統(tǒng)一身份與訪問管理系統(tǒng)解決方案

1、統(tǒng)一身份與訪問管理系統(tǒng)方案建議書xxxx統(tǒng)一身份與訪問管理系統(tǒng)解決方案2014年10月2014年10月 28/28 版本1.0聯(lián)系信息關(guān)于本文中的任何信息，請(qǐng)聯(lián)系技術(shù)工程師王慶先生，他的詳細(xì)聯(lián)系方式為：電話子郵件：TWang版本歷史版本日期備注1.02014年10月第1版免責(zé)聲明 本建議書不得視為或解釋為Novell和xxxx之間有效而且有約束力的協(xié)議。建議書根據(jù)從xxxx獲得的信息而編制，Novell 對(duì)本建議書內(nèi)容的準(zhǔn)確性、完整性或充分性或建議書的使用不做任何擔(dān)保，而且特別明確表示，對(duì)于本建議書的適銷性和對(duì)特定目的的適用性，不做任何明示或暗示的擔(dān)保。此外，Nove

2、ll 公司保留修訂本建議書及其內(nèi)容的權(quán)利。版權(quán) 2014 版權(quán)所有。未經(jīng)Novell公司同意，嚴(yán)禁復(fù)制或者修訂本建議書的任何內(nèi)容。xxxx僅能夠在內(nèi)部復(fù)制和傳播。目 錄1項(xiàng)目概述51.1項(xiàng)目背景51.2項(xiàng)目目標(biāo)61.2.1一期建設(shè)目標(biāo):61.3建設(shè)原則71.4使用范圍72技術(shù)方案建議82.1系統(tǒng)總體架構(gòu)82.2系統(tǒng)功能92.2.1用戶身份信息管理112.2.2統(tǒng)一訪問控制管理122.2.3用戶生命周期管理132.3系統(tǒng)設(shè)計(jì)和工作原理142.3.1中央身份庫(kù)142.3.2用戶生命周期管理（身份數(shù)據(jù)同步）152.3.3單點(diǎn)登錄和統(tǒng)一認(rèn)證182.4高可用性設(shè)計(jì)212.4.1目錄服務(wù)212.4.2訪問

3、控制222.4.3身份管理223項(xiàng)目實(shí)施流程及進(jìn)度規(guī)劃224系統(tǒng)軟硬件配置234.1軟件配置235其他工作245.1身份管理實(shí)施階段245.2單點(diǎn)登錄實(shí)施階段246成功案例256.1深圳國(guó)稅256.2南海農(nóng)信267技術(shù)支持297.1技術(shù)支持方案297.2支持與維護(hù)298公司信息318.1公司簡(jiǎn)介318.2北京絡(luò)威爾軟件有限公司321 項(xiàng)目概述感謝xxxx邀請(qǐng)Novell對(duì)其統(tǒng)一身份認(rèn)證與訪問管理系統(tǒng)做相應(yīng)的解決方案。本建議書介紹了Novell公司為xxxx的解決方案，提供了關(guān)于Novell Privileged User Manager產(chǎn)品的功能架構(gòu)，并詳細(xì)介紹了我們?cè)趯?shí)施方面的能力和計(jì)劃。N

4、ovell Privileged User Manager是100%的記錄用戶對(duì)服務(wù)器的鍵入操作，收集用戶對(duì)Linux/Unix以及Windows和SSH/Telnet管理網(wǎng)絡(luò)設(shè)備系統(tǒng)上的任何操作行為并記錄用戶的操作結(jié)果。并將這些日志存儲(chǔ)在數(shù)據(jù)庫(kù)中供管理員查找和回放。1.1 項(xiàng)目背景隨著xxxx信息平臺(tái)化建設(shè)的日趨成熟，目前整個(gè)運(yùn)維服務(wù)器達(dá)到了200臺(tái),網(wǎng)絡(luò)設(shè)備40臺(tái)左右,每臺(tái)服務(wù)器各種帳號(hào)眾多,管理不便,網(wǎng)絡(luò)設(shè)備管理帳號(hào)被多用戶共享,為管理員和用戶帶來了幾個(gè)問題：1、服務(wù)器帳號(hào)眾多，每個(gè)帳號(hào)的歸屬，無法確認(rèn)，導(dǎo)致系統(tǒng)存在安全漏洞；2、每個(gè)網(wǎng)絡(luò)設(shè)備管理帳號(hào)被多個(gè)人員共享，一些人為操作問題，無法

5、定位到具體操作人員;3、某些帳號(hào)權(quán)限過大，比如應(yīng)用程序的帳號(hào)為了方便一般都賦予超級(jí)帳號(hào)權(quán)限，導(dǎo)致賦權(quán)混亂；4、帳號(hào)操作，無法獲悉，用戶具體操作命令無法100%獲取，導(dǎo)致有些信息事故無法排查，無法實(shí)現(xiàn)100%操作監(jiān)控；5、主機(jī)帳號(hào)密碼策略無法統(tǒng)一，有的服務(wù)器90天，有的180天，有的沒有設(shè)置密碼策略，未來希望帳號(hào)密碼策略統(tǒng)一；6、目前維護(hù)人員分為主機(jī)操作系統(tǒng)維護(hù)、數(shù)據(jù)庫(kù)維護(hù)兩種，每個(gè)維護(hù)人員擁有不下100個(gè)帳號(hào)，密碼記憶對(duì)用戶是困難的?；谝陨蠋讉€(gè)主要的原因，需要建立一用戶維護(hù)操作行為審計(jì)平臺(tái)，一方面提高員工訪問系統(tǒng)的效率，另一方面增強(qiáng)系統(tǒng)的整體安全性。1.2 項(xiàng)目目標(biāo)項(xiàng)目目標(biāo)建設(shè)一套服務(wù)器行為

