【IT168 资讯】企业风险与信息安全

　　一谈到信息安全，人们往往首先想到的是防火墙、入侵检测、漏洞扫描、数据加密等安全防御产品。这些产品主要从网络层次上防止潜在的安全威胁。然而随着各企业不断开展电子商务和将内部资源不同程度地向客户、合作伙伴及员工开放，对于企业至关重要的信息财产安全越发得到重视。尤其是在信息访问越发便捷的背景下，这些资产也暴露在越来越多的威胁中，毫无疑问，信息保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业急待解决的安全问题。

　　随着企业的不断发展，各种支撑系统和各系统用户数量不断增加，网络规模迅速扩大，原有的简单账号口令管理措施已日渐不能满足信息安全的要求，主要表现在以下方面：

　　· 系统多，且分别属于不同的部门和不同的业务系统。每套应用系统都有一套独立的认证、授权和审计系统，并且由相应的系统管理员负责维护和管理。出现同一台服务器或网络设备需要多人维护，或同一人需要维护多台服务器和网络设备情况，系统维护成本增加。

　　· 由于缺乏统一的身份管理平台，难以管理系统运维帐号，超级用户帐号共享的现象普遍存在。账号的多人共用，不仅在发生安全事故，难于确定账号的实际使用者，在平时也难于对账号的扩散范围进行控制，容易造成安全漏洞。

　　· 每个系统分别管理所属的系统资源，为本系统的用户分配权限，缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限，系统的安全性无法得到充分保证。

　　· 随着系统的增多，使用户经常需要在各个系统之间切换，每次从一个系统切换到另一支撑系统时，都需要输入用户名和口令进行登录。给用户的工作带来不便，影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的，危害到系统的安全性。

　　· 由于各系统独立运行、维护和管理，所以各系统的审计也是相互独立的，缺乏集中统一的系统访问审计。无法对支撑系统进行综合分析，不能及时发现入侵行为。

　　因此需要系统和安全管理人员可以对企业内部的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证支撑系统安全策略的实施。所以构建信息级的企业安全必须解决用户的账号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit)方面的问题，即4A解决方案。4A主要回答了这样几个问题，即："谁能进来？""他们能够做什么？""是否能够为审计提供足够的信息？"。