《统一身份及访问安全管理系统讲解》由会员分享,可在线阅读,更多相关《统一身份及访问安全管理系统讲解(61页珍藏版)》请在金锄头文库上搜索。
1、ULTRAIAM统一身份及访问安全管理系统,北京神州泰岳软件股份有限公司 信息安全事业部,概要,产品概况,Ultra-IAM产品介绍,建设关注点,案例介绍,业界关于4A解决方案的一些名词,国际叫法: IAMIdentity and Access Management,统一身份及访问安全管理 神州泰岳产品: Ultra-IAMAccount、Authentication、Authorization、Audit and Access Control Management Sysytem 中国移动叫法: 安全管控平台 或者 4A,涵盖三个子中心 集中维护接入平台 SMAP:对应Access Cont
2、rol 帐号口令管理系统:对应Account、Authentication、Authorization 审计系统:对应Audit,4A解决什么问题?错综复杂的日常运行维护管理,企业员工 张三在公司,企业各类IT资源,企业员工 李四在出差,王五是远程的 第三方维护人员,小刘是现场的 第三方维护人员,弱口令 无法控制,维护接入途径 五花八门,维护操作内容 无从知晓,违规操作 无法控制,账户开设 无规可循,4A解决什么问题?安全管控平台的作用,企业员工 张三在公司,企业员工 李四在出差,王五是远程的 第三方维护人员,小刘是现场的 第三方维护人员,集中安全维护接入平台,集中帐号口令管理平台,集中安全
3、审计平台,企业各类IT资源,建设现状分析,现状,审计,维护,安全问题不断出现,系统维护和管理工作负担大,效率低,认证,帐号,独立的用户数据库和独立的系统管理员; 自然人身份和业务系统帐号重叠 ; 多系统都基于独立的帐号管理实现访问频繁切换,接入网络没有强制检测手段; 访问系统没有强身份认证手段; 各应用系统都独立认证;,授权,独立的系统授权机制和独立的应用授权管理,独立的审计,缺乏关联分析。运营出现的安全问题无法明确定位,Ultra-IAM系统概述,神州泰岳Ultra-IAM是集账号管理、授权管理、认证管理和综合审计、安全访问控制于一体的集中账号及安全访问管理系统(业界称为4A)。 该产品实现
4、用户账户管理(Account)、认证(Authentication)、授权(Authorization)和审计(Audit)四方面的内在关联,是目前国内功能最完整、控制粒度最细的综合身份认证和访问安全管理产品。 Ultra-IAM采用模块化设计,不但可以根据用户需要和环境特点进行选择、组合,而且可以提供定制化的开发,能够方便地实现与用户应用的有机结合。,Ultra-IAM名词解释,4A系统:集中安全管控平台,神州泰岳内部产品为Ultra-IAM统一身份及访问安全管理系统 主账号:自然人使用的帐号,目前主要是网络准入控制系统的帐号。 资源:自然人要访问的业务系统中实体,如应用程序、帐号、目录、文
5、件、数据库、数据库中保存的某个表、IP端口等等;可以根据实际需要,将多个资源看作一个整体;也可以将一个资源进一步细分成多个资源。 应用资源:业务系统中的一种资源类型,例如网管系统、业务支撑系统等。 系统资源:业务系统中的一种资源类型,包括主机、网络设备、数据库等。,概要,产品概况,Ultra-IAM产品介绍,建设关注点,案例介绍,4A系统的工作场景,C/S应用,Ultra-IAM Portal,普通用户 运维用户,网络设备 主机系统 数据库系统,主账号认证,授权资源列表,帐号管理员 审计管理员,SSO,安装filter拦截器,从帐号SSO,Ultra-IAM系统架构,系统功能,主从帐号管理,主
