BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案

1、BIT8-4-1某企業(yè)統(tǒng)一身份及訪問安全管理解決方案2022/10/16BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案BIT8-4-1某企業(yè)統(tǒng)一身份及訪問安全管理解決方案2022XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求分析身份及訪問管理系統(tǒng)的建設(shè)思路XXXXX身份及訪問管理解決方案身份及訪問管理系統(tǒng)特點和優(yōu)勢XXXXX實施建議和注意事項XXXXX身份及訪問管理解決方案探討XXXXX身份及訪問管理收益分析BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求分析

2、身份及訪問管理系統(tǒng)的建設(shè)思路XXXXX身份及訪問管理解決方案身份及訪問管理系統(tǒng)特點和優(yōu)勢XXXXX實施建議和注意事項XXXXX身份及訪問管理解決方案探討XXXXX身份及訪問管理收益分析BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求問題一：管理成本的需求系統(tǒng)中有大量的網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)和應(yīng)用系統(tǒng)，分別屬于不同的部門和不同的業(yè)務(wù)系統(tǒng)。目前各應(yīng)用系統(tǒng)都有一套獨立的認證、授權(quán)和審計系統(tǒng)，并且由相應(yīng)的系統(tǒng)管理員負責(zé)維護和管理。當(dāng)維護人員同時對多個系統(tǒng)進行維護時，工作復(fù)雜度會成倍增加 ，無法實現(xiàn)統(tǒng)一的安全策略；另外系統(tǒng)的用戶分配權(quán)限，缺乏集中統(tǒng)

3、一的資源授權(quán)管理平臺，無法嚴格按照最小權(quán)限原則分配權(quán)限。隨著用戶數(shù)量的增加，權(quán)限管理任務(wù)越來越重，系統(tǒng)的安全性無法得到充分保證。BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案問題一：管理成本的需求系統(tǒng)中有大量的網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)和應(yīng)用問題二：單點登陸的需求系統(tǒng)的增多，使用戶經(jīng)常需要在各個系統(tǒng)之間切換，每次從一個系統(tǒng)切換到另一支撐系統(tǒng)時，都需要輸入用戶名和口令進行登錄。給用戶的工作帶來不便，影響了工作效率。用戶為便于記憶口令會采用較簡單的口令或?qū)⒍鄠€系統(tǒng)的口令設(shè)置成相同的，危害到系統(tǒng)的安全性 。BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案問題二：單點登陸的需求系統(tǒng)的增多，使用戶經(jīng)常需要在各

4、個系統(tǒng)之問題三：SOX的需求SOX法案的實施，對上市公司的業(yè)務(wù)系統(tǒng)信息安全進行了更加嚴格的規(guī)范，對實現(xiàn)使用者的身份認證、詳細的權(quán)限劃分以及準確的操作信息審計等功能提出了新的要求。有些帳號多人共用，不僅在發(fā)生安全事故，難于確定帳號的實際使用者，而且在平時難于對帳號的擴散范圍進行控制，容易造成安全漏洞，加強帳號分配與使用的監(jiān)控，對能實行每人擁有獨立帳號的系統(tǒng)，應(yīng)盡可能實行一人一個帳號，加強安全規(guī)范管理 。對帳戶生存周期進行管理，主賬號生成、角色分配、主從賬號對應(yīng)、賬號使用、賬號維護、賬號收回等各個賬號狀態(tài)進行管理。帳戶密碼策略建立，按照策略自動、集中、定期修改各賬號的口令， 并符合一定的復(fù)雜度 。

5、要求留下系統(tǒng)操作記錄和訪問日志，以便審查。BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案問題三：SOX的需求SOX法案的實施，對上市公司的業(yè)務(wù)系統(tǒng)信問題四：集中訪問控制的需求提供了單一的登錄控制點，用戶對網(wǎng)絡(luò)資源的訪問控制通過訪問控制服務(wù)器實現(xiàn)，因此權(quán)限比較容易和訪問時間、訪問者所處網(wǎng)段等結(jié)合進行控制。通過集中接入控制點等手段，規(guī)定只有來自訪問控制服務(wù)器的訪問才是合法的 。對實際應(yīng)用資源的訪問行為進行了細粒度劃分，同時對認證平臺內(nèi)部的行為和權(quán)限進行了細粒度劃分，使之符合用戶實際的工作流程，滿足管理制度的要求 ，并且能進行阻斷。BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案問題四：集中訪問控

