NSG4A产品能力介绍v10

亚信NSG-4A统一帐号认证授权审计平台——IT系统统一智能化安全支撑企业IT应用的现状当前企业面临诸多挑战，而许多挑战都与用户身份管理及受保护资源的访问管理相关。这些挑战包括:降低安全管理的成本、保护组织的关键资产、确保法规遵从性等。企业正面临着前所未有的压力：需要阻止入侵者进入计算机网络，管理员工对系统资源及应用业务的访问，逐步使客户和合作伙伴对我们树立信心。这对于企业的IT部门来说是一项巨大的责任，正因为如此，越来越多的企业正在向供应商寻求身份管理的产品和方案。如今，身份管理已成为开启企业IT管理的一把钥匙。在网络这个虚拟世界中，每一个业务操作都会涉及不同身份的人：员工、企业合作伙伴和客户，因此，有效的身份管理就成为了其中必不可少的一环。作为一种多层面、多角度的安全保障，身份管理解决方案已经成为信息技术中的一项重大任务。企业中不同角色对现有IT应用的体验IT经理：我们公司的支撑系统中有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。目前各应用系统都有一套独立的认证、授权和审计系统，并且由相应的系统管理员负责维护和管理。当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加；普通员工：我的公司部署了多套软件系统实现现代化办公，有营业账务系统、客户关系管理系统、经营分析系统、内部办公系统、外网门户系统等，每套系统有不同的用户、密码，经常弄错，要么忘了，访问起来真麻烦；帐号管理员：我作为公司的帐号管理员，公司30000多号人的账户我都要管理，10多个系统每个都要建一遍账户，修改资料和权限也非常麻烦，不仅工作效率低下，并且容易出错而被领导责备。还有就是有些帐号多人共用，不仅在发生安全事故，难于确定帐号的实际使用者，而且在平时难于对账号的扩散范围进行控制，容易造成安全漏洞；系统管理员：我作为公司的系统管理员，不同系统分别管理所属的系统资源，为本系统的用户分配权限，缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，系统的安全性无法得到充分保证；审计管理员：我作为公司的审计管理员，公司各个系统都单独审计，即使同一系统中的每个网络设备，每个主机系统，每个业务系统及每个数据库系统都要分别进行审计，缺乏集中统一的系统访问审计。无法对支撑系统进行综合分析，不能及时发现入侵行为；为什么是4A首先从4A的概念讲，指对用户的身份、以及该用户对应用和系统资源的访问进行管理。A：Account身份帐号管理A：Authentication身份认证管理A：Authorization统一授权管理A：Audit统一审计管理4A解决了“When”、“Where”、“What”、“Who”、“How”这样的问题，也就是说谁能够在什么时候获得谁的授权来使用某一个应用或设备，如何去使用这样的应用或设备，以及知道谁在什么时候访问了某些应用或设备等。4A提供：统一的身份认证和单点登录；4A统一门户作为应用资源、系统资源的集中、唯一访问入口，禁止用户绕过4A统一门户直接登录应用资源和系统资源；统一的帐号、授权管理；对用户能够在被管资源中行使的权限进行分配，实现用户对资源的访问控制。完善的运营稽核和金库审批；主机、网络设备、安全设备和虚拟资源等系统资源接入，堡垒机访问控制、命令级控制和表控制；全面的安全审计业务操作行为、系统操作行为及4A运营状态融合并进行基础审计与专题审计；产品示意图技术架构：应用层门户管理帐号管理认证管理授权管理Portlet审计管理加密（3DES）短信认证授权适配分析引擎帐号适配PKI证书令牌认证集中认证单点登录SHA-1授权模型SSO金库堡垒主机流程管理应急管理资源接入、配置与报表审计代理防绕行控制绕行监测绕行识别绕行响应协议代理应用发布事中审批命令分析与拦截Web请求拦截流程引擎Token凭证数据模式匹配可监控组件接口层SyslogSNMPODBC/JDBCFTP/SFTPTELNET\SSHWEBSERVICE可监控组件接口数据同步密码获取其它技术要求安全性易用性可用性数据加解密一致性资源管控报表引擎统一配置API访问控制搜索引擎表单代填帐号同步可监控安全、可靠、易用的人机交互界面，为使用人员提供身份管理、登录认证的相关服务；通过丰富的信息交互接口实现与各类被管资源的数据功能耦合；应用层代表4A平台各功能模块所使用的主要技术概括。接口层代表4A平台与外部系统（包括业务系统、强认证组件、系统资源）交互使用的接口技术集合；技术指标：打开登录界面响应时长：=5秒；登录4A平台响应时长：=5秒；门户认证登录并发数：=200个；堡垒主机会话并发数：=20个；应急切换执行时间：=15分钟；标准化后的审计查询响应时间：=60秒；准实时审计日志采集的时间：=15分钟；日志数据采集标准化与实时入云存储不低于每秒10Mbps；产品优势亚信4A是完全自主知识产权的身份管理系统；平台对用户的管理权限严格分明，各司其职，分为系统管理员、审计管理员、运维管理员、口令管理员四种管理员角色，平台也支持管理员角色的自定义创建，对管理权限进行细粒度设置，保障了平台的用户安全管理；支持多种强认证方式：静态口令、令牌卡、USB－KEY、IC卡、手机短信、数字证书等；基于用户、目标设备、运维时间（年、月、日、周、时间）等组合的授权功能，实现细粒度授权功能，满足用户实际授权的需求。授权可基于：用户到资源、用户到资源组，支持批量功能；金库模式操作强制要求必须由两人或以上有相应权限的员工共同协作完成敏感高风险操作，通过相互监督、利益制约确保关键操作的安全性；基于Solr全文检索，基于Hadoop海量数据采集和分析的日志审计平台；图形堡垒机唯一实现对运维人员可登录到远程虚拟服务器对目标服务器进行访问，同时避免敏感数据直接流失到用户终端。在图形堡垒上可发布数据库维护工具（PL/SQL、SQLPLUS、TOAD、DB2、MYSQL、Teradata、FlashFTP等不同图形工具，方便运维人员进行运维操作；应用案例中国移动总部4A和18个省级业务支撑中心4A(河南、广西、山东、青海、江苏、重庆、吉林、上海、甘肃、江西、四川、内蒙、新疆、宁夏、浙江、安徽、陕西和福建)、4省网络部4A管理平台建设；中国联通总部4A和5省4A管理平台建设；中国电信5省4A管理平台建设；联系方式：亚信科技（中国）有限公司NSG-SIC安全咨询规划部北京海淀区中关村软件园二期西北旺东路10号院东区亚信大厦A座3层邮编：100193电话:（8610）8216-6688手机：13601001280