BIT8-4-1某企业统一身份及访问安全管理解决方案

1、某信息安全企业统一身份及访问控制解决方案XXXXX身份份及访问问管理解解决方案案身份及访访问安全全管理问问题及需需求分析析身份及访访问管理理系统的的建设思思路XXXXX身份及访访问管理理解决方方案身份及访访问管理理系统特特点和优优势XXXXX实施建议议和注意意事项XXXXX身份及访访问管理理解决方案案探讨XXXXX身份及访访问管理理收益分分析XXXXX身份份及访问问管理解解决方案案身份及访访问安全全管理问问题及需需求分析析身份及访访问管理理系统的的建设思思路XXXXX身份及访访问管理理解决方方案身份及访访问管理理系统特特点和优优势XXXXX实施建议议和注意意事项XXXXX身份及访访问管理理解决

2、方案案探讨XXXXX身份及访访问管理理收益分分析问题一：管理成成本的需需求系统中有有大量的的网络设设备、主主机系统统和应用用系统，分别属属于不同同的部门门和不同同的业务务系统。目前各各应用系系统都有有一套独独立的认认证、授授权和审审计系统统，并且且由相应应的系统统管理员员负责维维护和管管理。当当维护人人员同时时对多个个系统进进行维护护时，工工作复杂杂度会成成倍增加加 ，无无法实现现统一的的安全策策略；另外系统统的用户户分配权权限，缺缺乏集中中统一的的资源授授权管理理平台，无法严严格按照照最小权权限原则则分配权权限。随随着用户户数量的的增加，权限管管理任务务越来越越重，系系统的安安全性无无法得到

3、到充分保保证。问题二：单点登登陆的需需求系统的增增多，使使用户经经常需要要在各个个系统之之间切换换，每次次从一个个系统切切换到另另一支撑撑系统时时，都需需要输入入用户名名和口令令进行登登录。给给用户的的工作带带来不便便，影响响了工作作效率。用户为为便于记记忆口令令会采用用较简单单的口令令或将多多个系统统的口令令设置成成相同的的，危害害到系统统的安全全性。问题三：SOX的需求求SOX法法案的实实施，对对上市公公司的业业务系统统信息安安全进行行了更加加严格的的规范，对实现现使用者者的身份份认证、详细的的权限划划分以及及准确的的操作信信息审计计等功能能提出了了新的要要求。有些帐号号多人共共用，不不仅

4、在发发生安全全事故，难于确确定帐号号的实际际使用者者，而且且在平时时难于对对帐号的的扩散范范围进行行控制，容易造造成安全全漏洞，加强帐帐号分配配与使用用的监控控，对能能实行每每人拥有有独立帐帐号的系系统，应应尽可能能实行一一人一个个帐号，加强安安全规范范管理。对帐户生生存周期期进行管管理，主主账号生生成、角角色分配配、主从从账号对对应、账账号使用用、账号号维护、账号收收回等各各个账号号状态进进行管理理。帐户户密码策策略建立立，按照照策略自自动、集集中、定定期修改改各账号号的口令令，并并符合一一定的复复杂度。要求留下下系统操操作记录录和访问问日志，以便审审查。问题四：集中访访问控制制的需求求提供

5、了单单一的登登录控制制点，用用户对网网络资源源的访问问控制通通过访问问控制服服务器实实现，因因此权限限比较容容易和访访问时间间、访问问者所处处网段等等结合进进行控制制。通过过集中接接入控制制点等手手段，规规定只有有来自访访问控制制服务器器的访问问才是合合法的。对实际应应用资源源的访问问行为进进行了细细粒度划划分，同同时对认认证平台台内部的的行为和和权限进进行了细细粒度划划分，使使之符合合用户实实际的工工作流程程，满足足管理制制度的要要求，并且能能进行阻阻断。问题五：集中审审计的需需求能够对人人员的登登录过程程、登录录后进行行的操作作进行审审计，审审计的覆覆盖范围围不仅包包括对认认证平台台本身操