6、審計(jì)平臺(tái)建設(shè)目標(biāo):n 建立用戶維護(hù)操作行為審計(jì)平臺(tái)；n 接入目前所有的服務(wù)器包括Unix/linux/Windows類型主機(jī)及通過SSH/TELNET協(xié)議接入所有網(wǎng)絡(luò)設(shè)備n 對(duì)命令操作可以進(jìn)行祥盡的審計(jì)，對(duì)圖形操作可以以錄像按照會(huì)話紀(jì)錄；n 對(duì)主機(jī)及網(wǎng)絡(luò)設(shè)備敏感命令進(jìn)行監(jiān)控并可以執(zhí)行禁止、允許、申請(qǐng)等操作，如reboot/reload/halt/restart/shutdown/write memory等命令n 建立一套統(tǒng)一帳號(hào)管理服務(wù)器，管理目前主機(jī)系統(tǒng)中所有帳號(hào)，未來在此平臺(tái)實(shí)現(xiàn)帳號(hào)分配；n 實(shí)現(xiàn)用戶信息生命周期的管理，從帳號(hào)的創(chuàng)建到員工離職后帳號(hào)的消除實(shí)現(xiàn)統(tǒng)一化和自動(dòng)化管理而不需人工干預(yù)

7、；總之，通過技術(shù)的整合來管理和使用數(shù)字化的用戶身份，以確保只有經(jīng)過授權(quán)的用戶才能對(duì)相關(guān)的設(shè)備進(jìn)行操作，使最終用戶僅需申請(qǐng)一次唯一的用戶ID，用戶僅需在統(tǒng)一登陸平臺(tái)進(jìn)行一次身份認(rèn)證就可以訪問所有授權(quán)的服務(wù)器。建成后的統(tǒng)一用戶身份與訪問管理系統(tǒng)將為xxxx應(yīng)用系統(tǒng)的提供標(biāo)準(zhǔn)化用戶數(shù)據(jù)，待建信息系統(tǒng)可以直接使用Novell eDirectory用戶目錄作為數(shù)據(jù)源，已建信息系統(tǒng)以IDM為根數(shù)據(jù)源進(jìn)行用戶信息同步。1.3 建設(shè)原則為了規(guī)范xxxx身份與訪問管理系統(tǒng)建設(shè)，應(yīng)遵循以下原則：n 標(biāo)準(zhǔn)化原則：必須遵循統(tǒng)一的用戶數(shù)據(jù)標(biāo)準(zhǔn)，來指導(dǎo)應(yīng)用系統(tǒng)用戶管理。n 分類管理原則：NPUM應(yīng)能夠支持管理員對(duì)用戶身份

8、信息進(jìn)行分類管理的要求，保證管理員能且只能管理到其職責(zé)范圍內(nèi)的服務(wù)器及網(wǎng)絡(luò)設(shè)備的帳號(hào)。n 集中化原則：NPUM集中管理所有服務(wù)器及網(wǎng)絡(luò)設(shè)備的帳號(hào)信息。1.4 使用范圍IDM系統(tǒng)主要的使用者包括：n 普通用戶：即網(wǎng)管監(jiān)控人員及內(nèi)部開發(fā)人員n 主機(jī)系統(tǒng)管理員：即IT部運(yùn)維人員，負(fù)責(zé)服務(wù)器系統(tǒng)的日常運(yùn)行，分為系統(tǒng)維護(hù)及數(shù)據(jù)庫(kù)維護(hù)。n 網(wǎng)絡(luò)設(shè)備維護(hù)人員:負(fù)責(zé)網(wǎng)絡(luò)設(shè)備維護(hù)人員n 應(yīng)用程序管理員：維護(hù)服務(wù)器系統(tǒng)中應(yīng)用程序的專屬帳號(hào)。2 技術(shù)方案建議2.1 系統(tǒng)總體架構(gòu)該系統(tǒng)需要建立一套帳號(hào)同步管理服務(wù)器及操作行為稽核服務(wù)器，都采用虛擬機(jī)方式，并采用虛擬機(jī)副本方式進(jìn)行備份。整個(gè)系統(tǒng)以Novell eDire

9、ctory為帳號(hào)存儲(chǔ)池，可以作為認(rèn)證網(wǎng)關(guān)，配合NPUM完成多因素方式的單點(diǎn)登錄。2.2 系統(tǒng)功能Novell PUM有三個(gè)主要組件：Novell PUM管理控制中心、Novell PUM Agent及SSH/TELNET協(xié)議重定向支持。管理控制中心提供統(tǒng)一的管理人員界面和審計(jì)人員界面，管理人員界面可以用于設(shè)置被管理的服務(wù)器、這些服務(wù)器帳戶、帳戶權(quán)限策略、審計(jì)策略以及進(jìn)行管理控制中心本身的使用者管理；審計(jì)人員界面提供對(duì)帳戶的行為進(jìn)行回放和審計(jì)的功能。Agent被安裝在每個(gè)被管理的服務(wù)器上，從而是PUM各個(gè)管理策略、審計(jì)策略、權(quán)限策略的具體執(zhí)行者。SSH/TELNET協(xié)議重定向，支持所有通過ssh