6、帐号管理 组织管理:能够按照按地域、组织结构进行划分,建立相 应树状目录用于合理组织主帐号。 分级管理:以适应分部门、分管理层次的分级管理要求; 不同级别的帐号可以行使不同级别的权限 属性管理:包括帐号基本信息、时效策略、密码策略、组 织标识、角色标识。 生命周期管理:对用户从产生到删除各存在状态进行管理 帐号监控:口令系统对幽灵帐号、弱口令和交叉帐号(不 能修改口令的程序帐号)进行监控,并提供相应的 告警报表 自服务功能 :对自己的属性进行修改,同步功能,神州泰岳Ultra-IAM 通过多种方式来实现对操作系统、数据库系统、网络设备、应用系统、业务系统的用户同步管理 Telnet/SSH方式
7、 AD域方式 JDBC/ODBC LDAP方式 模拟客户端 Radius协议 Agent Web Service 专用API方式,同步功能-技术实现,主机: 同步方式:使用标准的通信接口telnet、ssh,通过发送用户操作指令的方式对主机从帐号进行相应的维护。 网络设备: 驱动主要通过Radius协议和建立内置Radius服务器的方式进行帐号的管理,以及进行帐号的访问控制等授权管理。 数据库: 通过JDBC协议与数据进行交换,进行数据库帐号等的权限信息的管理。 应用系统: 通过标准接口来实现帐号同步,如JDBC/ODBC 、标准LDAP 通过私有协议来实现和应用系统间帐号接口,提供java或
8、c的标准api接口,webservice jmx 等接口,完整的生命周期管理,对用户从产生到删除各存在状态进行管理,包括统一的用户创建、维护、删除等功能,并同步到各个系统中去。,流程设计,4A系统内置流程引擎,并内置图形化流程设计器,满足帐号申请、审批、分配、通知等流程管理制度的需要,提供多种密码管理策略,密码安全策略 密码强度(长度、字符、有效期等),系统还提供多种密码制定策略,满足不同系统对密码安全的需要 密码修改任务 用户从帐号密码的定期变更,提高密码的安全性 密码定期检查 通过系统定时任务,或相关管理员执行密码检查,找出系统中存在不满足要求的用户口令 密码同步策略,认证管理,认证方式支
9、持,目前,神州泰岳Ultra-IAM SSO单点登陆系统支持以下强身份认证方式: 支持多种认证方式组合,保证认证过程的安全。,单点登录,神州泰岳Ultra-IAM SSO单点登陆系统为具有多帐号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录过程、用户ID和口令。它通过应用的集中接入和口令代填等方式向用户提供对其个性化资源的快捷访问提高生产效率和利润,授权管理,集中授权管理,通过基于角色授权,实现了用户到资源访问的权限分配 实体级集中授权,授权粒度只精确到应用、设备、主机,通俗一点说就是用户是否有权连接某个IP地址端口 实体内部资源级集中授权,授权粒度精确到应用、设备、主机内的资源。资源
10、包括应用的功能模块、HTML页面、数据库表或字段;主机内的文件或目录等,23,集中访问控制,Ultra-IAM Portal,堡垒主机,网络设备 主机系统 数据库系统,C/S应用,B/S应用,网元,桌面发布系统,联机指令平台,集中审计,审计采集,平台自身安全审计信息: 人员的帐号管理:帐号建立、帐号分配情况、权限分配情况、认证、帐号使用(登入、登出)情况等。 对本系统运行的全部行为,包括任何人(含系统管理员)的任何操作进行记录; 被管资源操作行为审计 主机,网络设备,数据库等的所有用户指令操作的记录; 对主机、网络设备、数据库、安全设备上的日志进行集中存储和集中审计; 应用系统的关键操作行为数
11、据;,审计分析,分类:基于源地址、用户、操作的对象、操作的类型、操作的时间和操作结果来进行分类。 分级:根据审计信息的内容、对应的事件分类、相关资源、相关人员不同,将可审计事件的重要程度划分为不同的级别,以便对不同级别的事件采取不同的处理方式 操作行为分析:将系统层的日志、数据库日志、应用层的日志及网络数据进行相互关联,尤其是所有对财务数据相关的关键系统数据的访问、修改和删除等,再现用户的完整操作过程。 提供强大的审计信息查询,管理人员可根据审计信息的各种属性进行分类查询。支持基于时间、事件类型、级别、用户帐号,关键字等字段的查询 告警:对非法地址、非法客户应用、非法数据库用户名、非法数据库对
