统一身份及访问安全管理系统PPT课件.ppt

ULTRA IAM统一身份及访问安全管理系统 北京神州泰岳软件股份有限公司信息安全事业部 2020 3 18 概要 产品概况 Ultra IAM产品介绍 建设关注点 案例介绍 2 业界关于4A解决方案的一些名词 国际叫法 IAM IdentityandAccessManagement 统一身份及访问安全管理神州泰岳产品 Ultra IAM Account Authentication Authorization AuditandAccessControlManagementSysytem中国移动叫法 安全管控平台或者4A 涵盖三个子中心集中维护接入平台SMAP 对应AccessControl帐号口令管理系统 对应Account Authentication Authorization审计系统 对应Audit 3 4A解决什么问题 错综复杂的日常运行维护管理 企业员工张三在公司 企业各类IT资源 企业员工李四在出差 王五是远程的第三方维护人员 小刘是现场的第三方维护人员 弱口令无法控制 维护接入途径五花八门 维护操作内容无从知晓 违规操作无法控制 账户开设无规可循 4 4A解决什么问题 安全管控平台的作用 企业员工张三在公司 企业员工李四在出差 王五是远程的第三方维护人员 小刘是现场的第三方维护人员 集中安全维护接入平台 集中帐号口令管理平台 集中安全审计平台 企业各类IT资源 5 建设现状分析 现状 审计 维护 安全问题不断出现 系统维护和管理工作负担大 效率低 认证 帐号 独立的用户数据库和独立的系统管理员 自然人身份和业务系统帐号重叠 多系统都基于独立的帐号管理实现访问频繁切换 接入网络没有强制检测手段 访问系统没有强身份认证手段 各应用系统都独立认证 授权 独立的系统授权机制和独立的应用授权管理 独立的审计 缺乏关联分析 运营出现的安全问题无法明确定位 6 Ultra IAM系统概述 神州泰岳Ultra IAM是集账号管理 授权管理 认证管理和综合审计 安全访问控制于一体的集中账号及安全访问管理系统 业界称为4A 该产品实现用户账户管理 Account 认证 Authentication 授权 Authorization 和审计 Audit 四方面的内在关联 是目前国内功能最完整 控制粒度最细的综合身份认证和访问安全管理产品 Ultra IAM采用模块化设计 不但可以根据用户需要和环境特点进行选择 组合 而且可以提供定制化的开发 能够方便地实现与用户应用的有机结合 7 Ultra IAM名词解释 4A系统 集中安全管控平台 神州泰岳内部产品为Ultra IAM统一身份及访问安全管理系统主账号 自然人使用的帐号 目前主要是网络准入控制系统的帐号 资源 自然人要访问的业务系统中实体 如应用程序 帐号 目录 文件 数据库 数据库中保存的某个表 IP端口等等 可以根据实际需要 将多个资源看作一个整体 也可以将一个资源进一步细分成多个资源 应用资源 业务系统中的一种资源类型 例如网管系统 业务支撑系统等 系统资源 业务系统中的一种资源类型 包括主机 网络设备 数据库等 8 概要 产品概况 Ultra IAM产品介绍 建设关注点 案例介绍 9 4A系统的工作场景 C S应用 Ultra IAMPortal 普通用户运维用户 网络设备主机系统数据库系统 主账号认证 授权资源列表 帐号管理员审计管理员 SSO 安装filter拦截器 从帐号SSO 10 Ultra IAM系统架构 11 系统功能 12 主从帐号管理 主帐号管理组织管理 能够按照按地域 组织结构进行划分 建立相应树状目录用于合理组织主帐号 分级管理 以适应分部门 分管理层次的分级管理要求 不同级别的帐号可以行使不同级别的权限属性管理 包括帐号基本信息 时效策略 密码策略 组织标识 角色标识 生命周期管理 对用户从产生到删除各存在状态进行管理帐号监控 口令系统对幽灵帐号 弱口令和交叉帐号 不能修改口令的程序帐号 进行监控 并提供相应的告警报表自服务功能 对自己的属性进行修改 13 同步功能 神州泰岳Ultra IAM通过多种方式来实现对操作系统 数据库系统 网络设备 应用系统 业务系统的用户同步管理Telnet SSH方式AD域方式JDBC ODBCLDAP方式模拟客户端Radius协议AgentWebService专用API方式 14 同步功能 技术实现 主机 同步方式 使用标准的通信接口telnet ssh 通过发送用户操作指令的方式对主机从帐号进行相应的维护 网络设备 驱动主要通过Radius协议和建立内置Radius服务器的方式进行帐号的管理 以及进行帐号的访问控制等授权管理 数据库 通过JDBC协议与数据进行交换 进行数据库帐号等的权限信息的管理 应用系统 通过标准接口来实现帐号同步 