6、制的需求提供了單一的登錄控制點，用戶對網(wǎng)絡(luò)問題五：集中審計的需求能夠?qū)θ藛T的登錄過程、登錄后進行的操作進行審計，審計的覆蓋范圍不僅包括對認證平臺本身操作的審計，還包括對各被管系統(tǒng)訪問、操作的審計。審計系統(tǒng)應(yīng)能夠統(tǒng)一對認證平臺上的所有模塊進行安全審計。主要包括，賬號、角色、資源等進行創(chuàng)建、授權(quán)、分配、管理的內(nèi)部管理行為的審計；登錄過程的審計；身份認證的審計。審計系統(tǒng)還應(yīng)支持登錄被管系統(tǒng)后行為的審計，可以對用戶的字符指令操作進行追溯。并且與授權(quán)管理產(chǎn)品聯(lián)動，當(dāng)審計產(chǎn)品發(fā)現(xiàn)某用戶操作，已經(jīng)超過授權(quán)管理的權(quán)限，審計產(chǎn)品立即阻斷此越權(quán)行為，保障系統(tǒng)的安全性；BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方

7、案問題五：集中審計的需求能夠?qū)θ藛T的登錄過程、登錄后進行的操作XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求分析身份及訪問管理系統(tǒng)的建設(shè)思路XXXXX身份及訪問管理解決方案身份及訪問管理系統(tǒng)特點和優(yōu)勢XXXXX實施建議和注意事項XXXXX身份及訪問管理解決方案探討XXXXX身份及訪問管理收益分析BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求XXXXX身份及訪問管理解決方案框架結(jié)構(gòu)系統(tǒng)架構(gòu)功能部署圖數(shù)據(jù)流向功能模塊功能說明產(chǎn)品部署B(yǎng)IT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案XXXXX身份及訪問管理解決方案框架結(jié)構(gòu)BI

8、T841某企業(yè)統(tǒng)產(chǎn)品框架結(jié)構(gòu)BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案產(chǎn)品框架結(jié)構(gòu)BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案系統(tǒng)架構(gòu)BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案系統(tǒng)架構(gòu)BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案系統(tǒng)功能部署圖BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案系統(tǒng)功能部署圖BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方數(shù)據(jù)流向第三方審計產(chǎn)品防火墻BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案數(shù)據(jù)流向第三方防火墻BIT841某企業(yè)統(tǒng)一身份及訪問安全管理產(chǎn)品功能模塊BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案產(chǎn)品功能模塊BIT841某企業(yè)統(tǒng)一

9、身份及訪問安全管理解決方案日志采集集中審計日志過濾審計報表歸并壓制關(guān)聯(lián)分析智能告警決策支持工單扭轉(zhuǎn)數(shù)據(jù)挖掘密碼策略認證管理集中認證認證方式外部認證客戶端認證集中授權(quán)授權(quán)管理用戶授權(quán)角色授權(quán)資源授權(quán)應(yīng)用授權(quán)行為授權(quán)單點登錄訪問控制用戶同步用戶管理生命周期管理角色管理資源管理策略管理主賬號管理從賬號管理用戶自管理用戶組管理功能模塊BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案日志采集集中審計日志過濾審計報表歸并壓制關(guān)聯(lián)分析智能告警決策主要產(chǎn)品功能說明BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案主要產(chǎn)品功能說明BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決重點功能說明資源管理統(tǒng)一身份管理用戶同步

10、授權(quán)管理生命周期管理帳號策略管理口令策略認證方式SSO動態(tài)短信口令認證集中訪問控制集中審計智能告警BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案重點功能說明資源管理BIT841某企業(yè)統(tǒng)一身份及訪問安全管理功能說明：資源管理資源管理對從帳號進行分類定義并做為資源從帳號的屬性，包括孤立帳號、交叉帳號和播測帳號等，并且賦予了一些基本的管理功能。羅列主要的資源從帳號屬性如下：孤立帳號：任何被管資源上的從帳號如果在沒有被分配給自然人帳號的情況下，則標(biāo)記為孤立帳號，并能夠向管理員產(chǎn)生報告以便及時發(fā)現(xiàn)非法帳號或濫用帳號的存在；共享帳號：被做為角色并且分配給了多個自然人的資源從帳號，則標(biāo)記為共享帳號，并提供

