4A统一安全管理平台解决方案只是分享.docx

1、4A统一安全管理平台解决方案只是分享4A统一安全管理平台解决方案4A包括统一用户账号（Account）管理、统一认证（Authentication） 管理、统一授权（Authorization）管理和统一安全审计（Audit）四要素。融合后的解决方案将涵盖单点登录（SSO）等安全功能，既能够为客户提供功能完善的、高安全级别的4A管理，也能够为用户提供符合萨班斯法案（SOX）要求的内控报表。为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展，其内部用户数量持续增加，网络规模迅速扩大，安全问题不断出现。而每个业务网系统分别维护一套用户信息数据，管理本系统内的账号和口令，孤立的以日

2、志形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求，及与国际业务接轨的需求。问题主要表现在以下几方面：1.大量的网络设备、主机系统和应用系统分属不同的部门或业务系统，认证、授权和审计方式没有统一，当需要同时对多个系统进行操作时，工作复杂度成倍增加；2.一些设备和业务系统由厂商代维，因缺乏统一监管，安全状况不得而知；3.各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统一的访问控制平台，随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障；4.个别账号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际使用者；5.

3、随着系统增多，用户经常需要在各系统间切换，而每次切换都需要输入该系统的用户名和口令，为不影响工作效率，用户往往会采用简单口令或将多个系统的口令设置成相同的，造成对系统安全性的威胁；6.对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为。综上，由于缺乏统一的4A管理平台，加重了系统管理人员工作负担，同时，因各业务系统安全策略不一致，实质上也大大降低了业务系统的安全系数。统一安全管理平台解决方案能够解决运营商当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。该解决方案由5个子系统组成：统一的4A管理平台、统一的认证授权子系统、统一的账号管理子系统、统一的日志审计

4、子系统、网络行为审计子系统。统一4A管理平台向其它四个子系统传递配置参数，包括认证参数、账号参数、审计策略参数等，而四个子系统则将自身的运行状态值传递给统一4A管理平台；统一4A管理平台上各参数的变更，以及各告警值通过syslog的方式传递给统一日志审计子系统；统一认证授权子系统对用户进行统一接入认证后，产生的认证记录通过syslog的方式发送给统一日志审计子系统；统一账号管理子系统对用户账号进行维护的操作通过syslog的方式发送给统一日志审计子系统；网络审计引擎部件将采集到的日志信息通过syslog方式发送给统一日志审计子系统。统一日志审计子系统功能：安全日志采集安全日志多维分析安全日志实

5、时展现报表分析审计策略配置数据存储统一认证授权子系统功能：统一身份认证集中账号口令管理统一认证和授权网络设备的身份认证及授权主机系统的身份认证及授权远程接入或VPN接入用户的认证及授权数据库管理的身份认证及授权基于Web的运营系统的身份认证及授权基于C/S结构的业务系统的身份认证统一账号管理子系统功能：单点登陆账号同步统一账号管理与统一认证授权协作网络行为审计子系统功能：FTP/TELNET审计XWINDOW审计常用数据库的操作审计（ORACLE审计、DB2审计、SQL SERVER审计、SYBASE审计）堡垒机跳转行为审计NETBIOS审计HTTP审计SMTP审计POP3审计非正常网络行为的

6、审计各种协议的审计报表投资收益统一认证、授权和审计，工作复杂度大幅度降低；统一监管，安全状况尽在掌握；避免多人共用相同账号，安全事故易于追踪；单点登录（SSO）免去用户在各系统间切换时，需要再次输入用户名和口令的繁琐；对各个系统进行统一的访问审计，利于综合分析，及时发现入侵行为；与萨班斯法案（SOX）内控需求一致。启明星辰4A管理产品在萨班斯(SOX)法案要求上市公司实现企业内控的国际形势下，启明星辰公司推出了针对国内电信运营商市场定制的4A解决方案，该方案结合了启明星辰天玥业务审计产品的优势，引入了SafeWord产品系列中的3A组件。4A包括统一用户账号(Account)管理、统一认证(A

7、uthentication) 管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。融合后的解决方案将涵盖单点登录(SSO)等安全功能，既能够为客户提供功能完善的、高安全级别的4A管理，也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展，其内部用户数量持续增加，网络规模迅速扩大，安全问题不断出现。而每个业务网系统分别维护一套用户信息数据，管理本系统内的账号和口令，孤立的以日志形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求，及与国际业

