CAAccessControl保護服務器解決方案

1、技術(shù)介紹：ca access control采用ca access control保護服務器資源目 錄執(zhí)行摘要第一章：挑戰(zhàn) 2高效管理當今復雜的數(shù)據(jù)中心監(jiān)管機構(gòu)不斷加強監(jiān)管力度您的服務器上有敏感數(shù)據(jù)。it復雜性非但沒有減少，反而不斷復雜第三章：優(yōu)勢 15保護用戶最重要服務器上的數(shù)據(jù)監(jiān)管和審計服務器訪問執(zhí)行基于服務器的合規(guī)和報告降低管理的成本和復雜程度第二章：機遇 4保護更廣泛企業(yè)范圍內(nèi)的服務器資源精細粒度的跨平臺訪問控制支持各種規(guī)模的企業(yè)跨平臺的服務器保護為合規(guī)進程提供協(xié)助企業(yè)級訪問控制管理先進的安全審計功能較大規(guī)模身份與訪問管理解決方案不可或缺的組成部分第四章：結(jié)論 16ca access

2、control為服務器資源提供強大保護，同時執(zhí)行安全合規(guī)管理2008 ca版權(quán)所有。保留所有權(quán)利。此處所有的商標、商品名稱、服務標記和徽標均屬其各自公司所有。此文檔僅供參考。根據(jù)相關法律的許可，ca按原樣提供本文檔，無任何形式的擔保，包括但不限于任何適銷性、適用于特殊目的或非侵權(quán)的暗示擔保。在任何情況下，ca對由于使用本文檔所造成的直接或間接的損失或破壞，包括但不限于利潤損失、業(yè)務中斷、信譽或數(shù)據(jù)的損失，均不承擔任何責任，即使ca已被明確告知該類損失的可能性。執(zhí)行摘要挑戰(zhàn) 保護用戶服務器上的敏感數(shù)據(jù)和應用正變得越來越艱巨，這是各行業(yè)共同需要應對的挑戰(zhàn)。數(shù)據(jù)的價值與日俱增、規(guī)章制度日趨嚴格而且需

3、要訪問重要服務器的人數(shù)也在不斷增多，這些都使保護敏感信息和知識產(chǎn)權(quán)的工作倍受壓力。這就迫使用戶要加倍努力才能高效地管理大型復雜的多元化環(huán)境中的安全策略。同時，用戶的it部門必須始終保持對業(yè)務要求的高度響應性，才能隨時根據(jù)需求在保持安全性和實施責任制的前提下，應對意外情況的發(fā)生。用戶可能需要依靠其操作系統(tǒng)自帶的安全功能，但這種方案會給職能劃分、可管理性以及審計帶來安全隱患。機遇用戶需要在更廣泛的企業(yè)范圍內(nèi)借助集中化的獨立安全系統(tǒng)來保護服務器資源，從而可通過向獲得授權(quán)的管理員分配必要權(quán)限來以靈活、可問責的方式限制超級用戶。ca access control以系統(tǒng)級運行，能夠確保跨windows、u

4、nix、linux以及虛擬環(huán)境等各種系統(tǒng)高效如一地執(zhí)行任務。通過采用先進的策略管理功能將服務器安全策略分配給終端設備，用戶可以支持大型全球性企業(yè)的部署。此外，為了符合全球范圍內(nèi)的監(jiān)管標準，用戶還可安全地支持每項策略更改的審計和執(zhí)行行動。優(yōu)勢 ca access control使用戶能夠創(chuàng)建、部署并管理精細粒度的復雜訪問控制策略，以確保僅獲得授權(quán)的用戶才能訪問企業(yè)最敏感的數(shù)據(jù)和應用。借助多平臺支持以及與ca identity and access management產(chǎn)品系列其余部分相集成，ca access control能夠： 跨眾多平臺始終如一地規(guī)范和審計對用戶重要服務器的訪問 通過創(chuàng)建和

5、報告服務器訪問策略來執(zhí)行內(nèi)部符合監(jiān)管標準的合規(guī)要求 集中管理用戶分布于全局范圍內(nèi)的各分支機構(gòu)的系統(tǒng)安全性，從而降低管理成本第一章：挑戰(zhàn)服務器：當今數(shù)據(jù)中心復雜性的來源多年以來，it以其優(yōu)異的表現(xiàn)贏得了極富競爭力的優(yōu)勢，不僅顯著加速了新產(chǎn)品的上市進程，而且還大幅簡化了內(nèi)部操作。廣泛部署的服務器資源可自動運行關鍵性的內(nèi)部協(xié)作業(yè)務進程，這給現(xiàn)有的數(shù)據(jù)中心基礎架構(gòu)帶來了壓力。隨著新的訪問與可擴展性需求層出不窮，以及諸如虛擬化技術(shù)等可顯著提升效率的令人振奮的新技術(shù)的推出，數(shù)據(jù)中心仍將一如既往成為人們關注的領域。不過，跨大型環(huán)境對安全策略進行管理仍然是一個嚴峻的挑戰(zhàn)，在快速響應能力對業(yè)務需求至關重要的情況