11、帳號報告；直屬帳號：唯一對應(yīng)且僅僅從屬于單一自然人的資源從帳號，則標(biāo)記為直屬帳號，并提供帳號報告；交叉帳號：除了XXXXX對其進行管理以外，還存在其他應(yīng)用系統(tǒng)對其使用或管理的情況下，資源從帳號需要被保護并不能隨意變更密碼的，則標(biāo)記為交叉帳號并提供帳號報告；播測帳號：對于交叉帳號或其他需要重點保護的資源從帳號（比如數(shù)據(jù)庫帳號），需要XXXXX對其進行周期性播測以確保此類帳號能夠獲得持續(xù)的正常訪問，則標(biāo)記為播測帳號。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：資源管理資源管理對從帳號進行分類定義并做為資源從帳功能說明：統(tǒng)一身份管理實現(xiàn)了對自然人的生命周期管理和授權(quán)管理提供用戶分組管

12、理的功能，所有的賬號策略、授權(quán)策略、訪問控制策略等均可通過組的方式來進行批量的設(shè)定，同時也可以對單個用戶進行精細的策略授權(quán) 提供流程引擎，滿足賬號申請、審批、分配、通知等流程管理制度的需要，并且能夠與BMC Remedy、HP OSD、CA HelpDesk等主流電子運維流程進行無縫集成，便于企業(yè)建立統(tǒng)一的安全運維管理提供角色授權(quán)與訪問控制等一系列策略管理功能，滿足企業(yè)對人員訪問安全的各種需求，能夠?qū)崿F(xiàn)對人員、時間、地點、被訪資源、操作、頻率次數(shù)等的授權(quán)、訪問控制和審計能力提供用戶自服務(wù)功能，使得用戶可以自行登錄XXXXX Portal修改個人身份信息以及獲得修改授權(quán)范圍內(nèi)資源從賬號密碼的能力

13、 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：統(tǒng)一身份管理實現(xiàn)了對自然人的生命周期管理和授權(quán)管理功能說明：用戶同步能夠自動發(fā)現(xiàn)主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫上的已有賬號 系統(tǒng)還可以通過帳號推送機制，通過集中帳號管理系統(tǒng)在被管系統(tǒng)中創(chuàng)建新的帳號 還可以通過同步機制，與用戶現(xiàn)有的用戶管理系統(tǒng)，例如、域用戶系統(tǒng)等用戶管理系統(tǒng)實現(xiàn)帳號的同步對各種主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等分別提供專門的帳號驅(qū)動機制和協(xié)議來實現(xiàn)帳號的管理，例如Radius協(xié)議、LDAP協(xié)議、SSH、JDBC、API等等BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：用戶同步能夠自動發(fā)現(xiàn)主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫上的已

14、有主機：主機驅(qū)動針對unix，windows主機進行帳號管理，以及包括組、目錄、Shell等的建立。Unix主機：支持列表：linux、hpunix、ibm aix、scounix、freebsd、sun solaris等。同步方式：使用標(biāo)準的通信接口telnet、ssh，通過發(fā)送用戶操作指令的方式對主機從帳號進行相應(yīng)的維護。Windows主機：同步方式：獨立主機：使用標(biāo)準的通信接口telnet、ssh，通過發(fā)送用戶操作指令的方式對主機從帳號進行相應(yīng)的維護。域服務(wù)器：使用LDAP協(xié)議，對AD進行標(biāo)準的帳號管理。BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案主機：主機驅(qū)動針對unix，wind

15、ows主機進行帳號管理，網(wǎng)絡(luò)設(shè)備：網(wǎng)絡(luò)設(shè)備驅(qū)動主要通過Radius協(xié)議和建立內(nèi)置Radius服務(wù)器的方式進行帳號的管理，以及進行帳號的訪問控制等授權(quán)管理。支持列表：cisco交換機交換機、華為路由器交換機、juniper網(wǎng)絡(luò)設(shè)備等支持標(biāo)準Radius協(xié)議的設(shè)備。同步方式：通過Radius協(xié)議，使設(shè)備的用戶和主用戶同步。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案網(wǎng)絡(luò)設(shè)備：網(wǎng)絡(luò)設(shè)備驅(qū)動主要通過Radius協(xié)議和建立內(nèi)置Ra數(shù)據(jù)庫：數(shù)據(jù)庫驅(qū)動通過JDBC協(xié)議與數(shù)據(jù)進行交換，進行數(shù)據(jù)庫帳號等的權(quán)限信息的管理。支持列表：MS SQLSERVER、ORACLE、SYBASE、DB2、INFOMIX

