《需要4A统一安全管理平台解决方案》由会员分享,可在线阅读,更多相关《需要4A统一安全管理平台解决方案(18页珍藏版)》请在金锄头文库上搜索。
1、4A统一安全管理平台解决方案4A包括统一用户账号(Account)管理、统一认证(Authentication) 管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。融合后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统内的操作行为。
2、现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求,及与国际业务接轨的需求。问题主要表现在以下几方面:1.大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加;2.一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;3.各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;4.个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;5.随着系统增多,用户经常需要在各系统间
3、切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的威胁;6.对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。综上,由于缺乏统一的4A管理平台,加重了系统管理人员工作负担,同时,因各业务系统安全策略不一致,实质上也大大降低了业务系统的安全系数。统一安全管理平台解决方案能够解决运营商当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。该解决方案由5个子系统组成:统一的4A管理平台、统一的认证授权子系统、统一的账号管理子系统、统一的日志审计子系统、网络行为审计子系统。统一4A
4、管理平台向其它四个子系统传递配置参数,包括认证参数、账号参数、审计策略参数等,而四个子系统则将自身的运行状态值传递给统一4A管理平台;统一4A管理平台上各参数的变更,以及各告警值通过syslog的方式传递给统一日志审计子系统;统一认证授权子系统对用户进行统一接入认证后,产生的认证记录通过syslog的方式发送给统一日志审计子系统;统一账号管理子系统对用户账号进行维护的操作通过syslog的方式发送给统一日志审计子系统;网络审计引擎部件将采集到的日志信息通过syslog方式发送给统一日志审计子系统。统一日志审计子系统功能:安全日志采集安全日志多维分析安全日志实时展现报表分析审计策略配置数据存储统
5、一认证授权子系统功能:统一身份认证集中账号口令管理统一认证和授权网络设备的身份认证及授权主机系统的身份认证及授权远程接入或VPN接入用户的认证及授权数据库管理的身份认证及授权基于Web的运营系统的身份认证及授权基于C/S结构的业务系统的身份认证统一账号管理子系统功能:单点登陆账号同步统一账号管理与统一认证授权协作网络行为审计子系统功能:FTP/TELNET审计XWINDOW审计常用数据库的操作审计(ORACLE审计、DB2审计、SQL SERVER审计、SYBASE审计)堡垒机跳转行为审计NETBIOS审计HTTP审计SMTP审计POP3审计非正常网络行为的审计各种协议的审计报表投资收益统一认
6、证、授权和审计,工作复杂度大幅度降低;统一监管,安全状况尽在掌握;避免多人共用相同账号,安全事故易于追踪;单点登录(SSO)免去用户在各系统间切换时,需要再次输入用户名和口令的繁琐;对各个系统进行统一的访问审计,利于综合分析,及时发现入侵行为;与萨班斯法案(SOX)内控需求一致。启明星辰4A管理产品在萨班斯(SOX)法案要求上市公司实现企业内控的国际形势下,启明星辰公司推出了针对国内电信运营商市场定制的4A解决方案,该方案结合了启明星辰天玥业务审计产品的优势,引入了SafeWord产品系列中的3A组件。4A包括统一用户账号(Account)管理、统一认证(Authentication) 管理、
7、统一授权(Authorization)管理和统一安全审计(Audit)四要素。融合后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求,及与国际业务接轨的需求。问题主要表现在以下几方
8、面:1. 大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加;2. 一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;3. 各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;4. 个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;5. 随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置
