BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案

1、BIT8-4-1某企業(yè)統(tǒng)一身份及訪問安全管理解決方案2022/10/16BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案BIT8-4-1某企業(yè)統(tǒng)一身份及訪問安全管理解決方案2022XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求分析身份及訪問管理系統(tǒng)的建設(shè)思路XXXXX身份及訪問管理解決方案身份及訪問管理系統(tǒng)特點(diǎn)和優(yōu)勢(shì)XXXXX實(shí)施建議和注意事項(xiàng)XXXXX身份及訪問管理解決方案探討XXXXX身份及訪問管理收益分析BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求分析

2、身份及訪問管理系統(tǒng)的建設(shè)思路XXXXX身份及訪問管理解決方案身份及訪問管理系統(tǒng)特點(diǎn)和優(yōu)勢(shì)XXXXX實(shí)施建議和注意事項(xiàng)XXXXX身份及訪問管理解決方案探討XXXXX身份及訪問管理收益分析BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求問題一：管理成本的需求系統(tǒng)中有大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)，分別屬于不同的部門和不同的業(yè)務(wù)系統(tǒng)。目前各應(yīng)用系統(tǒng)都有一套獨(dú)立的認(rèn)證、授權(quán)和審計(jì)系統(tǒng)，并且由相應(yīng)的系統(tǒng)管理員負(fù)責(zé)維護(hù)和管理。當(dāng)維護(hù)人員同時(shí)對(duì)多個(gè)系統(tǒng)進(jìn)行維護(hù)時(shí)，工作復(fù)雜度會(huì)成倍增加 ，無法實(shí)現(xiàn)統(tǒng)一的安全策略；另外系統(tǒng)的用戶分配權(quán)限，缺乏集中統(tǒng)

3、一的資源授權(quán)管理平臺(tái)，無法嚴(yán)格按照最小權(quán)限原則分配權(quán)限。隨著用戶數(shù)量的增加，權(quán)限管理任務(wù)越來越重，系統(tǒng)的安全性無法得到充分保證。BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案問題一：管理成本的需求系統(tǒng)中有大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用問題二：?jiǎn)吸c(diǎn)登陸的需求系統(tǒng)的增多，使用戶經(jīng)常需要在各個(gè)系統(tǒng)之間切換，每次從一個(gè)系統(tǒng)切換到另一支撐系統(tǒng)時(shí)，都需要輸入用戶名和口令進(jìn)行登錄。給用戶的工作帶來不便，影響了工作效率。用戶為便于記憶口令會(huì)采用較簡(jiǎn)單的口令或?qū)⒍鄠€(gè)系統(tǒng)的口令設(shè)置成相同的，危害到系統(tǒng)的安全性 。BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案問題二：?jiǎn)吸c(diǎn)登陸的需求系統(tǒng)的增多，使用戶經(jīng)常需要在各

4、個(gè)系統(tǒng)之問題三：SOX的需求SOX法案的實(shí)施，對(duì)上市公司的業(yè)務(wù)系統(tǒng)信息安全進(jìn)行了更加嚴(yán)格的規(guī)范，對(duì)實(shí)現(xiàn)使用者的身份認(rèn)證、詳細(xì)的權(quán)限劃分以及準(zhǔn)確的操作信息審計(jì)等功能提出了新的要求。有些帳號(hào)多人共用，不僅在發(fā)生安全事故，難于確定帳號(hào)的實(shí)際使用者，而且在平時(shí)難于對(duì)帳號(hào)的擴(kuò)散范圍進(jìn)行控制，容易造成安全漏洞，加強(qiáng)帳號(hào)分配與使用的監(jiān)控，對(duì)能實(shí)行每人擁有獨(dú)立帳號(hào)的系統(tǒng)，應(yīng)盡可能實(shí)行一人一個(gè)帳號(hào)，加強(qiáng)安全規(guī)范管理 。對(duì)帳戶生存周期進(jìn)行管理，主賬號(hào)生成、角色分配、主從賬號(hào)對(duì)應(yīng)、賬號(hào)使用、賬號(hào)維護(hù)、賬號(hào)收回等各個(gè)賬號(hào)狀態(tài)進(jìn)行管理。帳戶密碼策略建立，按照策略自動(dòng)、集中、定期修改各賬號(hào)的口令， 并符合一定的復(fù)雜度 。

5、要求留下系統(tǒng)操作記錄和訪問日志，以便審查。BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案問題三：SOX的需求SOX法案的實(shí)施，對(duì)上市公司的業(yè)務(wù)系統(tǒng)信問題四：集中訪問控制的需求提供了單一的登錄控制點(diǎn)，用戶對(duì)網(wǎng)絡(luò)資源的訪問控制通過訪問控制服務(wù)器實(shí)現(xiàn)，因此權(quán)限比較容易和訪問時(shí)間、訪問者所處網(wǎng)段等結(jié)合進(jìn)行控制。通過集中接入控制點(diǎn)等手段，規(guī)定只有來自訪問控制服務(wù)器的訪問才是合法的 。對(duì)實(shí)際應(yīng)用資源的訪問行為進(jìn)行了細(xì)粒度劃分，同時(shí)對(duì)認(rèn)證平臺(tái)內(nèi)部的行為和權(quán)限進(jìn)行了細(xì)粒度劃分，使之符合用戶實(shí)際的工作流程，滿足管理制度的要求 ，并且能進(jìn)行阻斷。BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案問題四：集中訪問控