6、下尤其如此，這包括能夠靈活高效地處理局部意外情況。當今的數(shù)據(jù)中心不僅要求對不斷擴展的服務器資源提供更為廣泛的直觀視圖，同時還要確保更改的責性，并保護駐留在其上的敏感數(shù)據(jù)。不能對服務器資源進行有效管理可能直接導致發(fā)生嚴重的數(shù)據(jù)丟失。it專業(yè)人員最重要的工作之一就是維護數(shù)據(jù)的完整性。完全采用可提高新數(shù)據(jù)中心可擴展性與靈活性的技術(shù)，而罔顧與這些新技術(shù)相關聯(lián)的安全性和數(shù)據(jù)保護要求，是極其錯誤的做法。監(jiān)管機構(gòu)不斷加強監(jiān)管力度根據(jù)隱私權(quán)信息交流中心（privacy rights clearinghouse）提供的數(shù)據(jù)，自2005年以來，有超過2.26億樁不同身份的盜用行為發(fā)生，從而導致高昂的違規(guī)罰款，用以

7、監(jiān)控受害者的信用、重發(fā)信用卡和銀行卡，并修復受損品牌。不斷發(fā)生的侵權(quán)行為導致世界各地的政府機構(gòu)強制要求在數(shù)據(jù)保護和信息安全方面采用更嚴密的做法。諸如健康保險流通與責任法案（hipaa）、金融服務現(xiàn)代化法（glba）、薩班法（sarbanes-oxley）、歐盟數(shù)據(jù)隱私法令（eu data privacy directive）、個人信息保護和電子文檔法（pipeda）、新巴塞爾資本協(xié)定（basel ii）等在內(nèi)的法規(guī)都側(cè)重于這些問題的解決。支付卡行業(yè)數(shù)據(jù)安全標準（pci dss）將許多這類管理體系提升到了前所未有的高度。出于保護持卡人數(shù)據(jù)的目的，pci制定了成系列的12條規(guī)定，強制要求it部門將

8、責任制提升到一個新的水平。為遵從這些法規(guī)，用戶必須能夠證明對服務器的訪問是受控的、可跟蹤以及有記錄可查的。此外，薩班法對職責的劃分也有嚴格的要求，要求確保復雜業(yè)務流程的責任分布在多個資源上，以便對這些職能進行檢查和平衡。因此，為了滿足這些要求，必須實施先進的服務器資源保護。此外，還要求用戶提供精細粒度的審計記錄和報告將每起審計的控制、策略狀態(tài)以及服務器訪問日志落到實處。這些法規(guī)要求精細粒度的控制和跨平臺的一致性，才能確保職責的劃分，在混合操作系統(tǒng)環(huán)境中尤其如此。此外，在出現(xiàn)安全問題情況下，還需要擁有能夠準確調(diào)查該事件的能力。根據(jù)計算機安全協(xié)會(computer security institu

9、te)提供的信息，自2007年以來，內(nèi)部攻擊首次成為安全事故最常見的原因，60的受訪者報告的事件1與內(nèi)部攻擊有關。您的服務器上有敏感數(shù)據(jù)。我們所面臨的這類對手處在不斷發(fā)展變化的過程中，因而我們將攻擊者假定為“夢幻般”不明身份、容貌不清的黑客不再有效。如今，攻擊者既可能是心懷叵測的員工、蓄意怠工的破壞人員，也可能是品行低下、缺乏誠信的業(yè)務合作伙伴?？傊?，用戶需要同時防范來自外部（依然存在）和內(nèi)部的攻擊，特別是超級用戶的攻擊，因為他們可以訪問他們所能接入的每臺服務器上的所有敏感信息。保護服務器并確保在這些超級用戶當中實行責任制具有相當?shù)膹碗s性。服務器管理員慣常使用的技術(shù)之一是共享超級用戶賬戶并使用

10、諸如“administrator”或者“root”等一般性用戶名登錄。由于許多原因，這會引起如下問題：審計問題：共享用戶賬戶會讓審計日志無法真正地識別出在服務器上進行更改的管理員，從而會危及到對滿足合規(guī)性要求具有重要意義的責任制。數(shù)據(jù)訪問：這類共享的用戶賬戶往往會給越權(quán)（over-privileged）用戶提供訪問關鍵系統(tǒng)和數(shù)據(jù)的權(quán)限，主要原因是如果采用粒度化的訪問規(guī)則來管理成千上萬臺服務器上的策略幾乎是不可能實現(xiàn)的。越權(quán)訪問的存在，加上管理人員的疏忽大意，往往會影響業(yè)務的持續(xù)性。同時，責任制的缺失也會使追蹤犯錯的特定管理人員成為不可能完成的任務，從而同時導致安全性與責任承擔兩方面的問題。it

11、復雜性非但沒有減少，反而不斷復雜創(chuàng)新性的業(yè)務進程顯著增加了數(shù)據(jù)中心環(huán)境的復雜程度。用戶很可能擁有各種類型的服務器，運行著各種各樣的操作系統(tǒng)、應用協(xié)議和諸如此類的東西，從而使管理異構(gòu)系統(tǒng)成為首要具備的能力。在這種多元化的環(huán)境中，跨眾多服務器強制執(zhí)行一致性的策略并實現(xiàn)日志的集中登記，具有非常重要的意義。審計人員對于服務器自帶的操作系統(tǒng)太復雜或者有諸多限制條件等問題并不關心，他們只想知道用戶的專有信息和知識產(chǎn)權(quán)是否獲得妥善保護，無論是應用、服務平臺還是可訪問數(shù)據(jù)的用戶社區(qū)均如此。托管服務器數(shù)量的大量激增進一步使這些問題錯綜復雜。虛擬化確實顯著提高了我們物理資產(chǎn)的的利用率，但同時也大幅度增加了需要托管