9、成相同的,造成对系统安全性的威胁;6. 对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。综上,由于缺乏统一的4A管理平台,加重了系统管理人员工作负担,同时,因各业务系统安全策略不一致,实质上也大大降低了业务系统的安全系数。用Tivoli软件构建企业4A安全管理平台业风险与信息安全一谈到信息安全,人们往往首先想到的是防火墙、入侵检测、漏洞扫描、数据加密等安全防御产品。这些产品主要从网络层次上防止潜在的安全威胁。然而随着各企业不断开展电子商务和将内部资源不同程度地向客户、合作伙伴及员工开放,对于企业至关重要的信息财产安全越发得到重视。尤其是在信息访问越发便捷的背景下,
10、这些资产也暴露在越来越多的威胁中,毫无疑问,信息保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业急待解决的安全问题。随着企业的不断发展,各种支撑系统和各系统用户数量不断增加,网络规模迅速扩大,原有的简单账号口令管理措施已日渐不能满足信息安全的要求,主要表现在以下方面: 系统多,且分别属于不同的部门和不同的业务系统。每套应用系统都有一套独立的认证、授权和审计系统,并且由相应的系统管理员负责维护和管理。出现同一台服务器或网络设备需要多人维护,或同一人需要维护多台服务器和网络设备情况,系统维护成本增加。 由于缺乏统一的身份管理平台,难以管理系统运维帐号,超级用户帐号共享的现象普遍存在。账号
11、的多人共用,不仅在发生安全事故,难于确定账号的实际使用者,在平时也难于对账号的扩散范围进行控制,容易造成安全漏洞。 每个系统分别管理所属的系统资源,为本系统的用户分配权限,缺乏集中统一的资源授权管理平台,无法严格按照最小权限原则分配权限,系统的安全性无法得到充分保证。 随着系统的增多,使用户经常需要在各个系统之间切换,每次从一个系统切换到另一支撑系统时,都需要输入用户名和口令进行登录。给用户的工作带来不便,影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的,危害到系统的安全性。 由于各系统独立运行、维护和管理,所以各系统的审计也是相互独立的,缺乏集中统一的系
12、统访问审计。无法对支撑系统进行综合分析,不能及时发现入侵行为。因此需要系统和安全管理人员可以对企业内部的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证支撑系统安全策略的实施。所以构建信息级的企业安全必须解决用户的账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(AudIT)方面的问题,即4A解决方案。4A主要回答了这样几个问题,即:谁能进来?他们能够做什么?是否能够为4A安全管理平台的价值账号管理即是将自然人与其拥有的所有系统账号关联,集中进行管理,包括按照密码策略自动更改密码,不同系统间的账号同步等。身份
13、认证用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说,身份认证是一个基本的安全考虑。授权是指对用户使用支撑系统资源的具体情况进行合理分配的技术,实现不同用户对系统不同部分资源的访问。审计是指收集、记录用户对支撑系统资源的使用情况,以便于统计用户对网络资源的访问情况,并且在出现安全事故时,可以追踪原因,追究相关人员的责任,以减少由于内部计算机用户滥用网络资源造成的安全危害。4A一起确保合法用户安全、方便使用特定资源。这样既有效地保障了合法用户的权益,又能有效地保障支撑系统安全可靠地运行。4A框架的作用主要体现在系统管理员方面、普通用户方面、系统安全性、系统管理费用等方面。
14、企业角度对于企业来说,由于企业内部账号、授权管理的混乱,造成私设账号、账号失效后未及时收回、某些账号的扩散范围难于控制,从而给企业造成的安全损失是很严重的。在4A框架下,账号、授权管理将纳入统一、可控的框架和过程,账号设置、分配均有详细记录,可以审计;账号撤消、更改后的同步工作(包括从集中账号管理系统向各主机、设备、系统下发账号,及集中账号管理系统从各主机、设备、系统收集账号)均由系统自动完成,避免手工同步;对账号的有效期可以用时间、地域等附加因素进行限制,防止滥用;在多人共用账号的情况下,审计也可以精确到实际使用账号的个人;针对高价值资产、高权限账号,通过灵活支持动态口令、PKI、生物认证等
15、强认证技术,提高信息资产的安全性,并实现不同权限等级账号的不同安全策略。这些措施无疑将给企业信息资产的安全防护提供强有力的手段,避免安全损失,同时通过保障企业内主机、设备、应用系统的顺畅运行,给企业增加效益。管理员角度采用4A框架,方便了系统中包括从系统用户聘用到辞职的整个生命周期的管理。如账号创建、授权、权限更改、个人信息更改、口令更改、账号删除等,均可在一个平台上进行管理,使用户与其账号的对应关系符合实际情况,保证用户拥有的权限是完成其工作所需的最小权限。通过4A框架,系统管理员可以方便高效地对支撑系统进行审计,及时发现未授权的信息资源访问,权限滥用,入侵企图等等。4A框架还为安全策略的强制统一执行提供技术保证,如监测用户口令的强度,口令更改周期等等。减少由于用户忘记密码产生的维护成本。这些都使管理员对信息资源管理的效率大大提高。普通用户角度通过4A框架,可以保证用户权限的分配符合安全策略要求,拥有完成任务所需要的最小权限。用户可以通过4A框架提供的自助管理接口,可以方便地更改自己的口令和个人基本信息,减轻了系统管理员的工作负担,也提高了用户的工作效