8、务接轨的需求。问题主要表现在以下几方面：1. 大量的网络设备、主机系统和应用系统分属不同的部门或业务系统，认证、授权和审计方式没有统一，当需要同时对多个系统进行操作时，工作复杂度成倍增加;2. 一些设备和业务系统由厂商代维，因缺乏统一监管，安全状况不得而知;3. 各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统一的访问控制平台，随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障;4. 个别账号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际使用者;5. 随着系统增多，用户经常需要在各系统间切换，而每次切换都需要输入该系统的用户名和口令，为不影响工作效率，用户往往

9、会采用简单口令或将多个系统的口令设置成相同的，造成对系统安全性的威胁;6. 对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为。综上，由于缺乏统一的4A管理平台，加重了系统管理人员工作负担，同时，因各业务系统安全策略不一致，实质上也大大降低了业务系统的安全系数。用Tivoli软件构建企业4A安全管理平台业风险与信息安全一谈到信息安全，人们往往首先想到的是防火墙、入侵检测、漏洞扫描、数据加密等安全防御产品。这些产品主要从网络层次上防止潜在的安全威胁。然而随着各企业不断开展电子商务和将内部资源不同程度地向客户、合作伙伴及员工开放，对于企业至关重要的信息财产安全越发得到重视

10、。尤其是在信息访问越发便捷的背景下，这些资产也暴露在越来越多的威胁中，毫无疑问，信息保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业急待解决的安全问题。随着企业的不断发展，各种支撑系统和各系统用户数量不断增加，网络规模迅速扩大，原有的简单账号口令管理措施已日渐不能满足信息安全的要求，主要表现在以下方面： 系统多，且分别属于不同的部门和不同的业务系统。每套应用系统都有一套独立的认证、授权和审计系统，并且由相应的系统管理员负责维护和管理。出现同一台服务器或网络设备需要多人维护，或同一人需要维护多台服务器和网络设备情况，系统维护成本增加。 由于缺乏统一的身份管理平台，难以管理系统运维帐号，

11、超级用户帐号共享的现象普遍存在。账号的多人共用，不仅在发生安全事故，难于确定账号的实际使用者，在平时也难于对账号的扩散范围进行控制，容易造成安全漏洞。 每个系统分别管理所属的系统资源，为本系统的用户分配权限，缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限，系统的安全性无法得到充分保证。 随着系统的增多，使用户经常需要在各个系统之间切换，每次从一个系统切换到另一支撑系统时，都需要输入用户名和口令进行登录。给用户的工作带来不便，影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的，危害到系统的安全性。 由于各系统独立运行、维护和管理，所以各系统的

12、审计也是相互独立的，缺乏集中统一的系统访问审计。无法对支撑系统进行综合分析，不能及时发现入侵行为。因此需要系统和安全管理人员可以对企业内部的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证支撑系统安全策略的实施。所以构建信息级的企业安全必须解决用户的账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(AudIT)方面的问题，即4A解决方案。4A主要回答了这样几个问题，即：谁能进来?他们能够做什么?是否能够为4A安全管理平台的价值账号管理即是将自然人与其拥有的所有系统账号关联，集中进行管理，包括按照密码策略自动更

13、改密码，不同系统间的账号同步等。身份认证用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说，身份认证是一个基本的安全考虑。授权是指对用户使用支撑系统资源的具体情况进行合理分配的技术，实现不同用户对系统不同部分资源的访问。审计是指收集、记录用户对支撑系统资源的使用情况，以便于统计用户对网络资源的访问情况，并且在出现安全事故时，可以追踪原因，追究相关人员的责任，以减少由于内部计算机用户滥用网络资源造成的安全危害。4A一起确保合法用户安全、方便使用特定资源。这样既有效地保障了合法用户的权益，又能有效地保障支撑系统安全可靠地运行。4A框架的作用主要体现在系统管理员方面、普通用户方