12、的新虛擬機的數(shù)量。虛擬機數(shù)量的激增意味著需要進行管理的服務器顯著增多，而且由于系統(tǒng)管理程序并不關心哪種操作系統(tǒng)是來賓 (guest) ，因而使異構(gòu)化問題更為嚴重。由此，這種更龐大虛擬化數(shù)據(jù)中心的安全維護工作在很大程度上被低估了。此外，虛擬化還創(chuàng)造出了一批全新的“系統(tǒng)管理程序超級用戶”，能夠創(chuàng)建、拷貝、移動或是管理這些來賓操作系統(tǒng)，這就更加需要能夠高效地對職責進行劃分，以確保運行于這些客戶端上的數(shù)據(jù)和應用可得到審計和保護，避免安全問題的發(fā)生。第二章：機遇顯而易見，有充分的理由說明，確保這類日趨復雜的數(shù)據(jù)中心環(huán)境的有效配置和安全管理，已成為各大it企業(yè)的當務之急。保護更廣泛企業(yè)范圍內(nèi)的服務器資源當

13、今的數(shù)據(jù)中心環(huán)境需要提供前所未有的可擴展性、靈活性和性能，才能全面滿足員工、業(yè)務合作伙伴以及客戶所采用新、舊應用的需求。從管理的角度來說，由系統(tǒng)管理員負責一定數(shù)量運行著特定應用的服務器的模式已經(jīng)不敷使用。在應對分布更廣、更先進應用的內(nèi)在復雜性方面，管理人員將擁有更高的專業(yè)化程度。但無論他們的側(cè)重點是數(shù)據(jù)庫、電子郵件、數(shù)據(jù)備份還是任何其他領域，他們的技能都無法做到隨時隨地游刃有余地嚴密管理。采用虛擬化技術(shù)將服務器硬件、操作系統(tǒng)和應用去耦合可進一步深化專業(yè)分工?，F(xiàn)在，電子郵件服務器和數(shù)據(jù)庫能夠運行在同一物理服務器上，從而顯著增加了環(huán)境的復雜性。因此，這些管理員需要在不同層級上訪問其應用、操作系統(tǒng)以

14、及系統(tǒng)管理程序。沿用上面的例子，您可能希望讓電子郵件管理員僅負責管理電子郵件系統(tǒng)，對數(shù)據(jù)庫等其他系統(tǒng)資源沒有訪問權(quán)。向所有此類管理員提供超級用戶權(quán)限會帶來嚴重的安全風險。特權(quán)賬戶（windows中的administrator，unix中的root）能夠運行任何程序，修改任何文件，和/或停止任何進程。如果既不能將這些超級用戶的權(quán)限限制為，僅能在工作職責范圍內(nèi)執(zhí)行任務，又不能讓特定的人僅執(zhí)行特定的管理活動，那么就會明顯地造成安全性與責任脫節(jié)的問題，進而違背當今安全規(guī)范的重要規(guī)定。高效率的主機訪問控制管理能夠?qū)崿F(xiàn)將必要的權(quán)限僅在需要的時候分配給相應的人，從而能夠?qū)@類權(quán)限的用戶進行約束。管理員能夠在

15、不泄漏敏感數(shù)據(jù)或者關鍵業(yè)務資源的情況下進行他們的工作。此外，這種方案還能夠確保留存審計追蹤記錄，并對管理員及其行為執(zhí)行責任制。精細粒度的跨平臺訪問控制ca access control能夠?qū)Ω鞣N服務器資源的訪問進行監(jiān)控，從而充分滿足內(nèi)部策略與外部的合規(guī)管理。通過能夠?qū)碗s的精細粒度訪問控制策略實現(xiàn)跨平臺創(chuàng)建、部署和管理，ca access control顯著優(yōu)于操作系統(tǒng)自帶的基本控制功能，能夠滿足最嚴苛的公司策略及監(jiān)管規(guī)定。端點ca access control的核心元素是可與操作系統(tǒng)進行本機集成的安全固化代理，可對達到合規(guī)要求所需的粒度化策略進行強制實施和審計。端點代理可用于所有主要的操作系

16、統(tǒng)，如業(yè)界領先的linux、unix和windows版本等。如欲了解所支持系統(tǒng)的最新列表，敬請訪問： etrustac-matrix.asp。 ca access control為在所支持的操作系統(tǒng)上進行本機安裝和管理ca access control提供了本機包格式。本機包使用戶可使用本機包管理工具管理自己的ca access control安裝和ca軟件交付選項（sdo），能夠充分滿足企業(yè)軟件交付的需求，這有助于快速部署具備眾多托管服務器的全球企業(yè)環(huán)境。此外，ca access control還可提供用戶界面友好且基于web的統(tǒng)一界面，可高效管理端點策略和設備。ca access cont

