务器分配的具体通行证进行具有指定性的登陆和访问，这些管理信息将通过加密的方式储存在通行证管理仓库当中，为支撑系统的应用管理提供比较便利的访问入口。

而应用层作为实现核心技术框架管理平台的核心层是对上一个阶层进行认证体系和权限管理的工作层面，这个应用层和传统网络所指的应用层有所不同，应用层不仅完成了计算机网络和用户之间的接入工作还完成了数据的采集整理过程，以及相关数据的分配和账号分配的安全服务。应用层同时还针对下层接口提供账号的同步和授权方面的认证以及审计制度下的数据收集工作。

接口层是实现4A管理平台和被管理对象以及进行外部认证之间连接的层面，这个层面以各种网络数据接口的形式实现，通过上层提供的数据将数据按照权限和需求分配给普通用户和系统管理工作人员，通过下层可以实现内部资源的整合和对外进行对接，实现外部子系统和相关组件的合理管理，主要从边界关系、接口的类型和流程上进行管理，使得外部的资源系统能够有过渡性地集成到同一个整体网络系统。

2.2 4A系统与业务系统的整合实现

为了能够将各个独立的业务系统有机地整合到同一个工作系统内部，4A系统管理平台需要和各个被管理的子系统进行通讯接口定义，这主要包括了通讯协议内容以及格式上的定义。各个被管理的业务子系统需要对4A管理系统提供相关协议的技术管理支撑，以此满足4A管理系统的整体要求，管理系统主要分为四个类型的接口，被管理的应用子系统在提供账号登陆、管理和审计接口上要满足4A系统的整体要求，在进行组织机构同步管理的过程中要通过JDBC访问方式实现，通过将接口和双方的信息同步保证进行信息保持一致，防止在发生信息变更时无法实现登陆从而阻碍数据交换。在进行网络工程的安全防护过程中首先要使用管理系统来保证内部局域网的系统安全性。管理系统主要是利用网络隔离的方式将内部局域网和外部的互联网进行隔离，这种防护设备在一定程度上来说是建立在内部网和外部互联网的沟通桥梁和信息传输中转站，主要实现途径是通过一台或者多台计算机共同组成的，管理系统对内部局域网和外部互联网进行整体的数据流量分析检验和管理控制，以此实现外部网络信息进入内部局域网的筛选和过滤，这就防止了没有经过授权的访问直接进入内部局域网，以此实现保护内部局域网的信息资源。

综合性的系统管理设置可以实现在可信任的内部局域网和具有不可知信任度的公共网设置的一个安全过渡阶段。管理系统能够根据外部入侵的实际供给能力提供全方位的安全服务，实现在进行数据信息传输的安全。从数据指令逻辑上来讲，管理系统不仅是一个分离限制工具，更是一个分析工具，能够不断对内部网和互联网之间的活动进行全时段的监控，这就保证了内部网络工作过程中的安全。管理系统的主要体系结构是双重宿主系统的结构，这种结构至少要有两个或者两个以上的信息结构作为信息传输设备，能够从一个信息源地址发送到另外一个数据源地址，实现数据包的IP传输。这种管理系统机制能够在进行IP传输的过程中阻止含有危险信号的数据传输。外部的互联网络通过管理系统和内部网络进行通信的过程是要进行不断地滤净和控制的。当主机体系结构被屏蔽时，就需要通过管理系统将路由器把内部和外部网络隔离开。在这种安全数据传输的体系结构中，管理系统主要负责数据包的信息过滤，在过滤的过程中主要能够防止登录用户绕过服务器和内部局域网进行直接连接。这种体系结构涉及了主机系统，主机系统是能够将外部互联网和内部局域网进行连接的网络系统，任意一个外部系统访问内部局域网在进行登录之前都必须要连接到这台主机上，因此主机的管理系统设置应该为最高级别。在数据包进行过滤的过程中要保证主机处于允许连接的设置状态下，而对于允许可以连接的状态就要按照站点的安全策略决定，当主机认为这种连接不会对内部局域网络产生威胁或者不良影响才能够将内部网络连接到外部互联网。这就从源头上控制了外部恶意代码和病毒以及黑客的入侵，有效地提高了内部局域网和外部互联网的整体连接，保证了信息传输的效率，提高了数据的传输质量。同时对系统要进行认证服务，4A管理系统一般要通过账号和凭证方式两个部分才能实现登陆，登陆方式一般以XML实现，应用登陆系统需要发送登陆凭证之后进行合理的身份认证才能进行登陆，在审计数据的统计过程中要同时完成网路数据日志的接收和保存工作。

2.3 4A系统业务处理流程

为了完成总系统下被管理的各个外部业务子系统在4A系统上的集成，需要对应用的资源进行注册，同时进行及时的修改和维护，对于应用账号的变化进行改查核授权维护，实现多个登陆账号以统一样式的表文件进行嵌入，以此形成统一的界面风格，这就给客户在登陆上减少了很大的不便，使得客户能够根据自身的要求和相关业务进入相应的子系统，而这些操作模式和账号资源对于客户来说是透明公开的，这些用户可以通过后台处理服务完成资源的一致性以及定期检测保证资源信息的使用安全性。

