搜索
某信息安全企业统一身份及访问控制解决方案居利思义身劳心安人强我强共同发展XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求分析身份及访问管理系统的建设思路XXXXX身份及访问管理解决方案身份及访问管理系统特点和优势XXXXX实施建议和注意事项XXXXX身份及访问管理解决方案探讨XXXXX身份及访问管理收益分析居利思义身劳心安人强我强共同发展XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求分析身份及访问管理系统的建设思路XXXXX身份及访问管理解决方案身份及访问管理系统特点和优势XXXXX实施建议和注意事项XXXXX身份及访问管理解决方案探讨XXXXX身份及访问管理收益分析居利思义身劳心安人强我强共同发展问题一:管理成本的需求►系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。目前各应用系统都有一套独立的认证、授权和审计系统,并且由相应的系统管理员负责维护和管理。当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加,无法实现统一的安全策略;►另外系统的用户分配权限,缺乏集中统一的资源授权管理平台,无法严格按照最小权限原则分配权限。随着用户数量的增加,权限管理任务越来越重,系统的安全性无法得到充分保证。居利思义身劳心安人强我强共同发展问题二:单点登陆的需求►系统的增多,使用户经常需要在各个系统之间切换,每次从一个系统切换到另一支撑系统时,都需要输入用户名和口令进行登录。给用户的工作带来不便,影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个系统的口令设置成相同的,危害到系统的安全性。居利思义身劳心安人强我强共同发展问题三:SOX的需求►SOX法案的实施,对上市公司的业务系统信息安全进行了更加严格的规范,对实现使用者的身份认证、详细的权限划分以及准确的操作信息审计等功能提出了新的要求。►有些帐号多人共用,不仅在发生安全事故,难于确定帐号的实际使用者,而且在平时难于对帐号的扩散范围进行控制,容易造成安全漏洞,加强帐号分配与使用的监控,对能实行每人拥有独立帐号的系统,应尽可能实行一人一个帐号,加强安全规范管理。►对帐户生存周期进行管理,主账号生成、角色分配、主从账号对应、账号使用、账号维护、账号收回等各个账号状态进行管理。帐户密码策略建立,按照策略自动、集中、定期修改各账号的口令,并符合一定的复杂度。►要求留下系统操作记录和访问日志,以便审查。居利思义身劳心安人强我强共同发展问题四:集中访问控制的需求►提供了单一的登录控制点,用户对网络资源的访问控制通过访问控制服务器实现,因此权限比较容易和访问时间、访问者所处网段等结合进行控制。通过集中接入控制点等手段,规定只有来自访问控制服务器的访问才是合法的。►对实际应用资源的访问行为进行了细粒度划分,同时对认证平台内部的行为和权限进行了细粒度划分,使之符合用户实际的工作流程,满足管理制度的要求,并且能进行阻断。居利思义身劳心安人强我强共同发展问题五:集中审计的需求►能够对人员的登录过程、登录后进行的操作进行审计,审计的覆盖范围不仅包括对认证平台本身操作的审计,还包括对各被管系统访问、操作的审计。审计系统应能够统一对认证平台上的所有模块进行安全审计。主要包括,账号、角色、资源等进行创建、授权、分配、管理的内部管理行为的审计;登录过程的审计;身份认证的审计。审计系统还应支持登录被管系统后行为的审计,可以对用户的字符指令操作进行追溯。