16、和MYSQL等主流數(shù)據(jù)庫。同步方式：通過jdbc協(xié)議，通過使用各個數(shù)據(jù)庫相關(guān)命令，進行數(shù)據(jù)庫用戶的同步。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案數(shù)據(jù)庫：數(shù)據(jù)庫驅(qū)動通過JDBC協(xié)議與數(shù)據(jù)進行交換，進行數(shù)據(jù)庫應(yīng)用：應(yīng)用系統(tǒng)的驅(qū)動一般通過其自身專有協(xié)議、對外接口API的方式實現(xiàn)。支持列表：Lotus Domino、SAP、以及各種C/S、B/S應(yīng)用等常用系統(tǒng)。此外，*具備強大的本地研發(fā)能力為客戶提供各種需求的開發(fā)定制能力，能夠最廣泛的、最深入的實現(xiàn)客戶個性化帳號管理的需求。同步方式：Domino：通過DIIOP遠程操作，進行帳號管理。SAP：通過其提供的JCO接口，進行帳號管理。其他應(yīng)用：

17、通過應(yīng)用提供的相應(yīng)接口，進行帳號管理。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案應(yīng)用：應(yīng)用系統(tǒng)的驅(qū)動一般通過其自身專有協(xié)議、對外接口API的功能說明：授權(quán)管理集中授權(quán)管理可實現(xiàn)完善的角色授權(quán)管理功能，從用戶、角色和資源進行用戶授權(quán)管理。制定到資源邊界的粗粒度授權(quán)，即，用戶按照角色權(quán)限和管理資源范圍的不同，能夠訪問的資源IP和Port也不同；制定針對資源操作的細粒度授權(quán)，即，能夠?qū)τ脩暨M行登錄時間、訪問地點、目的資源、次數(shù)、頻率、失敗控制、操作命令、操作參數(shù)等等的具體行為、時間、地點、目的的精細控制BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：授權(quán)管理集中授權(quán)管理可實現(xiàn)完善的

18、角色授權(quán)管理功能，授權(quán)與訪問控制-資源內(nèi)部訪問控制 對自然人賬號授權(quán)資源內(nèi)部角色，實現(xiàn)了自然人賬號到資源訪問的基本授權(quán)，由于資源從帳號與資源內(nèi)部角色包含有資源自身訪問控制的內(nèi)部授權(quán)信息（例如用戶組、Shell等），可以依靠資源內(nèi)部實現(xiàn)末端的訪問控制。資源主、從角色管理：通過規(guī)劃資源上的角色（稱為從角色）以及建立XXXXX主角色與從角色的對應(yīng)關(guān)系，來集中建立企業(yè)角色自然人帳號授權(quán)管理：向自然人帳號授權(quán)資源列表及主角色批量授權(quán)引擎：根據(jù)自然人帳號、資源列表，在各個資源上批量建立從帳號及所屬組，并將從賬號分配給主賬號 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案授權(quán)與訪問控制-資源內(nèi)部訪問控制

19、對自然人賬號授權(quán)資源內(nèi)部角授權(quán)與訪問控制-訪問控制網(wǎng)關(guān)XXXXX Portal方式的集中接入和訪問控制；集成SSL VPN方式的集中接入和訪問控制；集成反向代理（Access Manager）方式的集中接入和訪問控制；集成堡壘主機方式的集中接入和訪問控制；集成Citrix、NTA方式的集中接入和訪問控制 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案授權(quán)與訪問控制-訪問控制網(wǎng)關(guān)XXXXX Portal方式的集授權(quán)與訪問控制-AAA的訪問控制 通過將支持Radius的資源的認證指向XXXXX內(nèi)置的Radius Server來保證資源訪問的授權(quán)BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案授權(quán)

20、與訪問控制-AAA的訪問控制 通過將支持Radius的資功能說明：生命周期管理BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：生命周期管理BIT841某企業(yè)統(tǒng)一身份及訪問安全管功能說明：帳號策略管理*XXXXX的帳號策略管理提供了豐富的自動化帳號管理功能，能夠根據(jù)帳號類型和相應(yīng)的管理策略滿足用戶多樣的管理需求。這些管理需求包括：自動發(fā)現(xiàn)和自動監(jiān)測：滿足用戶對各IT資源上的帳號監(jiān)控需求，周期性的采集、同步和監(jiān)測被管資源上的帳號。主從帳號一致性：滿足用戶對授權(quán)資源內(nèi)的自然人帳號的統(tǒng)一與同步需求，保證在授權(quán)資源范圍內(nèi)對每個自然人帳號維持一套獨有的、一致性的資源從帳號。此功能不同于角色管理模

