BIT8-4-1某企业统一身份及访问安全管理解决方案.ppt

1、某信息安全企业,统一身份及访问控制解决方案,XXXXX身份及访问管理解决方案,身份及访问安全管理问题及需求分析,身份及访问管理系统的建设思路,XXXXX身份及访问管理解决方案,身份及访问管理系统特点和优势,XXXXX实施建议和注意事项,XXXXX 身份及访问管理 解决方案探讨,XXXXX身份及访问管理收益分析,XXXXX身份及访问管理解决方案,身份及访问安全管理问题及需求分析,身份及访问管理系统的建设思路,XXXXX身份及访问管理解决方案,身份及访问管理系统特点和优势,XXXXX实施建议和注意事项,XXXXX 身份及访问管理 解决方案探讨,XXXXX身份及访问管理收益分析,问题一：管理成本的需

2、求,系统中有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。目前各应用系统都有一套独立的认证、授权和审计系统，并且由相应的系统管理员负责维护和管理。当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加 ，无法实现统一的安全策略； 另外系统的用户分配权限，缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限。随着用户数量的增加，权限管理任务越来越重，系统的安全性无法得到充分保证。,问题二：单点登陆的需求,系统的增多，使用户经常需要在各个系统之间切换，每次从一个系统切换到另一支撑系统时，都需要输入用户名和口令进行登录。给用户的工作带来不便，影响了工作效率。用

3、户为便于记忆口令会采用较简单的口令或将多个系统的口令设置成相同的，危害到系统的安全性 。,问题三：SOX的需求,SOX法案的实施，对上市公司的业务系统信息安全进行了更加严格的规范，对实现使用者的身份认证、详细的权限划分以及准确的操作信息审计等功能提出了新的要求。 有些帐号多人共用，不仅在发生安全事故，难于确定帐号的实际使用者，而且在平时难于对帐号的扩散范围进行控制，容易造成安全漏洞，加强帐号分配与使用的监控，对能实行每人拥有独立帐号的系统，应尽可能实行一人一个帐号，加强安全规范管理 。 对帐户生存周期进行管理，主账号生成、角色分配、主从账号对应、账号使用、账号维护、账号收回等各个账号状态进行管

4、理。帐户密码策略建立，按照策略自动、集中、定期修改各账号的口令， 并符合一定的复杂度 。 要求留下系统操作记录和访问日志，以便审查。,问题四：集中访问控制的需求,提供了单一的登录控制点，用户对网络资源的访问控制通过访问控制服务器实现，因此权限比较容易和访问时间、访问者所处网段等结合进行控制。通过集中接入控制点等手段，规定只有来自访问控制服务器的访问才是合法的 。 对实际应用资源的访问行为进行了细粒度划分，同时对认证平台内部的行为和权限进行了细粒度划分，使之符合用户实际的工作流程，满足管理制度的要求 ，并且能进行阻断。,问题五：集中审计的需求,能够对人员的登录过程、登录后进行的操作进行审计，审计

5、的覆盖范围不仅包括对认证平台本身操作的审计，还包括对各被管系统访问、操作的审计。审计系统应能够统一对认证平台上的所有模块进行安全审计。主要包括，账号、角色、资源等进行创建、授权、分配、管理的内部管理行为的审计；登录过程的审计；身份认证的审计。审计系统还应支持登录被管系统后行为的审计，可以对用户的字符指令操作进行追溯。 并且与授权管理产品联动，当审计产品发现某用户操作，已经超过授权管理的权限，审计产品立即阻断此越权行为，保障系统的安全性；,XXXXX身份及访问管理解决方案,身份及访问安全管理问题及需求分析,身份及访问管理系统的建设思路,XXXXX身份及访问管理解决方案,身份及访问管理系统特点和优

6、势,XXXXX实施建议和注意事项,XXXXX 身份及访问管理 解决方案探讨,XXXXX身份及访问管理收益分析,XXXXX身份及访问管理解决方案,框架结构 系统架构 功能部署图 数据流向 功能模块 功能说明 产品部署,产品框架结构,系统架构,系统功能部署图,数据流向,第三方 审计产品,防火墙,产品功能模块,日志采集,集中审计,日志过滤,审计报表,归并压制,关联分析,智能告警,决策支持,工单扭转,数据挖掘,密码策略,认证管理,集中认证,认证方式,外部认证,客户端认证,集中授权,授权管理,用户授权,角色授权,资源授权,应用授权,行为授权,单点登录,访问控制,用户同步,用户管理,生命周期管理,角色管理

