统一身份及访问安全管理系统.ppt

1、因为专注所以专业因为专注所以专业 因为专业所以领先因为专业所以领先ULTRAIAM统一身份及访问安全管理系统统一身份及访问安全管理系统北京神州泰岳软件股份有限公司北京神州泰岳软件股份有限公司信息安全事业部信息安全事业部概要概要1 12 23 3产品概况产品概况Ultra-IAMUltra-IAM产品介绍产品介绍建设关注点建设关注点4 4案例介绍案例介绍业界关于业界关于4A解决方案的一些名词解决方案的一些名词国际叫法：IAMIdentityandAccessManagement，统一身份及访问安全管理神州泰岳产品：Ultra-IAMAccount、Authentication、Authoriza

2、tion、AuditandAccessControlManagementSysytem中国移动叫法：安全管控平台安全管控平台或者4A，涵盖三个子中心三个子中心集中维护接入平台SMAP：对应AccessControl帐号口令管理系统：对应Account、Authentication、Authorization审计系统：对应Audit4A解决什么问题？解决什么问题？错综复杂的日常运行维护管理错综复杂的日常运行维护管理企业员工企业员工张三在公司张三在公司企业各类企业各类ITIT资源资源企业员工企业员工李四在出差李四在出差王五是远程的王五是远程的第三方维护人员第三方维护人员小刘是现场的小刘是现场的第三

3、方维护人员第三方维护人员弱口令弱口令无法控制无法控制维护接入途径维护接入途径五花八门五花八门维护操作内容维护操作内容无从知晓无从知晓违规操作违规操作无法控制无法控制账户开设账户开设无规可循无规可循4A解决什么问题？解决什么问题？安全管控平台的作用安全管控平台的作用企业员工企业员工张三在公司张三在公司企业员工企业员工李四在出差李四在出差王五是远程的王五是远程的第三方维护人员第三方维护人员小刘是现场的小刘是现场的第三方维护人员第三方维护人员集中安全维护接入平台集中安全维护接入平台集中帐号口令管理平台集中帐号口令管理平台集中安全集中安全审计平台审计平台企业各类企业各类ITIT资源资源建设现状分析建设

4、现状分析现状审计维护安全问题不断出现，系统维护和管理工作负担大，效率低认证帐号独立的用户数据库和独立的系统管理员；自然人身份和业务系统帐号重叠；多系统都基于独立的帐号管理实现访问频繁切换接入网络没有强制检测手段；访问系统没有强身份认证手段；各应用系统都独立认证；授权独立的系统授权机制和独立的应用授权管理 独立的审计，缺乏关联分析。运营出现的安全问题无法明确定位Ultra-IAM系统概述系统概述神州泰岳Ultra-IAM是集账号管理、授权管理、认证管理和综合审计、安全访问控制于一体的集中账号及安全访问管理系统(业界称为4A）。该产品实现用户账户管理(Account)、认证(Authenticat

5、ion)、授权(Authorization)和审计(Audit)四方面的内在关联，是目前国内功能最完整、控制粒度最细的综合身份认证和访问安全管理产品。Ultra-IAM采用模块化设计，不但可以根据用户需要和环境特点进行选择、组合，而且可以提供定制化的开发，能够方便地实现与用户应用的有机结合。概要概要1 12 23 3产品概况产品概况Ultra-IAMUltra-IAM产品介绍产品介绍建设关注点建设关注点4 4案例介绍案例介绍4A系统的工作场景系统的工作场景C/SC/S应用应用B/SB/S应用应用Ultra-IAM Portal普通用户普通用户运维用户运维用户LDAPLDAPUltra-IAM

6、ServerUltra-IAM Resource Management Driver suites网络设备网络设备主机系统主机系统数据库系统数据库系统主主账账号号认认证证授授权权资资源源列列表表帐号管理员帐号管理员审计管理员审计管理员SSOACTIVE 控件代填控件代填SSO集中应用发布系统集中应用发布系统SSOSSO安装安装filterfilter拦截器拦截器授权策略授权策略页面嵌入页面嵌入堡垒主机堡垒主机代填代填代填（代填（HTTP模拟模拟、Form代填代填）凭证（凭证（Token、Ticket）从帐号从帐号SSOSSOUltra-IAM系统架构系统架构系统功能系统功能用户管理认证管理系统