21、式，在角色管理模式下，多個自然人可能共享同一套資源從帳號。特殊帳號一致性推拉：滿足用戶對特定用戶、特定資源范圍內(nèi)的應(yīng)用系統(tǒng)帳號的快速推廣需求，滿足其他IT管理系統(tǒng)對企業(yè)IT資源的自動化監(jiān)管需求。例如，網(wǎng)管系統(tǒng)的自動巡檢模塊需要根據(jù)網(wǎng)管系統(tǒng)的值班帳號來采集主機、網(wǎng)絡(luò)設(shè)備或系統(tǒng)等的配置、性能等狀態(tài)數(shù)據(jù)，XXXXX的帳號策略管理模塊能夠為這部分特殊帳號提供值班期間的設(shè)備、系統(tǒng)以及網(wǎng)管系統(tǒng)自動巡檢系統(tǒng)間的一致性臨時帳號，保證安全有效的自動化訪問。動態(tài)密碼計劃：滿足對被管資源從帳號的安全保護需求，對資源從帳號進行周期性的高強度密碼變更，維護賬號的安全性。帳號處理策略：滿足對各種帳號類型的處理需求，將帳號

22、劃分為交叉帳號、共享帳號、孤立帳號等：交叉帳號：交叉帳號是XXXXX管理但被其他系統(tǒng)內(nèi)部使用的帳號，它的密碼不能隨意改變。因此這類帳號不能進入密碼計劃；共享賬號：在AMS內(nèi)部被授予多個用戶使用的帳號，這個賬號的刪除不能隨一個賬號的刪除而刪除；孤立帳號：在AMS內(nèi)部未被授權(quán)的用戶，這類賬號會一告警的方式被告知管理原；播測帳號：這類賬號，系統(tǒng)會對其進行定期的播測，發(fā)現(xiàn)異常會告知管理員。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：帳號策略管理*XXXXX的帳號策略管理提供功能說明：口令策略實現(xiàn)集中的密碼管理，并按照密碼策略的要求，自動、集中、定期修改系統(tǒng)賬號的口令，對口令強度和周期實

23、行統(tǒng)一的管理。實現(xiàn)集中刪除一個自然人的所有或者部分系統(tǒng)賬號。系統(tǒng)按照SOX要求設(shè)置了嚴格的用戶帳號安全策略，并且可以根據(jù)需要自行配置，策略包括密碼強度、生存周期等，可以根據(jù)需要自動定時對從帳號口令進行修改，并且能夠?qū)⒔Y(jié)果自動同步到所有被管理系統(tǒng)中去。BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：口令策略實現(xiàn)集中的密碼管理，并按照密碼策略的要求，密碼(口令)管理策略密碼制定策略用戶必須按照規(guī)定涉及相關(guān)主、從賬號密碼（長度、字符等），系統(tǒng)還提供多種密碼制定策略，滿足不同系統(tǒng)對密碼安全的需要；密碼修改計劃用戶從賬號密碼的定期變更，提高密碼的安全性密碼定期檢查通過系統(tǒng)定時任務(wù)，或相關(guān)管理員

24、執(zhí)行密碼檢查，找出系統(tǒng)中存在不滿足要求的用戶口令；密碼失效策略系統(tǒng)自動使不滿足要求的密碼失效；密碼存儲策略密碼的存儲采用加密存儲，加密方式MD5，DES等BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案密碼(口令)管理策略密碼制定策略BIT841某企業(yè)統(tǒng)一身份及功能說明：認證方式身份認證和訪問管理系統(tǒng)提供靜態(tài)密碼、Windows NT域、Windows Kerberos、雙因素、一次性口令和生物特征等多種認證方式，而且系統(tǒng)具有靈活的定制接口，可以方便的與其它第三方認證服務(wù)器之間的結(jié)合。認證系統(tǒng)支持多種認證方式，系統(tǒng)通過統(tǒng)一的強身份認證，保證認證過程的安全。用戶名/密碼安盟雙因素認證LDAP智能

25、卡X.509證書RSA SecurID令牌RADIUS短信認證生物特征認證BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：認證方式身份認證和訪問管理系統(tǒng)提供靜態(tài)密碼、Win認證方式比較認證方式客戶端應(yīng)用支持安全性方便性存儲方式服務(wù)器證書認證有高中文件證書服務(wù)器短信認證無高高無短信認證服務(wù)器&短信中心雙因素認證無高中令牌認證服務(wù)器靜態(tài)口令無低高無無BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案認證方式比較認證方式客戶端應(yīng)用支持安全性方便性存儲方式服務(wù)器功能說明:SSO XXXXX Portal 的B/S方式的SSO 單點登錄：通過XXXXX Portal自動提交表單的方式：用戶訪問W