17、rol可本地支持業(yè)界領先的虛擬化平臺，其中包括vmware esx、solaris 10 zones/ldom和xenserver，從而確保運行于其上的系統(tǒng)管理程序?qū)雍蛠碣e操作系統(tǒng)得到保護。在企業(yè)環(huán)境中，使用目錄進行用戶管理并部署支持目錄功能的應用已成為普遍的做法。ca access contro可支持企業(yè)用戶存儲，即存儲操作系統(tǒng)的本機用戶和組。這種本機集成使用戶能夠根據(jù)客戶的企業(yè)用戶和組來定義訪問規(guī)則，而不必使用戶和組與ca access control數(shù)據(jù)庫進行同步或者將其導入ca access control數(shù)據(jù)庫。高級策略架構(gòu)* ca access control采用將策略發(fā)布給所有托

18、管服務器的分布式層級化模型來實現(xiàn)企業(yè)級可擴展性。這種高級策略分布架構(gòu)（advanced policy distribution architecture）使用中央部署映射服務器（deployment map server，dms）和分布式主機（dh）將策略部署發(fā)布給端點，交將部署信息從端點發(fā)回給dms。該基礎架構(gòu)與策略的邏輯分配可去耦合，非常易于設置、擴展和配置，可實現(xiàn)非常高的可用性，便于故障轉(zhuǎn)移和災害恢復。該策略架構(gòu)需要下列服務器組件：部署映射服務器（dms）位于高級策略管理的核心。dms的目的是存儲策略管理數(shù)據(jù)。用戶可管理統(tǒng)一的dms數(shù)據(jù)庫，然后將事件發(fā)送至分布式主機。策略管理和策略報告可

19、根據(jù)dms集中完成。分配主機負責將dms上生成的策略部署分布給端點，以及將從端點上收到的部署狀態(tài)發(fā)送給dms。在端點側(cè)，ca access control端點代理能夠定期檢查dh上的最新部署，并根據(jù)需要下載和應用這些部署。隨后可將執(zhí)行結(jié)果發(fā)還給dh，再由dh將其發(fā)送給dms進行集中審計。另外，dms（通過dh）還會通過每個端點代理持續(xù)進行檢查，以確保保護全面到位，主機運行正常。圖a 端點可訂閱它們特定的主機組策略，并將策略從分配主機上“調(diào)出”，從而通過簡單的設置即可實現(xiàn)極高的可用性和可擴展性。ca access control策略管理架構(gòu)* 支持各種規(guī)模的企業(yè)跨平臺的服務器保護許多企業(yè)都部署了

20、如windows、linux以及unix系統(tǒng)等多元化的服務器基礎架構(gòu)。ca access control能夠跨所有這些環(huán)境對訪問安全性策略進行一致的一體化管理與執(zhí)行。advanced policy architecture能夠提供統(tǒng)一的界面，通過該界面可對策略進行管理，同時將其發(fā)布給windows與unix用戶。對linux、unix以及windows服務器進行整合化管理不僅可減少所需的管理工作量、提高系統(tǒng)管理員的工作效率，而且還能夠顯著節(jié)約管理成本。精細粒度的訪問控制ca access control是一款獨立的高安全性執(zhí)行解決方案，這意味著其無需依賴底層操作系統(tǒng)即能執(zhí)行服務器訪問控制策略。

21、ca access control以系統(tǒng)級運行，能夠監(jiān)控并調(diào)整系統(tǒng)資源的所有訪問，其中包括源自域或本地系統(tǒng)管理員的訪問等。這些精細粒度的訪問執(zhí)行功能可對it環(huán)境中的域管理員或任何其它賬戶進行監(jiān)管、委托以及限制，并能提供：人性化控制功能：ca access control能夠控制代理用戶委托功能，以降低未經(jīng)授權(quán)的用戶通過增強權(quán)限運行應用的風險，并能夠?qū)蚕硇偷馁~戶活動實行責任制。例如，管理員能夠借其他人的身份更改文件的訪問控制列表（acl）屬性，而不對其行為承擔任何責任。ca access control可首先對使用run-as與unix “su”命令的用戶進行限制，并在即使代理行為已經(jīng)完成的情

22、況下也可以保留原始的用戶id，從而在多個層面上提供保護，進而確保審計日志中的用戶訪問記錄能夠顯示原始賬戶。這樣用戶就可以使用自己的id進行登錄，并將其安全地代理給擁有權(quán)限的賬戶，而且不會造成問責的缺失。超級用戶（administrator/root）限制功能：“root”賬戶是引發(fā)問題的重要原因，因為其允許應用或用戶獲取比所需權(quán)限級別更高的權(quán)限。ca access control可在系統(tǒng)級檢查所有相關的進入請求，并根據(jù)定義的規(guī)則與策略執(zhí)行授權(quán)。即使是特別授權(quán)的root賬戶也無法繞過這種級別的控制。因此，所有獲得權(quán)限的用戶都會成為托管用戶，并需要對他們在系統(tǒng)中的行為負責；基于角色的訪問控制功能：