7、功能12集中审计4授权管理3认证方式选择单点登录SSO认证转发日志采集日志分析审计还原告警处理审计报表主从帐号管理用户同步生命周期管理密码管理用户自管理授权管理资源管理访问控制角色管理授权粒度控制主从帐号管理主从帐号管理主帐号管理组织管理：能够按照按地域、组织结构进行划分，建立相应树状目录用于合理组织主帐号。分级管理：以适应分部门、分管理层次的分级管理要求；不同级别的帐号可以行使不同级别的权限属性管理：包括帐号基本信息、时效策略、密码策略、组织标识、角色标识。生命周期管理：对用户从产生到删除各存在状态进行管理帐号监控：口令系统对幽灵帐号、弱口令和交叉帐号（不能修改口令的程序帐号）进行监控，并提

8、供相应的告警报表自服务功能：对自己的属性进行修改同步功能同步功能神州泰岳Ultra-IAM通过多种方式来实现对操作系统、数据库系统、网络设备、应用系统、业务系统的用户同步管理Telnet/SSH方式AD域方式JDBC/ODBCLDAP方式模拟客户端Radius协议AgentWebService专用API方式同步功能同步功能-技术实现技术实现主机：同步方式：使用标准的通信接口telnet、ssh，通过发送用户操作指令的方式对主机从帐号进行相应的维护。网络设备：驱动主要通过Radius协议和建立内置Radius服务器的方式进行帐号的管理，以及进行帐号的访问控制等授权管理。数据库：通过JDBC协议与

9、数据进行交换，进行数据库帐号等的权限信息的管理。应用系统：通过标准接口来实现帐号同步，如JDBC/ODBC、标准LDAP通过私有协议来实现和应用系统间帐号接口，提供java或c的标准api接口，webservicejmx等接口完整的生命周期管理完整的生命周期管理对用户从产生到删除各存在状态进行管理,包括统一的用户创建、维护、删除等功能，并同步到各个系统中去。流程设计流程设计4A系统内置流程引擎，并内置图形化流程设计器，满足帐号申请、审批、分配、通知等流程管理制度的需要提供多种密码管理策略提供多种密码管理策略密码安全策略密码强度（长度、字符、有效期等)，系统还提供多种密码制定策略，满足不同系统对

10、密码安全的需要密码修改任务用户从帐号密码的定期变更，提高密码的安全性密码定期检查通过系统定时任务，或相关管理员执行密码检查，找出系统中存在不满足要求的用户口令密码同步策略认证管理认证管理用户管理认证管理系统功能12集中审计4授权管理3认证方式选择单点登录SSO认证转发日志采集日志分析审计还原告警处理审计报表主从帐号管理用户同步生命周期管理密码管理用户自管理授权管理资源管理访问控制角色管理授权粒度控制认证方式支持认证方式支持目前，神州泰岳Ultra-IAMSSO单点登陆系统支持以下强身份认证方式：支持多种认证方式组合，保证认证过程的安全。单点登录单点登录神州泰岳Ultra-IAMSSO单点登陆系

11、统为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录过程、用户ID和口令。它通过应用的集中接入和口令代填等方式向用户提供对其个性化资源的快捷访问提高生产效率和利润授权管理授权管理用户管理认证管理系统功能12集中审计4授权管理3认证方式选择单点登录SSO认证转发日志采集日志分析审计还原告警处理审计报表主从帐号管理用户同步生命周期管理密码管理用户自管理授权管理资源管理访问控制角色管理授权粒度控制集中授权管理集中授权管理通过基于角色授权，实现了用户到资源访问的权限分配实体级集中授权，授权粒度只精确到应用、设备、主机，通俗一点说就是用户是否有权连接某个IP地址端口实体内部资源级集中授权