14、面、系统安全性、系统管理费用等方面。企业角度对于企业来说，由于企业内部账号、授权管理的混乱，造成私设账号、账号失效后未及时收回、某些账号的扩散范围难于控制，从而给企业造成的安全损失是很严重的。在4A框架下，账号、授权管理将纳入统一、可控的框架和过程，账号设置、分配均有详细记录，可以审计;账号撤消、更改后的同步工作(包括从集中账号管理系统向各主机、设备、系统下发账号，及集中账号管理系统从各主机、设备、系统收集账号)均由系统自动完成，避免手工同步;对账号的有效期可以用时间、地域等附加因素进行限制，防止滥用;在多人共用账号的情况下，审计也可以精确到实际使用账号的个人;针对高价值资产、高权限账号，通过

15、灵活支持动态口令、PKI、生物认证等强认证技术，提高信息资产的安全性，并实现不同权限等级账号的不同安全策略。这些措施无疑将给企业信息资产的安全防护提供强有力的手段，避免安全损失，同时通过保障企业内主机、设备、应用系统的顺畅运行，给企业增加效益。管理员角度采用4A框架，方便了系统中包括从系统用户聘用到辞职的整个生命周期的管理。如账号创建、授权、权限更改、个人信息更改、口令更改、账号删除等，均可在一个平台上进行管理，使用户与其账号的对应关系符合实际情况，保证用户拥有的权限是完成其工作所需的最小权限。通过4A框架，系统管理员可以方便高效地对支撑系统进行审计，及时发现未授权的信息资源访问，权限滥用，入

16、侵企图等等。4A框架还为安全策略的强制统一执行提供技术保证，如监测用户口令的强度，口令更改周期等等。减少由于用户忘记密码产生的维护成本。这些都使管理员对信息资源管理的效率大大提高。普通用户角度通过4A框架，可以保证用户权限的分配符合安全策略要求，拥有完成任务所需要的最小权限。用户可以通过4A框架提供的自助管理接口，可以方便地更改自己的口令和个人基本信息，减轻了系统管理员的工作负担，也提高了用户的工作效率。通过4A框架提供的单点登录系统，用户一次登录即可方便地访问被授权的所有系统，省去了记忆多个账号名和口令的麻烦，提高了工作效率。系统安全角度4A框架可以使用户的工作变动情况及时在支撑系统中得到体

17、现，通过集中平台，一个指令，即可以干净、彻底的清除与每个用户相关的所有账号，防止出现用户已经离职但账号还存在的情况。另外4A框架为安全策略的强制执行提供了技术手段，如单点登录系统可以为用户在不同应用系统中自动设置足够强的口令，并且可以自动定期修改口令。这种设置和修改对用户是透明的，用户只需记住登录到单点登录系统的口令即可，提高了用户的效率，防止弱口令的存在。通过方便高效的审计手段，可以及时发现系统中存在的安全问题和各种入侵企图，为安全管理员采取相应的措施提供及时准确的信息，增强系统的安全性。系统管理成本角度用户自我服务使用户可以维护自己的信息，单点登录减少了用户忘记口令的情况，这都使得系统的管

18、理成本，尤其是在用户数目巨大的情况下大幅度降低。IBM Tivoli企业4A安全框架通过以上分析，一个全面的4A安全解决方案，应能够实现以下内容： 在企业建设系统运维用户管理系统，为所有用户提供集中访问服务、单点登录服务、后台帐号管理服务、访问日志服务等; 用户凭个人的主登录帐号，登录个性化的运维访问平台，可实现多因子强认证。通过集中访问平台的单点登录服务，访问被授权的各个系统，无需二次登录。用户无需记住各个服务器的登录帐号口令; 用户管理服务，集中管理用户的主登录帐号与各个服务器的系统登录帐号。定期自动更改所有后台服务器帐号口令。用户通过用户管理自助服务，可以更改个人的帐号口令; 访问日志服

19、务，集中记录所有系统运维帐号的登录访问日志，集中记录所有系统运维帐号的生成、授权和口令更改日志; 集中的用户目录，集中的日志数据库等。图1 Tivoli企业4A框架本文将从集中用户访问和单点登录、能1：集中用户管理建立集中用户管理的目标在于： 通过目录服务，整合现有信息系统中现存、主流应用的用户管理数据库，使大量存在于不同数据库中的用户数据信息，统一于以目录为核心的统一用户管理平台之中，为安全有效的实施统一认证、授权管理平台、安全审计、单点登录等功能奠定坚实的基础; 通过LDAP目录服务，建立统一用户管理平台，实现分级、委托模式的用户管理体系，强化对用户身份的管理; 通过目录服务，实现基于角色