10、/telent訪問的網(wǎng)絡(luò)設(shè)備，并紀(jì)錄相應(yīng)的操作，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的帳號(hào)管理及操作行為監(jiān)控在本方案中所采用的NPUM工作機(jī)理如下：1. 系統(tǒng)驗(yàn)證用戶登錄信息并建立安全用戶操作會(huì)話；2. 在NPUM中建立審計(jì)策略及定義風(fēng)險(xiǎn)管控級(jí)別；3. 系統(tǒng)自動(dòng)記錄用戶會(huì)話時(shí)所鍵入的指令和操作結(jié)果；4. 系統(tǒng)根據(jù)預(yù)先制定好的自動(dòng)化規(guī)則和所設(shè)定風(fēng)險(xiǎn)過濾級(jí)別將所記錄的用戶操作事件放到合規(guī)審計(jì)數(shù)據(jù)庫(kù)中；5. 領(lǐng)導(dǎo)或系統(tǒng)管理員可以登錄到合規(guī)審計(jì)庫(kù)中參看是否有不合規(guī)的事件發(fā)生；6. 如果用戶有特別的請(qǐng)求，系統(tǒng)可以向管理員或領(lǐng)導(dǎo)發(fā)送郵件等通知供審批。下圖為NPUM所記錄的用戶操作指令，可供管理員或領(lǐng)導(dǎo)查詢：下圖為管理員對(duì)用戶所

11、鍵入的指令所執(zhí)行的結(jié)果進(jìn)行回放：2.2.1 審計(jì)分權(quán)管理在本方案中，在NPUM系統(tǒng)中可以對(duì)系統(tǒng)審計(jì)人員進(jìn)行分權(quán)管理，可以指定某個(gè)管理員可以指定查看那一臺(tái)服務(wù)器上的用戶操作日志。下圖為配置審計(jì)用戶審計(jì)權(quán)限界面：2.2.2 系統(tǒng)部署Novell PUM管理中心系統(tǒng)部署在一套服務(wù)器上，而Novell PUM Agent安裝在各個(gè)被監(jiān)控的Unix/Linux服務(wù)器上，另需要一臺(tái)服務(wù)器安裝SSH/TELNET重定向服務(wù)。2.3 方案總結(jié)通過實(shí)施本方案，用戶將擁有以下好處：1. 控制并記錄“哪些特權(quán)用戶訪問什么內(nèi)容”，提高了安全性；2. 從單點(diǎn)集中管理安全策略，簡(jiǎn)化了管理復(fù)雜度；3. 強(qiáng)大的風(fēng)險(xiǎn)分析工具能

12、夠記錄和回放用戶活動(dòng)具體到擊鍵級(jí)別，使風(fēng)險(xiǎn)可控可管；4. 借助全天候的永久審計(jì)記錄，而不只是在合規(guī)性審計(jì)中證明合規(guī)性，實(shí)現(xiàn)合規(guī)的連續(xù)證明。Novell PUM產(chǎn)品Novell PUM特權(quán)用戶管理產(chǎn)品是一款對(duì)Unix/Linux系統(tǒng)上的超級(jí)用戶行為進(jìn)行管理、審計(jì)的產(chǎn)品，它具有以下特點(diǎn)：高安全性Novell Privileged User Manager可以集中定義特權(quán)用戶能在任何 UNIX 或 Linux 平臺(tái)上執(zhí)行的命令，確保了只有授權(quán)用戶才能執(zhí)行特定管理任務(wù)。這種委托管理消除了將根帳戶憑證分發(fā)給所有管理人員的需要并降低組織面臨的風(fēng)險(xiǎn)。Novell Privileged User Manage

13、r 通過集中化策略機(jī)制來主管委托管理。這讓定義根據(jù)用戶名、輸入的命令、主機(jī)名和時(shí)間（何人、何物、何地、何時(shí)）的組合來允許或拒絕用戶活動(dòng)的規(guī)則成為可能。Novell Privileged User Manager 通過以這種方式管理 UNIX 和 Linux 權(quán)限，就可以控制用戶獲得授權(quán)而運(yùn)行的命令、運(yùn)行時(shí)間和運(yùn)行地點(diǎn)。所有用戶活動(dòng)均記錄在一個(gè)功能強(qiáng)大的審計(jì)報(bào)告和管理工具中，因此管理人員能夠在出現(xiàn)可疑活動(dòng)時(shí)立即采取措施。簡(jiǎn)單的策略管理Novell Privileged User Manager 讓管理人員可以從單點(diǎn)集中管理安全策略。直觀的拖放可視界面易于管理員創(chuàng)建規(guī)則，而不需要依賴于復(fù)雜且耗時(shí)的

14、人工腳本編寫。規(guī)則一旦創(chuàng)建，就將在所有受管 UNIX 和 Linux 系統(tǒng)內(nèi)強(qiáng)制執(zhí)行。在更新或更改這些規(guī)則時(shí)，所做更改會(huì)立即適用于企業(yè)中的所有整套主機(jī)。與其他需要單個(gè)升級(jí)系統(tǒng)的超級(jí)用戶特權(quán)管理產(chǎn)品不同，Novell Privilege User Manager 使管理人員能夠?qū)Ｗ⒂诨A(chǔ)設(shè)施保護(hù)，而不是將精力花在安裝規(guī)則更新上。而且，集成的測(cè)試套件工具讓管理人員可以建立和測(cè)試新的規(guī)則組合，再將其投入生產(chǎn)使用?？梢詫⒁?guī)則輕松拖入嵌套的層次結(jié)構(gòu)，建立精密的控制結(jié)構(gòu)，該種結(jié)構(gòu)在與腳本同時(shí)使用時(shí)，能夠提供更加精細(xì)的控制，滿足最為苛刻的環(huán)境要求。詳細(xì)的風(fēng)險(xiǎn)分析Novell Privileged User

