BIT8-4-1某企业统一身份及访问安全管理解决方案详解.ppt

统一身份及访问控制解决方案 某信息安全企业 XXXXX身份及访问管理解决方案 XXXXX身份及访问管理解决方案 问题一：管理成本的需求 系统中有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。目前各应用系统都有一套独立的认证、授权和审计系统，并且由相应的系统管理员负责维护和管理。当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加 ，无法实现统一的安全策略； 另外系统的用户分配权限，缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限。随着用户数量的增加，权限管理任务越来越重，系统的安全性无法得到充分保证。 问题二：单点登陆的需求 系统的增多，使用户经常需要在各个系统之间切换，每次从一个系统切换到另一支撑系统时，都需要输入用户名和口令进行登录。给用户的工作带来不便，影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个系统的口令设置成相同的，危害到系统的安全性 。 问题三：SOX的需求 SOX法案的实施，对上市公司的业务系统信息安全进行了更加严格的规范，对实现使用者的身份认证、详细的权限划分以及准确的操作信息审计等功能提出了新的要求。 有些帐号多人共用，不仅在发生安全事故，难于确定帐号的实际使用者，而且在平时难于对帐号的扩散范围进行控制，容易造成安全漏洞，加强帐号分配与使用的监控，对能实行每人拥有独立帐号的系统，应尽可能实行一人一个帐号，加强安全规范管理 。 对帐户生存周期进行管理，主账号生成、角色分配、主从账号对应、账号使用、账号维护、账号收回等各个账号状态进行管理。帐户密码策略建立，按照策略自动、集中、定期修改各账号的口令， 并符合一定的复杂度 。 要求留下系统操作记录和访问日志，以便审查。 问题四：集中访问控制的需求 提供了单一的登录控制点，用户对网络资源的访问控制通过访问控制服务器实现，因此权限比较容易和访问时间、访问者所处网段等结合进行控制。通过集中接入控制点等手段，规定只有来自访问控制服务器的访问才是合法的 。 对实际应用资源的访问行为进行了细粒度划分，同时对认证平台内部的行为和权限进行了细粒度划分，使之符合用户实际的工作流程，满足管理制度的要求 ，并且能进行阻断。 问题五：集中审计的需求 能够对人员的登录过程、登录后进行的操作进行审计，审计的覆盖范围不仅包括对认证平台本身操作的审计，还包括对各被管系统访问、操作的审计。审计系统应能够统一对认证平台上的所有模块进行安全审计。主要包括，账号、角色、资源等进行创建、授权、分配、管理的内部管理行为的审计；登录过程的审计；身份认证的审计。审计系统还应支持登录被管系统后行为的审计，可以对用户的字符指令操作进行追溯。 并且与授权管理产品联动，当审计产品发现某用户操作，已经超过授权管理的权限，审计产品立即阻断此越权行为，保障系统的安全性； XXXXX身份及访问管理解决方案 XXXXX身份及访问管理解决方案 框架结构 系统架构 功能部署图 数据流向 功能模块 功能说明 产品部署 产品框架结构 系统架构 系统功能部署图 数据流向 产品功能模块 功能模块 主要产品功能说明 重点功能说明 资源管理 统一身份管理 用户同步 授权管理 生命周期管理 帐号策略管理 口令策略 认证方式 SSO 动态短信口令认证 集中访问控制 集中审计 智能告警 功能说明：资源管理 资源管理对从帐号进行分类定义并做为资源从帐号的属性，包括孤立帐号、交叉帐号和播测帐号等，并且赋予了一些基本的管理功能。罗列主要的资源从帐号属性如下： 孤立帐号：任何被管资源上的从帐号如果在没有被分配给自然人帐号的情况下，则标记为孤立帐号，并能够向管理员产生报告以便及时发现非法帐号或滥用帐号的存在； 共享帐号：被做为角色并且分配给了多个自然人的资源从帐号，则标记为共享帐号，并提供帐号报告； 直属帐号：唯一对应且仅仅从属于单一自然人的资源从帐号，则标记为直属帐号，并提供帐号报告； 交叉帐号：除了XXXXX对其进行管理以外，还存在其他应用系统对其使用或管理的情况下，资源从帐号需要被保护并不能随意变更密码的，则标记为交叉帐号并提供帐号报告； 播测帐号：对于交叉帐号或其他需要重点保护的资源从帐号（比如数据库帐号），需要XXXXX对其进行周期性播测以确保此类帐号能够获得持续的正常访问，则标记为播测帐号。 功能说明：统一身份管理 实现了对自然人的生命周期管理和授权管理 提供用户分组管理的功能，所有的账号策略、授权策略、访问控制策略等均可通过组的方式来进行批量的设定，同时也可以对单个用户进行精细的策略授权 提供流程引擎，满足账号申请、审批、分配、通知等流程管理制度的需要，并且能够与BMC Remedy、HP OSD、CA HelpDesk等主流电子运维流程进行无缝集成，便于企业建立统一的安全运维