7、,资源管理,策略管理,主账号管理,从账号管理,用户自管理,用户组管理,功能模块,主要产品功能说明,重点功能说明,资源管理 统一身份管理 用户同步 授权管理 生命周期管理 帐号策略管理 口令策略 认证方式 SSO 动态短信口令认证 集中访问控制 集中审计 智能告警,功能说明：资源管理,资源管理对从帐号进行分类定义并做为资源从帐号的属性，包括孤立帐号、交叉帐号和播测帐号等，并且赋予了一些基本的管理功能。罗列主要的资源从帐号属性如下： 孤立帐号：任何被管资源上的从帐号如果在没有被分配给自然人帐号的情况下，则标记为孤立帐号，并能够向管理员产生报告以便及时发现非法帐号或滥用帐号的存在； 共享帐号：被做为

8、角色并且分配给了多个自然人的资源从帐号，则标记为共享帐号，并提供帐号报告； 直属帐号：唯一对应且仅仅从属于单一自然人的资源从帐号，则标记为直属帐号，并提供帐号报告； 交叉帐号：除了XXXXX对其进行管理以外，还存在其他应用系统对其使用或管理的情况下，资源从帐号需要被保护并不能随意变更密码的，则标记为交叉帐号并提供帐号报告； 播测帐号：对于交叉帐号或其他需要重点保护的资源从帐号（比如数据库帐号），需要XXXXX对其进行周期性播测以确保此类帐号能够获得持续的正常访问，则标记为播测帐号。,功能说明：统一身份管理,实现了对自然人的生命周期管理和授权管理 提供用户分组管理的功能，所有的账号策略、授权策略

9、、访问控制策略等均可通过组的方式来进行批量的设定，同时也可以对单个用户进行精细的策略授权 提供流程引擎，满足账号申请、审批、分配、通知等流程管理制度的需要，并且能够与BMC Remedy、HP OSD、CA HelpDesk等主流电子运维流程进行无缝集成，便于企业建立统一的安全运维管理 提供角色授权与访问控制等一系列策略管理功能，满足企业对人员访问安全的各种需求，能够实现对人员、时间、地点、被访资源、操作、频率次数等的授权、访问控制和审计能力 提供用户自服务功能，使得用户可以自行登录XXXXX Portal修改个人身份信息以及获得修改授权范围内资源从账号密码的能力,功能说明：用户同步,能够自动

10、发现主机、网络设备、数据库上的已有账号 系统还可以通过帐号推送机制，通过集中帐号管理系统在被管系统中创建新的帐号 还可以通过同步机制，与用户现有的用户管理系统，例如、域用户系统等用户管理系统实现帐号的同步 对各种主机、网络设备、数据库、应用系统等分别提供专门的帐号驱动机制和协议来实现帐号的管理，例如Radius协议、LDAP协议、SSH、JDBC、API等等,主机：,主机驱动针对unix，windows主机进行帐号管理，以及包括组、目录、Shell等的建立。 Unix主机： 支持列表：linux、hpunix、ibm aix、scounix、freebsd、sun solaris等。 同步方式

11、：使用标准的通信接口telnet、ssh，通过发送用户操作指令的方式对主机从帐号进行相应的维护。 Windows主机： 同步方式： 独立主机：使用标准的通信接口telnet、ssh，通过发送用户操作指令的方式对主机从帐号进行相应的维护。 域服务器：使用LDAP协议，对AD进行标准的帐号管理。,网络设备：,网络设备驱动主要通过Radius协议和建立内置Radius服务器的方式进行帐号的管理，以及进行帐号的访问控制等授权管理。 支持列表：cisco交换机交换机、华为路由器交换机、juniper网络设备等支持标准Radius协议的设备。 同步方式：通过Radius协议，使设备的用户和主用户同步。,数

12、据库：,数据库驱动通过JDBC协议与数据进行交换，进行数据库帐号等的权限信息的管理。 支持列表：MS SQLSERVER、ORACLE、SYBASE、DB2、INFOMIX和MYSQL等主流数据库。 同步方式：通过jdbc协议，通过使用各个数据库相关命令，进行数据库用户的同步。,应用：,应用系统的驱动一般通过其自身专有协议、对外接口API的方式实现。 支持列表：Lotus Domino、SAP、以及各种C/S、B/S应用等常用系统。此外，*具备强大的本地研发能力为客户提供各种需求的开发定制能力，能够最广泛的、最深入的实现客户个性化帐号管理的需求。 同步方式： Domino：通过DIIOP远程操