6、操作的审审计，还还包括对对各被管管系统访访问、操操作的审审计。审审计系统统应能够够统一对对认证平平台上的的所有模模块进行行安全审审计。主主要包括括，账号号、角色色、资源源等进行行创建、授权、分配、管理的的内部管管理行为为的审计计；登录录过程的的审计；身份认认证的审审计。审审计系统统还应支支持登录录被管系系统后行行为的审审计，可可以对用用户的字字符指令令操作进进行追溯溯。并且与授授权管理理产品联联动，当当审计产产品发现现某用户户操作，已经超超过授权权管理的的权限，审计产产品立即即阻断此此越权行行为，保保障系统统的安全全性；XXXXX身份份及访问问管理解解决方案案身份及访访问安全全管理问问题及需需

7、求分析析身份及访访问管理理系统的的建设思思路XXXXX身份及访访问管理理解决方方案身份及访访问管理理系统特特点和优优势XXXXX实施建议议和注意意事项XXXXX身份及访访问管理理解决方案案探讨XXXXX身份及访访问管理理收益分分析XXXXX身份份及访问问管理解解决方案案框架结构构系统架构构功能部署署图数据流向向功能模块块功能说明明产品部署署产品框架架结构系统架构构系统功能能部署图图数据流向向第三方审计产品品防火墙产品功能能模块日志采集集集中审计计日志过滤滤审计报表表归并压制制关联分析析智能告警警决策支持持工单扭转转数据挖掘掘密码策略略认证管理理集中认证证认证方式式外部认证证客户端认认证集中授权

8、权授权管理理用户授权权角色授权权资源授权权应用授权权行为授权权单点登录录访问控制制用户同步步用户管理理生命周期期管理角色管理理资源管理理策略管理理主账号管管理从账号管管理用户自管管理用户组管管理功能模块块主要产品品功能说说明重点功能能说明资源管理理统一身份份管理用户同步步授权管理理生命周期期管理帐号策略略管理口令策略略认证方式式SSO动态短信信口令认认证集中访问问控制集中审计计智能告警警功能说明明：资源源管理资源管理理对从帐帐号进行行分类定定义并做做为资源源从帐号号的属性性，包括括孤立帐帐号、交交叉帐号号和播测测帐号等等，并且且赋予了了一些基基本的管管理功能能。罗列列主要的的资源从从帐号属属性

9、如下下：孤立帐号号：任何何被管资资源上的的从帐号号如果在在没有被被分配给给自然人人帐号的的情况下下，则标标记为孤孤立帐号号，并能能够向管管理员产产生报告告以便及及时发现现非法帐帐号或滥滥用帐号号的存在在；共享帐号号：被做做为角色色并且分分配给了了多个自自然人的的资源从从帐号，则标记记为共享享帐号，并提供供帐号报报告；直属帐号号：唯一一对应且且仅仅从从属于单单一自然然人的资资源从帐帐号，则则标记为为直属帐帐号，并并提供帐帐号报告告；交叉帐号号：除了了XXXXX对对其进行行管理以以外，还还存在其其他应用用系统对对其使用用或管理理的情况况下，资资源从帐帐号需要要被保护护并不能能随意变变更密码码的，则

10、则标记为为交叉帐帐号并提提供帐号号报告；播测帐号号：对于于交叉帐帐号或其其他需要要重点保保护的资资源从帐帐号（比比如数据据库帐号号），需需要XXXXX对其进进行周期期性播测测以确保保此类帐帐号能够够获得持持续的正正常访问问，则标标记为播播测帐号号。功能说明明：统一一身份管管理实现了对对自然人人的生命命周期管管理和授授权管理理提供用户户分组管管理的功功能，所所有的账账号策略略、授权权策略、访问控控制策略略等均可可通过组组的方式式来进行行批量的的设定，同时也也可以对对单个用用户进行行精细的的策略授授权提供流程程引擎，满足账账号申请请、审批批、分配配、通知知等流程程管理制制度的需需要，并并且能够够与

