通过VPNRADIUS4A技术解决外部用户访问内部系统方法研究.docVIP

通过VPNRADIUS4A技术解决外部用户访问内部系统方法研究 　　摘 要：随着经济的迅速发展，各行业内公司的信息化程度也越来越高，其信息化水平高低也往往成为影响公司发展的至关重要的因素。尤其是交通运输、金融、电力能源等面向用户的关键性社会企业，信息系统是否能高效的提供7*24的业务支持，也成为信息人重点关注的问题。本文将浅析将VPN、RADIUS及4A技术进行整合以解决应急情况下外部人员访问内部生产系统的方法。 　　关键词：VPN；RADIUS；4A；信息安全 　　中图分类号：TP31 　　随着经济的迅速发展，各行业内公司的信息化程度也越来越高，一个公司的信息化水平也往往成为了影响公司发展的至关重要的因素。尤其是交通运输、金融、电力能源等面向用户的关键性社会企业，信息系统是否能高效的提供7*24的业务支持，也成为了企业内信息人员重点关注的问题。 　　作为信息人员，我们不断的致力于提升信息系统持续高效运行的概率，但是，我们不愿意看到的系统故障这些小概率事件，即使概率再小，也是有发生的可能，这时候企业对于信息系统的运维人员工作的安排，成为一个比较让人头痛的问题。 　　我们可以让所有系统负责人、服务商进行7*24小时的驻场，无疑是最安全的运维方式，但这种运维方式所产生的高昂的人员和运维成本与小概率发生的系统故障对比，显然是不可取的；我们也可以留一部分一线值班人员在现场监控，当系统出现故障的时候，电话通知系统管理员及服务商赶到现场进行处理，这种运维方式可能也是当前大多数公司采用的运维方式，但这种方式所需要的主要负责人员赶到现场的系统宕机时间，是否可以被7*24小时服务的要求所接受？那么，还有一个方式，就是通过VPN，让负责人可以在外网对系统进行实时的抢修工作，但对于一些有着企业内部信息的系统，我们的管理人员是否可以容忍让我们的信息系统随时可以被外部的服务商随时访问？ 　　那么，我们需要用一种尽可能合理的方法去解决信息系统故障时外部用户访问我们内部系统的安全问题，那就是将VPN、RADIUS认证与4A平台综合起来，形成一个安全的信息系统对外访问平台。 　　首先简单的介绍该实现方法所用到的三个技术。 　　VPN，即虚拟专用网，作用是通过一个公用网络，通常是因特网，建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展，通过他可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全。该技术，主要是在企业内部与外部搭建了一条安全的通道，实现了外部用户对内部系统访问的可能性，但对于通道打通后，外部用户对内部系统的行为控制以及行为审计并不是强项，所以，该技术，一般多用于通过外部网络访问内网进行OA办公等操作。 　　RADIUS，即远程用户拨号认证系统，是一种“客户/服务器”的通信认证协议，他使RADIUS客户端可以将验证、授权与记账等转给RADIUS服务器去运行。通过IAS服务实现RADIUS的认证服务功能。该技术主要用于整个操作最前端的身份认证部分，但无法实现对于用户的行为的控制以及行为审计。 　　4A平台，4A是当今比较流行的一个词，这四个“A”，由Account Management（集中账号管理）、Authentication（集中身份认证）、Authorization（集中访问授权）、Audit（集中审计）组成，也是任何公司为了满足各种内外部审计所必须要达到的一个标准。 　　4A，通过对运维人员的事前、事中、事后的行为的控制，实现了对关键系统的无缝的安全保障。事前的控制，及运维人员进行运维操作前的控制，主要通过身份认证与权限控制去实现。通过在运维人员与生产系统之间的4A平台，建立针对自然人的用户以及相应的密码认证方式，每个自然人用户仅可以通过自己唯一的4A账户登录4A平台，并且通过权限控制的方式，针对于每一个4A用户，或者用户组，分配相应的生产系统的相应的系统账户权限，实现对运维人员行为的事前控制，例如，为张三在4A平台上建立了一个4A账户zhangsan，通过权限控制的方式，只给这个用户分配服务器A的root权限以及服务器B的oracle用户的权限，那么，当用户张三登录4A平台后，他可以，并且只可以看到服务器A的root和服务器B的oracle权限的链接，通过该链接，实现对应系统的账户的登录。当然，实现这个身份认证和权限控制的基础，是要实现生产服务器的密码代填，并收回原始的密码信封，以防止运维人员通过直连生产服务器的方式进行操作，从而失去对运维人员的控制。 　　事中控制，及对运维人员成功登录生产服务器后的操作行为进行控制，该控制的实现机制可以通过整理符合范式的指令关键字的形式，将指令的关键字设为普通、中危、高危，普通级别