13、作，进行帐号管理。 SAP：通过其提供的JCO接口，进行帐号管理。 其他应用：通过应用提供的相应接口，进行帐号管理。,功能说明：授权管理,集中授权管理可实现完善的角色授权管理功能，从用户、角色和资源进行用户授权管理。 制定到资源边界的粗粒度授权，即，用户按照角色权限和管理资源范围的不同，能够访问的资源IP和Port也不同； 制定针对资源操作的细粒度授权，即，能够对用户进行登录时间、访问地点、目的资源、次数、频率、失败控制、操作命令、操作参数等等的具体行为、时间、地点、目的的精细控制,授权与访问控制-资源内部访问控制,对自然人账号授权资源内部角色，实现了自然人账号到资源访问的基本授权，由于资源从

14、帐号与资源内部角色包含有资源自身访问控制的内部授权信息（例如用户组、Shell等），可以依靠资源内部实现末端的访问控制。 资源主、从角色管理：通过规划资源上的角色（称为从角色）以及建立XXXXX主角色与从角色的对应关系，来集中建立企业角色 自然人帐号授权管理：向自然人帐号授权资源列表及主角色 批量授权引擎：根据自然人帐号、资源列表，在各个资源上批量建立从帐号及所属组，并将从账号分配给主账号,授权与访问控制-访问控制网关,XXXXX Portal方式的集中接入和访问控制； 集成SSL VPN方式的集中接入和访问控制； 集成反向代理（Access Manager）方式的集中接入和访问控制； 集成堡

15、垒主机方式的集中接入和访问控制； 集成Citrix、NTA方式的集中接入和访问控制,授权与访问控制-AAA的访问控制,通过将支持Radius的资源的认证指向XXXXX内置的Radius Server来保证资源访问的授权,功能说明：生命周期管理,功能说明：帐号策略管理,*XXXXX的帐号策略管理提供了丰富的自动化帐号管理功能，能够根据帐号类型和相应的管理策略满足用户多样的管理需求。这些管理需求包括： 自动发现和自动监测：满足用户对各IT资源上的帐号监控需求，周期性的采集、同步和监测被管资源上的帐号。 主从帐号一致性：满足用户对授权资源内的自然人帐号的统一与同步需求，保证在授权资源范围内对每个自然

16、人帐号维持一套独有的、一致性的资源从帐号。此功能不同于角色管理模式，在角色管理模式下，多个自然人可能共享同一套资源从帐号。 特殊帐号一致性推拉：满足用户对特定用户、特定资源范围内的应用系统帐号的快速推广需求，满足其他IT管理系统对企业IT资源的自动化监管需求。例如，网管系统的自动巡检模块需要根据网管系统的值班帐号来采集主机、网络设备或系统等的配置、性能等状态数据，XXXXX的帐号策略管理模块能够为这部分特殊帐号提供值班期间的设备、系统以及网管系统自动巡检系统间的一致性临时帐号，保证安全有效的自动化访问。 动态密码计划：满足对被管资源从帐号的安全保护需求，对资源从帐号进行周期性的高强度密码变更，

17、维护账号的安全性。 帐号处理策略：满足对各种帐号类型的处理需求，将帐号划分为交叉帐号、共享帐号、孤立帐号等： 交叉帐号：交叉帐号是XXXXX管理但被其他系统内部使用的帐号，它的密码不能随意改变。因此这类帐号不能进入密码计划； 共享账号：在AMS内部被授予多个用户使用的帐号，这个账号的删除不能随一个账号的删除而删除； 孤立帐号：在AMS内部未被授权的用户，这类账号会一告警的方式被告知管理原； 播测帐号：这类账号，系统会对其进行定期的播测，发现异常会告知管理员。,功能说明：口令策略,实现集中的密码管理，并按照密码策略的要求，自动、集中、定期修改系统账号的口令，对口令强度和周期实行统一的管理。实现集

18、中删除一个自然人的所有或者部分系统账号。 系统按照SOX要求设置了严格的用户帐号安全策略，并且可以根据需要自行配置，策略包括密码强度、生存周期等，可以根据需要自动定时对从帐号口令进行修改，并且能够将结果自动同步到所有被管理系统中去。,密码(口令)管理策略,密码制定策略 用户必须按照规定涉及相关主、从账号密码（长度、字符等），系统还提供多种密码制定策略，满足不同系统对密码安全的需要； 密码修改计划 用户从账号密码的定期变更，提高密码的安全性 密码定期检查 通过系统定时任务，或相关管理员执行密码检查，找出系统中存在不满足要求的用户口令； 密码失效策略 系统自动使不满足要求的密码失效； 密码存储策略