11、BMCRemedy、HPOSD、CAHelpDesk等主流电电子运维维流程进进行无缝缝集成，便于企企业建立立统一的的安全运运维管理理提供角色色授权与与访问控控制等一一系列策策略管理理功能，满足企企业对人人员访问问安全的的各种需需求，能能够实现现对人员员、时间间、地点点、被访访资源、操作、频率次次数等的的授权、访问控控制和审审计能力力提供用户户自服务务功能，使得用用户可以以自行登登录XXXXXPortal修改个人人身份信信息以及及获得修修改授权权范围内内资源从从账号密密码的能能力功能说明明：用户户同步能够自动发现现主机、网网络设备备、数据据库上的的已有账账号系统还可可以通过过帐号推推送机制制，通

12、过过集中帐帐号管理理系统在在被管系系统中创创建新的的帐号还可以通通过同步步机制，与用户户现有的的用户管管理系统统，例如如、域用用户系统统等用户户管理系系统实现现帐号的的同步对各种主主机、网网络设备备、数据据库、应应用系统统等分别别提供专专门的帐帐号驱动动机制和和协议来来实现帐帐号的管管理，例例如Radius协议议、LDAP协协议、SSH、JDBC、API等等等主机：主机驱动动针对unix，windows主主机进行行帐号管管理，以以及包括括组、目目录、Shell等的的建立。Unix主机：支持列表表：linux、hpunix、ibmaix、scounix、freebsd、sunsolaris等。同

13、步方式式：使用用标准的的通信接接口telnet、ssh，通过发发送用户户操作指指令的方方式对主主机从帐帐号进行行相应的的维护。Windows主机：同步方式式：独立主机机：使用用标准的的通信接接口telnet、ssh，通过发发送用户户操作指指令的方方式对主主机从帐帐号进行行相应的的维护。域服务器器：使用用LDAP协议议，对AD进行行标准的的帐号管管理。网络设备备：网络设备备驱动主主要通过过Radius协议和和建立内内置Radius服务务器的方方式进行行帐号的的管理，以及进进行帐号号的访问问控制等等授权管管理。支持列表表：cisco交换机机交换机机、华为为路由器器交换机机、juniper网网络设备

14、备等支持持标准Radius协协议的设设备。同步方式式：通过过Radius协议，使设备备的用户户和主用用户同步步。数据库：数据库驱驱动通过过JDBC协议议与数据据进行交交换，进进行数据据库帐号号等的权权限信息息的管理理。支持列表表：MS SQLSERVER、ORACLE、SYBASE、DB2、INFOMIX和MYSQL等主流流数据库库。同步方式式：通过过jdbc协议议，通过过使用各各个数据据库相关关命令，进行数数据库用用户的同同步。应用：应用系统统的驱动动一般通通过其自自身专有有协议、对外接接口API的方方式实现现。支持列表表：Lotus Domino、SAP、以及各各种C/S、B/S应应用等常

15、常用系统统。此外外，*具备强强大的本本地研发发能力为为客户提提供各种种需求的的开发定定制能力力，能够够最广泛泛的、最最深入的的实现客客户个性性化帐号号管理的的需求。同步方式式：Domino：通过DIIOP远程程操作，进行帐帐号管理理。SAP：通过其其提供的的JCO接口，进行帐帐号管理理。其他应用用：通过过应用提提供的相相应接口口，进行行帐号管管理。功能说明明：授权权管理集中授权权管理可可实现完完善的角角色授权权管理功功能，从从用户、角色和和资源进进行用户户授权管管理。制定到资资源边界界的粗粒粒度授权权，即，用户按按照角色色权限和和管理资资源范围围的不同同，能够够访问的的资源IP和Port也不同