►并且与授权管理产品联动,当审计产品发现某用户操作,已经超过授权管理的权限,审计产品立即阻断此越权行为,保障系统的安全性;居利思义身劳心安人强我强共同发展XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求分析身份及访问管理系统的建设思路XXXXX身份及访问管理解决方案身份及访问管理系统特点和优势XXXXX实施建议和注意事项XXXXX身份及访问管理解决方案探讨XXXXX身份及访问管理收益分析居利思义身劳心安人强我强共同发展XXXXX身份及访问管理解决方案►框架结构●系统架构●功能部署图●数据流向►功能模块►功能说明►产品部署居利思义身劳心安人强我强共同发展产品框架结构居利思义身劳心安人强我强共同发展系统架构居利思义身劳心安人强我强共同发展系统功能部署图居利思义身劳心安人强我强共同发展数据流向第三方审计产品防火墙居利思义身劳心安人强我强共同发展产品功能模块居利思义身劳心安人强我强共同发展日志采集集中审计日志过滤审计报表归并压制关联分析智能告警决策支持工单扭转数据挖掘密码策略认证管理集中认证认证方式外部认证客户端认证集中授权授权管理用户授权角色授权资源授权应用授权行为授权单点登录访问控制用户同步用户管理生命周期管理角色管理资源管理策略管理主账号管理从账号管理用户自管理用户组管理功能模块居利思义身劳心安人强我强共同发展主要产品功能说明居利思义身劳心安人强我强共同发展重点功能说明►资源管理►统一身份管理►用户同步►授权管理►生命周期管理►帐号策略管理►口令策略►认证方式►SSO►动态短信口令认证►集中访问控制►集中审计►智能告警居利思义身劳心安人强我强共同发展功能说明:资源管理►资源管理对从帐号进行分类定义并做为资源从帐号的属性,包括孤立帐号、交叉帐号和播测帐号等,并且赋予了一些基本的管理功能。罗列主要的资源从帐号属性如下:●孤立帐号:任何被管资源上的从帐号如果在没有被分配给自然人帐号的情况下,则标记为孤立帐号,并能够向管理员产生报告以便及时发现非法帐号或滥用帐号的存在;●共享帐号:被做为角色并且分配给了多个自然人的资源从帐号,则标记为共享帐号,并提供帐号报告;●直属帐号:唯一对应且仅仅从属于单一自然人的资源从帐号,则标记为直属帐号,并提供帐号报告;●交叉帐号:除了XXXXX对其进行管理以外,还存在其他应用系统对其使用或管理的情况下,资源从帐号需要被保护并不能随意变更密码的,则标记为交叉帐号并提供帐号报告;●播测帐号:对于交叉帐号或其他需要重点保护的资源从帐号(比如数据库帐号),需要XXXXX对其进行周期性播测以确保此类帐号能够获得持续的正常访问,则标记为播测帐号。居利思义身劳心安人强我强共同发展功能说明:统一身份管理►实现了对自然人的生命周期管理和授权管理►提供用户分组管理的功能,所有的账号策略、授权策略、访问控制策略等均可通过组的方式来进行批量的设定,同时也可以对单个用户进行精细的策略授权►提供流程引擎,满足账号申请、审批、分配、通知等流程管理制度的需要,并且能够与BMCRemedy、HPOSD、CAHelpDesk等主流电子运维流程进行无缝集成,便于企业建立统一的安全运维管理►提供角色授权与访问控制等一系列策略管理功能,满足企业对人员访问安全的各种需求,能够实现对人员、时间、地点、被访资源、操作、频率次数等的授权、访问控制和审计能力►提供用户自服务功能,使得用户可以自行登录XXXXXPortal修改个人身份信息以及获得修改授权范围内资源从账号密码的能力居利思义身劳心安人强我强共同发展功能说明:用户同步►能够自动发现主机、网络设备、数据库上的已有账号►系统还可以通过帐号推送机制,通过集中帐号管理系统在被管系统中创建新的帐号►还可以通过同步机制,与用户现有的用户管理系统,例如、域用户系统等用户管理系统实现帐号的同步►对各种主机、网络设备、数据库、应用系统等分别提供专门的帐号驱动机制和协议来实现帐号的管理,例如Radius协议、LDAP协议、SSH、JDBC、API等等居利思义身劳心安人强我强共同发展主机:►主机驱动针对unix,windows主机进行帐号管理,以及包括组、目录、Shell等的建立。●Unix主机:−支持列表:linux、hpunix、ibmaix、scounix、freebsd、sunsolaris等。−同步方式:使用标准的通信接口telnet、ssh,通过发送用户操作指令的方式对主机从帐号进行相应的维护。