6、制的需求提供了單一的登錄控制點(diǎn)，用戶對(duì)網(wǎng)絡(luò)問題五：集中審計(jì)的需求能夠?qū)θ藛T的登錄過程、登錄后進(jìn)行的操作進(jìn)行審計(jì)，審計(jì)的覆蓋范圍不僅包括對(duì)認(rèn)證平臺(tái)本身操作的審計(jì)，還包括對(duì)各被管系統(tǒng)訪問、操作的審計(jì)。審計(jì)系統(tǒng)應(yīng)能夠統(tǒng)一對(duì)認(rèn)證平臺(tái)上的所有模塊進(jìn)行安全審計(jì)。主要包括，賬號(hào)、角色、資源等進(jìn)行創(chuàng)建、授權(quán)、分配、管理的內(nèi)部管理行為的審計(jì)；登錄過程的審計(jì)；身份認(rèn)證的審計(jì)。審計(jì)系統(tǒng)還應(yīng)支持登錄被管系統(tǒng)后行為的審計(jì)，可以對(duì)用戶的字符指令操作進(jìn)行追溯。并且與授權(quán)管理產(chǎn)品聯(lián)動(dòng)，當(dāng)審計(jì)產(chǎn)品發(fā)現(xiàn)某用戶操作，已經(jīng)超過授權(quán)管理的權(quán)限，審計(jì)產(chǎn)品立即阻斷此越權(quán)行為，保障系統(tǒng)的安全性；BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方

7、案問題五：集中審計(jì)的需求能夠?qū)θ藛T的登錄過程、登錄后進(jìn)行的操作XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求分析身份及訪問管理系統(tǒng)的建設(shè)思路XXXXX身份及訪問管理解決方案身份及訪問管理系統(tǒng)特點(diǎn)和優(yōu)勢(shì)XXXXX實(shí)施建議和注意事項(xiàng)XXXXX身份及訪問管理解決方案探討XXXXX身份及訪問管理收益分析BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求XXXXX身份及訪問管理解決方案框架結(jié)構(gòu)系統(tǒng)架構(gòu)功能部署圖數(shù)據(jù)流向功能模塊功能說明產(chǎn)品部署B(yǎng)IT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案XXXXX身份及訪問管理解決方案框架結(jié)構(gòu)BI

8、T841某企業(yè)統(tǒng)產(chǎn)品框架結(jié)構(gòu)BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案產(chǎn)品框架結(jié)構(gòu)BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案系統(tǒng)架構(gòu)BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案系統(tǒng)架構(gòu)BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案系統(tǒng)功能部署圖BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案系統(tǒng)功能部署圖BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方數(shù)據(jù)流向第三方審計(jì)產(chǎn)品防火墻BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案數(shù)據(jù)流向第三方防火墻BIT841某企業(yè)統(tǒng)一身份及訪問安全管理產(chǎn)品功能模塊BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案產(chǎn)品功能模塊BIT841某企業(yè)統(tǒng)一

9、身份及訪問安全管理解決方案日志采集集中審計(jì)日志過濾審計(jì)報(bào)表歸并壓制關(guān)聯(lián)分析智能告警決策支持工單扭轉(zhuǎn)數(shù)據(jù)挖掘密碼策略認(rèn)證管理集中認(rèn)證認(rèn)證方式外部認(rèn)證客戶端認(rèn)證集中授權(quán)授權(quán)管理用戶授權(quán)角色授權(quán)資源授權(quán)應(yīng)用授權(quán)行為授權(quán)單點(diǎn)登錄訪問控制用戶同步用戶管理生命周期管理角色管理資源管理策略管理主賬號(hào)管理從賬號(hào)管理用戶自管理用戶組管理功能模塊BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案日志采集集中審計(jì)日志過濾審計(jì)報(bào)表歸并壓制關(guān)聯(lián)分析智能告警決策主要產(chǎn)品功能說明BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案主要產(chǎn)品功能說明BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決重點(diǎn)功能說明資源管理統(tǒng)一身份管理用戶同步

10、授權(quán)管理生命周期管理帳號(hào)策略管理口令策略認(rèn)證方式SSO動(dòng)態(tài)短信口令認(rèn)證集中訪問控制集中審計(jì)智能告警BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案重點(diǎn)功能說明資源管理BIT841某企業(yè)統(tǒng)一身份及訪問安全管理功能說明：資源管理資源管理對(duì)從帳號(hào)進(jìn)行分類定義并做為資源從帳號(hào)的屬性，包括孤立帳號(hào)、交叉帳號(hào)和播測(cè)帳號(hào)等，并且賦予了一些基本的管理功能。羅列主要的資源從帳號(hào)屬性如下：孤立帳號(hào)：任何被管資源上的從帳號(hào)如果在沒有被分配給自然人帳號(hào)的情況下，則標(biāo)記為孤立帳號(hào)，并能夠向管理員產(chǎn)生報(bào)告以便及時(shí)發(fā)現(xiàn)非法帳號(hào)或?yàn)E用帳號(hào)的存在；共享帳號(hào)：被做為角色并且分配給了多個(gè)自然人的資源從帳號(hào)，則標(biāo)記為共享帳號(hào)，并提供