20、、粗粒度(基于URL)和细粒度(基于应用组件的方法调用)的访问策略管理，为企业建立规范的统一认证和授权管理支撑环境; 通过灵活、方便的委托管理机制，实现用户数据库的分级委托管理。为管理员提供统一的、基于Web的用户、角色和策略管理界面; 为用户提供自服务系统，用户通过自服务系统可以修改信息和口令。图2 集中用户管理IBM Tivoli IdentITy Manager(TIM) 可以集中的为一个组织创建、管理、挂起和移除所有用户的帐号。从而降低各种用户账号管理的成本。基于角色的访问控制通过角色的定义可以将企业用户根据不同职位和职责进行分组，从而大大简化用户管理的负责度和降低管理成本。IBM T

21、ivoli IdentITy Manager将用户按照角色来管理。大多数情况下，一个角色代表着通用的职责。例如，可以在组织中创建一个会计的角色，使其能够访问所有的跟会计相关的应用和资源。为用户分配角色可以是固定的，也可以是动态的。一旦某位用户被分配了一个特定的角色，也就会获得该角色相关的资源。自助式服务功能自助式服务的意义在于，自助服务功能使用户(和委托管理员)可以通过用户指派系统管理授权数据。利用角色和ACI规则，用户可以对其他用户和委托管理员指派特定的权限，对个人数据执行某特定操作，如添加或移除。通过自助式服务功能，授权用户可以自己重设密码，自助的注册以申请所要管理资源的访问权限。从而减少

22、服务台的运营成本。Tivoli IdentITy Manager支持用户对个人信息的修改、个人账号密码的修改、密码提取等自助功能。用户数据和密码的同步在企业中存在众多系统，其中的用户帐号和密码的管理非常复杂，如果能够实现帐号和密码的同步，将能够大大减少帐号和密码的维护工作。IBM Tivoli IdentITy Manager与IBM Tivoli Directory Integrator结合在一起，提供对组织中所有被管理系统的用户账号双向密码同步的能力。经过密码同步之后，用户只需要记住一个密码就行了，从而提高了生产力，保证了对各个系统无缝的访问。业务流程的自动化工作流程的审批过程是通过对用户

23、间关系(如管理员，责任人或系统拥有者等)的分解，关联到某特定个人;或者按规定路线发送到某特定角色相关的任何个人，自动的为业务管理的相应资源，使得业务更具弹性。IBM Tivoli Identity Manager具有工作流的功能，结合客户自身的业务流程，工作流程的粒度，简单时只需获得一个批准，复杂时必须请求多重准许，如附加信息、通知、工作单、子流程、环路和客户通过Java Script定制的扩展步骤。图3 生命周期管理和工作流程设计工具密码管理在统一身份管理平台上，密码的管理应该能够涵盖后台所有系统的密码要求。IBM Tivoli Identity Manage的解决方案允许用户为每一种所管理

24、的资源设定密码规则。除了像长度要求这种基本参数外，还包括通过Java Script来定制规则，以满足更为复杂的需求。如最小长度和最大长度、最大重复字符数、最小符号字符数和/或数字字符数、定义无效和/或必需的字符等。图4 Tivoli Identity Manager的密码策略设置审计和报表由于集中用户管理平台是企业唯一的用户管理接口，因此必须能够跟踪终端用户和管理者在系统中进行的所有事务操作，包括用户授权的改动等，以用于对帐号信息的修改进行审计。IBM Tivoli Identity Manager使用集中的轻量级目录访问协议(Lightweight Directory Access Prot

25、ocol，LDAP)目录来保存用户身份信息，同时使用关系数据库作为集中的日志审计数据容器。两者都作为输入来生成预定义的报表，同时还能通过第三方应用程序来创建定制的报表。IBM Tivoli Identity Manager通过Web报表界面为访问控制策略，当前的授权情况，集中各个被管理系统的审计事件等提供报表。功能2：集中用户访问和单点登录对于一个企业来说，建立一个强健的、基于策略的安全身份认证和访问控制系统非常重要。一个完整的访问控制系统应该包括以下基本元素：身份验证，访问控制权限，审计，单点登陆，高可靠性，整体结构的弹性和日志。图5 用户集中访问和单点登录基于策略的访问控制访问控制即根据不