23、最佳實踐證明，每位管理員都應擁有足夠的權(quán)限，但這些權(quán)限決不能超過其工作所需的范圍。ca accesss control通過提供先進的基于角色的訪問控制環(huán)境使管理員不能共享超級用戶密碼，也無法充分利用與之相關的權(quán)限。在默認條件下，ca accesss control能夠提供可進行定制和擴展的常用管理與審計角色，從而滿足用戶it部門的需求。這些角色包括： 審計員：能夠分配審計屬性，并顯示用戶與用戶組特性的用戶； 操作員：能夠顯示用戶與用戶組特性的用戶； 密碼管理員：能夠改變其他用戶密碼的用戶。這使ca access control能夠根據(jù)管理員的具體類別來定義管理權(quán)限，例如，能夠定義file訪問或

24、process控制，并對這些資源進行管理；精細粒度的強制實施：本機操作系統(tǒng)（linux、unix以及windows）在高效且粒度化地將特定系統(tǒng)管理權(quán)限授權(quán)給權(quán)限較低的用戶賬戶方面所具備的功能非常有限。ca access control可實現(xiàn)精細粒度的強制實施，并根據(jù)如網(wǎng)絡屬性、當日時間、日歷或訪問程序等眾多標準對訪問進行監(jiān)管。這些特性包括： 額外的粒度控制：能夠為文件、服務以及其它操作系統(tǒng)級別（重命名、拷貝、停止、開始）功能提供特定的權(quán)限，并分配給特定的管理員或管理員組； 多種不同的執(zhí)行力度：企業(yè)在確定所提議安全策略的寬松程度時通常會使用ca access control warning mo

25、de，以便進行相應的修改。此外，ca access control還可通過validation mode設置在不執(zhí)行限制功能的情況下即時驗證安全性策略的效果。在選定用戶與資源后，驗證檢驗命令就能夠確定用戶是否有權(quán)在既定的安全性策略下訪問該資源； 增強型acl：ca access control可提供眾多增強型acl功能以加強安全管理員將訪問權(quán)限正確分配給授權(quán)用戶的能力。這些額外的設置包括：條件訪問控制列表（cacl）能夠根據(jù)如默認訪問模式或時間與日期等各種標準強制執(zhí)行用戶訪問；程序訪問控制列表（pacl）能夠移除如配置文件或密碼文件等特定數(shù)據(jù)文件的訪問權(quán)限，但采用已批準程序的情況除外；否定訪問

26、控制列表（negative access control list，nacl）能指定應拒絕哪些訪問權(quán)限對系統(tǒng)資源進行訪問。另外，一般性資源定義功能允許用戶根據(jù)文件名、主機名、注冊表路徑模式等定義對資源的訪問； 基于網(wǎng)絡的訪問控制：當今的開放式環(huán)境要求對用戶訪問與流經(jīng)網(wǎng)絡的信息進行強有力的控制?；诰W(wǎng)絡的訪問控制可為監(jiān)管網(wǎng)絡訪問添加一層額外的保護。ca access control能夠管理對網(wǎng)絡端口的訪問或網(wǎng)絡訪問程序，而網(wǎng)絡安全性策略則能夠通過終端id、主機名、網(wǎng)絡地址、段或其它屬性對雙向訪問進行管理。登錄控制功能：ca access control通過原始的ip地址、終端id、登錄程序類型或

27、當日時間限制用戶登錄，從而增強登錄安全性。同時，ca access control還能限制用戶同時發(fā)起的登錄會話，以對服務器執(zhí)行嚴格的用戶訪問。在多次登錄嘗試失敗后，會自動中止用戶行為，以保護系統(tǒng)免遭暴力攻擊。此外，ca access control還可提供分布式環(huán)境中用戶賬戶的安全掛起與注銷功能。管理對虛擬環(huán)境的訪問虛擬化可在單個物理機上整合多個服務器實例，從而不僅可降低總體擁有成本，而且還能提高機器利用率。遺憾的是，虛擬化會創(chuàng)造出一批新的“管理程序超級用戶”，其能夠創(chuàng)建、拷貝、移動或以其他方式管理這些來賓操作系統(tǒng)。這就更加需要對職責進行詳細的劃分，并集中保護服務器資源，才能確保對所有數(shù)據(jù)和

28、運行在這些來賓操作系統(tǒng)上的所有應用進行審計與保護，使其免遭破壞。使用ca access control不但可以對這些hypervisor administrator進行有效控制，而且還可以實施適當?shù)穆氊焺澐?。該功能還可為降低虛擬化風險提供重要的保護層。端點工具代理可支持眾多作為來賓運行的操作系統(tǒng)版本以及各種操作系統(tǒng)虛擬化主機，如vmware esx server、solaris 10 zone、linux xen以及windows virtual server等。操作系統(tǒng)強化深度防御戰(zhàn)略最關鍵的一層是為操作系統(tǒng)免遭未授權(quán)外來訪問或侵入的干擾提供強大的保護功能。ca access control

29、可提供多種外部安全性措施，為用戶的服務器增添額外的安全層?？尚诺某绦驁?zhí)行：為避免操作環(huán)境遭到惡意軟件，特別是木馬的入侵，ca access control可提供業(yè)界一流的可信程序保護功能。該功能可將敏感資源標記為可信，然后對這些文件與程序進行監(jiān)控。如果程序被惡意軟件修改，ca access control將阻止該程序的執(zhí)行。對可信資源的更改僅限于特定的用戶或用戶組，才能進一步降低未授權(quán)更改的可能性； 協(xié)議棧溢出保護：危及關鍵業(yè)務或者破壞可執(zhí)行項完整性的外部威脅會給生產(chǎn)服務器的保護工作造成很高風險。ca access control通過保護存儲器空間和程序跟蹤信息能夠嚴密地監(jiān)控并保護郵件服務器等