11、帳號(hào)報(bào)告；直屬帳號(hào)：唯一對(duì)應(yīng)且僅僅從屬于單一自然人的資源從帳號(hào)，則標(biāo)記為直屬帳號(hào)，并提供帳號(hào)報(bào)告；交叉帳號(hào)：除了XXXXX對(duì)其進(jìn)行管理以外，還存在其他應(yīng)用系統(tǒng)對(duì)其使用或管理的情況下，資源從帳號(hào)需要被保護(hù)并不能隨意變更密碼的，則標(biāo)記為交叉帳號(hào)并提供帳號(hào)報(bào)告；播測(cè)帳號(hào)：對(duì)于交叉帳號(hào)或其他需要重點(diǎn)保護(hù)的資源從帳號(hào)（比如數(shù)據(jù)庫帳號(hào)），需要XXXXX對(duì)其進(jìn)行周期性播測(cè)以確保此類帳號(hào)能夠獲得持續(xù)的正常訪問，則標(biāo)記為播測(cè)帳號(hào)。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：資源管理資源管理對(duì)從帳號(hào)進(jìn)行分類定義并做為資源從帳功能說明：統(tǒng)一身份管理實(shí)現(xiàn)了對(duì)自然人的生命周期管理和授權(quán)管理提供用戶分組管

12、理的功能，所有的賬號(hào)策略、授權(quán)策略、訪問控制策略等均可通過組的方式來進(jìn)行批量的設(shè)定，同時(shí)也可以對(duì)單個(gè)用戶進(jìn)行精細(xì)的策略授權(quán) 提供流程引擎，滿足賬號(hào)申請(qǐng)、審批、分配、通知等流程管理制度的需要，并且能夠與BMC Remedy、HP OSD、CA HelpDesk等主流電子運(yùn)維流程進(jìn)行無縫集成，便于企業(yè)建立統(tǒng)一的安全運(yùn)維管理提供角色授權(quán)與訪問控制等一系列策略管理功能，滿足企業(yè)對(duì)人員訪問安全的各種需求，能夠?qū)崿F(xiàn)對(duì)人員、時(shí)間、地點(diǎn)、被訪資源、操作、頻率次數(shù)等的授權(quán)、訪問控制和審計(jì)能力提供用戶自服務(wù)功能，使得用戶可以自行登錄XXXXX Portal修改個(gè)人身份信息以及獲得修改授權(quán)范圍內(nèi)資源從賬號(hào)密碼的能力

13、 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：統(tǒng)一身份管理實(shí)現(xiàn)了對(duì)自然人的生命周期管理和授權(quán)管理功能說明：用戶同步能夠自動(dòng)發(fā)現(xiàn)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫上的已有賬號(hào) 系統(tǒng)還可以通過帳號(hào)推送機(jī)制，通過集中帳號(hào)管理系統(tǒng)在被管系統(tǒng)中創(chuàng)建新的帳號(hào) 還可以通過同步機(jī)制，與用戶現(xiàn)有的用戶管理系統(tǒng)，例如、域用戶系統(tǒng)等用戶管理系統(tǒng)實(shí)現(xiàn)帳號(hào)的同步對(duì)各種主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等分別提供專門的帳號(hào)驅(qū)動(dòng)機(jī)制和協(xié)議來實(shí)現(xiàn)帳號(hào)的管理，例如Radius協(xié)議、LDAP協(xié)議、SSH、JDBC、API等等BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：用戶同步能夠自動(dòng)發(fā)現(xiàn)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫上的已

14、有主機(jī)：主機(jī)驅(qū)動(dòng)針對(duì)unix，windows主機(jī)進(jìn)行帳號(hào)管理，以及包括組、目錄、Shell等的建立。Unix主機(jī)：支持列表：linux、hpunix、ibm aix、scounix、freebsd、sun solaris等。同步方式：使用標(biāo)準(zhǔn)的通信接口telnet、ssh，通過發(fā)送用戶操作指令的方式對(duì)主機(jī)從帳號(hào)進(jìn)行相應(yīng)的維護(hù)。Windows主機(jī)：同步方式：獨(dú)立主機(jī)：使用標(biāo)準(zhǔn)的通信接口telnet、ssh，通過發(fā)送用戶操作指令的方式對(duì)主機(jī)從帳號(hào)進(jìn)行相應(yīng)的維護(hù)。域服務(wù)器：使用LDAP協(xié)議，對(duì)AD進(jìn)行標(biāo)準(zhǔn)的帳號(hào)管理。BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案主機(jī)：主機(jī)驅(qū)動(dòng)針對(duì)unix，wind