12、象访问、非法操作类型、非法SQL语句和非法时间进行报警,27,支持多种报表样式,支持多种操作重现,支持多种SOX报表和管理类报表,提供审计报表处理能力,可根据管理人员的定义生成各类报表 根据审计对象,产生指定时间周期(日、周、月、季度、年)的报表。报表自动产生,报表内容可以根据用户需求进行差别化定制。除了自动产生静态报表外,还可以由用户配置产生动态报表。报表支持包括打印和输出各种格式的文件,如PDF、Word、Excel、HTML等等。 系统内置了多种报表形式,包括: SOX要求各类报表 帐号类报表 资源类报表 告警类报表 审计类报表 用户访问类,审计管理:针对敏感数据的审计专题,神州泰岳结合
13、业务系统敏感数据泄漏问题,以及数据安全管理办法, 通过在部分省市的经验,通过Ultra-IAM系统能方便实现以下审计专题: 系统维护人员采用程序帐号访问业务数据; 系统维护人员采用程序帐号维护数据库; 维护人员绕过4A系统登录业务系统或者操作系统; 集团客户资料查询审计 查询用户信息审计 导出用户数据关联审计 用户账单查询审计 客户资料查询审计 数据备份操作频率,数据审计 未经审批流程的建立的帐号的自动发现、报警与控制处理机制,基于规则的业务系统行为审计,基于规则的业务系统行为审计主要完成日志解析、行为适配、规则分析三个处理过程。,概要,产品概况,Ultra-IAM产品介绍,建设关注点,案例介
14、绍,关注点目录设计的合规性,原则上4A系统的目录schema设计应符合企业的目录规范的要求。 用户目录库不是数据库,性能优化主要针对读操作,因此不建议存放经常变化的用户属性 对于要连接的应用,有条件提供Schema的扩展(不同的应用有可能会使用不同的LDAP服务器),支持对业务支撑实现4A管理的架构扩展能力 例如: 支持自然人主账号与工号的匹配、关联、复用 客服、营业厅人员的特殊属性定义和识别 对多种用户认证方式和接入访问方式的属性定义和应用,关注点数据的安全,为保证业务系统自身的数据安全,在4A系统实施和应用过程中应避免对业务系统资源数据和审计数据的直接访问和采集,通过接口机方式实现对以上数
15、据的采集,对接口机的数据操作必须采用安全加密方式。 4A系统自身应实现应用和数据的分区域隔离保护,通过设置访问控制策略防止非法的数据访问 在多系统集中建设4A系统的情况下,需要考虑业务的LDAP目录数据、审计数据与其他系统分离存储设计,关注点如何实现应用的4A,虚拟化发布,关注点应用资源的认证改造方法,基于认证转发的应用改造模式,关注点应用资源的认证改造方法,关注点应用资源的认证改造方法-认证拦截与转发,关注点应用资源的认证改造的方法-本地认证恢复,关注点授权管理实现的目标要求,授权管理实现的当前目标: 系统资源和应用资源的实体级授权 通过4A系统的门户访问控制、访问控制网关、应用代理等实现对
16、访问对象的实体管理 应用资源基于角色的实体内授权 通过4A系统配合业务系统进行接口改造模式,关注点基于角色的实体内授权实现方法,应用系统侧,应用系统/4A系统接口,4A系统侧,系统内权限配置,模块,对象,功能权限,数据,用户组织,角色,资源同步接口,从账号,角色组,4A系统权限配置,主账号,主账号组,应用资源基于角色的实体内授权,关注点同步账号、角色数据,账号资源同步需要应用系统提供以下内容: 帐号实体数据 角色实体数据 授权关系数据 组织、系统、账号关系 接口机通过安全API/Webservice接口方式向4A平台同步数据,关注点细粒度授权,授权管理期望实现的最终目标 现阶段可实施的实现方法 通过嵌入业务系统授权页面实现应用资源实体内的细粒度授权配置管理。 4A系统授权管理改造,4A系统最终替代业务系统完成对应用系统的用户、授权的配置管理功能,实现对业务支撑应用系统无缝的集中用户授权的细粒度控制管理,关注点嵌套业务系统授权页面实现细粒度授权,常使用