30、應用，從而即便出現(xiàn)存儲器溢出或是木馬攻擊，系統(tǒng)也不會激活惡意代碼。 注冊表保護：windows注冊表是黑客和惡意用戶的明確目標，因為集中化的數(shù)據(jù)庫內(nèi)含操作系統(tǒng)參數(shù)，如控制設備驅(qū)動程序、配置詳情與硬件、環(huán)境以及安全性設置參數(shù)等。ca access control通過支持能阻止管理員更改或篡改注冊表設置的規(guī)則來提供注冊表。 應用監(jiān)所：ca access control可針對高風險應用定義接受的行動。任何超越這一界限的行動都將被應用監(jiān)所功能所限制。舉例來說，可以根據(jù)一個擁有oracle進程和服務的邏輯id來創(chuàng)建acl，這樣其監(jiān)所行為就可以阻止除啟動oracle dbms業(yè)務之外的任何行動。協(xié)助合規(guī)性

31、流程合規(guī)性是指用戶擁有正確且已獲得部署的策略，但更為重要的是，用戶能夠提供遵從公司政策和監(jiān)管標準的證據(jù)，同時還可對所有違反策略的情況實行責任制。為證明合規(guī)性，服務器資源保護解決方案必須生成報告，才能將口令策略、授權(quán)層級以及職責劃分落到實處。ca access control的報告服務功能能夠在整個企業(yè)范圍從每個端點采集數(shù)據(jù)，將其匯聚到中央位置，然后再根據(jù)公司策略進行分析，得出結(jié)果，最終生成報告，從而讓客戶能夠查看其用戶、組以及資源的安全狀態(tài)。該報告功能能夠按照事先設定的日程，獨立地對每一個端點采集處于生效狀態(tài)的策略。由于生成端點狀態(tài)的報告無需手工干預，也不用管采集服務器開啟與否，因而系統(tǒng)具有高

32、度的靈活性。此外，報告服務功能組件位于ca access control執(zhí)行系統(tǒng)之外，而且在重新配置或定制任何報告時都不必調(diào)用端點執(zhí)行功能。報告服務功能所采用的結(jié)構(gòu)能夠?qū)γ恳粋€端點執(zhí)行的策略的狀態(tài)進行報告。用戶可根據(jù)各種用途定制報告，或者使用ca access control提供的現(xiàn)有“開箱即用”報告。此外，報告服務功能還有助于集中化存儲和管理報告，并通過ssl對這些報告進行高安全性訪問。該服務功能采用適用于大型環(huán)境的架構(gòu)，由報告代理（能生成策略數(shù)據(jù)庫的快照）、報告服務器（收集端點報告）和中央數(shù)據(jù)庫（匯聚來自更廣企業(yè)范圍的策略數(shù)據(jù)）組成。一旦中央數(shù)據(jù)庫有數(shù)據(jù)可用，用戶即可使用report po

33、rtalbusinessobjects infoview門戶的ca版本，并將其與現(xiàn)成的ca access control報告進行捆綁，以生成報告，并對已存儲的數(shù)據(jù)進行分析。策略合規(guī)性與授權(quán)報告* 針對既往行為生成基于事件的報告已不再能滿足當前合規(guī)報告的要求了。要滿足當今合規(guī)性要求，還需要能夠及時突出地反映出任意點上策略狀態(tài)的主動報告。為此，ca access control提供了能主動報告用戶訪問權(quán)限和現(xiàn)有訪問控制證明的報告功能。圖b 顯示符合特定策略的主機時點快照的樣本報告。ca access control報告服務功能可在默認的產(chǎn)品安裝情況下提供“現(xiàn)成”的標準報告，內(nèi)含授權(quán)和所部署策略當前

34、狀態(tài)（及偏差情況）的詳細信息。它們不僅能夠?qū)ΜF(xiàn)有基于事件的審計形成有益補充以監(jiān)控合規(guī)性要求，而且還能重點提示已出現(xiàn)的偏差，從而產(chǎn)生立竿見影的價值。標準報告包括：策略管理報告：允許用戶查看策略部署的狀態(tài)和與標準策略之間的偏差。授權(quán)報告：允許用戶通過系統(tǒng)資源或以其他方式查看對用戶和用戶組的授權(quán)情況，即顯示誰能訪問特定的資源。通用方法是查看誰對系統(tǒng)具有根（root）訪問權(quán)限。用戶管理報告：使用戶能夠查看處于非工作狀態(tài)的賬戶、用戶和用戶群組成員資格、管理員賬戶和管理職責劃分等。密碼管理報告：提供與密碼時限、密碼策略合規(guī)等有關的信息。ca access control的開放式策略報告功能依賴于標準的rd