15、Manager 通過一個(gè)智能風(fēng)險(xiǎn)分析引擎，平衡細(xì)節(jié)與數(shù)量的需求。引擎分析用戶活動(dòng)，并根據(jù)執(zhí)行的命令、執(zhí)行該命令的用戶以及位置，賦予該用戶活動(dòng)從 0 到 9 的某個(gè)風(fēng)險(xiǎn)級(jí)別。高風(fēng)險(xiǎn)命令的標(biāo)識(shí)顏色為紅色，低風(fēng)險(xiǎn)命令的標(biāo)識(shí)顏色為綠色。這些顏色和介于兩者之間的各種色度幫助管理人員立即識(shí)別可能構(gòu)成安全風(fēng)險(xiǎn)的事件。審計(jì)人員通過帶有回放功能的直觀界面，可以查看任何已記錄的擊鍵活動(dòng)。如果事件要求做進(jìn)一步分析，那么工作流程會(huì)使事件上升至可立即操作的適當(dāng)管理器（可通過發(fā)送電子郵件通知或標(biāo)記合合規(guī)性審計(jì)員控制臺(tái)中的事件來執(zhí)行）。借助 Novell Privileged User Manager 與眾不同的風(fēng)險(xiǎn)評(píng)估功

16、能，用戶能夠快速輕松地識(shí)別已收集的任何構(gòu)成更高級(jí)別風(fēng)險(xiǎn)的用戶輸入信息，從而降低由惡意活動(dòng)或意外誤用造成的潛在損害。連續(xù)的合規(guī)性證明Novell Privileged User Manager 生成用戶活動(dòng)的詳細(xì)日志。這些記錄提供的主要信息是在組織中證明合規(guī)性并確保統(tǒng)一最佳實(shí)踐所需的有價(jià)值信息。每個(gè)事件都記錄在功能強(qiáng)大的審計(jì)報(bào)告和管理工具 Compliance Auditor 中，該工具使審計(jì)員能夠了解整個(gè)企業(yè)內(nèi)的情況，并允許他們排列響應(yīng)異常活動(dòng)的優(yōu)先次序。Compliance Auditor 根據(jù)可以通過圖形用戶界面自定義的規(guī)則，將業(yè)務(wù)邏輯應(yīng)用于用戶活動(dòng)和系統(tǒng)事件。然后評(píng)估每個(gè)事件的潛在風(fēng)險(xiǎn)，

17、并賦予適當(dāng)?shù)娘L(fēng)險(xiǎn)級(jí)別。事件記錄以易于閱讀的列表格式顯示，可將用戶活動(dòng)顯示到擊鍵級(jí)別。審計(jì)員可以記錄每條記錄的“通過”、“失敗”或“提出”狀態(tài)，同時(shí)每項(xiàng)更改將自動(dòng)添加到審計(jì)跟蹤中并作為永久性記錄。Novell Privileged User Manager 還包括一項(xiàng)自動(dòng)數(shù)據(jù)過濾功能，可讓審計(jì)員按每小時(shí)、每日、每周或每月的間隔從主要審計(jì)數(shù)據(jù)庫(kù)中提取現(xiàn)有數(shù)目的記錄。審計(jì)員還可應(yīng)用其他過濾標(biāo)準(zhǔn)，僅顯示指定時(shí)段內(nèi)所發(fā)生的高風(fēng)險(xiǎn)事件。例如，管理員每小時(shí)可過濾風(fēng)險(xiǎn)級(jí)別大于 3 的事件，這樣可使他們集中關(guān)注對(duì)組織造成最大風(fēng)險(xiǎn)的事件。信息顯示在用顏色標(biāo)識(shí)的直觀界面上，可使管理人員和審計(jì)員查看安全交易，回放用戶

18、活動(dòng)和制裁事件的記錄。2.3.1 支持的平臺(tái)Linux: SUSE Linux Enterprise Server (SLES) (32-bit and 64-bit) on versions 10 and 11 Red Hat (32-bit and 64-bit) on versions 5.x and 6.x Open Enterprise Server (32-bit and 64-bit) on versions 2 and 11Unix IBM AIX (32-bit and 64-bit) on versions 5.3 and 6.1 and version 7.1 (64-b

19、it) HP-UX (PA-RISC) (32-bit and 64-bit) on versions 11.11 and 11.23 HP-UX (Itanium) 64-bit on versions 11.23 and 11.31 Sun Solaris (SPARC) (32-bit and 64-bit) on versions 9 and 10 Sun Solaris (Intel) (32-bit and 64-bit) on version 10 HP Tru64 UNIX 64-bit on 5.1a and 5.1bWindows平臺(tái) Windows Server 2003

20、 (32-bit and 64-bit) Windows Server 2008 (32-bit and 64-bit) and 2008 R2 64-bit Windows Server 2012 64-bit GUI version虛擬化平臺(tái) VMWare ESX and ESXi協(xié)議 TELNET SSH2.3.2 Novell Privileged User Manager 功能： 安全性特權(quán)賬戶委托:安全地委托 UNIX/Linux 特權(quán)賬戶權(quán)力，而不需要影響用戶完成工作的能力。單個(gè)可配置端口:所有代理流量都可通過單個(gè)端口加密和引導(dǎo)，在多個(gè)防火墻環(huán)境中輕松配置和部署產(chǎn)品

