因为专注所以专业因为专业所以领先ULTRA-IAM统一身份及访问安全管理系统北京神州泰岳软件股份有限公司信息安全事业部概要123产品概况Ultra-IAM产品介绍建设关注点4案例介绍业界关于4A解决方案的一些名词•国际叫法:–IAM——IdentityandAccessManagement,统一身份及访问安全管理•神州泰岳产品:–Ultra-IAM——Account、Authentication、Authorization、AuditandAccessControlManagementSysytem•中国移动叫法:–安全管控平台或者4A,涵盖三个子中心•集中维护接入平台SMAP:对应AccessControl•帐号口令管理系统:对应Account、Authentication、Authorization•审计系统:对应Audit4A解决什么问题?——错综复杂的日常运行维护管理企业员工张三在公司企业各类IT资源企业员工李四在出差王五是远程的第三方维护人员小刘是现场的第三方维护人员弱口令无法控制维护接入途径五花八门维护操作内容无从知晓违规操作无法控制账户开设无规可循4A解决什么问题?——安全管控平台的作用企业员工张三在公司企业员工李四在出差王五是远程的第三方维护人员小刘是现场的第三方维护人员集中安全维护接入平台集中帐号口令管理平台集中安全审计平台企业各类IT资源建设现状分析现状审计维护安全问题不断出现,系统维护和管理工作负担大,效率低认证帐号独立的用户数据库和独立的系统管理员;自然人身份和业务系统帐号重叠;多系统都基于独立的帐号管理实现访问频繁切换接入网络没有强制检测手段;访问系统没有强身份认证手段;各应用系统都独立认证;授权独立的系统授权机制和独立的应用授权管理独立的审计,缺乏关联分析。运营出现的安全问题无法明确定位Ultra-IAM系统概述•神州泰岳Ultra-IAM是集账号管理、授权管理、认证管理和综合审计、安全访问控制于一体的集中账号及安全访问管理系统(业界称为4A)。•该产品实现用户账户管理(Account)、认证(Authentication)、授权(Authorization)和审计(Audit)四方面的内在关联,是目前国内功能最完整、控制粒度最细的综合身份认证和访问安全管理产品。•Ultra-IAM采用模块化设计,不但可以根据用户需要和环境特点进行选择、组合,而且可以提供定制化的开发,能够方便地实现与用户应用的有机结合。概要123产品概况Ultra-IAM产品介绍建设关注点4案例介绍4A系统的工作场景C/S应用B/S应用Ultra-IAMPortal普通用户运维用户LDAPUltra-IAMServerUltra-IAMResourceManagementDriversuites网络设备主机系统数据库系统主账号认证授权资源列表帐号管理员审计管理员SSO集中应用发布系统SSO安装filter拦截器堡垒主机代填代填(HTTP模拟、Form代填)凭证(Token、Ticket)从帐号SSOUltra-IAM系统架构系统功能用户管理认证管理系统功能12集中审计4授权管理3•认证方式选择•单点登录SSO•认证转发•日志采集•日志分析•审计还原•告警处理•审计报表•主从帐号管理•用户同步•生命周期管理•密码管理•用户自管理•授权管理•资源管理•访问控制•角色管理•授权粒度控制主从帐号管理•主帐号管理–组织管理:能够按照按地域、组织结构进行划分,建立相应树状目录用于合理组织主帐号。–分级管理:以适应分部门、分管理层次的分级管理要求;不同级别的帐号可以行使不同级别的权限–属性管理:包括帐号基本信息、时效策略、密码策略、组织标识、角色标识。