35、bms。其所具備的與外部系統(tǒng)的卓越互操作性使管理員能夠采用自己選擇的報告工具來運行策略報告，并對報告格式布局進行定制，滿足內(nèi)部標準或者審計員的要求。策略部署積分卡圖c安全性管理員能夠定義邏輯主機組，向它們分配策略并能對這些主機所具備策略的合規(guī)情況提供全面的直觀視圖。企業(yè)級訪問控制管理鑒于當今服務器資源所要求的高度復雜性與可擴展性，既能在全球更廣泛的企業(yè)范圍內(nèi)針對訪問控制實施和執(zhí)行集中化策略，同時又能根據(jù)局部意外情況和業(yè)務需求進行相應調(diào)整至關重要。ca access control具備眾多先進的特性，不僅能夠促進和簡化對訪問的管理，而且還能以問責和可控的方式容許例外情況。邏輯主機分組* 無論用戶

36、的端點是否以物理的形態(tài)組成，用戶都能將用戶的端點以分組的方式分到邏輯主機組中，然后再根據(jù)該主機組的成員資格分配策略。根據(jù)它們的屬性和策略要求，主機可以是眾多邏輯主機組的成員，例如，如果用戶的主機運行red hat操作系統(tǒng)和oracle軟件，就可以將其歸入red hat邏輯主機組成員，以獲得基本的red hat訪問控制策略，同時還可歸入oracle邏輯主機組獲得oracle訪問控制策略。邏輯主機組可讓策略分配與策略發(fā)布解耦合，由于這樣無需更改用戶的層級就能適應策略分配要求，因而能夠顯著簡化策略管理，使用戶既能管理規(guī)模較小且針對性更強的策略，同時又能更加專注于主機組的管理。其結(jié)果，就是將安全提供新

37、服務器資源的時間和成本降低雙雙80%。邏輯主機組策略版本控制*ca access control通過將每個策略表現(xiàn)為具有多個版本的單個實體實現(xiàn)用戶對策略更改情況的跟蹤。在用戶創(chuàng)建新版本的策略時，上一個版本仍被保存，并包含策略版本部署規(guī)則和部署解除規(guī)則信息、版本創(chuàng)建人信息（出于審計和問責目的）以及版本創(chuàng)建時間信息等。此外，通過升級進程，用戶可在所有分配的主機上將策略部署升級到最新的策略版本。 圖d“enterprise management world”視圖可從端點、主機組或者策略組的層面提供視圖，用戶在需要的情況下可向下瀏覽到端點管理的層面。企業(yè)管理web用戶界面* 企業(yè)管理web界面簡單而直

38、觀，允許用戶在執(zhí)行高級策略管理的同時提供其整個ca access control服務器環(huán)境的綜合視圖。此外，基于web的界面還能幫助用戶管理各個端點或者策略模型，使他們能夠： 創(chuàng)建主機 將主機分配給主機組 創(chuàng)建并更新策略 為主機或主機組分配策略或移除策略 直接從主機或者主機組部署或移除策略 將分配的策略升級到最新版本 在企業(yè)中審計策略部署 按主機、主機組或策略瀏覽企業(yè) 通過end point management管理分立的端點所有ca identity & access management解決方案的用戶界面都保持一致，使用通用的ca框架，并在感觀、管理范圍界定與任務委托方面也具有一致性。ca

39、 access control r12企業(yè)管理控制面板（enterprise management console）先進且安全的審計功能雖然對于確保主機系統(tǒng)安全來說，主動的訪問控制是必要的措施，但具備在訪問事件發(fā)生后進行解決的能力同樣重要。合規(guī)性通常要求系統(tǒng)內(nèi)的關鍵用戶任務具有可控性，并能夠通過審計記錄進行證明。為了有效地應對定期合規(guī)審計，還應能夠集中收集，安全管理該數(shù)據(jù)。ca access control可提供獨立的、非授權(quán)用戶（其中包括域管理員或系統(tǒng)管理員）無權(quán)更改的審計日志。本機操作系統(tǒng)不能按照大多數(shù)監(jiān)管標準要求的粒度級別對用戶的行動進行持續(xù)跟蹤，也不能跟蹤共享賬戶的使用情況。對于大多數(shù)

40、監(jiān)管條例而言，一項重要的要求就是能始終如一地使超級用戶對在系統(tǒng)中所做的更改負責。如果不能對服務器資源進行持續(xù)的跨平臺監(jiān)控，就無法檢測系統(tǒng)受到的損壞，也不能追溯到實際的用戶。ca access control能夠生成安全可靠的審計日志，將真正的用戶id與所有受保護資源的行動關聯(lián)起來（即便是在代理操作之后）。任何由用戶發(fā)起的與訪問策略有關的行動都能夠得到如實記錄，如用戶是否被允許成功完成該請求等。如果需要進行調(diào)查，該項完整、詳盡且準確的審計數(shù)據(jù)可以大幅加速攻擊來源和攻擊活動的識別進程。綜合審計模式ca access control可提供下列三種審計設置： 成功（success），可在審計資源被成功

