4A

隨着信息技術的不斷髮展和信息化建設的不斷進步，業務應用、辦公系統、商務平台不斷推出和投入運行，信息系統在企業的運營中全面滲透。電信行業、財政、税務、公安、金融、電力、石油、大中型企業和門户網站，使用數量眾多的網絡設備、服務器主機來提供基礎網絡服務、運行關鍵業務，提供電子商務、數據庫應用、ERP和協同工作羣件等服務。由於設備和服務器眾多，系統管理員壓力太大等因素，越權訪問、誤操作、濫用、惡意破壞等情況時有發生，這嚴重影響企業的經濟運行效能，並對企業聲譽造成重大影響。另外黑客的惡意訪問也有可能獲取系統權限，闖入部門或企業內部網絡，造成不可估量的損失。如何提高系統運維管理水平，跟蹤服務器上用户的操作行為，防止黑客的入侵和破壞，提供控制和審計依據，降低運維成本，滿足相關標準要求，越來越成為企業關心的問題。

2002年由美國總統布什簽發的薩班斯法案(Sarbanes-Oxley Act)開始生效。其中要求企業的經營活動，企業管理、項目和投資等，都要有控制和審計手段。因此，管理人員需要有有效的技術手段和專業的技術工具和安全產品按照行業的標準來做細粒度的管理，真正做到對於內部網絡的嚴格管理，可以控制、限制和追蹤用户的行為，判定用户的行為是否對企業內部網絡的安全運行帶來威脅。

2007年，由公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室四部門聯合印發了《信息安全等級保護管理辦法》，為我國信息系統等級保護工作的迅速展開起到了有力的促進作用。配合該《管理辦法》的發佈，一系列相關國家標準也進入緊鑼密鼓的制定和審批當中。如：《信息系統安全等級保護基本要求》（以下簡稱《基本要求》）、《信息系統安全等級保護-定級指南》、《信息系統安全等級保護-實施指南》、《信息系統安全等級保護-測評準則》等。其中《基本要求》針對每個等級的信息系統提出相應安全保護要求，按照《基本要求》進行保護後，信息系統達到一種相對安全的狀態，即具備了相應等級的信息安全保護能力。

4A (認證Authentication、授權Authorization、賬號Account、審計Audit)統一安全管理平台解決方案。

1995年，國際網安界最早提出4A(認證Authentication、授權Authorization、記賬Accounting、審計Audit)統一安全管理平台解決方案概念，正式將身份認證作為整個網絡安全的基礎及不可或缺的組成部分，即將身份認證、授權、記賬和審計，定義為網絡安全的四大組成部分，從而確立了身份認證在整個網絡安全系統中的地位與作用。

所謂4A統一安全管理平台解決方案，即融合統一用户賬號管理、統一認證管理、統一授權管理和統一安全審計四要素後的解決方案將涵蓋單點登錄（SSO）等安全功能，既能夠為客户提供功能完善的、高安全級別的4A管理，也能夠為用户提供符合薩班斯法案（SOX）要求的內控報表。

（1）集中賬號（account）管理

為用户提供統一集中的賬號管理，支持管理的資源包括主流的操作系統、網絡設備和應用系統；不僅能夠實現被管理資源賬號的創建、刪除及同步等賬號管理生命週期所包含的基本功能，而且也可以通過平台進行賬號密碼策略，密碼強度、生存週期的設定。

（2）集中認證(authentication)管理

可以根據用户應用的實際需要，為用户提供不同強度的認證方式，既可以保持原有的靜態口令方式，又可以提供具有雙因子認證方式的高強度認證（一次性口令、數字證書、動態口令），而且還能夠集成現有其它如生物特徵等新型的認證方式。不僅可以實現用户認證的統一管理，並且能夠為用户提供統一的認證門户，實現企業信息資源訪問的單點登錄。

（3）集中權限(authorization)管理

可以對用户的資源訪問權限進行集中控制。它既可以實現對B/S、C/S應用系統資源的訪問權限控制，也可以實現對數據庫、主機及網絡設備的操作的權限控制，資源控制類型既包括B/S的URL、C/S的功能模塊，也包括數據庫的數據、記錄及主機、網絡設備的操作命令、IP地址及端口。

（4）集中審計(audit)管理

將用户所有的操作日誌集中記錄管理和分析，不僅可以對用户行為進行監控，並且可以通過集中的審計數據進行數據挖掘，以便於事後的安全事故責任的認定。