26、eb應(yīng)用系統(tǒng)時，XXXXX Portal通過構(gòu)造隱藏的登錄表單并自動提交的方式進入Web應(yīng)用系統(tǒng)。此種方式下，客戶端在首次通過XXXXX Portal的強認證和單獨登錄認證后直接與Web應(yīng)用系統(tǒng)交互，其訪問行為需要訪問控制網(wǎng)關(guān)來進行授權(quán)控制。通過SSL VPN、反向代理表單注入的方式：訪問控制網(wǎng)關(guān)設(shè)備在作代理的過程中當(dāng)發(fā)現(xiàn)有登錄特征的http內(nèi)容，自動注入表單內(nèi)容，完成web應(yīng)用登錄。單點登出：通過SSL VPN、反向代理和AMS進行策略聯(lián)動的方式。當(dāng)用戶登出XXXXX Portal時SSLVPN、反向代理設(shè)備收到XXXXX Server的聯(lián)動策略后，斷開用戶和WEB應(yīng)用的連接，實現(xiàn)登出。 B

27、IT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明:SSO XXXXX Portal 的B/S方式的S功能說明:SSO XXXXX Portal 的C/S方式的SSO 單點登錄：通過瀏覽器代填控件進行代填：用戶在通過XXXXX Portal的強認證后，代填控件會被自動下載到客戶端瀏覽器中，控件會對C/S的客戶端進行掛鉤，分析特征事件序列，進行窗口控件級操作實現(xiàn)代填動作，單獨登錄后的訪問行為需要訪問控制網(wǎng)關(guān)來進行授權(quán)控制。此種方式需要客戶端預(yù)先安裝C/S的Client端。單點登出：通過SSL VPN，堡壘主機，Citrix等這些C/S訪問控制設(shè)備，和AMS進行策略聯(lián)動的方式。當(dāng)用戶登出XXX

28、XX Portal時SSLVPN、堡壘主機，Citrix收到XXXXX Server的聯(lián)動策略后斷開用戶和應(yīng)用的連接，實現(xiàn)登出。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明:SSO XXXXX Portal 的C/S方式的S功能說明：動態(tài)短信口令認證提供基于短信動態(tài)密碼（SMS-OTP）的認證方式，能夠提供符合SOX等國際標(biāo)準和法規(guī)要求的高強度認證服務(wù)；自動判斷登錄IP網(wǎng)段，能夠根據(jù)不同的IP網(wǎng)段確定是否觸發(fā)短信動態(tài)密碼認證；短信動態(tài)密碼認證服務(wù)器在生成并向用戶發(fā)送動態(tài)口令之前，必需對用戶的身份進行驗證，驗證通過后才能向用戶注冊手機號碼發(fā)送生成的一次性口令；觸發(fā)過程中，用戶的驗證

29、密碼（PIN碼等）不能在網(wǎng)絡(luò)上明文傳輸；短信動態(tài)密碼認證服務(wù)器的觸發(fā)機制能夠抵御惡意的動態(tài)密碼觸發(fā)請求，防止拒絕服務(wù)攻擊；認證平臺只能接受一次動態(tài)密碼的登錄認證請求，成功后動態(tài)密碼立即失效，此后再采用該動態(tài)密碼進行登錄均被視為違法操作；短信動態(tài)密碼具有一定的生命周期，即使用戶沒有使用該動態(tài)密碼進行登錄，超出時間范圍后該動態(tài)密碼仍將自動過期。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：動態(tài)短信口令認證提供基于短信動態(tài)密碼（SMS-OT功能說明：集中訪問控制MS ADMail ServerWEB ServerNetwork Deviceshttp/httpstelnet / ssh

30、 / ftprlogin / rshRDP / PC Anywhere VNC / X windowstelnet / ssh snmp set / ftpFireWall訪問控制網(wǎng)關(guān)及審計XXXXX Audit ManagementXXXXX Access Control GatewayBIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：集中訪問控制MS ADMail ServerWEBBIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：集中審計*XXXXX的審計管理以集中的資源管理為基礎(chǔ)，通過各種堡壘主機、網(wǎng)絡(luò)嗅探能夠?qū)崿F(xiàn)用戶資源

