统一身份及访问安全管理系统.ppt
- 文档编号:18766708
- 上传时间:2023-11-04
- 格式:PPT
- 页数:62
- 大小:6.10MB
统一身份及访问安全管理系统.ppt
《统一身份及访问安全管理系统.ppt》由会员分享,可在线阅读,更多相关《统一身份及访问安全管理系统.ppt(62页珍藏版)》请在冰点文库上搜索。
ULTRAIAM统一身份及访问安全管理系统,北京神州泰岳软件股份有限公司信息安全事业部,概要,产品概况,Ultra-IAM产品介绍,建设关注点,案例介绍,业界关于4A解决方案的一些名词,国际叫法:
IAMIdentityandAccessManagement,统一身份及访问安全管理神州泰岳产品:
Ultra-IAMAccount、Authentication、Authorization、AuditandAccessControlManagementSysytem中国移动叫法:
安全管控平台或者4A,涵盖三个子中心集中维护接入平台SMAP:
对应AccessControl帐号口令管理系统:
对应Account、Authentication、Authorization审计系统:
对应Audit,4A解决什么问题?
错综复杂的日常运行维护管理,企业员工张三在公司,企业各类IT资源,企业员工李四在出差,王五是远程的第三方维护人员,小刘是现场的第三方维护人员,弱口令无法控制,维护接入途径五花八门,维护操作内容无从知晓,违规操作无法控制,账户开设无规可循,4A解决什么问题?
安全管控平台的作用,企业员工张三在公司,企业员工李四在出差,王五是远程的第三方维护人员,小刘是现场的第三方维护人员,集中安全维护接入平台,集中帐号口令管理平台,集中安全审计平台,企业各类IT资源,建设现状分析,现状,审计,维护,安全问题不断出现,系统维护和管理工作负担大,效率低,认证,帐号,独立的用户数据库和独立的系统管理员;自然人身份和业务系统帐号重叠;多系统都基于独立的帐号管理实现访问频繁切换,接入网络没有强制检测手段;访问系统没有强身份认证手段;各应用系统都独立认证;,授权,独立的系统授权机制和独立的应用授权管理,独立的审计,缺乏关联分析。
运营出现的安全问题无法明确定位,Ultra-IAM系统概述,神州泰岳Ultra-IAM是集账号管理、授权管理、认证管理和综合审计、安全访问控制于一体的集中账号及安全访问管理系统(业界称为4A)。
该产品实现用户账户管理(Account)、认证(Authentication)、授权(Authorization)和审计(Audit)四方面的内在关联,是目前国内功能最完整、控制粒度最细的综合身份认证和访问安全管理产品。
Ultra-IAM采用模块化设计,不但可以根据用户需要和环境特点进行选择、组合,而且可以提供定制化的开发,能够方便地实现与用户应用的有机结合。
Ultra-IAM名词解释,4A系统:
集中安全管控平台,神州泰岳内部产品为Ultra-IAM统一身份及访问安全管理系统主账号:
自然人使用的帐号,目前主要是网络准入控制系统的帐号。
资源:
自然人要访问的业务系统中实体,如应用程序、帐号、目录、文件、数据库、数据库中保存的某个表、IP端口等等;可以根据实际需要,将多个资源看作一个整体;也可以将一个资源进一步细分成多个资源。
应用资源:
业务系统中的一种资源类型,例如网管系统、业务支撑系统等。
系统资源:
业务系统中的一种资源类型,包括主机、网络设备、数据库等。
概要,产品概况,Ultra-IAM产品介绍,建设关注点,案例介绍,4A系统的工作场景,C/S应用,Ultra-IAMPortal,普通用户运维用户,网络设备主机系统数据库系统,主账号认证,授权资源列表,帐号管理员审计管理员,SSO,安装filter拦截器,从帐号SSO,Ultra-IAM系统架构,系统功能,主从帐号管理,主帐号管理组织管理:
能够按照按地域、组织结构进行划分,建立相应树状目录用于合理组织主帐号。
分级管理:
以适应分部门、分管理层次的分级管理要求;不同级别的帐号可以行使不同级别的权限属性管理:
包括帐号基本信息、时效策略、密码策略、组织标识、角色标识。
生命周期管理:
对用户从产生到删除各存在状态进行管理帐号监控:
口令系统对幽灵帐号、弱口令和交叉帐号(不能修改口令的程序帐号)进行监控,并提供相应的告警报表自服务功能:
对自己的属性进行修改,同步功能,神州泰岳Ultra-IAM通过多种方式来实现对操作系统、数据库系统、网络设备、应用系统、业务系统的用户同步管理Telnet/SSH方式AD域方式JDBC/ODBCLDAP方式模拟客户端Radius协议AgentWebService专用API方式,同步功能-技术实现,主机:
同步方式:
使用标准的通信接口telnet、ssh,通过发送用户操作指令的方式对主机从帐号进行相应的维护。
网络设备:
驱动主要通过Radius协议和建立内置Radius服务器的方式进行帐号的管理,以及进行帐号的访问控制等授权管理。
数据库:
通过JDBC协议与数据进行交换,进行数据库帐号等的权限信息的管理。
应用系统:
通过标准接口来实现帐号同步,如JDBC/ODBC、标准LDAP通过私有协议来实现和应用系统间帐号接口,提供java或c的标准api接口,webservicejmx等接口,完整的生命周期管理,对用户从产生到删除各存在状态进行管理,包括统一的用户创建、维护、删除等功能,并同步到各个系统中去。
流程设计,4A系统内置流程引擎,并内置图形化流程设计器,满足帐号申请、审批、分配、通知等流程管理制度的需要,提供多种密码管理策略,密码安全策略密码强度(长度、字符、有效期等),系统还提供多种密码制定策略,满足不同系统对密码安全的需要密码修改任务用户从帐号密码的定期变更,提高密码的安全性密码定期检查通过系统定时任务,或相关管理员执行密码检查,找出系统中存在不满足要求的用户口令密码同步策略,认证管理,认证方式支持,目前,神州泰岳Ultra-IAMSSO单点登陆系统支持以下强身份认证方式:
支持多种认证方式组合,保证认证过程的安全。
单点登录,神州泰岳Ultra-IAMSSO单点登陆系统为具有多帐号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录过程、用户ID和口令。
它通过应用的集中接入和口令代填等方式向用户提供对其个性化资源的快捷访问提高生产效率和利润,授权管理,集中授权管理,通过基于角色授权,实现了用户到资源访问的权限分配实体级集中授权,授权粒度只精确到应用、设备、主机,通俗一点说就是用户是否有权连接某个IP地址端口实体内部资源级集中授权,授权粒度精确到应用、设备、主机内的资源。
资源包括应用的功能模块、HTML页面、数据库表或字段;主机内的文件或目录等,23,集中访问控制,Ultra-IAMPortal,堡垒主机,网络设备主机系统数据库系统,C/S应用,B/S应用,网元,桌面发布系统,联机指令平台,集中审计,审计采集,平台自身安全审计信息:
人员的帐号管理:
帐号建立、帐号分配情况、权限分配情况、认证、帐号使用(登入、登出)情况等。
对本系统运行的全部行为,包括任何人(含系统管理员)的任何操作进行记录;被管资源操作行为审计主机,网络设备,数据库等的所有用户指令操作的记录;对主机、网络设备、数据库、安全设备上的日志进行集中存储和集中审计;应用系统的关键操作行为数据;,审计分析,分类:
基于源地址、用户、操作的对象、操作的类型、操作的时间和操作结果来进行分类。
分级:
根据审计信息的内容、对应的事件分类、相关资源、相关人员不同,将可审计事件的重要程度划分为不同的级别,以便对不同级别的事件采取不同的处理方式操作行为分析:
将系统层的日志、数据库日志、应用层的日志及网络数据进行相互关联,尤其是所有对财务数据相关的关键系统数据的访问、修改和删除等,再现用户的完整操作过程。
提供强大的审计信息查询,管理人员可根据审计信息的各种属性进行分类查询。
支持基于时间、事件类型、级别、用户帐号,关键字等字段的查询告警:
对非法地址、非法客户应用、非法数据库用户名、非法数据库对象访问、非法操作类型、非法SQL语句和非法时间进行报警,27,支持多种报表样式,支持多种操作重现,支持多种SOX报表和管理类报表,提供审计报表处理能力,可根据管理人员的定义生成各类报表根据审计对象,产生指定时间周期(日、周、月、季度、年)的报表。