15、ows主機(jī)進(jìn)行帳號(hào)管理，網(wǎng)絡(luò)設(shè)備：網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)主要通過Radius協(xié)議和建立內(nèi)置Radius服務(wù)器的方式進(jìn)行帳號(hào)的管理，以及進(jìn)行帳號(hào)的訪問控制等授權(quán)管理。支持列表：cisco交換機(jī)交換機(jī)、華為路由器交換機(jī)、juniper網(wǎng)絡(luò)設(shè)備等支持標(biāo)準(zhǔn)Radius協(xié)議的設(shè)備。同步方式：通過Radius協(xié)議，使設(shè)備的用戶和主用戶同步。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案網(wǎng)絡(luò)設(shè)備：網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)主要通過Radius協(xié)議和建立內(nèi)置Ra數(shù)據(jù)庫：數(shù)據(jù)庫驅(qū)動(dòng)通過JDBC協(xié)議與數(shù)據(jù)進(jìn)行交換，進(jìn)行數(shù)據(jù)庫帳號(hào)等的權(quán)限信息的管理。支持列表：MS SQLSERVER、ORACLE、SYBASE、DB2、INFOMIX

16、和MYSQL等主流數(shù)據(jù)庫。同步方式：通過jdbc協(xié)議，通過使用各個(gè)數(shù)據(jù)庫相關(guān)命令，進(jìn)行數(shù)據(jù)庫用戶的同步。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案數(shù)據(jù)庫：數(shù)據(jù)庫驅(qū)動(dòng)通過JDBC協(xié)議與數(shù)據(jù)進(jìn)行交換，進(jìn)行數(shù)據(jù)庫應(yīng)用：應(yīng)用系統(tǒng)的驅(qū)動(dòng)一般通過其自身專有協(xié)議、對(duì)外接口API的方式實(shí)現(xiàn)。支持列表：Lotus Domino、SAP、以及各種C/S、B/S應(yīng)用等常用系統(tǒng)。此外，*具備強(qiáng)大的本地研發(fā)能力為客戶提供各種需求的開發(fā)定制能力，能夠最廣泛的、最深入的實(shí)現(xiàn)客戶個(gè)性化帳號(hào)管理的需求。同步方式：Domino：通過DIIOP遠(yuǎn)程操作，進(jìn)行帳號(hào)管理。SAP：通過其提供的JCO接口，進(jìn)行帳號(hào)管理。其他應(yīng)用：

17、通過應(yīng)用提供的相應(yīng)接口，進(jìn)行帳號(hào)管理。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案應(yīng)用：應(yīng)用系統(tǒng)的驅(qū)動(dòng)一般通過其自身專有協(xié)議、對(duì)外接口API的功能說明：授權(quán)管理集中授權(quán)管理可實(shí)現(xiàn)完善的角色授權(quán)管理功能，從用戶、角色和資源進(jìn)行用戶授權(quán)管理。制定到資源邊界的粗粒度授權(quán)，即，用戶按照角色權(quán)限和管理資源范圍的不同，能夠訪問的資源IP和Port也不同；制定針對(duì)資源操作的細(xì)粒度授權(quán)，即，能夠?qū)τ脩暨M(jìn)行登錄時(shí)間、訪問地點(diǎn)、目的資源、次數(shù)、頻率、失敗控制、操作命令、操作參數(shù)等等的具體行為、時(shí)間、地點(diǎn)、目的的精細(xì)控制BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：授權(quán)管理集中授權(quán)管理可實(shí)現(xiàn)完善的

18、角色授權(quán)管理功能，授權(quán)與訪問控制-資源內(nèi)部訪問控制 對(duì)自然人賬號(hào)授權(quán)資源內(nèi)部角色，實(shí)現(xiàn)了自然人賬號(hào)到資源訪問的基本授權(quán)，由于資源從帳號(hào)與資源內(nèi)部角色包含有資源自身訪問控制的內(nèi)部授權(quán)信息（例如用戶組、Shell等），可以依靠資源內(nèi)部實(shí)現(xiàn)末端的訪問控制。資源主、從角色管理：通過規(guī)劃資源上的角色（稱為從角色）以及建立XXXXX主角色與從角色的對(duì)應(yīng)關(guān)系，來集中建立企業(yè)角色自然人帳號(hào)授權(quán)管理：向自然人帳號(hào)授權(quán)資源列表及主角色批量授權(quán)引擎：根據(jù)自然人帳號(hào)、資源列表，在各個(gè)資源上批量建立從帳號(hào)及所屬組，并將從賬號(hào)分配給主賬號(hào) BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案授權(quán)與訪問控制-資源內(nèi)部訪問控制

19、對(duì)自然人賬號(hào)授權(quán)資源內(nèi)部角授權(quán)與訪問控制-訪問控制網(wǎng)關(guān)XXXXX Portal方式的集中接入和訪問控制；集成SSL VPN方式的集中接入和訪問控制；集成反向代理（Access Manager）方式的集中接入和訪問控制；集成堡壘主機(jī)方式的集中接入和訪問控制；集成Citrix、NTA方式的集中接入和訪問控制 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案授權(quán)與訪問控制-訪問控制網(wǎng)關(guān)XXXXX Portal方式的集授權(quán)與訪問控制-AAA的訪問控制 通過將支持Radius的資源的認(rèn)證指向XXXXX內(nèi)置的Radius Server來保證資源訪問的授權(quán)BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案授權(quán)

