收藏
下载资源

BIT8-4-1某企业统一身份及访问安全管理解决方案

上传人:命****币 文档编号:121689422 上传时间:2020-02-25 格式:PPT 页数:60 大小:1.98MB
返回 下载 相关 举报
BIT8-4-1某企业统一身份及访问安全管理解决方案_第1页
第1页 / 共60页
BIT8-4-1某企业统一身份及访问安全管理解决方案_第2页
第2页 / 共60页
BIT8-4-1某企业统一身份及访问安全管理解决方案_第3页
第3页 / 共60页
BIT8-4-1某企业统一身份及访问安全管理解决方案_第4页
第4页 / 共60页
BIT8-4-1某企业统一身份及访问安全管理解决方案_第5页
第5页 / 共60页
点击查看更多>>
资源描述

《BIT8-4-1某企业统一身份及访问安全管理解决方案》由会员分享,可在线阅读,更多相关《BIT8-4-1某企业统一身份及访问安全管理解决方案(60页珍藏版)》请在金锄头文库上搜索。

1、某信息安全企业 统一身份及访问控制解决方案 XXXXX身份及访问管理解决方案 身份及访问安全管理问题及需求分析 身份及访问管理系统的建设思路 XXXXX身份及访问管理解决方案 身份及访问管理系统特点和优势 XXXXX实施建议和注意事项 XXXXX身份及访问管理解决方案探讨 XXXXX身份及访问管理收益分析 XXXXX身份及访问管理解决方案 身份及访问安全管理问题及需求分析 身份及访问管理系统的建设思路 XXXXX身份及访问管理解决方案 身份及访问管理系统特点和优势 XXXXX实施建议和注意事项 XXXXX身份及访问管理解决方案探讨 XXXXX身份及访问管理收益分析 问题一 管理成本的需求 系统

2、中有大量的网络设备 主机系统和应用系统 分别属于不同的部门和不同的业务系统 目前各应用系统都有一套独立的认证 授权和审计系统 并且由相应的系统管理员负责维护和管理 当维护人员同时对多个系统进行维护时 工作复杂度会成倍增加 无法实现统一的安全策略 另外系统的用户分配权限 缺乏集中统一的资源授权管理平台 无法严格按照最小权限原则分配权限 随着用户数量的增加 权限管理任务越来越重 系统的安全性无法得到充分保证 问题二 单点登陆的需求 系统的增多 使用户经常需要在各个系统之间切换 每次从一个系统切换到另一支撑系统时 都需要输入用户名和口令进行登录 给用户的工作带来不便 影响了工作效率 用户为便于记忆口

3、令会采用较简单的口令或将多个系统的口令设置成相同的 危害到系统的安全性 问题三 SOX的需求 SOX法案的实施 对上市公司的业务系统信息安全进行了更加严格的规范 对实现使用者的身份认证 详细的权限划分以及准确的操作信息审计等功能提出了新的要求 有些帐号多人共用 不仅在发生安全事故 难于确定帐号的实际使用者 而且在平时难于对帐号的扩散范围进行控制 容易造成安全漏洞 加强帐号分配与使用的监控 对能实行每人拥有独立帐号的系统 应尽可能实行一人一个帐号 加强安全规范管理 对帐户生存周期进行管理 主账号生成 角色分配 主从账号对应 账号使用 账号维护 账号收回等各个账号状态进行管理 帐户密码策略建立 按

4、照策略自动 集中 定期修改各账号的口令 并符合一定的复杂度 要求留下系统操作记录和访问日志 以便审查 问题四 集中访问控制的需求 提供了单一的登录控制点 用户对网络资源的访问控制通过访问控制服务器实现 因此权限比较容易和访问时间 访问者所处网段等结合进行控制 通过集中接入控制点等手段 规定只有来自访问控制服务器的访问才是合法的 对实际应用资源的访问行为进行了细粒度划分 同时对认证平台内部的行为和权限进行了细粒度划分 使之符合用户实际的工作流程 满足管理制度的要求 并且能进行阻断 问题五 集中审计的需求 能够对人员的登录过程 登录后进行的操作进行审计 审计的覆盖范围不仅包括对认证平台本身操作的审

5、计 还包括对各被管系统访问 操作的审计 审计系统应能够统一对认证平台上的所有模块进行安全审计 主要包括 账号 角色 资源等进行创建 授权 分配 管理的内部管理行为的审计 登录过程的审计 身份认证的审计 审计系统还应支持登录被管系统后行为的审计 可以对用户的字符指令操作进行追溯 并且与授权管理产品联动 当审计产品发现某用户操作 已经超过授权管理的权限 审计产品立即阻断此越权行为 保障系统的安全性 XXXXX身份及访问管理解决方案 身份及访问安全管理问题及需求分析 身份及访问管理系统的建设思路 XXXXX身份及访问管理解决方案 身份及访问管理系统特点和优势 XXXXX实施建议和注意事项 XXXXX