21、。數(shù)據(jù)庫(kù)加密:Novell Privileged User Manager 包括一個(gè)嵌入式 SQL 數(shù)據(jù)庫(kù)后端，可以在這里對(duì)部分或全部數(shù)據(jù)庫(kù)進(jìn)行 AES 加密。 策略管理基于 Web 的控制臺(tái)：Novell Privileged User Manager 通過基于 Web 的直觀控制臺(tái)進(jìn)行管理，在整個(gè)內(nèi)部網(wǎng)和外部網(wǎng)區(qū)域均可訪問該控制臺(tái)。該界面包括一個(gè)“命令控制”控制臺(tái)，讓您可以配置特權(quán)用戶管理策略。重復(fù)利用腳本和命令庫(kù):Novell Privileged User Manager 包括策略對(duì)象的樣本庫(kù)，這些樣本庫(kù)可被輕松拖放以建立強(qiáng)大但直觀易懂的安全規(guī)則。層次規(guī)則結(jié)構(gòu):無需腳本編

22、寫，即可直觀構(gòu)建規(guī)則。只需拖放即可創(chuàng)建用于確定處理順序的規(guī)則層次結(jié)構(gòu)。直觀的故障轉(zhuǎn)移和負(fù)載均衡:可以在分層的域結(jié)構(gòu)中直觀地配置主機(jī)代理，從而自動(dòng)確定組件之間的負(fù)載均衡和故障轉(zhuǎn)移。 風(fēng)險(xiǎn)分析使用顏色標(biāo)識(shí)的命令風(fēng)險(xiǎn)評(píng)級(jí):可以根據(jù)運(yùn)行的命令、運(yùn)行命令的用戶和位置，使用顏色標(biāo)識(shí)事件記錄的風(fēng)險(xiǎn)級(jí)別。實(shí)時(shí)擊鍵記錄:擊鍵記錄在整個(gè)用戶對(duì)話期間實(shí)時(shí)更新。對(duì)話回放:在直觀界面中回放已記錄的用戶對(duì)話擊鍵，讓您可以控制回放速度和方向。 審計(jì)和報(bào)告(1) 自動(dòng)數(shù)據(jù)過濾創(chuàng)建預(yù)定義規(guī)則，以使用綜合過濾器和時(shí)間表，從您的審計(jì)記錄文件中提出事件。(2) 自動(dòng)通知可以自動(dòng)以電子郵件方式向用戶發(fā)送待批

23、事件每日概要。(3) 永久性審計(jì)記錄所有審計(jì)員活動(dòng)都永久性地記錄在事件記錄中，包括在分析過程中記錄的擊鍵記錄活動(dòng)查看、狀態(tài)更改和任何備注。(4) 工作流對(duì)于需要進(jìn)一步分析的事件，工作流過程向相應(yīng)審閱者發(fā)送事件通過發(fā)送電子郵件通知或在 Compliance Auditor 控制臺(tái)標(biāo)記事件。(5) FTP 審計(jì)通過使用這個(gè)守護(hù)程序替件，為您的 FTP 交易多加一重保障，實(shí)現(xiàn)完全通過審計(jì)和身份驗(yàn)證的 FTP 交易。(6) 即用 UNIX/ Linux 外殼替件可以使用“usrun”語(yǔ)句按需執(zhí)行特權(quán)命令，或更換用戶外殼，以提供命令身份驗(yàn)證和 / 或總會(huì)話審計(jì)(7) ACL 限制確定單個(gè)審計(jì)員允許查看的

24、記錄，防止用戶對(duì)自己的活動(dòng)進(jìn)行自主授權(quán)2.3.3 用戶身份信息管理用戶身份信息管理以Novell eDirectory為基礎(chǔ)，構(gòu)建xxxx身份份中心，利用元目錄技術(shù)，實(shí)現(xiàn)將原有采用“非目錄化”的應(yīng)用系統(tǒng)與現(xiàn)有身份管理中心進(jìn)行自動(dòng)的雙向交互，該方案可以在不改變現(xiàn)有系統(tǒng)的框架基礎(chǔ)上進(jìn)行實(shí)施，利用這樣的方案實(shí)現(xiàn)身份庫(kù)與現(xiàn)有應(yīng)用系統(tǒng)的無縫結(jié)合。利用元目錄技術(shù)，采用自動(dòng)化處理方式代替原有系統(tǒng)中帳號(hào)有IT管理人員手工操作的方式。同時(shí)，這種信息的同步是雙向的。如果在一個(gè)應(yīng)用程序中的數(shù)據(jù)發(fā)生了變化，利用DirXML技術(shù)和一定的轉(zhuǎn)換規(guī)則，將信息傳遞到中央身份庫(kù)中。然后，再把這些數(shù)據(jù)傳遞給與這些數(shù)據(jù)相關(guān)的其它應(yīng)用