如JDBC ODBC 标准LDAP通过私有协议来实现和应用系统间帐号接口 提供java或c的标准api接口 webservicejmx等接口 15 完整的生命周期管理 对用户从产生到删除各存在状态进行管理 包括统一的用户创建 维护 删除等功能 并同步到各个系统中去 16 流程设计 4A系统内置流程引擎 并内置图形化流程设计器 满足帐号申请 审批 分配 通知等流程管理制度的需要 17 提供多种密码管理策略 密码安全策略密码强度 长度 字符 有效期等 系统还提供多种密码制定策略 满足不同系统对密码安全的需要密码修改任务用户从帐号密码的定期变更 提高密码的安全性密码定期检查通过系统定时任务 或相关管理员执行密码检查 找出系统中存在不满足要求的用户口令密码同步策略 18 认证管理 19 认证方式支持 目前 神州泰岳Ultra IAMSSO单点登陆系统支持以下强身份认证方式 支持多种认证方式组合 保证认证过程的安全 20 单点登录 神州泰岳Ultra IAMSSO单点登陆系统为具有多帐号的用户提供了方便快捷的访问途经 使用户无需记忆多种登录过程 用户ID和口令 它通过应用的集中接入和口令代填等方式向用户提供对其个性化资源的快捷访问提高生产效率和利润 21 授权管理 22 集中授权管理 通过基于角色授权 实现了用户到资源访问的权限分配实体级集中授权 授权粒度只精确到应用 设备 主机 通俗一点说就是用户是否有权连接某个IP地址 端口实体内部资源级集中授权 授权粒度精确到应用 设备 主机内的资源 资源包括应用的功能模块 HTML页面 数据库表或字段 主机内的文件或目录等 23 集中访问控制 Ultra IAMPortal 堡垒主机 网络设备主机系统数据库系统 C S应用 B S应用 网元 桌面发布系统 联机指令平台 24 集中审计 25 审计采集 平台自身安全审计信息 人员的帐号管理 帐号建立 帐号分配情况 权限分配情况 认证 帐号使用 登入 登出 情况等 对本系统运行的全部行为 包括任何人 含系统管理员 的任何操作进行记录 被管资源操作行为审计主机 网络设备 数据库等的所有用户指令操作的记录 对主机 网络设备 数据库 安全设备上的日志进行集中存储和集中审计 应用系统的关键操作行为数据 26 审计分析 分类 基于源地址 用户 操作的对象 操作的类型 操作的时间和操作结果来进行分类 分级 根据审计信息的内容 对应的事件分类 相关资源 相关人员不同 将可审计事件的重要程度划分为不同的级别 以便对不同级别的事件采取不同的处理方式操作行为分析 将系统层的日志 数据库日志 应用层的日志及网络数据进行相互关联 尤其是所有对财务数据相关的关键系统数据的访问 修改和删除等 再现用户的完整操作过程 提供强大的审计信息查询 管理人员可根据审计信息的各种属性进行分类查询 支持基于时间 事件类型 级别 用户帐号 关键字等字段的查询告警 对非法地址 非法客户应用 非法数据库用户名 非法数据库对象访问 非法操作类型 非法SQL语句和非法时间进行报警 27 支持多种报表样式 28 支持多种操作重现 29 支持多种SOX报表和管理类报表 提供审计报表处理能力 可根据管理人员的定义生成各类报表根据审计对象 产生指定时间周期 日 周 月 季度 年 的报表 报表自动产生 报表内容可以根据用户需求进行差别化定制 除了自动产生静态报表外 还可以由用户配置产生动态报表 报表支持包括打印和输出各种格式的文件 如PDF Word Excel HTML等等 系统内置了多种报表形式 包括 SOX要求各类报表帐号类报表资源类报表告警类报表审计类报表用户访问类 30 审计管理 针对敏感数据的审计专题 神州泰岳结合业务系统敏感数据泄漏问题 以及数据安全管理办法 通过在部分省市的经验 通过Ultra IAM系统能方便实现以下审计专题 系统维护人员采用程序帐号访问业务数据 系统维护人员采用程序帐号维护数据库 维护人员绕过4A系统登录业务系统或者操作系统 集团客户资料查询审计查询用户信息审计导出用户数据关联审计用户账单查询审计客户资料查询审计数据备份操作频率 数据审计未经审批流程的建立的帐号的自动发现 报警与控制处理机制 31 基于规则的业务系统行为审计 基于规则的业务系统行为审计主要完成日志解析 行为适配 规则分析三个处理过程 32 概要 产品概况 Ultra IAM产品介绍 建设关注点 案例介绍 33 关注点 目录设计的合规性 原则上4A系统的目录schema设计应符合企业的目录规范的要求 用户目录库不是数据库 性能优化主要针对读操作 因此不建议存放经常变化的用户属性对于要连接的应用 有条件提供Schema的扩展 不同的应用有可能会使用不同的LDAP服务器 支持对业务支撑实现4A管理的架构扩展能力例如 支持自然人主账号与工号的匹配 关联 复用客服 