20、與訪問控制-AAA的訪問控制 通過將支持Radius的資功能說明：生命周期管理BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：生命周期管理BIT841某企業(yè)統(tǒng)一身份及訪問安全管功能說明：帳號(hào)策略管理*XXXXX的帳號(hào)策略管理提供了豐富的自動(dòng)化帳號(hào)管理功能，能夠根據(jù)帳號(hào)類型和相應(yīng)的管理策略滿足用戶多樣的管理需求。這些管理需求包括：自動(dòng)發(fā)現(xiàn)和自動(dòng)監(jiān)測(cè)：滿足用戶對(duì)各IT資源上的帳號(hào)監(jiān)控需求，周期性的采集、同步和監(jiān)測(cè)被管資源上的帳號(hào)。主從帳號(hào)一致性：滿足用戶對(duì)授權(quán)資源內(nèi)的自然人帳號(hào)的統(tǒng)一與同步需求，保證在授權(quán)資源范圍內(nèi)對(duì)每個(gè)自然人帳號(hào)維持一套獨(dú)有的、一致性的資源從帳號(hào)。此功能不同于角色管理模

21、式，在角色管理模式下，多個(gè)自然人可能共享同一套資源從帳號(hào)。特殊帳號(hào)一致性推拉：滿足用戶對(duì)特定用戶、特定資源范圍內(nèi)的應(yīng)用系統(tǒng)帳號(hào)的快速推廣需求，滿足其他IT管理系統(tǒng)對(duì)企業(yè)IT資源的自動(dòng)化監(jiān)管需求。例如，網(wǎng)管系統(tǒng)的自動(dòng)巡檢模塊需要根據(jù)網(wǎng)管系統(tǒng)的值班帳號(hào)來采集主機(jī)、網(wǎng)絡(luò)設(shè)備或系統(tǒng)等的配置、性能等狀態(tài)數(shù)據(jù)，XXXXX的帳號(hào)策略管理模塊能夠?yàn)檫@部分特殊帳號(hào)提供值班期間的設(shè)備、系統(tǒng)以及網(wǎng)管系統(tǒng)自動(dòng)巡檢系統(tǒng)間的一致性臨時(shí)帳號(hào)，保證安全有效的自動(dòng)化訪問。動(dòng)態(tài)密碼計(jì)劃：滿足對(duì)被管資源從帳號(hào)的安全保護(hù)需求，對(duì)資源從帳號(hào)進(jìn)行周期性的高強(qiáng)度密碼變更，維護(hù)賬號(hào)的安全性。帳號(hào)處理策略：滿足對(duì)各種帳號(hào)類型的處理需求，將帳號(hào)

22、劃分為交叉帳號(hào)、共享帳號(hào)、孤立帳號(hào)等：交叉帳號(hào)：交叉帳號(hào)是XXXXX管理但被其他系統(tǒng)內(nèi)部使用的帳號(hào)，它的密碼不能隨意改變。因此這類帳號(hào)不能進(jìn)入密碼計(jì)劃；共享賬號(hào)：在AMS內(nèi)部被授予多個(gè)用戶使用的帳號(hào)，這個(gè)賬號(hào)的刪除不能隨一個(gè)賬號(hào)的刪除而刪除；孤立帳號(hào)：在AMS內(nèi)部未被授權(quán)的用戶，這類賬號(hào)會(huì)一告警的方式被告知管理原；播測(cè)帳號(hào)：這類賬號(hào)，系統(tǒng)會(huì)對(duì)其進(jìn)行定期的播測(cè)，發(fā)現(xiàn)異常會(huì)告知管理員。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：帳號(hào)策略管理*XXXXX的帳號(hào)策略管理提供功能說明：口令策略實(shí)現(xiàn)集中的密碼管理，并按照密碼策略的要求，自動(dòng)、集中、定期修改系統(tǒng)賬號(hào)的口令，對(duì)口令強(qiáng)度和周期實(shí)

23、行統(tǒng)一的管理。實(shí)現(xiàn)集中刪除一個(gè)自然人的所有或者部分系統(tǒng)賬號(hào)。系統(tǒng)按照SOX要求設(shè)置了嚴(yán)格的用戶帳號(hào)安全策略，并且可以根據(jù)需要自行配置，策略包括密碼強(qiáng)度、生存周期等，可以根據(jù)需要自動(dòng)定時(shí)對(duì)從帳號(hào)口令進(jìn)行修改，并且能夠?qū)⒔Y(jié)果自動(dòng)同步到所有被管理系統(tǒng)中去。BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：口令策略實(shí)現(xiàn)集中的密碼管理，并按照密碼策略的要求，密碼(口令)管理策略密碼制定策略用戶必須按照規(guī)定涉及相關(guān)主、從賬號(hào)密碼（長(zhǎng)度、字符等），系統(tǒng)還提供多種密碼制定策略，滿足不同系統(tǒng)對(duì)密碼安全的需要；密碼修改計(jì)劃用戶從賬號(hào)密碼的定期變更，提高密碼的安全性密碼定期檢查通過系統(tǒng)定時(shí)任務(wù)，或相關(guān)管理員