25、程序或目錄服務(wù)中。該解決方案可為用戶自動(dòng)開戶并在用戶的整個(gè)生命周期內(nèi)對(duì)口令進(jìn)行自動(dòng)管理：n 自動(dòng)完成復(fù)雜的系統(tǒng)開戶流程，立即訪問資源n 根據(jù)角色和策略向用戶分配資源n 口令同步為所有系統(tǒng)的單一口令n 用戶可通過基于 Web 的自助功能找回或重設(shè)自己的口令n 制定并強(qiáng)制執(zhí)行嚴(yán)格的系統(tǒng)口令策略n 授權(quán)不當(dāng)訪問時(shí)收到系統(tǒng)報(bào)告用戶身份信息管理模塊中，包含用戶和組織機(jī)構(gòu)信息維護(hù)、用戶相關(guān)對(duì)象的維護(hù)和用戶自維護(hù)幾個(gè)子功能。2.3.4 用戶生命周期管理采用Novell IDM和Novell eDirectory可以管理用戶生命周期的如下階段：1) 在權(quán)威數(shù)據(jù)源中進(jìn)行注冊(cè)：確定人員要注冊(cè)的部門，決定其用戶類型

26、（例如：客戶或內(nèi)部員工），并在權(quán)威數(shù)據(jù)系統(tǒng)（如OA系統(tǒng)）中建立用戶帳號(hào)。2) 利用身份管理工具將用戶信息同步至中央身份庫(kù)：身份管理工具首先獲得用戶帳號(hào)信息，將其根據(jù)預(yù)先制定的規(guī)則同步至統(tǒng)一身份目錄。3) 帳號(hào)分發(fā)：將該帳號(hào)下發(fā)到相關(guān)的應(yīng)用系統(tǒng)中。4) 審批和授權(quán)：各應(yīng)用系統(tǒng)的系統(tǒng)管理員（如信息管理系統(tǒng)管理員、Windows AD域管理員）在本系統(tǒng)中對(duì)新增的用戶進(jìn)行審批和授權(quán)，完成帳戶的新建工作。5) 變更：當(dāng)用戶的職位或其他個(gè)人信息發(fā)生變化后，系統(tǒng)管理員首先在權(quán)威數(shù)據(jù)源（如OA系統(tǒng)）中對(duì)帳號(hào)信息進(jìn)行修改，然后采取和2、3相似的步驟將信息同步至中央身份庫(kù)和各應(yīng)用系統(tǒng)中。6) 銷戶：當(dāng)用戶離職以后

27、，需要在各應(yīng)用系統(tǒng)中統(tǒng)一注銷用戶帳號(hào)。 對(duì)于xxxx用戶和外部用戶，可以針對(duì)不同的身份屬性，定義區(qū)分策略，從而實(shí)現(xiàn)對(duì)內(nèi)部用戶跟隨人事系統(tǒng)狀態(tài)的變化而變化，對(duì)外部用戶嚴(yán)格管理其生命周期，并嚴(yán)格劃定范圍和權(quán)限。2.4 系統(tǒng)設(shè)計(jì)和工作原理2.4.1 中央身份庫(kù)對(duì)各個(gè)服務(wù)器中的帳號(hào)進(jìn)行單獨(dú)、分散的管理是一個(gè)費(fèi)時(shí)、繁瑣、不安全的管理方式。隨著服務(wù)器的不斷增加，以及系統(tǒng)管理人員的分工日益復(fù)雜，Novell推薦建立一個(gè)集中統(tǒng)一的中央身份庫(kù)。中央身份庫(kù)的設(shè)計(jì)，必須針對(duì)所有用戶創(chuàng)建一個(gè)單一的主帳號(hào)，管理IT平臺(tái)中各個(gè)服務(wù)器系統(tǒng)中央身份庫(kù)擁有xxxx完整的身份認(rèn)證信息，可提供xxxx公司范圍內(nèi)接入系統(tǒng)用戶身份認(rèn)證

28、與存儲(chǔ)。根據(jù)xxxx的需要，可以自定義schema以滿足個(gè)性屬性的要求。Novell 所提供的中央身份庫(kù)基礎(chǔ)架構(gòu)是基于Novell eDirectory。近10 年來，該目錄服務(wù)已在全球銷售了14 億3 千萬(wàn)的許可證，這是該目錄服務(wù)已處于行業(yè)領(lǐng)先水平的最好的證明。它一向表現(xiàn)出高度的可靠性和高度的穩(wěn)定性、以及大而復(fù)雜的企業(yè)環(huán)境中良好執(zhí)行的能力。中央身份庫(kù)的安全性是非常值得關(guān)注的，一旦中央身份庫(kù)的信息遭到竊取，那么NPUM系統(tǒng)其他安全性設(shè)置會(huì)立即失去效應(yīng)。Novell eDirectory 通過幾方面卓越的安全特性滿足全服務(wù)目錄的安全要求。eDirectory 安全使NPUM系統(tǒng)能夠指定誰(shuí)有權(quán)訪問

29、目錄樹，以及用戶通過認(rèn)證后的確切訪問權(quán)限等級(jí)。2.4.2 用戶生命周期管理（身份數(shù)據(jù)同步）身份同步，泛指通過IDM實(shí)現(xiàn)目錄與服務(wù)器的帳號(hào)雙向聯(lián)動(dòng)，確保用戶身份信息在各應(yīng)用系統(tǒng)間的一致性。通過IDM把各個(gè)應(yīng)用系統(tǒng)和身份目錄進(jìn)行連接。在帳號(hào)信息同步通道中設(shè)立帳號(hào)管理策略，規(guī)定用戶在身份目錄和各應(yīng)用系統(tǒng)之間的同步策略。利用IDM的身份同步引擎在應(yīng)用系統(tǒng)和統(tǒng)一身份目錄之間建立同步通道。應(yīng)用系統(tǒng)從同步通道中獲得其所需要的用戶身份信息，建立對(duì)應(yīng)的用戶帳號(hào)。所有用戶應(yīng)用帳號(hào)的創(chuàng)建、信息變更、銷戶事件都由IDM進(jìn)行統(tǒng)一維護(hù)。當(dāng)需要在一個(gè)系統(tǒng)中創(chuàng)建/變更/刪除帳號(hào)時(shí)，根據(jù)既定的策略在相應(yīng)的應(yīng)用系統(tǒng)中創(chuàng)建、變更、