营业厅人员的特殊属性定义和识别对多种用户认证方式和接入访问方式的属性定义和应用 关注点 数据的安全 为保证业务系统自身的数据安全 在4A系统实施和应用过程中应避免对业务系统资源数据和审计数据的直接访问和采集 通过接口机方式实现对以上数据的采集 对接口机的数据操作必须采用安全加密方式 4A系统自身应实现应用和数据的分区域隔离保护 通过设置访问控制策略防止非法的数据访问在多系统集中建设4A系统的情况下 需要考虑业务的LDAP目录数据 审计数据与其他系统分离存储设计 35 关注点 如何实现应用的4A 虚拟化发布 36 关注点 应用资源的认证改造方法 基于认证转发的应用改造模式 关注点 应用资源的认证改造方法 38 关注点 应用资源的认证改造方法 认证拦截与转发 39 关注点 应用资源的认证改造的方法 本地认证恢复 40 关注点 授权管理实现的目标要求 授权管理实现的当前目标 系统资源和应用资源的实体级授权通过4A系统的门户访问控制 访问控制网关 应用代理等实现对访问对象的实体管理应用资源基于角色的实体内授权通过4A系统配合业务系统进行接口改造模式 41 关注点 基于角色的实体内授权实现方法 应用系统侧 应用系统 4A系统接口 4A系统侧 系统内权限配置 模块 对象 功能权限 数据 用户组织 角色 资源同步接口 从账号 角色组 4A系统权限配置 主账号 主账号组 应用资源基于角色的实体内授权 42 关注点 同步账号 角色数据 账号资源同步需要应用系统提供以下内容 帐号实体数据角色实体数据授权关系数据组织 系统 账号关系接口机通过安全API Webservice接口方式向4A平台同步数据 关注点 细粒度授权 授权管理期望实现的最终目标现阶段可实施的实现方法通过嵌入业务系统授权页面实现应用资源实体内的细粒度授权配置管理 4A系统授权管理改造 4A系统最终替代业务系统完成对应用系统的用户 授权的配置管理功能 实现对业务支撑应用系统无缝的集中用户授权的细粒度控制管理 44 关注点 嵌套业务系统授权页面实现细粒度授权 常使用到的几种页面嵌入技术IframeWEBClipPortletWSRP 关注点 系统接口设计 系统故障和性能信息 认证接口调用 业务流程流转和状态查询 用户管理类日志和系统自身日志 安全日志或安全事件日志 4A 46 关注点 系统跨平台能力 支持各类Windows平台 HPUnix平台 AIX平台 SUNSolaris平台 FujitsuSolaris平台 Linux平台 Apple OSX 平台等支持多主流数据库 如ORACLE INFORMIX SYBASE DB2 SQLSEVER MySQL POSTGRE等 环境下无差异化的支撑业务能力 支持多种中间件 如 WEBLOGIC Websphere 东方通 Glassfish Tomcat等 47 关注点 系统安全及应急设计 系统冗余设计系统自身监控管理系统自身的安全评估和加固数据加密存储加密方式通讯数据定期备份系统应急流程 48 系统应急设计 当4A管理平台发生异常时 系统维护人员和管理人员对4A管理平台的异常情况及恢复所需时间进行分析和评估 然后根据评估结果确定应急策略 选定应急策略后 应急方案根据应急策略要求进行各项准备工作 4A管理平台启动应急系统 引导用户登录应急系统取回信息 系统维护人员对4A管理平台进行修复使其具备提供正常服务能力后 通过人工或自动方式触发应急方案进入恢复阶段 启动异常恢复操作 阶段划分 触发阶段 执行阶段 恢复阶段 49 系统应急触发设计 一 同步 短信应急服务模块 邮件应急服务模块 50 系统应急触发设计 二 Ultra IAM功能模块 A Ultra IAM功能模块 B Ultra IAM功能模块 C Ultra IAMServer中央管理控制台 Ultra IAMEmergencyServicePlatform应急服务平台 2 3 1 1 1 1 1 5 4 51 实施管理层面 实施阶段划分 52 实施管理层面 调研和准备阶段 主账号建设 从帐号同步 角色梳理 主从帐号映射梳理 遵从什么样的建设规范 按照管理规则生成主账号 预先提供一个有被管资源从帐号管理权限的账号和密码利用该帐号实现被管资源上所有从帐号的同步 将某个 某几个最小权限定义为一个角色依据角色不同梳理从帐号权限 主账号对应哪些资源上的哪些从帐号 角色组对应于哪些资源上的哪些从帐号 账号安全管理策略 僵尸帐号如何处理 孤立帐号如何处理 交叉账号如何处理 从账号及密码安全策略 资源调研梳理 53 实施管理层面 调研和准备阶段 访问维护方式 认证方式 单点登录 访问控制策略 使用什么样的访问维护工具 种类 版本要求等允许访问的合法工作时间 地点和路径 用户默认的认证方式 可选的认证方式认证服务响应的质量要求 现有的SSO实现模式SSO的使用场景要求S