24、執(zhí)行密碼檢查，找出系統(tǒng)中存在不滿足要求的用戶口令；密碼失效策略系統(tǒng)自動(dòng)使不滿足要求的密碼失效；密碼存儲(chǔ)策略密碼的存儲(chǔ)采用加密存儲(chǔ)，加密方式MD5，DES等BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案密碼(口令)管理策略密碼制定策略BIT841某企業(yè)統(tǒng)一身份及功能說明：認(rèn)證方式身份認(rèn)證和訪問管理系統(tǒng)提供靜態(tài)密碼、Windows NT域、Windows Kerberos、雙因素、一次性口令和生物特征等多種認(rèn)證方式，而且系統(tǒng)具有靈活的定制接口，可以方便的與其它第三方認(rèn)證服務(wù)器之間的結(jié)合。認(rèn)證系統(tǒng)支持多種認(rèn)證方式，系統(tǒng)通過統(tǒng)一的強(qiáng)身份認(rèn)證，保證認(rèn)證過程的安全。用戶名/密碼安盟雙因素認(rèn)證LDAP智能

25、卡X.509證書RSA SecurID令牌RADIUS短信認(rèn)證生物特征認(rèn)證BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：認(rèn)證方式身份認(rèn)證和訪問管理系統(tǒng)提供靜態(tài)密碼、Win認(rèn)證方式比較認(rèn)證方式客戶端應(yīng)用支持安全性方便性存儲(chǔ)方式服務(wù)器證書認(rèn)證有高中文件證書服務(wù)器短信認(rèn)證無高高無短信認(rèn)證服務(wù)器&短信中心雙因素認(rèn)證無高中令牌認(rèn)證服務(wù)器靜態(tài)口令無低高無無BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案認(rèn)證方式比較認(rèn)證方式客戶端應(yīng)用支持安全性方便性存儲(chǔ)方式服務(wù)器功能說明:SSO XXXXX Portal 的B/S方式的SSO 單點(diǎn)登錄：通過XXXXX Portal自動(dòng)提交表單的方式：用戶訪問W

26、eb應(yīng)用系統(tǒng)時(shí)，XXXXX Portal通過構(gòu)造隱藏的登錄表單并自動(dòng)提交的方式進(jìn)入Web應(yīng)用系統(tǒng)。此種方式下，客戶端在首次通過XXXXX Portal的強(qiáng)認(rèn)證和單獨(dú)登錄認(rèn)證后直接與Web應(yīng)用系統(tǒng)交互，其訪問行為需要訪問控制網(wǎng)關(guān)來進(jìn)行授權(quán)控制。通過SSL VPN、反向代理表單注入的方式：訪問控制網(wǎng)關(guān)設(shè)備在作代理的過程中當(dāng)發(fā)現(xiàn)有登錄特征的http內(nèi)容，自動(dòng)注入表單內(nèi)容，完成web應(yīng)用登錄。單點(diǎn)登出：通過SSL VPN、反向代理和AMS進(jìn)行策略聯(lián)動(dòng)的方式。當(dāng)用戶登出XXXXX Portal時(shí)SSLVPN、反向代理設(shè)備收到XXXXX Server的聯(lián)動(dòng)策略后，斷開用戶和WEB應(yīng)用的連接，實(shí)現(xiàn)登出。 B

27、IT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明:SSO XXXXX Portal 的B/S方式的S功能說明:SSO XXXXX Portal 的C/S方式的SSO 單點(diǎn)登錄：通過瀏覽器代填控件進(jìn)行代填：用戶在通過XXXXX Portal的強(qiáng)認(rèn)證后，代填控件會(huì)被自動(dòng)下載到客戶端瀏覽器中，控件會(huì)對(duì)C/S的客戶端進(jìn)行掛鉤，分析特征事件序列，進(jìn)行窗口控件級(jí)操作實(shí)現(xiàn)代填動(dòng)作，單獨(dú)登錄后的訪問行為需要訪問控制網(wǎng)關(guān)來進(jìn)行授權(quán)控制。此種方式需要客戶端預(yù)先安裝C/S的Client端。單點(diǎn)登出：通過SSL VPN，堡壘主機(jī)，Citrix等這些C/S訪問控制設(shè)備，和AMS進(jìn)行策略聯(lián)動(dòng)的方式。當(dāng)用戶登出XXX

28、XX Portal時(shí)SSLVPN、堡壘主機(jī)，Citrix收到XXXXX Server的聯(lián)動(dòng)策略后斷開用戶和應(yīng)用的連接，實(shí)現(xiàn)登出。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明:SSO XXXXX Portal 的C/S方式的S功能說明：動(dòng)態(tài)短信口令認(rèn)證提供基于短信動(dòng)態(tài)密碼（SMS-OTP）的認(rèn)證方式，能夠提供符合SOX等國(guó)際標(biāo)準(zhǔn)和法規(guī)要求的高強(qiáng)度認(rèn)證服務(wù)；自動(dòng)判斷登錄IP網(wǎng)段，能夠根據(jù)不同的IP網(wǎng)段確定是否觸發(fā)短信動(dòng)態(tài)密碼認(rèn)證；短信動(dòng)態(tài)密碼認(rèn)證服務(wù)器在生成并向用戶發(fā)送動(dòng)態(tài)口令之前，必需對(duì)用戶的身份進(jìn)行驗(yàn)證，驗(yàn)證通過后才能向用戶注冊(cè)手機(jī)號(hào)碼發(fā)送生成的一次性口令；觸發(fā)過程中，用戶的驗(yàn)證