19、 密码的存储采用加密存储，加密方式MD5，DES等,功能说明：认证方式,身份认证和访问管理系统提供静态密码、Windows NT域、Windows Kerberos、双因素、一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口，可以方便的与其它第三方认证服务器之间的结合。 认证系统支持多种认证方式，系统通过统一的强身份认证，保证认证过程的安全。 用户名/密码 安盟双因素认证 LDAP 智能卡 X.509证书 RSA SecurID令牌 RADIUS 短信认证 生物特征认证,认证方式比较,功能说明:SSO XXXXX Portal 的B/S方式的SSO,单点登录： 通过XXXXX Po

20、rtal自动提交表单的方式：用户访问Web应用系统时，XXXXX Portal通过构造隐藏的登录表单并自动提交的方式进入Web应用系统。此种方式下，客户端在首次通过XXXXX Portal的强认证和单独登录认证后直接与Web应用系统交互，其访问行为需要访问控制网关来进行授权控制。 通过SSL VPN、反向代理表单注入的方式：访问控制网关设备在作代理的过程中当发现有登录特征的http内容，自动注入表单内容，完成web应用登录。 单点登出： 通过SSL VPN、反向代理和AMS进行策略联动的方式。当用户登出XXXXX Portal时SSLVPN、反向代理设备收到XXXXX Server的联动策略后

21、，断开用户和WEB应用的连接，实现登出。,功能说明:SSO XXXXX Portal 的C/S方式的SSO,单点登录： 通过浏览器代填控件进行代填：用户在通过XXXXX Portal的强认证后，代填控件会被自动下载到客户端浏览器中，控件会对C/S的客户端进行挂钩，分析特征事件序列，进行窗口控件级操作实现代填动作，单独登录后的访问行为需要访问控制网关来进行授权控制。此种方式需要客户端预先安装C/S的Client端。 单点登出： 通过SSL VPN，堡垒主机，Citrix等这些C/S访问控制设备，和AMS进行策略联动的方式。当用户登出XXXXX Portal时SSLVPN、堡垒主机，Citrix收

22、到XXXXX Server的联动策略后断开用户和应用的连接，实现登出。,功能说明：动态短信口令认证,提供基于短信动态密码（SMS-OTP）的认证方式，能够提供符合SOX等国际标准和法规要求的高强度认证服务； 自动判断登录IP网段，能够根据不同的IP网段确定是否触发短信动态密码认证； 短信动态密码认证服务器在生成并向用户发送动态口令之前，必需对用户的身份进行验证，验证通过后才能向用户注册手机号码发送生成的一次性口令； 触发过程中，用户的验证密码（PIN码等）不能在网络上明文传输； 短信动态密码认证服务器的触发机制能够抵御恶意的动态密码触发请求，防止拒绝服务攻击； 认证平台只能接受一次动态密码的登

23、录认证请求，成功后动态密码立即失效，此后再采用该动态密码进行登录均被视为违法操作； 短信动态密码具有一定的生命周期，即使用户没有使用该动态密码进行登录，超出时间范围后该动态密码仍将自动过期。,功能说明：集中访问控制,功能说明：集中审计,*XXXXX的审计管理以集中的资源管理为基础，通过各种堡垒主机、网络嗅探能够实现用户资源访问会话的还原审计。 对于字符堡垒主机，可以还原完整的用户会话内容：用户对字符应用的访问是经过堡垒主机的，堡垒主机在会话层转发对对应用的各种操作命令，由于在会话层对操作命令和执行结果作相应的转发，因此可以对这些转发的内容（会话）计入日志，进行审计。 对于RDP类访问控制网关，

24、可以对用户的会话进行录像，完整记录用户的图形操作：RDP类访问控制网关通过转发用户对图形应用操作的各种动作（键盘鼠标事件）和图形应用的各种绘图操作，实现图形应用的会话级代理。由于在会话层对操作动作和绘图操作作转发，因此可以对转发的内容进行录像，并进行审计。 网络嗅探、数据库嗅探：可以对用户的资源操作在网络层做相应的嗅探分析，对协议内容进行记录，经过匹配规则实现会话还原。,功能说明：智能告警,提供丰富多样的通知方式，包括短信、邮件、电话和可执行命令行程序等。 提供SNMP Trap、Syslog两种公共通讯方式发送告警。 提供与第三方统一电子运维系统的无缝集成能力，派发工作单到对应的管理员或用户