–生命周期管理:对用户从产生到删除各存在状态进行管理–帐号监控:口令系统对幽灵帐号、弱口令和交叉帐号(不能修改口令的程序帐号)进行监控,并提供相应的告警报表–自服务功能:对自己的属性进行修改同步功能•神州泰岳Ultra-IAM通过多种方式来实现对操作系统、数据库系统、网络设备、应用系统、业务系统的用户同步管理–Telnet/SSH方式–AD域方式–JDBC/ODBC–LDAP方式–模拟客户端–Radius协议–Agent–WebService–专用API方式同步功能-技术实现•主机:–同步方式:使用标准的通信接口telnet、ssh,通过发送用户操作指令的方式对主机从帐号进行相应的维护。•网络设备:–驱动主要通过Radius协议和建立内置Radius服务器的方式进行帐号的管理,以及进行帐号的访问控制等授权管理。•数据库:–通过JDBC协议与数据进行交换,进行数据库帐号等的权限信息的管理。•应用系统:通过标准接口来实现帐号同步,如JDBC/ODBC、标准LDAP通过私有协议来实现和应用系统间帐号接口,提供java或c的标准api接口,webservicejmx等接口完整的生命周期管理•对用户从产生到删除各存在状态进行管理,包括统一的用户创建、维护、删除等功能,并同步到各个系统中去。流程设计•4A系统内置流程引擎,并内置图形化流程设计器,满足帐号申请、审批、分配、通知等流程管理制度的需要提供多种密码管理策略•密码安全策略密码强度(长度、字符、有效期等),系统还提供多种密码制定策略,满足不同系统对密码安全的需要•密码修改任务用户从帐号密码的定期变更,提高密码的安全性•密码定期检查通过系统定时任务,或相关管理员执行密码检查,找出系统中存在不满足要求的用户口令•密码同步策略认证管理用户管理认证管理系统功能12集中审计4授权管理3•认证方式选择•单点登录SSO•认证转发•日志采集•日志分析•审计还原•告警处理•审计报表•主从帐号管理•用户同步•生命周期管理•密码管理•用户自管理•授权管理•资源管理•访问控制•角色管理•授权粒度控制认证方式支持•目前,神州泰岳Ultra-IAMSSO单点登陆系统支持以下强身份认证方式:•支持多种认证方式组合,保证认证过程的安全。单点登录•神州泰岳Ultra-IAMSSO单点登陆系统为具有多帐号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录过程、用户ID和口令。它通过应用的集中接入和口令代填等方式向用户提供对其个性化资源的快捷访问提高生产效率和利润授权管理用户管理认证管理系统功能12集中审计4授权管理3•认证方式选择•单点登录SSO•认证转发•日志采集•日志分析•审计还原•告警处理•审计报表•主从帐号管理•用户同步•生命周期管理•密码管理•用户自管理•授权管理•资源管理•访问控制•角色管理•授权粒度控制集中授权管理•通过基于角色授权,实现了用户到资源访问的权限分配–实体级集中授权,授权粒度只精确到应用、设备、主机,通俗一点说就是用户是否有权连接某个IP地址+端口–实体内部资源级集中授权,授权粒度精确到应用、设备、主机内的资源。资源包括应用的功能模块、HTML页面、数据库表或字段;主机内的文件或目录等23主账号1主账号1主账号2从账号1从账号2资产从账号1从账号2资产从账号1从账号2资产角色1角色2角色3角色4角色5角色6集中访问控制Ultra-IAMPortal堡垒主机网络设备主机系统数据库系统C/S应用B/S应用网元桌面发布系统联机指令平台集中审计用户管理认证管理系统功能12集中审计4授权管理3•认证方式选择•单点登录SSO•认证转发•日志采集•日志分析•审计还原•告警处理•审计报表•主从帐号管理•用户同步•生命周期管理•密码管理•用户自管理•授权管理•资源管理•访问控制•角色管理•授权粒度控制审计采集•平台自身安全审计信息:–人员的帐号管理:帐号建立、帐号分配情况、权限分配情况、认证、帐号使用(登入、登出)情况等。–对本系统运行的全部行为,包括任何人(含系统管理员)的任何操作进行记录;•被管资源操作行为审计–主机,网络设备,数据库等的所有用户指令操作的记录;–对主机、网络设备、数据库、安全设备上的日志进行集中存储和集中审计;–应用系统的关键操作行为数据;完整保留各类原始记录、证据、依据,确保全方位的可审计对第三方的非常规访问行为进行完整记录,并形成持久的震慑影响。