29、密碼（PIN碼等）不能在網(wǎng)絡(luò)上明文傳輸；短信動(dòng)態(tài)密碼認(rèn)證服務(wù)器的觸發(fā)機(jī)制能夠抵御惡意的動(dòng)態(tài)密碼觸發(fā)請(qǐng)求，防止拒絕服務(wù)攻擊；認(rèn)證平臺(tái)只能接受一次動(dòng)態(tài)密碼的登錄認(rèn)證請(qǐng)求，成功后動(dòng)態(tài)密碼立即失效，此后再采用該動(dòng)態(tài)密碼進(jìn)行登錄均被視為違法操作；短信動(dòng)態(tài)密碼具有一定的生命周期，即使用戶沒有使用該動(dòng)態(tài)密碼進(jìn)行登錄，超出時(shí)間范圍后該動(dòng)態(tài)密碼仍將自動(dòng)過期。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：動(dòng)態(tài)短信口令認(rèn)證提供基于短信動(dòng)態(tài)密碼（SMS-OT功能說明：集中訪問控制MS ADMail ServerWEB ServerNetwork Deviceshttp/httpstelnet / ssh

30、 / ftprlogin / rshRDP / PC Anywhere VNC / X windowstelnet / ssh snmp set / ftpFireWall訪問控制網(wǎng)關(guān)及審計(jì)XXXXX Audit ManagementXXXXX Access Control GatewayBIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：集中訪問控制MS ADMail ServerWEBBIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：集中審計(jì)*XXXXX的審計(jì)管理以集中的資源管理為基礎(chǔ)，通過各種堡壘主機(jī)、網(wǎng)絡(luò)嗅探能夠?qū)崿F(xiàn)用戶資源

31、訪問會(huì)話的還原審計(jì)。對(duì)于字符堡壘主機(jī)，可以還原完整的用戶會(huì)話內(nèi)容：用戶對(duì)字符應(yīng)用的訪問是經(jīng)過堡壘主機(jī)的，堡壘主機(jī)在會(huì)話層轉(zhuǎn)發(fā)對(duì)對(duì)應(yīng)用的各種操作命令，由于在會(huì)話層對(duì)操作命令和執(zhí)行結(jié)果作相應(yīng)的轉(zhuǎn)發(fā)，因此可以對(duì)這些轉(zhuǎn)發(fā)的內(nèi)容（會(huì)話）計(jì)入日志，進(jìn)行審計(jì)。對(duì)于RDP類訪問控制網(wǎng)關(guān)，可以對(duì)用戶的會(huì)話進(jìn)行錄像，完整記錄用戶的圖形操作：RDP類訪問控制網(wǎng)關(guān)通過轉(zhuǎn)發(fā)用戶對(duì)圖形應(yīng)用操作的各種動(dòng)作（鍵盤鼠標(biāo)事件）和圖形應(yīng)用的各種繪圖操作，實(shí)現(xiàn)圖形應(yīng)用的會(huì)話級(jí)代理。由于在會(huì)話層對(duì)操作動(dòng)作和繪圖操作作轉(zhuǎn)發(fā)，因此可以對(duì)轉(zhuǎn)發(fā)的內(nèi)容進(jìn)行錄像，并進(jìn)行審計(jì)。網(wǎng)絡(luò)嗅探、數(shù)據(jù)庫嗅探：可以對(duì)用戶的資源操作在網(wǎng)絡(luò)層做相應(yīng)的嗅探分析，對(duì)協(xié)

32、議內(nèi)容進(jìn)行記錄，經(jīng)過匹配規(guī)則實(shí)現(xiàn)會(huì)話還原。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：集中審計(jì)*XXXXX的審計(jì)管理以集中的資源功能說明：智能告警提供豐富多樣的通知方式，包括短信、郵件、電話和可執(zhí)行命令行程序等。提供SNMP Trap、Syslog兩種公共通訊方式發(fā)送告警。提供與第三方統(tǒng)一電子運(yùn)維系統(tǒng)的無縫集成能力，派發(fā)工作單到對(duì)應(yīng)的管理員或用戶組。BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案功能說明：智能告警提供豐富多樣的通知方式，包括短信、郵件、電產(chǎn)品部署方案BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案產(chǎn)品部署方案BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案典型