●Windows主机:−同步方式:♦独立主机:使用标准的通信接口telnet、ssh,通过发送用户操作指令的方式对主机从帐号进行相应的维护。♦域服务器:使用LDAP协议,对AD进行标准的帐号管理。居利思义身劳心安人强我强共同发展网络设备:►网络设备驱动主要通过Radius协议和建立内置Radius服务器的方式进行帐号的管理,以及进行帐号的访问控制等授权管理。●支持列表:cisco交换机交换机、华为路由器交换机、juniper网络设备等支持标准Radius协议的设备。●同步方式:通过Radius协议,使设备的用户和主用户同步。居利思义身劳心安人强我强共同发展数据库:►数据库驱动通过JDBC协议与数据进行交换,进行数据库帐号等的权限信息的管理。支持列表:MSSQLSERVER、ORACLE、SYBASE、DB2、INFOMIX和MYSQL等主流数据库。同步方式:通过jdbc协议,通过使用各个数据库相关命令,进行数据库用户的同步。居利思义身劳心安人强我强共同发展应用:►应用系统的驱动一般通过其自身专有协议、对外接口API的方式实现。●支持列表:LotusDomino、SAP、以及各种C/S、B/S应用等常用系统。此外,*****具备强大的本地研发能力为客户提供各种需求的开发定制能力,能够最广泛的、最深入的实现客户个性化帐号管理的需求。●同步方式:−Domino:通过DIIOP远程操作,进行帐号管理。−SAP:通过其提供的JCO接口,进行帐号管理。●其他应用:通过应用提供的相应接口,进行帐号管理。居利思义身劳心安人强我强共同发展功能说明:授权管理►集中授权管理可实现完善的角色授权管理功能,从用户、角色和资源进行用户授权管理。►制定到资源边界的粗粒度授权,即,用户按照角色权限和管理资源范围的不同,能够访问的资源IP和Port也不同;►制定针对资源操作的细粒度授权,即,能够对用户进行登录时间、访问地点、目的资源、次数、频率、失败控制、操作命令、操作参数等等的具体行为、时间、地点、目的的精细控制居利思义身劳心安人强我强共同发展授权与访问控制-资源内部访问控制►对自然人账号授权资源内部角色,实现了自然人账号到资源访问的基本授权,由于资源从帐号与资源内部角色包含有资源自身访问控制的内部授权信息(例如用户组、Shell等),可以依靠资源内部实现末端的访问控制。●资源主、从角色管理:通过规划资源上的角色(称为从角色)以及建立XXXXX主角色与从角色的对应关系,来集中建立企业角色●自然人帐号授权管理:向自然人帐号授权资源列表及主角色●批量授权引擎:根据自然人帐号、资源列表,在各个资源上批量建立从帐号及所属组,并将从账号分配给主账号居利思义身劳心安人强我强共同发展授权与访问控制-访问控制网关►XXXXXPortal方式的集中接入和访问控制;►集成SSLVPN方式的集中接入和访问控制;►集成反向代理(AccessManager)方式的集中接入和访问控制;►集成堡垒主机方式的集中接入和访问控制;►集成Citrix、NTA方式的集中接入和访问控制居利思义身劳心安人强我强共同发展授权与访问控制-AAA的访问控制►通过将支持Radius的资源的认证指向XXXXX内置的RadiusServer来保证资源访问的授权居利思义身劳心安人强我强共同发展功能说明:生命周期管理居利思义身劳心安人强我强共同发展功能说明:帐号策略管理►*****XXXXX的帐号策略管理提供了丰富的自动化帐号管理功能,能够根据帐号类型和相应的管理策略满足用户多样的管理需求。这些管理需求包括:►自动发现和自动监测:满足用户对各IT资源上的帐号监控需求,周期性的采集、同步和监测被管资源上的帐号。►主从帐号一致性:满足用户对授权资源内的自然人帐号的统一与同步需求,保证在授权资源范围内对每个自然人帐号维持一套独有的、一致性的资源从帐号。此功能不同于角色管理模式,在角色管理模式下,多个自然人可能共享同一套资源从帐号。►特殊帐号一致性推拉:满足用户对特定用户、特定资源范围内的应用系统帐号的快速推广需求,满足其他IT管理系统对企业IT资源的自动化监管