6、身份及访问管理解决方案探讨 XXXXX身份及访问管理收益分析 XXXXX身份及访问管理解决方案 框架结构系统架构功能部署图数据流向功能模块功能说明产品部署 产品框架结构 系统架构 系统功能部署图 数据流向 第三方审计产品 防火墙 产品功能模块 日志采集 集中审计 日志过滤 审计报表 归并压制 关联分析 智能告警 决策支持 工单扭转 数据挖掘 密码策略 认证管理 集中认证 认证方式 外部认证 客户端认证 集中授权 授权管理 用户授权 角色授权 资源授权 应用授权 行为授权 单点登录 访问控制 用户同步 用户管理 生命周期管理 角色管理 资源管理 策略管理 主账号管理 从账号管理 用户自管理 用户

7、组管理 功能模块 主要产品功能说明 重点功能说明 资源管理统一身份管理用户同步授权管理生命周期管理帐号策略管理口令策略认证方式SSO动态短信口令认证集中访问控制集中审计智能告警 功能说明 资源管理 资源管理对从帐号进行分类定义并做为资源从帐号的属性 包括孤立帐号 交叉帐号和播测帐号等 并且赋予了一些基本的管理功能 罗列主要的资源从帐号属性如下 孤立帐号 任何被管资源上的从帐号如果在没有被分配给自然人帐号的情况下 则标记为孤立帐号 并能够向管理员产生报告以便及时发现非法帐号或滥用帐号的存在 共享帐号 被做为角色并且分配给了多个自然人的资源从帐号 则标记为共享帐号 并提供帐号报告 直属帐号 唯一对

8、应且仅仅从属于单一自然人的资源从帐号 则标记为直属帐号 并提供帐号报告 交叉帐号 除了XXXXX对其进行管理以外 还存在其他应用系统对其使用或管理的情况下 资源从帐号需要被保护并不能随意变更密码的 则标记为交叉帐号并提供帐号报告 播测帐号 对于交叉帐号或其他需要重点保护的资源从帐号 比如数据库帐号 需要XXXXX对其进行周期性播测以确保此类帐号能够获得持续的正常访问 则标记为播测帐号 功能说明 统一身份管理 实现了对自然人的生命周期管理和授权管理提供用户分组管理的功能 所有的账号策略 授权策略 访问控制策略等均可通过组的方式来进行批量的设定 同时也可以对单个用户进行精细的策略授权提供流程引擎

9、满足账号申请 审批 分配 通知等流程管理制度的需要 并且能够与BMCRemedy HPOSD CAHelpDesk等主流电子运维流程进行无缝集成 便于企业建立统一的安全运维管理提供角色授权与访问控制等一系列策略管理功能 满足企业对人员访问安全的各种需求 能够实现对人员 时间 地点 被访资源 操作 频率次数等的授权 访问控制和审计能力提供用户自服务功能 使得用户可以自行登录XXXXXPortal修改个人身份信息以及获得修改授权范围内资源从账号密码的能力 功能说明 用户同步 能够自动发现主机 网络设备 数据库上的已有账号系统还可以通过帐号推送机制 通过集中帐号管理系统在被管系统中创建新的帐号还可以

10、通过同步机制 与用户现有的用户管理系统 例如 域用户系统等用户管理系统实现帐号的同步对各种主机 网络设备 数据库 应用系统等分别提供专门的帐号驱动机制和协议来实现帐号的管理 例如Radius协议 LDAP协议 SSH JDBC API等等 主机 主机驱动针对unix windows主机进行帐号管理 以及包括组 目录 Shell等的建立 Unix主机 支持列表 linux hpunix ibmaix scounix freebsd sunsolaris等 同步方式 使用标准的通信接口telnet ssh 通过发送用户操作指令的方式对主机从帐号进行相应的维护 Windows主机 同步方式 独立主机

11、 使用标准的通信接口telnet ssh 通过发送用户操作指令的方式对主机从帐号进行相应的维护 域服务器 使用LDAP协议 对AD进行标准的帐号管理 网络设备 网络设备驱动主要通过Radius协议和建立内置Radius服务器的方式进行帐号的管理 以及进行帐号的访问控制等授权管理 支持列表 cisco交换机交换机 华为路由器交换机 juniper网络设备等支持标准Radius协议的设备 同步方式 通过Radius协议 使设备的用户和主用户同步 数据库 数据库驱动通过JDBC协议与数据进行交换 进行数据库帐号等的权限信息的管理 支持列表 MSSQLSERVER ORACLE SYBASE DB2