16、同；制定针对对资源操操作的细细粒度授授权，即即，能够够对用户户进行登登录时间间、访问问地点、目的资资源、次次数、频频率、失失败控制制、操作作命令、操作参参数等等等的具体体行为、时间、地点、目的的的精细控控制授权与访访问控制制-资源源内部访访问控制制对自然人人账号授授权资源源内部角角色，实实现了自自然人账账号到资资源访问问的基本本授权，由于资资源从帐帐号与资资源内部部角色包包含有资资源自身身访问控控制的内内部授权权信息（例如用用户组、Shell等等），可可以依靠靠资源内内部实现现末端的的访问控控制。资源主、从角色色管理：通过规规划资源源上的角角色（称称为从角角色）以以及建立立XXXXX主主角色与

17、与从角色色的对应应关系，来集中中建立企企业角色色自然人帐帐号授权权管理：向自然然人帐号号授权资资源列表表及主角角色批量授权权引擎：根据自自然人帐帐号、资资源列表表，在各各个资源源上批量量建立从从帐号及及所属组组，并将将从账号号分配给给主账号号授权与访访问控制制-访问问控制网网关XXXXXPortal方方式的集集中接入入和访问问控制；集成SSLVPN方方式的集集中接入入和访问问控制；集成反向向代理（Access Manager）方式的的集中接接入和访访问控制制；集成堡垒垒主机方方式的集集中接入入和访问问控制；集成Citrix、NTA方方式的集集中接入入和访问问控制授权与访访问控制制-AAA的访访

18、问控制制通过将支支持Radius的资资源的认认证指向向XXXXX内内置的RadiusServer来保证证资源访访问的授授权功能说明明：生命命周期管管理功能说明明：帐号号策略管管理*XXXXX的帐号号策略管管理提供供了丰富富的自动动化帐号号管理功功能，能能够根据据帐号类类型和相相应的管管理策略略满足用用户多样样的管理理需求。这些管管理需求求包括：自动发现现和自动动监测：满足用用户对各各IT资资源上的的帐号监监控需求求，周期期性的采采集、同同步和监监测被管管资源上上的帐号号。主从帐号号一致性性：满足用用户对授授权资源源内的自自然人帐帐号的统统一与同同步需求求，保证证在授权权资源范范围内对对每个自自

19、然人帐帐号维持持一套独独有的、一致性性的资源源从帐号号。此功功能不同同于角色色管理模模式，在在角色管管理模式式下，多多个自然然人可能能共享同同一套资资源从帐帐号。特殊帐号号一致性性推拉：满足用用户对特特定用户户、特定定资源范范围内的的应用系系统帐号号的快速速推广需需求，满满足其他他IT管管理系统统对企业业IT资资源的自自动化监监管需求求。例如如，网管管系统的的自动巡巡检模块块需要根根据网管管系统的的值班帐帐号来采采集主机机、网络络设备或或系统等等的配置置、性能能等状态态数据，XXXXX的的帐号策策略管理理模块能能够为这这部分特特殊帐号号提供值值班期间间的设备备、系统统以及网网管系统统自动巡巡检

20、系统统间的一一致性临临时帐号号，保证证安全有有效的自自动化访访问。动态密码码计划：满足对对被管资资源从帐帐号的安安全保护护需求，对资源源从帐号号进行周周期性的的高强度度密码变变更，维维护账号号的安全全性。帐号处理理策略：满足对对各种帐帐号类型型的处理理需求，将帐号号划分为为交叉帐帐号、共共享帐号号、孤立立帐号等等：交叉帐号号：交叉叉帐号是是XXXXX管管理但被被其他系系统内部部使用的的帐号，它的密密码不能能随意改改变。因因此这类类帐号不不能进入入密码计计划；共享账号号：在AMS内内部被授授予多个个用户使使用的帐帐号，这这个账号号的删除除不能随随一个账账号的删删除而删删除；孤立帐号号：在AMS内

21、内部未被被授权的的用户，这类账账号会一一告警的的方式被被告知管管理原；播测帐号号：这类类账号，系统会会对其进进行定期期的播测测，发现现异常会会告知管管理员。功能说明明：口令令策略实现集中中的密码码管理，并按照照密码策策略的要要求，自自动、集集中、定定期修改改系统账账号的口口令，对对口令强强度和周周期实行行统一的的管理。实现集集中删除除一个自自然人的的所有或或者部分分系统账账号。系统按照照SOX要求设设置了严严格的用用户帐号号安全策策略，并并且可以以根据需需要自行行配置，策略包包括密码码强度、生存周周期等，可以根根据需要要自动定定时对从从帐号口口令进行行修改，并且能能够将结结果自动动同步到到所有