25、组。,产品部署方案,典型部署XXXXX部署结构,典型部署XXXXX分级部署结构,系统详细部署图,典型部署XXXXX分级部署分析,优点： 管理结构清晰，符合用户现有组织结构。采用这种部署方式，各业务系统/各分支机构负责本业务系统/本分支机构的管理，总部对各业务系统/各分支机构进行监督、审核和统一管理。 符合用户现有运维组织结构，易于实施和推广； 可以更好的适应和满足不同业务系统安全运维管理的客户化需要和要求，比如安全策略设置、定制报表等； 安全管理中心的调试周期短，能够更快适应各业务系统的安全运行管理需求； 安全运行管理中心的日常维护工作量较少。 缺点： 建设成本较高，用户多个业务系统/分部/分

26、支机构可能需要建设多个二级中心，相对成本较高；,中国移动身份及访问管理解决方案,身份及访问安全管理问题及需求分析,身份及访问管理系统的建设思路,XXXXX身份及访问管理解决方案,身份及访问管理系统特点和优势,XXXXX实施建议和注意事项,身份及访问管理 解决方案探讨,XXXXX身份及访问管理收益分析,建设思路一、遵循统一的平台的整体架构、具体功能细节可灵活实现,Authentication 认证,Authorization 授权,Audit 审计,中央管理控制台,强身份认证及SSO,目录选择,商用Portal选择,扩展安全审计,Account 账号管理,Access Control GateW

27、ay 访问控制网关,Access Control GateWay 访问控制网关,Access Control GateWay 访问控制网关,Access Control GateWay 访问控制网关,建设思路二：目录结构规划,用户树、资源树和分级管理,建设思路二：目录结构规划,漫游和跨域访问,二级单位（乙）,一级单位,二级单位（甲）,主账号：C,主账号：D,主账号：E,主账号：F,主账号：A,主账号：B,主账号：E,主账号：E,建设思路三：部署建议,建设思路四：负载均衡,XXXXX身份及访问管理解决方案,身份及访问安全管理问题及需求分析,身份及访问管理系统的建设思路,XXXXX身份及访问管理解

28、决方案,身份及访问管理特点和优势,XXXXX实施建议和注意事项,XXXXX 身份及访问管理 解决方案探讨,XXXXX身份及访问管理收益分析,产品特点及优势,先进、完善的整体架构和灵活的功能实现方式，产品采用模块化的设计和通用接口规范，能够对异构的、复杂的IT系统进行统一身份管理； 为第三方产品，如认证，审计等产品的整合提供强大的接口能力，以及便利的接入方式； 强大的身份管理引擎同步驱动器，能够同步各类账户管理机制； 完整的用户账号生命周期管理，实现账号的创建、维护、修改、删除的集中管理； 支持多种强身份认证方式的单点登陆技术，简化登陆操作的同时却提高了登陆的安全性； 严谨的授权管理，确保最小化

29、授权原则的落实； 基于堡垒主机技术的访问控制网关，为企业各类B/S和C/S应用实现了集中的接入访问控制； 强大缜密的综合安全审计，为企业提供基于自然人的行为安全审计管理，配合灵活的报表报告管理，满足企业合规性的管理； 支持分布式的物理分级、虚拟分级或物理/虚拟分级混合的部署模式，适应企业的IT组织管理架构，尊重企业各部门、各系统原有的账号管理习惯。,方案特点及优势,可订制化 可扩展性 高安全性 高可靠性 易用性,4A系统除了满足标准的设备之外，由于各个用户的环境不同，主要的工作是在定制层面； *拥有一支资深的软件研发队伍，拥有强大的研发实力，对系统定制能得到迅速和有效的支持； *有很多对客户业务系统符合性修改的经验，能快速的满足客户在业务逻辑方面的需求,统一身份及访问管理系统完全采用模块化的开发模式，系统各模块之间可以灵活的组合与对接，而且可以通过通用接口与第三方的产品进行对接； 系统提供支持现有主流的各种主机设备、操作系统和应用系统； 系统能够提供快捷的开发平台，方便用户针对一些特有系统的二次开发； 硬件系统采用模块化结构，以保证系统内存、CPU及储存容量的扩展； 在软件系统的开发中保持高聚合低耦合原则，模块复用率高，减少系统扩展的复杂