在4A管理系统的应用过程中要保证管理系统内部的账号在应用进行初步注册但没有进行初始化的过程中不能查看内部的账号和资源，只有当应用资源和相关系统数据完成初始化之后才可以查看账号归属和数据。当定期的同步系统任务完成之后，系统中可能会出现管理人员的账号不一致，在这种情况下系统的管理工作人员要对产生不一致的客户接入点进行及时的同步处理，同步的标准要以4A管理系统为主或者以实际应用的管理系统为主进行同步。同时这也给网络信息传输提出了更高的要求，在敏感文件和数据完整性上要做出更为准确的保护，通过更加严密的加密方式来满足工作要求，为了能够实现网络上数据和信息的安全使用和传输4A管理系统的资源在进行数据交互的过程中主要通过XML的方式得以实现，系统进行数据传输的过程中要通过合理的资源数据编排进行资源管理，当信息发生错时及时回馈错误信息然后进行及时合理的更正，保证信息和数据传输的准确性。

在企业实现网络工程先进级数设计和整体性能优化的过程中，要避免原有设计技术的停滞，同时也要避免偏低级数对企业网络的限制。目前网络的主流传输室依靠快速以太网、千兆以太网和ATM三种方式进行传输。这些网络能够实现网络信息数据的快速传输，这些信息传输过程中都需要传输设备具有非常强的实时性，同时还要求了在传输过程中的长时间稳定。而对于信息管理和销售管理系统等多种系统则相对比较复杂，这些系统在工作的过程中不仅要对传统的信息数据传输进行信息分类和查询，还要在需要传输的数据中加载图片、视频和音频等多种多媒体应用，这就要求了信息传输过程中要具有大量的可变量突发性信息传输渠道，在进行数据传输和接收时还要充分考虑到信息传输的均匀性和低延迟性，从这些方面的要求来看，上述三种信息传输方式都能够进行有效的信息传输。从网络工程设计的成本角度来看，在设计网络工程的过程中还要考虑到未来的维护成本和各种信息网络之间的类型搭配等多种因素。但是对于数以百计的网络接入点来讲这就需要更大的投资量和较高水平的维护技术。在进行网络工程建设中要重视多媒体技术的信息传输技术，所以要在建设过程中以发展的眼光满足设计的需要，这就要求了企业加大对技术水平的重视，同时也要注重对原有信息网络传输水平的提高和技术革新，通过及时地信息技术升级不断提高自身的科技水平满足更高速更便捷和更有效率的信息传输。只有为信息传输提供更加稳定的信息传输环境和外部条件才能提高企业在信息传输上的整体水平，在日益激烈的市场竞争中立于不败之地。

3 结束语

综上所述，本系统在应用过程中，能够很好地对原有分散系统进行有机整合，有效地实现了多个系统和4A管理平台的信息关联和功能交互两者的一致性，同时4A管理平台对敏感数据传送的加密处理，确保了服务调用的可靠性和安全性.从目前信息系统有待整合的发展趋势来看，推广应用前景十分广阔。在进行4A统一管理解决的管理过程中，该系统实现和完成了对认证和权限的管理以及审计和账号管理多种要素的有机统一和资源整合，这其中也涵盖了单个点登陆的安全实现功能，系统一方面可以为用户提供更高安全级别的管理工作系统，另一方面也可以为使用的用户提供符合要求的控制报表，工作系统具有这样几个特点：一致性，本工作系统是按照安全规范要求和说明进行统一性改造的，原有的各个系统和管理平台的信息和关联功能具有统一的连接途径。可靠性，因为管理系统使用的改造的技术措施和技术手段都是比较成熟稳定的技术，所以对各个子业务工作系统不存在任何方面的影响，如果发生4A管理平台无法提供有效服务的情况下，系统工作就无法保证原有的业务系统能够进行正常的功能。安全性，因为各个进行业务处理的业务子系统和管理平台在敏感或者比较重要的数据的传送过程中进行了极为严密的加密管理处理，这样就可以实现信息传输和使用服务的安全性。灵活性，在对原有的各个系统进行规范改造的过程中，4A系统充分地考虑到了业务可能在未来存在的拓展空间，因此管理系统在进行管理的过程中增加了更多的灵活性，以此适应未来更高要求的管理目标和管理方案。

参考文献：

[1]陈芳.基于Portal的企业信息门户系统研究[J].计算机与数字工程，2011，37（11）：115-117.

[2]中国移动通信有限公司.中国移动业务支撑网4A安全技术规范[M].北京：中国移动通信有限公司，2012.

[3]周贤伟，刘宁，覃伯平.IEEE802.1X协议的认证机制及其改进[J].计算机应用，2013，26（12）：2894-2896.

[4]张锐，张建林，孙国忠.多业务支撑系统的统一认证权限研究与设计[J].计算机工程与设计，2011，30（8）：1826-1828.

作者简介：徐积森（1978.08-），男，浙江松阳县人，硕士研究生，职员，工程师，研究方向：电子商务系统架构设计、实现；程莉莉（1979.07-），女，江苏宜兴人，硕士研究生，职员，工程师，研究方向：宽带业务产品管理、项目管理。

作者单位：中国联合网络通信有限公司，北京 100032；联通宽带在线有限公司，北京 100032