22、被被管理系系统中去去。密码(口口令)管管理策略略密码制定定策略用户必须须按照规规定涉及及相关主主、从账账号密码码（长度度、字符符等），系统还还提供多多种密码码制定策策略，满满足不同同系统对对密码安安全的需需要；密码修改改计划用户从账账号密码码的定期期变更，提高密密码的安安全性密码定期期检查通过系统统定时任任务，或或相关管管理员执执行密码码检查，找出系系统中存存在不满满足要求求的用户户口令；密码失效效策略系统自动动使不满满足要求求的密码码失效；密码存储储策略密码的存存储采用用加密存存储，加加密方式式MD5，DES等功能说明明：认证证方式身份认证证和访问问管理系系统提供供静态密密码、Windows

23、 NT域、Windows Kerberos、双因因素、一一次性口口令和生生物特征征等多种种认证方方式，而而且系统统具有灵灵活的定定制接口口，可以以方便的的与其它它第三方方认证服服务器之之间的结结合。认证系统统支持多多种认证证方式，系统通通过统一一的强身身份认证证，保证证认证过过程的安安全。用户名/密码安盟双因因素认证证LDAP智能卡X.509证书书RSASecurID令牌牌RADIUS短信认证证生物特征征认证认证方式式比较认证方式客户端应用支持安全性方便性存储方式服务器证书认证有高中文件证书服务器短信认证无高高无短信认证服务器&短信中心双因素认证无高中令牌认证服务器静态口令无低高无无功能说明明

24、:SSOXXXXXPortal的的B/S方式式的SSO单点登录录：通过XXXXXPortal自动提交交表单的的方式：用户访访问Web应用用系统时时，XXXXX Portal通过过构造隐隐藏的登登录表单单并自动动提交的的方式进进入Web应用用系统。此种方方式下，客户端端在首次次通过XXXXXPortal的强认证证和单独独登录认认证后直直接与Web应用系统统交互，其访问问行为需需要访问问控制网网关来进进行授权权控制。通过SSLVPN、反向代代理表单单注入的的方式：访问控控制网关关设备在在作代理理的过程程中当发发现有登登录特征征的http内内容，自自动注入入表单内内容，完完成web应用用登录。单点登

25、出出：通过SSLVPN、反向代代理和AMS进进行策略略联动的的方式。当用户户登出XXXXXPortal时时SSLVPN、反向向代理设设备收到到XXXXXServer的联动动策略后后，断开开用户和和WEB应用的的连接，实现登登出。功能说明明:SSOXXXXXPortal的的C/S方式式的SSO单点登录录：通过浏览览器代填填控件进进行代填填：用户户在通过过XXXXXPortal的强认证证后，代代填控件件会被自自动下载载到客户户端浏览览器中，控件会会对C/S的客客户端进进行挂钩钩，分析析特征事事件序列列，进行行窗口控控件级操操作实现现代填动动作，单单独登录录后的访访问行为为需要访访问控制制网关来来进

26、行授授权控制制。此种种方式需需要客户户端预先先安装C/S的的Client端。单点登出出：通过SSLVPN，堡垒主主机，Citrix等等这些C/S访访问控制制设备，和AMS进行行策略联联动的方方式。当当用户登登出XXXXXPortal时时SSLVPN、堡垒垒主机，Citrix收到XXXXXServer的的联动策策略后断断开用户户和应用用的连接接，实现现登出。功能说明明：动态态短信口口令认证证提供基于于短信动动态密码码（SMS-OTP）的认证证方式，能够提提供符合合SOX等国际际标准和和法规要要求的高高强度认认证服务务；自动判断断登录IP网段段，能够够根据不不同的IP网段段确定是是否触发发短信动动