12、，授权粒度精确到应用、设备、主机内的资源。资源包括应用的功能模块、HTML页面、数据库表或字段；主机内的文件或目录等23集中访问控制集中访问控制Ultra-IAM Portal堡垒主机网络设备主机系统数据库系统C/S应用B/S应用网元桌面发布系统联机指令平台集中审计集中审计用户管理认证管理系统功能12集中审计4授权管理3认证方式选择单点登录SSO认证转发日志采集日志分析审计还原告警处理审计报表主从帐号管理用户同步生命周期管理密码管理用户自管理授权管理资源管理访问控制角色管理授权粒度控制审计采集审计采集平台自身安全审计信息：人员的帐号管理：帐号建立、帐号分配情况、权限分配情况、认证、帐号使用（登

13、入、登出）情况等。对本系统运行的全部行为，包括任何人（含系统管理员）的任何操作进行记录；被管资源操作行为审计主机，网络设备，数据库等的所有用户指令操作的记录；对主机、网络设备、数据库、安全设备上的日志进行集中存储和集中审计；应用系统的关键操作行为数据；完整保留各类原始记录、证据、依据，确保全方位的可审计对第三方的非常规访问行为进行完整记录，并形成持久的震慑影响。为公司领导层提供安全决策支持，为运维层提供安全操作指向提供满足规范要求的安全审计报表报告Central Server(包含了集中存储、分析、展现等功能)Net CollectorNet/DB Sensor通过旁路部署的网络嗅探方式实现对

14、数据库SQL操作指令的审计、对http、telnet、ftp、ssh、rlogin、rsh、pop3、smtp等网络操作行为的审计通过集中访问接口的方式，让所有对目标对象的访问必须串行通过该访问控制网关，所有访问行为都将接受访问控制网关的监督和记录。身份及访问管理平台用户管理审计Access control Gateway Agent Collector在目标审计对象上安装agent的方式采集封闭系统的日志信息通过标准网络协议接口（如Syslogd、SNMP trap）或者定制网络接口采集操作系统、数据库系统、应用系统、业务系统、网络设备、安全设备等对象的日志信息审计分析审计分析分类：基于源地

15、址、用户、操作的对象、操作的类型、操作的时间和操作结果来进行分类。分级：根据审计信息的内容、对应的事件分类、相关资源、相关人员不同，将可审计事件的重要程度划分为不同的级别，以便对不同级别的事件采取不同的处理方式操作行为分析:将系统层的日志、数据库日志、应用层的日志及网络数据进行相互关联，尤其是所有对财务数据相关的关键系统数据的访问、修改和删除等，再现用户的完整操作过程。提供强大的审计信息查询，管理人员可根据审计信息的各种属性进行分类查询。支持基于时间、事件类型、级别、用户帐号，关键字等字段的查询告警:对非法地址、非法客户应用、非法数据库用户名、非法数据库对象访问、非法操作类型、非法SQL语句和

16、非法时间进行报警27柱状统计分析统计分析折线趋势分析支持多种报表样式支持多种报表样式会话回放会话数据windows回放RDP回放数据库访问回放SSH行为回放支持多种操作重现支持多种操作重现支持多种支持多种SOX报表和管理类报表报表和管理类报表提供审计报表处理能力，可根据管理人员的定义生成各类报表根据审计对象，产生指定时间周期（日、周、月、季度、年）的报表。报表自动产生，报表内容可以根据用户需求进行差别化定制。除了自动产生静态报表外，还可以由用户配置产生动态报表。报表支持包括打印和输出各种格式的文件，如PDF、Word、Excel、HTML等等。系统内置了多种报表形式，包括：SOX要求各类报表帐号类报表资源类报表告警类报表审计类报表用户访问类审计管理：审计管理：针对敏感数据的审计专题针对敏感数据的审计专题神州泰岳结合业务系统敏感数据泄漏问题，以及数据安全管理办法，通过在部分省市的经验，通过Ultra-IAM系统能方便实现以下审计专题：系统维护人员采用程序帐号访问业务数据；系统维护人员采用程序帐号维护数据库；维护人员绕过4A系统登录业务系统或者操作系统；集团客户资料查询审计查询用户信息审计