联创统一身份安全管理解决方案.ppt

统一身份安全管理解决方案 联创科技 1 安全管理建设目标 成功案例 2 4 5 管理维护现状 提纲 产品功能简介 3 联创安全管理解决方案 管理维护现状 用户帐号管理问题网络中存在大量的网络设备 主机系统 不同职责的管理员为了管理方便 同帐号同密码访问所有资源 或多管理员共用一帐号 造成安全隐患 身份认证及授权使用问题对于某些核心资源 如重要的主机系统 不同级别不同岗位的领导或管理员具有不同的访问权限 管理人员的身份越权或假冒将会造成非授权使用的问题 分散的多点登录管理方式 无法准确进行身份认证和授权控制多点登录的分散管理方式无法进行强有效的授权控制 致使用户的登录操作难以管理 难以审计 图形化界面中用户操作的不透明性 使得事后审计难以进行RDP 3389 X Window VNC等远程图形化窗口操作的不透明性 使得审计人员无法准确的对管理人员操作的审计 文件传输安全审计 是最让信息主管头疼的问题使用FTP TFTP等工具进行的文件的上传 下载操作是最容易引发资料泄密的方式之一 如果使用加密方式的SFTP SCP等命令更是无法进行有效审计 服务器之间跳转嵌套登录操作大型 异构的网络环境难于准确的对用户的行为进行审计和控制有规范 规章制度 但没有相应的过程监控手段去监督 管理维护现状 需关注以下几点用户如何即方便又安全可靠的登陆网络设备与主机系统 怎样将用户在网络设备与主机系统上的操作行为变为透明可视 系统管理员在网络设备与主机系统上做过什么操作 以及操作带来的安全风险 怎么规范管理员的行为 怎么审计用户对主机系统网络设备的操作 谁该对危险操作造成的事故负责 谁该对其的恶意操作负责 怎么进行责任鉴定 1 安全管理建设目标 成功案例 2 4 5 管理维护现状 提纲 产品功能简介 3 联创安全管理解决方案 安全管理建设目标 管理简化 安全性增强 实现集中访问控制 实现集中安全审计收集 记录对业务支撑系统关键重要资源的使用情况 帐号管理基于角色的细粒度访问控制 主机与网络设备帐号 认证 授权 审计集中管控 安全管理建设目标 1 安全管理建设目标 成功案例 2 4 5 管理维护现状 提纲 产品功能简介 3 联创安全管理解决方案 联创安全管理解决方案 建立UNIX类服务器 LINUX类服务器 Windows类服务器 网络 安全等重要设备的统一操作管理平台 统一操作管理入口 并对用户操作管理等网络访问行为进行控制 实现管理员用户的帐号统一管理与强身份认证 准确识别用户操作意图 识别用户输入操作命令 并对用户操作进行限制 操作限制支持时间 用户原始IP地址 目标服务器地址 用户名称 系统帐号 使用的命令等策略因子 对高危命令要能自动阻断命令的执行 对越权操作行为要能及时警告 用户通过SSH TELNET RDP 3389 X WINDOW VNC FTP SFTP SCP等方式的所有操作行为 都能做到全记录 全审计 用户在主机系统上的的命令操作行为做到实时监控 即时在实时监控中心同步展现 在审计对象出现故障或有管理事故时 可以快速 准确的定位查询相关日志 回放事件的整个过程 用以问题的解决和责任认定 联创安全管理解决方案 堡垒主机网关 联创安全令牌 1 用户登录请求 认证模块 动态口令生成模块 用户数据库 帐号管理与认证平台 主机系统 网络设备 2 提交认证要素 帐号 静态口令 动态口令 3 设备发起认证请求 5 返回认证结果 6 允许 拒绝登陆 E Securer安全身份认证系统 依据动态 一次性 口令机制实现动态身份认证系统 彻底解决了远程 网络环境中的用户身份认证问题集中的用户管理和日志审计功能 便于管理员对整个企业中的员工进行集中的管理授权和事后日志审计基于用户所属机构对信息进行分级管理 保证了用户 资源及角色信息的隐秘性 认证管理系统设计理念 认证方式管理 认证策略管理 认证因素管理 认证接口管理 实现对内认证服务和认证枢纽静态 动态 登录时间登录路径资源 帐号认证链管理 资源IP认证参数 管理联创安全令牌和其他认证因素 1 安全管理建设目标 成功案例 2 4 5 管理维护现状 提纲 产品功能简介 3 联创安全管理解决方案 口令策略的管理 联创安全令牌LinkageSecureKey 6位口令长度 口令每60秒 基于时间的动态口令算法 或按键变换 基于事件的动态口令算法 一次高精度时钟 每次登录自动同步固化封装 运行核心代码不可读用户密钥动态存在 掉电消失防水 防尘 防震 防静电性能强可根据批量大用户需求定制令牌外形 联创USB KEY令牌 短信一次性口令SMOTP 短信预先申请方式 短信挑战应答方式 授权管理设计理念 Unix操作审计 网络设备审计 提供各种日志的统计汇总 供行为审计和跟踪 审计报表 用户认证报表用户登录报表用户