27、态密码码认证；短信动态态密码认认证服务务器在生生成并向向用户发发送动态态口令之之前，必必需对用用户的身身份进行行验证，验证通通过后才才能向用用户注册册手机号号码发送送生成的的一次性性口令；触发过程程中，用用户的验验证密码码（PIN码等等）不能能在网络络上明文文传输；短信动态态密码认认证服务务器的触触发机制制能够抵抵御恶意意的动态态密码触触发请求求，防止止拒绝服服务攻击击；认证平台台只能接接受一次次动态密密码的登登录认证证请求，成功后后动态密密码立即即失效，此后再再采用该该动态密密码进行行登录均均被视为为违法操操作；短信动态态密码具具有一定定的生命命周期，即使用用户没有有使用该该动态密密码进行行

28、登录，超出时时间范围围后该动动态密码码仍将自自动过期期。功能说明明：集中中访问控控制MS ADMail ServerWEB ServerNetwork Deviceshttp/httpstelnet / ssh / ftprlogin / rshRDP / PC Anywhere VNC / X windowstelnet / ssh snmp set / ftpFireWall访问控制网关及审计XXXXX Audit ManagementXXXXX Access Control Gateway功能说明明：集中中审计*XXXXX的审计计管理以以集中的的资源管管理为基基础，通通过各种种堡垒主主机

29、、网网络嗅探探能够实实现用户户资源访访问会话话的还原原审计。对于字符符堡垒主主机，可可以还原原完整的的用户会会话内容容：用户户对字符符应用的的访问是是经过堡堡垒主机机的，堡堡垒主机机在会话话层转发发对对应应用的各各种操作作命令，由于在在会话层层对操作作命令和和执行结结果作相相应的转转发，因因此可以以对这些些转发的的内容（会话）计入日日志，进进行审计计。对于RDP类访访问控制制网关，可以对对用户的的会话进进行录像像，完整整记录用用户的图图形操作作：RDP类访访问控制制网关通通过转发发用户对对图形应应用操作作的各种种动作（键盘鼠鼠标事件件）和图图形应用用的各种种绘图操操作，实实现图形形应用的的会话

30、级级代理。由于在在会话层层对操作作动作和和绘图操操作作转转发，因因此可以以对转发发的内容容进行录录像，并并进行审审计。网络嗅探探、数据据库嗅探探：可以以对用户户的资源源操作在在网络层层做相应应的嗅探探分析，对协议议内容进进行记录录，经过过匹配规规则实现现会话还还原。功能说明明：智能能告警提供丰富富多样的的通知方方式，包包括短信信、邮件件、电话话和可执执行命令令行程序序等。提供SNMPTrap、Syslog两两种公共共通讯方方式发送送告警。提供与第第三方统统一电子子运维系系统的无无缝集成成能力，派发工工作单到到对应的的管理员员或用户户组。产品部署署方案典型部署署XXXXX部署署结构典型部署署XX

31、XXX分级级部署结结构系统详详细部署署图典型部署署XXXXX分级级部署分分析优点：管理结构构清晰，符合用用户现有有组织结结构。采采用这种种部署方方式，各各业务系系统/各各分支机机构负责责本业务务系统/本分支支机构的的管理，总部对对各业务务系统/各分支支机构进进行监督督、审核核和统一一管理。符合用户户现有运运维组织织结构，易于实实施和推推广；可以更好好的适应应和满足足不同业业务系统统安全运运维管理理的客户户化需要要和要求求，比如如安全策策略设置置、定制制报表等等；安全管理理中心的的调试周周期短，能够更更快适应应各业务务系统的的安全运运行管理理需求；安全运行行管理中中心的日日常维护护工作量量较少。