12、INFOMIX和MYSQL等主流数据库 同步方式 通过jdbc协议 通过使用各个数据库相关命令 进行数据库用户的同步 应用 应用系统的驱动一般通过其自身专有协议 对外接口API的方式实现 支持列表 LotusDomino SAP 以及各种C S B S应用等常用系统 此外 具备强大的本地研发能力为客户提供各种需求的开发定制能力 能够最广泛的 最深入的实现客户个性化帐号管理的需求 同步方式 Domino 通过DIIOP远程操作 进行帐号管理 SAP 通过其提供的JCO接口 进行帐号管理 其他应用 通过应用提供的相应接口 进行帐号管理 功能说明 授权管理 集中授权管理可实现完善的角色授权管理功能

13、从用户 角色和资源进行用户授权管理 制定到资源边界的粗粒度授权 即 用户按照角色权限和管理资源范围的不同 能够访问的资源IP和Port也不同 制定针对资源操作的细粒度授权 即 能够对用户进行登录时间 访问地点 目的资源 次数 频率 失败控制 操作命令 操作参数等等的具体行为 时间 地点 目的的精细控制 授权与访问控制 资源内部访问控制 对自然人账号授权资源内部角色 实现了自然人账号到资源访问的基本授权 由于资源从帐号与资源内部角色包含有资源自身访问控制的内部授权信息 例如用户组 Shell等 可以依靠资源内部实现末端的访问控制 资源主 从角色管理 通过规划资源上的角色 称为从角色 以及建立XX

14、XXX主角色与从角色的对应关系 来集中建立企业角色自然人帐号授权管理 向自然人帐号授权资源列表及主角色批量授权引擎 根据自然人帐号 资源列表 在各个资源上批量建立从帐号及所属组 并将从账号分配给主账号 授权与访问控制 访问控制网关 XXXXXPortal方式的集中接入和访问控制 集成SSLVPN方式的集中接入和访问控制 集成反向代理 AccessManager 方式的集中接入和访问控制 集成堡垒主机方式的集中接入和访问控制 集成Citrix NTA方式的集中接入和访问控制 授权与访问控制 AAA的访问控制 通过将支持Radius的资源的认证指向XXXXX内置的RadiusServer来保证资源

15、访问的授权 功能说明 生命周期管理 功能说明 帐号策略管理 XXXXX的帐号策略管理提供了丰富的自动化帐号管理功能 能够根据帐号类型和相应的管理策略满足用户多样的管理需求 这些管理需求包括 自动发现和自动监测 满足用户对各IT资源上的帐号监控需求 周期性的采集 同步和监测被管资源上的帐号 主从帐号一致性 满足用户对授权资源内的自然人帐号的统一与同步需求 保证在授权资源范围内对每个自然人帐号维持一套独有的 一致性的资源从帐号 此功能不同于角色管理模式 在角色管理模式下 多个自然人可能共享同一套资源从帐号 特殊帐号一致性推拉 满足用户对特定用户 特定资源范围内的应用系统帐号的快速推广需求 满足其他

16、IT管理系统对企业IT资源的自动化监管需求 例如 网管系统的自动巡检模块需要根据网管系统的值班帐号来采集主机 网络设备或系统等的配置 性能等状态数据 XXXXX的帐号策略管理模块能够为这部分特殊帐号提供值班期间的设备 系统以及网管系统自动巡检系统间的一致性临时帐号 保证安全有效的自动化访问 动态密码计划 满足对被管资源从帐号的安全保护需求 对资源从帐号进行周期性的高强度密码变更 维护账号的安全性 帐号处理策略 满足对各种帐号类型的处理需求 将帐号划分为交叉帐号 共享帐号 孤立帐号等 交叉帐号 交叉帐号是XXXXX管理但被其他系统内部使用的帐号 它的密码不能随意改变 因此这类帐号不能进入密码计划 共享账号 在AMS内部被授予多个用户使用的帐号 这个账号的删除不能随一个账号的删除而删除 孤立帐号 在AMS内部未被授权的用户 这类账号会一告警的方式被告知管理原 播测帐号 这类账号 系统会对其进行定期的播测 发现异常会告知管理员 功能说明 口令策略 实现集中的密码管理 并按照密码策略的要求 自动 集中 定期修改系统账号的口令 对口令强度和周期实行统一的管理 实现集中删除一个自然人的所有或者部分

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 中学教育 > 教学课件 > 初中课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号