30、銷戶。3 項(xiàng)目實(shí)施流程及進(jìn)度規(guī)劃Novell建議整體項(xiàng)目實(shí)施工作分為如下階段：1. 系統(tǒng)調(diào)研階段（需求分析階段） 了解xxxx組織結(jié)構(gòu)及人員情況； 了解xxxx錄系統(tǒng)相關(guān)的應(yīng)用情況； 制定設(shè)計(jì)方案2. 系統(tǒng)設(shè)計(jì)階段 確定用戶的命名規(guī)則； 確定目錄結(jié)構(gòu)設(shè)計(jì)； 確定目錄Schema設(shè)計(jì)； 用戶數(shù)據(jù)的初始化導(dǎo)入策略、清洗策略； 目錄到目錄的用戶同步策略； 與門戶及其它應(yīng)用系統(tǒng)的單點(diǎn)登錄集成策略； 目錄各類管理用戶的制定及授權(quán)；3. 安裝、開發(fā)階段及測(cè)試階段 系統(tǒng)軟件的安裝； 單點(diǎn)登錄系統(tǒng)的開發(fā)和調(diào)試； 用戶數(shù)據(jù)的初始化導(dǎo)入測(cè)試； 系統(tǒng)功能測(cè)試等； 系統(tǒng)集成測(cè)試；4. 系統(tǒng)部署階段 目錄到相關(guān)應(yīng)用子系

31、統(tǒng)的網(wǎng)絡(luò)調(diào)整，如防火墻策略，路由定制； 系統(tǒng)壓力測(cè)試； 用戶驗(yàn)收測(cè)試（兩輪）5. 系統(tǒng)上線試運(yùn)行4 系統(tǒng)軟硬件配置4.1 軟件配置序號(hào)配置項(xiàng)推薦產(chǎn)品及說明運(yùn)行平臺(tái)版本套數(shù)1Novell eDirectroy目錄服務(wù)器SELS11SP18.8.72Novell Privileged User Manager單點(diǎn)登錄與訪問控制產(chǎn)品SELS11SP12.03Novell Identity Manager身份整合與同步產(chǎn)品SELS11SP13.65 其他工作其他工作中包含集成商和接入系統(tǒng)研發(fā)廠商的工作，下面根據(jù)系統(tǒng)實(shí)施的不同階段加以說明。以下列舉的配合工作僅限于目前對(duì)接入系統(tǒng)了解到的情況，在完成需求分

32、析和方案設(shè)計(jì)后，可能需要補(bǔ)充其他沒有提及的配合工作。5.1 身份管理實(shí)施階段需要客戶方、身份管理實(shí)施階段，如下工作等方面，予以配合：（1） 對(duì)于新上線網(wǎng)絡(luò)設(shè)備及主機(jī)，必須嚴(yán)格遵循預(yù)設(shè)的接口規(guī)范的要求，以便規(guī)范和統(tǒng)一管理；5.2 單點(diǎn)登錄實(shí)施階段需要客戶方、應(yīng)用開發(fā)商，在單點(diǎn)登錄階段，如下工作等方面，予以配合：（1） 對(duì)于新建應(yīng)用系統(tǒng)，必須嚴(yán)格遵循預(yù)設(shè)的接口規(guī)范的要求，以便規(guī)范和統(tǒng)一管理；6 技術(shù)支持6.1 技術(shù)支持方案 Novell向xxxx提供電話支持服務(wù)。這項(xiàng)支持服務(wù)是項(xiàng)目實(shí)施現(xiàn)場(chǎng)支持服務(wù)的補(bǔ)充。1. 最長(zhǎng)響應(yīng)時(shí)間 - 2 小時(shí)2. 提供每周 7 天，每天 24 小時(shí)的支持服務(wù)3. 25

33、項(xiàng)服務(wù)請(qǐng)求 4. Novell 專業(yè)資源套餐 (Novell Professional Resource Suite) - 1 份擴(kuò)展* 許可5. 4 個(gè) Novell 專業(yè)資源套餐的門戶訪問賬戶6. 主動(dòng)以電子郵件的形式發(fā)出補(bǔ)丁及更新通知7. 在線服務(wù)請(qǐng)求提交、跟蹤及報(bào)告8. 免費(fèi)電話支持專線建議只在出現(xiàn)極其嚴(yán)重問題的情況下，才尋求工作時(shí)間外支持6.2 支持與維護(hù)Novell 技術(shù)服務(wù)部是一個(gè)全球化運(yùn)作組織，在全球范圍內(nèi)都設(shè)有支持中心，并派有技術(shù)支持工程師。全球支持中心 (GSC) 位于 Novell 公司總部，在猶他州普羅沃設(shè)有主要的工程中心。其他支持中心位于英國(guó)布拉克內(nèi)爾和荷蘭Capel