32、缺点：建设成本本较高，用户多多个业务务系统/分部/分支机机构可能能需要建建设多个个二级中中心，相相对成本本较高；中国移动动身份及及访问管管理解决决方案身份及访访问安全全管理问问题及需需求分析析身份及访访问管理理系统的的建设思思路XXXXX身份及访访问管理理解决方方案身份及访访问管理理系统特特点和优优势XXXXX实施建议议和注意意事项身份及访访问管理理解决方案案探讨XXXXX身份及访访问管理理收益分分析建设思路路一、遵遵循统一一的平台台的整体体架构、具体功功能细节节可灵活活实现Authentication认证 Authorization授权Audit审计中央管理理控制台台强身份认认证及SSO目录

33、选择择商用Portal选择扩展安全全审计Account账号管理理AccessControlGateWayAccessControlGateWayAccessControlGateWayAccessControlGateWay建设思路路二：目目录结构构规划用户树、资源树树和分级级管理甲地二级用户树甲地二级资源树用户G用户E用户F用户H资源5资源6资源7资源8一级用户树一级资源树资源1资源2资源3资源4用户C用户A用户B用户D乙地二级用户树乙地二级资源树用户K用户J用户L资源9资源10资源11资源12用户I建设思路路二：目目录结构构规划漫游和跨跨域访问问二级单位位（乙）一级单位位二级单位位（甲）主

34、账号：C主账号：D主账号：E主账号：F主账号：A主账号：B主账号：E主账号：E用户漫游跨域访问方式一跨域访问方式二建设思路路三：部部署建议议建设思路路四：负负载均衡衡XXXXX身份份及访问问管理解解决方案案身份及访访问安全全管理问问题及需需求分析析身份及访访问管理理系统的的建设思思路XXXXX身份及访访问管理理解决方方案身份及访访问管理理特点和和优势XXXXX实施建议议和注意意事项XXXXX身份及访访问管理理解决方案案探讨XXXXX身份及访访问管理理收益分分析产品特点点及优势势先进、完完善的整整体架构构和灵活活的功能能实现方方式，产产品采用用模块化化的设计计和通用用接口规规范，能能够对异异构的

35、、复杂的的IT系统进行行统一身身份管理理；为第三方方产品，如认证证，审计计等产品品的整合合提供强强大的接接口能力力，以及及便利的的接入方方式；强大的身身份管理理引擎同同步驱动动器，能能够同步步各类账账户管理理机制；完整的用用户账号号生命周周期管理理，实现现账号的的创建、维护、修改、删除的的集中管管理；支持多种种强身份份认证方方式的单单点登陆陆技术，简化登登陆操作作的同时时却提高高了登陆陆的安全全性；严谨的授授权管理理，确保保最小化化授权原原则的落落实；基于堡垒垒主机技技术的访访问控制制网关，为企业业各类B/S和C/S应用实现现了集中中的接入入访问控控制；强大缜密密的综合合安全审审计，为为企业提

36、提供基于于自然人人的行为为安全审审计管理理，配合合灵活的的报表报报告管理理，满足足企业合合规性的的管理；支持分布布式的物物理分级级、虚拟拟分级或或物理/虚拟分级级混合的的部署模模式，适适应企业业的IT组织管理理架构，尊重企企业各部部门、各各系统原原有的账账号管理理习惯。方案特点点及优势势可订制化化可扩展性性高安全性性高可靠性性易用性4A系统统除了满满足标准准的设备备之外，由于各各个用户户的环境境不同，主要的的工作是是在定制制层面；*拥有有一支资资深的软软件研发发队伍，拥有强强大的研研发实力力，对系系统定制制能得到到迅速和和有效的的支持；*有很很多对客客户业务务系统符符合性修修改的经经验，能能快速的的满足客客户在业业务逻辑辑方面的的需求统一身份份及访问问管理系系统完全全采用模模块化的的开发模模式，系系统各模模块之间间可以灵灵活的组组合与对对接，而而且可以以通过通通用接口口与第三三方的产产品进行行对接；系统提供供支持现现有主流流的各种种主机设设备、操操作系统统和应用用系统；系统能够够提供快快捷的开开发平台台，方便便用户针针对一些些特有系系统的二二次开发发；硬件系统统采用模模块化结结构，以以保证系系统内存存、CPU及储储存