26、同的职责为企业员工、合作伙伴、供应商和客户授予不同的访问权限。如果能够提供基于角色或策略的访问控制，可以简化对多个系统和资源的访问管理。IBM Tivoli Access Manager提供全面的安全和管理策略定义。支持用户分组，并给每组赋予不同的权限，同时支持动态规则的制定，如动态业务授权以及在需要的情况下使用外部数据为应用提供授权支持。多种身份认证框架最传统也是最简单的身份认证方式，即基于用户名和密码的方式。针对某些重要数据，系统应能够提供强的身份认证机制，为企业数据安全提供深度保护。IBM Tivoli Access Manager提供了一套使用内建共享库形式实现的缺省身份认证机制，这其

27、中包括基于LDAP的用户标识和密码，客户端证书，RSA SecurID令牌，SPNEGO协议(Kerberos验证)，IP 地址以及移动和无线标识。同时支持身份验证定制模块，该模块允许用户扩展那些已经存在的身份认证机制。IBM Tivoli Access Manager还提供二次认证和定义认证加强策略(也叫递升验证)。递升验证策略是在需要从安全级别低的应用访问安全级别高的应用时，强制要求按高级别的方式重新进行身份验证。灵活的授权准则授权准则的定义，只允许用户访问那些他们已被授权的信息。对于不同企业来说，授权准则的要求多种多样。如，要求某些数据只能从某些特定的机器上访问，或者必须是某组织或部门的

28、人员才能访问等。这就要求用户授权模型能够提供多种灵活的授权准则以满足用户的不同需求。IBM Tivoli Access Manager把授权策略保存在一个集中的存储库中，并且在本地的授权增强点处保存了它的副本。这种解决方案使用户能从三个独立的授权规范维度来定义访问控制策略。首先提到的是传统的静态访问控制列表，在列表中描述了主体(用户和用户组)所允许访问的资源以及这些主体所拥有的权限。第二个维度是在之前的基础上，扩展授权的能力，包括采用时间日期约束，请求者的IP 地址/子网掩码过滤器以及允许在访问特殊资源时强制要求SSL的保护级别。第二个维度同时会重载全局的审计设置，对企业资源实现基于策略的审计

29、。访问控制授权的最后一个维度是一个动态规则引擎，在每次请求访问时，一个附属于特定资源的XML形式的断言将被计算，得到授权的结果。IBM Tivoli Access Manager也允许通过向后台应用程序提供身份相关信息来实现更好的授权服务。它使得目标程序能够根据用户 在IBM Tivoli Access Manager中的身份证明来采取针对特定用户的动作。单点登陆随着 IT 系统所支撑的业务系统的增加，用户和系统管理者都面对同一个日益复杂的，进行功能操作的界面。典型情况下，用户不得不在多个系统上进行登录，这将迫使同一个登录对话框多次出现，每个系统都调用不同的用户名和验证信息，用户需要面对多个帐

30、号和多种用户认证方式。而系统管理者则面对越来越复杂的用户资源的权限管理，必须为每个系统管理用户帐号。单点登录(Single Sign On，简称SSO)系统就是为了解决这样的问题，作为一个独立于平台的，支持代理功能的软件系统，提供易于使用的单点登录方案。IBM Tivoli Access Manager的解决方案使用户能够方便的单点登录(SSO)到跨越多个站点或者域的基于Web的应用程序，从而帮助减少企业服务帮助台的电话量以及由许多个密码所带来的其他安全性问题。有了IBM Tivoli Access Manager的帮助，用户只需登录一次，他们的身份信息将会被创建，同时传递给后台应用程序，这个

31、过程对用户来说是完全透明的。然后，用户就能访问所有已经被Tivoli Access Manager安全域认证过的基于Web的资源和Web应用程序。IBM Tivoli Access Manager同时提供Windows Desktop Single Sign-On功能 ，使得用户登录到Windows网络以后便能无缝的访问任何 受IBM Tivoli Access Manager保护的应用程序而无需再次进行身份验证。IBM Tivoli Access Manager的Windows桌面单点登陆支持SPNEGO 协议和Kerberos 验证。日志与审计记录访问日志，审计所有的访问企图的能力对于一个安全的企业Web来说是非常重要的。监视所有用户的访问企图使管理员能检测安全风险。IBM Tivoli Access Manager用一种标准的格式以日志的形式记录了所有的访问请求。审计日志包括所有影响IBM Tivoli Access Manager的授权过程的系统