34、la。澳大利亞、美國(guó)、香港、新加坡（亞洲主要支持中心）、中國(guó)、泰國(guó)、馬來西亞、韓國(guó)、歐洲都駐有本地現(xiàn)場(chǎng)支持工程師，其他地區(qū)則由經(jīng)過授權(quán)的服務(wù)合作伙伴提供本地現(xiàn)場(chǎng)支持工程師。最初的應(yīng)答是通過GSC進(jìn)行，或者直接提交給當(dāng)?shù)亟M織內(nèi)指定的高級(jí)服務(wù)工程師 (PSE) 或解決方案支持工程師 (SSE)。資源可根據(jù)需要進(jìn)行分配，以滿足具體的支持服務(wù)的需求。美國(guó)全球支持中心 (GSC)：提供電話支持響應(yīng)服務(wù)，作為與Novell相關(guān)的問題的最初報(bào)告點(diǎn)。該中心每周7天、每天24小時(shí)運(yùn)行，負(fù)責(zé)為Novell客戶提供2級(jí)技術(shù)幫助。GSC 與本地現(xiàn)場(chǎng)工程師、全球支持服務(wù)人員和產(chǎn)品工程師一同解決技術(shù)問題。中心配備了18位

35、全職工程師和多名輪換工程師（共有大約25-30人），利用所掌握的技能和經(jīng)驗(yàn)為亞太區(qū)和其他地區(qū)的客戶提供支持。美國(guó)全球支持服務(wù)部 (WSS)：Novell公司全球支持服務(wù)部共有大約80名全職工程師。該部門負(fù)責(zé)為GSC和本地現(xiàn)場(chǎng)服務(wù)工程師提供3級(jí)和4級(jí)支持。WSS從“全球的眼光”考慮所發(fā)生的任何問題，并對(duì)GSC或本地工程師報(bào)告的問題迅速做出響應(yīng)。本地現(xiàn)場(chǎng)服務(wù)部（中國(guó)）：Novell 技術(shù)服務(wù)部通過各國(guó)的高級(jí)服務(wù)工程師 (PSE) 或解決方案支持工程師 (SSE) 為需要本地現(xiàn)場(chǎng)支持的客戶提供現(xiàn)場(chǎng)支持服務(wù)。PSEs 和 SSE 與 GSC 和 WSS 共同幫助客戶解決 Novell 技術(shù)問題。PSE

36、和SSE提供的大部分服務(wù)都是主動(dòng)預(yù)防的服務(wù)，然而，他們也同樣提供故障修復(fù)服務(wù)。各國(guó)的PSE和SSE數(shù)量不同，這取決于要求服務(wù)的客戶的數(shù)量。技能等級(jí) 所有提供2級(jí)支持的技術(shù)支持工程師都至少通過Novell認(rèn)證工程師 (CNE) 培訓(xùn)認(rèn)證，然而，大多數(shù)工程師都通過主 CNE或CDE級(jí)認(rèn)證，擁有5年的經(jīng)驗(yàn)。3級(jí)支持工程師一般為MCNE或CDE級(jí)別，至少擁有10年的經(jīng)驗(yàn)，或者擁有其他第三方產(chǎn)品的技術(shù)支持經(jīng)驗(yàn)?，F(xiàn)場(chǎng)工程師至少通過3級(jí)認(rèn)證，擁有豐富的現(xiàn)場(chǎng)工作支持經(jīng)驗(yàn)。一般情況下，PSE和SSE都擁有垂直市場(chǎng)經(jīng)驗(yàn)，并接受過核心Novell技術(shù)培訓(xùn)。解決方案支持 Novell 技術(shù)服務(wù)部通過組建客戶支持團(tuán)隊(duì)提

37、供解決方案支持，該團(tuán)隊(duì)主要負(fù)責(zé)為客戶的整個(gè)業(yè)務(wù)解決方案提供支持，而不是單獨(dú)的技術(shù)組件。該部門指定了技術(shù)解決方案支持主管，而且SSE都掌握為客戶解決方案提供支持所需的多項(xiàng)技能和知識(shí)。支持呼叫追蹤 Novell 技術(shù)服務(wù)部采用在全球范圍內(nèi)實(shí)施的PeopleSoft Vantive 產(chǎn)品記錄與追蹤支持問題。如果客戶在Vantive中注冊(cè)有效帳戶，任何技術(shù)工程師都可以查看與特定問題相關(guān)的活動(dòng)?？蛻舻氖跈?quán)聯(lián)絡(luò)人也在Vantive中注冊(cè)，并可以通過免費(fèi)電話或者通過Web記錄問題。Vantive用于追蹤問題解決的狀態(tài)以及問題的報(bào)告?，F(xiàn)場(chǎng)支持 現(xiàn)場(chǎng)支持通過各國(guó)派駐的PSE或SSE提供。緊急情況現(xiàn)場(chǎng)報(bào)告可幫助診斷或解決記錄的問題，但這取決于資源的可用性。7 公司信息7.1 公司簡(jiǎn)介北京絡(luò)威爾軟件有限公司（NOVELL CHINA）是注冊(cè)于中國(guó)北京市外商獨(dú)資經(jīng)營(yíng)企業(yè)，是NOVELL的全資子公司，注冊(cè)資本161.65萬(wàn)美元，其法定代表人是保羅.約瑟夫.利斯特。公司主營(yíng)業(yè)務(wù)是自主軟件產(chǎn)品研發(fā)、銷售、技術(shù)服務(wù)、技術(shù)咨詢、培訓(xùn)等。公司總部位于北京市東三環(huán)中路北京財(cái)富中心。下轄上海、廣州、深圳、沈陽(yáng)、成都（籌建中）辦事處及中國(guó)NOVELL技術(shù)研發(fā)中心（北京）、NOVELL中國(guó)測(cè)試中心（北京）、NOVELL中國(guó)技術(shù)支持中心（深圳）?，F(xiàn)有