41、訪問的任何時間生成一個事件； 故障（failure），跟蹤并記錄任一或所有被拒絕的訪問； 告警（warning），在ca access control雖未拒絕訪問，但可在訪問策略被違背的任何時間生成審計記錄。用戶可針對每個用戶、用戶組或者資源定義應強制執(zhí)行的審計模式或者組合審計模式。例如，可將安全管理員組的審計和文件的一般審計級別設置為“failure”，但對于系統(tǒng)配置文件，可將審計事件同時設置為“success”和“failure”。日志路由* 將所有相關訪問事件路由至單個安全位置，是有效進行合規(guī)管理的關鍵要求。ca access control具備對所有訪問控制日志進行路由和集中化的能力，

42、這不僅能實現(xiàn)日志整合的優(yōu)勢，而且還能在網(wǎng)絡遭到攻擊或者系統(tǒng)受損時確保這些日志的可用性和完整性。實時通知ca access control可支持對安全事件的即時通知功能，其能夠?qū)踩录酚傻綄ず魴C或者外部控制臺以迅速解決問題，也可路由到其他的安全信息管理系統(tǒng)。在將ca access control安全事件交付給ca audit或者ca security command center之后，即可對其進行收集、過濾和整合，以供報告和分析之用。自保護 審計監(jiān)控程序和日志自身也需要防范潛在的外來攻擊、關閉或者篡改。ca access control的審計業(yè)務和日志具備自我保護功能，不能被關閉或者修改，從

43、而可確保日志的完整性，并讓任何未來調(diào)查有完整的信息可用。ca審計集成ca access control與ca audit和ca access control premium edition實現(xiàn)了完美集成，其中包含用于采集訪問控制事件的ca audit許可證。因此，ca access control中的事件可被發(fā)送至ca audit進行進一步處理，以完成日志文件的匯聚，與企業(yè)it環(huán)境中其他事件的關聯(lián)，以及特定策略報告的創(chuàng)建。這不僅可加速審計進程，同時還能支持依照重要的合規(guī)審計指標和監(jiān)控指標進行詳細的調(diào)查和審核。此外，ca audit的特性還包括：跨平臺數(shù)據(jù)采集：從各種源頭匯聚事件數(shù)據(jù)，其中包括：

44、操作系統(tǒng)、業(yè)務應用、網(wǎng)絡設備、安全設備、大型機、訪問控制系統(tǒng)以及web服務等。用于采集、查看和報告的實時工具：提供與特定用戶角色相關的定制視圖和報告。告警管理：過濾和監(jiān)控重要事件，并根據(jù)既定的策略執(zhí)行告警和其他任務。中央安全數(shù)據(jù)庫：將審計數(shù)據(jù)存儲在圍繞可擴展關系數(shù)據(jù)庫構(gòu)建的中央庫內(nèi)以便訪問，并提供可供歷史分析的報告。較大規(guī)模身份與訪問管理解決方案不可或缺的組成部分 ca access control可進行獨立安裝，并能在不依靠其他ca產(chǎn)品或第三方產(chǎn)品的情況下提供全面的服務器訪問保護。此外，ca identity & access management 解決方案中的所有產(chǎn)品在web用戶界面、管理

45、思路、責任委托以及報告方面可共享通用的方案和組件，以確保始終如一的管理體驗。鑒于操作系統(tǒng)的訪問保護可在深度防御戰(zhàn)略中獨立存在，因而ca access control還可提供與下列ca安全產(chǎn)品的集成：ca identity manager（身份管理器）：作為ca identity manager的配置目標，ca access control的用戶群體可以用ca identity manager進行管理，并自動與ca identity manager保持同步。ca enterprise log manager（企業(yè)日志管理器）：ca access control的安全事件可由ca enterpri

46、se log manager采集。ca acf2security和ca top secret security：ca access control可將ca acf2 security或者ca top secret security提供的大型機用戶存儲當作可信庫使用，或者讓用戶密碼與這些大型機的用戶存儲同步，這就可協(xié)助各企業(yè)對關鍵性的大型機資源、權(quán)限和實用軟件的訪問加強管理，就如ca access control為windows和unix提供保護的方式一樣。第三章：優(yōu)勢保護用戶最重要服務器上的數(shù)據(jù) 在虛擬化的多平臺環(huán)境中，部署和支持全局分布式應用的復雜性遠無止境。如果沒有獨立的安全層來強制執(zhí)行和

47、審計針對服務器資源的企業(yè)策略與監(jiān)管政策，用戶可能不得不事倍功半，費盡氣力地解決因管理員共享賬戶引發(fā)的安全故障問題和責任問題。ca access control可提供額外的安全層，采用靈活、可問責的方式幫助用戶保護更廣泛企業(yè)范圍內(nèi)的服務器資源，以便通過將必需的權(quán)限分配給授權(quán)管理員的方式來對超級用戶賬戶進行限制。ca access control以系統(tǒng)級運行，能夠確?？缢邢到y(tǒng)（其中包括windows、unix、linux以及虛擬環(huán)境等）高效一致地執(zhí)行策略。通過高級策略管理功能將服務器安全策略發(fā)布給端點設備，用戶能夠支持大規(guī)模、多位置的企業(yè)級部署。此外，ca access control還為對每個策略的更改和執(zhí)行行動進行安全審計奠定了基礎，從而有助于遵從全局性調(diào)控。更重要的是，ca access control能夠通過執(zhí)行授權(quán)訪問確保應用、數(shù)據(jù)庫和服務器的可用性，同時還能以可審計和可問責的方式支持局部例外情況的發(fā)生，從而