为公司领导层提供安全决策支持,为运维层提供安全操作指向提供满足规范要求的安全审计报表报告CentralServer(包含了集中存储、分析、展现等功能)NetCollectorNet/DBSensor通过旁路部署的网络嗅探方式实现对数据库SQL操作指令的审计、对http、telnet、ftp、ssh、rlogin、rsh、pop3、smtp等网络操作行为的审计通过集中访问接口的方式,让所有对目标对象的访问必须串行通过该访问控制网关,所有访问行为都将接受访问控制网关的监督和记录。身份及访问管理平台用户管理审计AccesscontrolGatewayAgentCollector在目标审计对象上安装agent的方式采集封闭系统的日志信息通过标准网络协议接口(如Syslogd、SNMPtrap)或者定制网络接口采集操作系统、数据库系统、应用系统、业务系统、网络设备、安全设备等对象的日志信息审计分析–分类:基于源地址、用户、操作的对象、操作的类型、操作的时间和操作结果来进行分类。–分级:根据审计信息的内容、对应的事件分类、相关资源、相关人员不同,将可审计事件的重要程度划分为不同的级别,以便对不同级别的事件采取不同的处理方式–操作行为分析:将系统层的日志、数据库日志、应用层的日志及网络数据进行相互关联,尤其是所有对财务数据相关的关键系统数据的访问、修改和删除等,再现用户的完整操作过程。–提供强大的审计信息查询,管理人员可根据审计信息的各种属性进行分类查询。支持基于时间、事件类型、级别、用户帐号,关键字等字段的查询–告警:对非法地址、非法客户应用、非法数据库用户名、非法数据库对象访问、非法操作类型、非法SQL语句和非法时间进行报警27柱状统计分析统计分析折线趋势分析支持多种报表样式会话回放会话数据windows回放RDP回放数据库访问回放SSH行为回放支持多种操作重现支持多种SOX报表和管理类报表–提供审计报表处理能力,可根据管理人员的定义生成各类报表–根据审计对象,产生指定时间周期(日、周、月、季度、年)的报表。报表自动产生,报表内容可以根据用户需求进行差别化定制。除了自动产生静态报表外,还可以由用户配置产生动态报表。报表支持包括打印和输出各种格式的文件,如PDF、Word、Excel、HTML等等。–系统内置了多种报表形式,包括:•SOX要求各类报表•帐号类报表•资源类报表•告警类报表•审计类报表•用户访问类审计管理:针对敏感数据的审计专题•神州泰岳结合业务系统敏感数据泄漏问题,以及数据安全管理办法,通过在部分省市的经验,通过Ultra-IAM系统能方便实现以下审计专题:–系统维护人员采用程序帐号访问业务数据;–系统维护人员采用程序帐号维护数据库;–维护人员绕过4A系统登录业务系统或者操作系统;–集团客户资料查询审计–查询用户信息审计–导出用户数据关联审计–用户账单查询审计–客户资料查询审计–数据备份操作频率,数据审计–未经审批流程的建立的帐号的自动发现、报警与控制处理机制基于规则的业务系统行为审计•基于规则的业务系统行为审计主要完成日志解析、行为适配、规则分析三个处理过程。应用系统操作日志日志条目化配置日志条目化属性字段日志主客体关联业务函数进行主客体关系匹配审计规则编辑器业务系统行为审计规则设定日志业务审计规则关联审计结果生成条件判断判定关系公式验证系统函数解析过程适配过程分析过程概要123产品概况Ultra-IAM产品介绍建设关注点4案例介绍关注点——目录设计的合规性•原则上4A系统的目录schema设计应符合企业的目录规范的要求。•用户目录库不是数据库,性能优化主要针对读操作,因此不建议存放经常变化的用户属性•对于要连接的应用,有条件提供Schema的扩展(不同的应用有可能会使用不同的LDAP服务器),支持对业务支撑实现4A管理的架构扩展能力•例如:–支持自然人主账号与工号的匹配、关联、复用–客