报表自动产生,报表内容可以根据用户需求进行差别化定制。
除了自动产生静态报表外,还可以由用户配置产生动态报表。
报表支持包括打印和输出各种格式的文件,如PDF、Word、Excel、HTML等等。
系统内置了多种报表形式,包括:
SOX要求各类报表帐号类报表资源类报表告警类报表审计类报表用户访问类,审计管理:
针对敏感数据的审计专题,神州泰岳结合业务系统敏感数据泄漏问题,以及数据安全管理办法,通过在部分省市的经验,通过Ultra-IAM系统能方便实现以下审计专题:
系统维护人员采用程序帐号访问业务数据;系统维护人员采用程序帐号维护数据库;维护人员绕过4A系统登录业务系统或者操作系统;集团客户资料查询审计查询用户信息审计导出用户数据关联审计用户账单查询审计客户资料查询审计数据备份操作频率,数据审计未经审批流程的建立的帐号的自动发现、报警与控制处理机制,基于规则的业务系统行为审计,基于规则的业务系统行为审计主要完成日志解析、行为适配、规则分析三个处理过程。
概要,产品概况,Ultra-IAM产品介绍,建设关注点,案例介绍,关注点目录设计的合规性,原则上4A系统的目录schema设计应符合企业的目录规范的要求。
用户目录库不是数据库,性能优化主要针对读操作,因此不建议存放经常变化的用户属性对于要连接的应用,有条件提供Schema的扩展(不同的应用有可能会使用不同的LDAP服务器),支持对业务支撑实现4A管理的架构扩展能力例如:
支持自然人主账号与工号的匹配、关联、复用客服、营业厅人员的特殊属性定义和识别对多种用户认证方式和接入访问方式的属性定义和应用,关注点数据的安全,为保证业务系统自身的数据安全,在4A系统实施和应用过程中应避免对业务系统资源数据和审计数据的直接访问和采集,通过接口机方式实现对以上数据的采集,对接口机的数据操作必须采用安全加密方式。
4A系统自身应实现应用和数据的分区域隔离保护,通过设置访问控制策略防止非法的数据访问在多系统集中建设4A系统的情况下,需要考虑业务的LDAP目录数据、审计数据与其他系统分离存储设计,关注点如何实现应用的4A,虚拟化发布,关注点应用资源的认证改造方法,基于认证转发的应用改造模式,关注点应用资源的认证改造方法,关注点应用资源的认证改造方法-认证拦截与转发,关注点应用资源的认证改造的方法-本地认证恢复,关注点授权管理实现的目标要求,授权管理实现的当前目标:
系统资源和应用资源的实体级授权通过4A系统的门户访问控制、访问控制网关、应用代理等实现对访问对象的实体管理应用资源基于角色的实体内授权通过4A系统配合业务系统进行接口改造模式,关注点基于角色的实体内授权实现方法,应用系统侧,应用系统/4A系统接口,4A系统侧,系统内权限配置,模块,对象,功能权限,数据,用户组织,角色,资源同步接口,从账号,角色组,4A系统权限配置,主账号,主账号组,应用资源基于角色的实体内授权,关注点同步账号、角色数据,账号资源同步需要应用系统提供以下内容:
帐号实体数据角色实体数据授权关系数据组织、系统、账号关系接口机通过安全API/Webservice接口方式向4A平台同步数据,关注点细粒度授权,授权管理期望实现的最终目标现阶段可实施的实现方法通过嵌入业务系统授权页面实现应用资源实体内的细粒度授权配置管理。
4A系统授权管理改造,4A系统最终替代业务系统完成对应用系统的用户、授权的配置管理功能,实现对业务支撑应用系统无缝的集中用户授权的细粒度控制管理,关注点嵌套业务系统授权页面实现细粒度授权,常使用到的几种页面嵌入技术IframeWEBClipPortletWSRP,关注点系统接口设计,系统故障和性能信息,认证接口调用,业务流程流转和状态查询,用户管理类日志和系统自身日志,安全日志或安全事件日志,4A,关注点系统跨平台能力,支持各类Windows平台,HPUnix平台,AIX平台,SUNSolaris平台,FujitsuSolaris平台,Linux平台,Apple(OSX)平台等支持多主流数据库(如ORACLE、INFORMIX、SYBASE、DB2、SQLSEVER、MySQL、POSTGRE等)环境下无差异化的支撑业务能力。