31、訪問會話的還原審計。對于字符堡壘主機，可以還原完整的用戶會話內(nèi)容：用戶對字符應(yīng)用的訪問是經(jīng)過堡壘主機的，堡壘主機在會話層轉(zhuǎn)發(fā)對對應(yīng)用的各種操作命令，由于在會話層對操作命令和執(zhí)行結(jié)果作相應(yīng)的轉(zhuǎn)發(fā)，因此可以對這些轉(zhuǎn)發(fā)的內(nèi)容（會話）計入日志，進行審計。對于RDP類訪問控制網(wǎng)關(guān)，可以對用戶的會話進行錄像，完整記錄用戶的圖形操作：RDP類訪問控制網(wǎng)關(guān)通過轉(zhuǎn)發(fā)用戶對圖形應(yīng)用操作的各種動作（鍵盤鼠標(biāo)事件）和圖形應(yīng)用的各種繪圖操作，實現(xiàn)圖形應(yīng)用的會話級代理。由于在會話層對操作動作和繪圖操作作轉(zhuǎn)發(fā)，因此可以對轉(zhuǎn)發(fā)的內(nèi)容進行錄像，并進行審計。網(wǎng)絡(luò)嗅探、數(shù)據(jù)庫嗅探：可以對用戶的資源操作在網(wǎng)絡(luò)層做相應(yīng)的嗅探分析，對協(xié)

32、議內(nèi)容進行記錄，經(jīng)過匹配規(guī)則實現(xiàn)會話還原。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：集中審計*XXXXX的審計管理以集中的資源功能說明：智能告警提供豐富多樣的通知方式，包括短信、郵件、電話和可執(zhí)行命令行程序等。提供SNMP Trap、Syslog兩種公共通訊方式發(fā)送告警。提供與第三方統(tǒng)一電子運維系統(tǒng)的無縫集成能力，派發(fā)工作單到對應(yīng)的管理員或用戶組。BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：智能告警提供豐富多樣的通知方式，包括短信、郵件、電產(chǎn)品部署方案BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案產(chǎn)品部署方案BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案典型

33、部署XXXXX部署結(jié)構(gòu)BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案典型部署XXXXX部署結(jié)構(gòu)BIT841某企業(yè)統(tǒng)一身份及訪典型部署XXXXX分級部署結(jié)構(gòu)BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案典型部署XXXXX分級部署結(jié)構(gòu)BIT841某企業(yè)統(tǒng)一身份系統(tǒng)詳細部署圖BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案系統(tǒng)詳細部署圖BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決典型部署XXXXX分級部署分析優(yōu)點：管理結(jié)構(gòu)清晰，符合用戶現(xiàn)有組織結(jié)構(gòu)。采用這種部署方式，各業(yè)務(wù)系統(tǒng)/各分支機構(gòu)負責(zé)本業(yè)務(wù)系統(tǒng)/本分支機構(gòu)的管理，總部對各業(yè)務(wù)系統(tǒng)/各分支機構(gòu)進行監(jiān)督、審核和統(tǒng)一管理。符合用戶現(xiàn)有運維組織

34、結(jié)構(gòu)，易于實施和推廣；可以更好的適應(yīng)和滿足不同業(yè)務(wù)系統(tǒng)安全運維管理的客戶化需要和要求，比如安全策略設(shè)置、定制報表等；安全管理中心的調(diào)試周期短，能夠更快適應(yīng)各業(yè)務(wù)系統(tǒng)的安全運行管理需求；安全運行管理中心的日常維護工作量較少。缺點：建設(shè)成本較高，用戶多個業(yè)務(wù)系統(tǒng)/分部/分支機構(gòu)可能需要建設(shè)多個二級中心，相對成本較高；BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案典型部署XXXXX分級部署分析優(yōu)點：BIT841某企業(yè)統(tǒng)中國移動身份及訪問管理解決方案身份及訪問安全管理問題及需求分析身份及訪問管理系統(tǒng)的建設(shè)思路XXXXX身份及訪問管理解決方案身份及訪問管理系統(tǒng)特點和優(yōu)勢XXXXX實施建議和注意事項身份

35、及訪問管理解決方案探討XXXXX身份及訪問管理收益分析BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案中國移動身份及訪問管理解決方案身份及訪問安全管理問題及需求分建設(shè)思路一、遵循統(tǒng)一的平臺的整體架構(gòu)、具體功能細節(jié)可靈活實現(xiàn)Authentication認證 Authorization授權(quán)Audit審計中央管理控制臺強身份認證及SSO目錄選擇商用Portal選擇擴展安全審計Account賬號管理 Access Control GateWayAccess Control GateWayAccess Control GateWayAccess Control GateWayBIT841某企業(yè)統(tǒng)一身份及