支持多种中间件(如:
WEBLOGIC、Websphere、东方通、Glassfish、Tomcat等),关注点系统安全及应急设计,系统冗余设计系统自身监控管理系统自身的安全评估和加固数据加密存储加密方式通讯数据定期备份系统应急流程,系统应急设计,当4A管理平台发生异常时,系统维护人员和管理人员对4A管理平台的异常情况及恢复所需时间进行分析和评估,然后根据评估结果确定应急策略,选定应急策略后,应急方案根据应急策略要求进行各项准备工作:
4A管理平台启动应急系统,引导用户登录应急系统取回信息,。
系统维护人员对4A管理平台进行修复使其具备提供正常服务能力后,通过人工或自动方式触发应急方案进入恢复阶段,启动异常恢复操作。
阶段划分,触发阶段,执行阶段,恢复阶段,系统应急触发设计
(一),同步,短信应急服务模块,邮件应急服务模块,系统应急触发设计
(二),Ultra-IAM功能模块-A,Ultra-IAM功能模块-B,Ultra-IAM功能模块-C,Ultra-IAMServer中央管理控制台,Ultra-IAMEmergencyServicePlatform应急服务平台,2,3,1,1,1,1,1,5,4,实施管理层面实施阶段划分,实施管理层面调研和准备阶段,主账号建设,从帐号同步,角色梳理,主从帐号映射梳理,遵从什么样的建设规范?
按照管理规则生成主账号,预先提供一个有被管资源从帐号管理权限的账号和密码利用该帐号实现被管资源上所有从帐号的同步,将某个/某几个最小权限定义为一个角色依据角色不同梳理从帐号权限,主账号对应哪些资源上的哪些从帐号?
角色组对应于哪些资源上的哪些从帐号?
账号安全管理策略,僵尸帐号如何处理?
孤立帐号如何处理?
交叉账号如何处理?
从账号及密码安全策略,资源调研梳理,实施管理层面调研和准备阶段,访问维护方式,认证方式,单点登录,访问控制策略,使用什么样的访问维护工具、种类、版本要求等允许访问的合法工作时间、地点和路径,用户默认的认证方式、可选的认证方式认证服务响应的质量要求,现有的SSO实现模式SSO的使用场景要求SSO的使用限制条件,合理的访问发起区域和数据流量端口和服务要求,物理环境,接入服务区域的网络环境,可用带宽要求区域访问控制策略,访问和管理控制方式梳理,实施管理层面系统建设和实施阶段,规范设计,详细设计阶段,测试,实施,目录设计和代码设计4A系统门户设计集中认证接口设计集中审计接口设计和外部系统集成接口设计。
4A系统部署实施方案XXX系统SSO单点登录实现设计代码实现说明网管接口实现流程管理接口实现。
测试环境准备测试数据和测试用例准备离线功能测试和性能测试,4A平台的安装配置数据同步和初始化配置管理策略4A平台接口调试网络访问控制策略配置组件联调,规划、设计、测试、实施,实施管理层面系统建设和实施阶段,培训,割接准备,割接,调试,用户使用培训技术宣贯场景演练应急操作流程。
分批割接计划安排割接方案制订回退方案制订故障应急处理方案制订XXX割接人员工作安排。
割接时间点控制割接分工确认故障处理流程确认割接作业单割接工作记录,性能优化负载均衡策略优化关闭备份访问路径4A平台管理接口调试网络访问控制策略优化,资源割接、调试,实施管理层面管理和维护阶段,优化和4A相关的配套IT管理流程积累业务审计规则,强化审计管理力度配套完善4A管理制度周期性的进行资源账号、授权数据的同步和校对完善应急处理流程,进行分系统的周期性检查、演练周期性的技术宣贯和培训。
管理和维护,概要,1,2,产品概况,Ultra-IAM产品介绍,建设关注点,案例介绍,主要案例-电信,主要案例-金融,主要案例-其他,谢谢!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 统一 身份 访问 安全管理 系统
![提示](https://static.bingdoc.com/images/bang_tan.gif)