36、訪問安全管理解決方案建設(shè)思路一、遵循統(tǒng)一的平臺的整體架構(gòu)、具體功能細節(jié)可靈活實現(xiàn)建設(shè)思路二：目錄結(jié)構(gòu)規(guī)劃用戶樹、資源樹和分級管理甲地二級用戶樹甲地二級資源樹用戶G用戶E用戶F用戶H資源5資源6資源7資源8一級用戶樹一級資源樹資源1資源2資源3資源4用戶C用戶A用戶B用戶D乙地二級用戶樹乙地二級資源樹用戶K用戶J用戶L資源9資源10資源11資源12用戶IBIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案建設(shè)思路二：目錄結(jié)構(gòu)規(guī)劃用戶樹、資源樹和分級管理甲地二級甲地建設(shè)思路二：目錄結(jié)構(gòu)規(guī)劃漫游和跨域訪問二級單位（乙）一級單位二級單位（甲）主賬號：C主賬號：D主賬號：E主賬號：F主賬號：A主賬號：B主賬

37、號：E主賬號：E用戶漫游跨域訪問方式一跨域訪問方式二BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案建設(shè)思路二：目錄結(jié)構(gòu)規(guī)劃漫游和跨域訪問二級單位（乙）一級單位建設(shè)思路三：部署建議BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案建設(shè)思路三：部署建議BIT841某企業(yè)統(tǒng)一身份及訪問安全管理建設(shè)思路四：負載均衡BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案建設(shè)思路四：負載均衡BIT841某企業(yè)統(tǒng)一身份及訪問安全管理XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求分析身份及訪問管理系統(tǒng)的建設(shè)思路XXXXX身份及訪問管理解決方案身份及訪問管理特點和優(yōu)勢XXXXX實施建議和注意事項XXXX

38、X身份及訪問管理解決方案探討XXXXX身份及訪問管理收益分析BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求產(chǎn)品特點及優(yōu)勢先進、完善的整體架構(gòu)和靈活的功能實現(xiàn)方式，產(chǎn)品采用模塊化的設(shè)計和通用接口規(guī)范，能夠?qū)Ξ悩?gòu)的、復(fù)雜的IT系統(tǒng)進行統(tǒng)一身份管理；為第三方產(chǎn)品，如認證，審計等產(chǎn)品的整合提供強大的接口能力，以及便利的接入方式；強大的身份管理引擎同步驅(qū)動器，能夠同步各類賬戶管理機制；完整的用戶賬號生命周期管理，實現(xiàn)賬號的創(chuàng)建、維護、修改、刪除的集中管理；支持多種強身份認證方式的單點登陸技術(shù)，簡化登陸操作的同時卻提高了登陸的安全性；嚴謹?shù)氖跈?quán)

39、管理，確保最小化授權(quán)原則的落實；基于堡壘主機技術(shù)的訪問控制網(wǎng)關(guān)，為企業(yè)各類B/S和C/S應(yīng)用實現(xiàn)了集中的接入訪問控制；強大縝密的綜合安全審計，為企業(yè)提供基于自然人的行為安全審計管理，配合靈活的報表報告管理，滿足企業(yè)合規(guī)性的管理；支持分布式的物理分級、虛擬分級或物理/虛擬分級混合的部署模式，適應(yīng)企業(yè)的IT組織管理架構(gòu)，尊重企業(yè)各部門、各系統(tǒng)原有的賬號管理習(xí)慣。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案產(chǎn)品特點及優(yōu)勢先進、完善的整體架構(gòu)和靈活的功能實現(xiàn)方式，產(chǎn)品方案特點及優(yōu)勢可訂制化可擴展性高安全性高可靠性易用性4A系統(tǒng)除了滿足標(biāo)準的設(shè)備之外，由于各個用戶的環(huán)境不同，主要的工作是在定制層面；*擁有一支資深的軟件研發(fā)隊伍，擁有強大的研發(fā)實力，對系統(tǒng)定制能得到迅速和有效的支持；*有很多對客戶業(yè)務(wù)系統(tǒng)符合性修改的經(jīng)驗，能快速的滿足客戶在業(yè)務(wù)邏輯方面的需求統(tǒng)一身份及訪問管理系