33、部署XXXXX部署結(jié)構(gòu)BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案典型部署XXXXX部署結(jié)構(gòu)BIT841某企業(yè)統(tǒng)一身份及訪典型部署XXXXX分級(jí)部署結(jié)構(gòu)BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案典型部署XXXXX分級(jí)部署結(jié)構(gòu)BIT841某企業(yè)統(tǒng)一身份系統(tǒng)詳細(xì)部署圖BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案系統(tǒng)詳細(xì)部署圖BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決典型部署XXXXX分級(jí)部署分析優(yōu)點(diǎn)：管理結(jié)構(gòu)清晰，符合用戶現(xiàn)有組織結(jié)構(gòu)。采用這種部署方式，各業(yè)務(wù)系統(tǒng)/各分支機(jī)構(gòu)負(fù)責(zé)本業(yè)務(wù)系統(tǒng)/本分支機(jī)構(gòu)的管理，總部對(duì)各業(yè)務(wù)系統(tǒng)/各分支機(jī)構(gòu)進(jìn)行監(jiān)督、審核和統(tǒng)一管理。符合用戶現(xiàn)有運(yùn)維組織

34、結(jié)構(gòu)，易于實(shí)施和推廣；可以更好的適應(yīng)和滿足不同業(yè)務(wù)系統(tǒng)安全運(yùn)維管理的客戶化需要和要求，比如安全策略設(shè)置、定制報(bào)表等；安全管理中心的調(diào)試周期短，能夠更快適應(yīng)各業(yè)務(wù)系統(tǒng)的安全運(yùn)行管理需求；安全運(yùn)行管理中心的日常維護(hù)工作量較少。缺點(diǎn)：建設(shè)成本較高，用戶多個(gè)業(yè)務(wù)系統(tǒng)/分部/分支機(jī)構(gòu)可能需要建設(shè)多個(gè)二級(jí)中心，相對(duì)成本較高；BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案典型部署XXXXX分級(jí)部署分析優(yōu)點(diǎn)：BIT841某企業(yè)統(tǒng)中國(guó)移動(dòng)身份及訪問管理解決方案身份及訪問安全管理問題及需求分析身份及訪問管理系統(tǒng)的建設(shè)思路XXXXX身份及訪問管理解決方案身份及訪問管理系統(tǒng)特點(diǎn)和優(yōu)勢(shì)XXXXX實(shí)施建議和注意事項(xiàng)身份

35、及訪問管理解決方案探討XXXXX身份及訪問管理收益分析BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案中國(guó)移動(dòng)身份及訪問管理解決方案身份及訪問安全管理問題及需求分建設(shè)思路一、遵循統(tǒng)一的平臺(tái)的整體架構(gòu)、具體功能細(xì)節(jié)可靈活實(shí)現(xiàn)Authentication認(rèn)證 Authorization授權(quán)Audit審計(jì)中央管理控制臺(tái)強(qiáng)身份認(rèn)證及SSO目錄選擇商用Portal選擇擴(kuò)展安全審計(jì)Account賬號(hào)管理 Access Control GateWayAccess Control GateWayAccess Control GateWayAccess Control GateWayBIT841某企業(yè)統(tǒng)一身份及

36、訪問安全管理解決方案建設(shè)思路一、遵循統(tǒng)一的平臺(tái)的整體架構(gòu)、具體功能細(xì)節(jié)可靈活實(shí)現(xiàn)建設(shè)思路二：目錄結(jié)構(gòu)規(guī)劃用戶樹、資源樹和分級(jí)管理甲地二級(jí)用戶樹甲地二級(jí)資源樹用戶G用戶E用戶F用戶H資源5資源6資源7資源8一級(jí)用戶樹一級(jí)資源樹資源1資源2資源3資源4用戶C用戶A用戶B用戶D乙地二級(jí)用戶樹乙地二級(jí)資源樹用戶K用戶J用戶L資源9資源10資源11資源12用戶IBIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案建設(shè)思路二：目錄結(jié)構(gòu)規(guī)劃用戶樹、資源樹和分級(jí)管理甲地二級(jí)甲地建設(shè)思路二：目錄結(jié)構(gòu)規(guī)劃漫游和跨域訪問二級(jí)單位（乙）一級(jí)單位二級(jí)單位（甲）主賬號(hào)：C主賬號(hào)：D主賬號(hào)：E主賬號(hào)：F主賬號(hào)：A主賬號(hào)：B主賬

37、號(hào)：E主賬號(hào)：E用戶漫游跨域訪問方式一跨域訪問方式二BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案建設(shè)思路二：目錄結(jié)構(gòu)規(guī)劃漫游和跨域訪問二級(jí)單位（乙）一級(jí)單位建設(shè)思路三：部署建議BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案建設(shè)思路三：部署建議BIT841某企業(yè)統(tǒng)一身份及訪問安全管理建設(shè)思路四：負(fù)載均衡BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案建設(shè)思路四：負(fù)載均衡BIT841某企業(yè)統(tǒng)一身份及訪問安全管理XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求分析身份及訪問管理系統(tǒng)的建設(shè)思路XXXXX身份及訪問管理解決方案身份及訪問管理特點(diǎn)和優(yōu)勢(shì)XXXXX實(shí)施建議和注意事項(xiàng)XXXX

38、X身份及訪問管理解決方案探討XXXXX身份及訪問管理收益分析BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案XXXXX身份及訪問管理解決方案身份及訪問安全管理問題及需求產(chǎn)品特點(diǎn)及優(yōu)勢(shì)先進(jìn)、完善的整體架構(gòu)和靈活的功能實(shí)現(xiàn)方式，產(chǎn)品采用模塊化的設(shè)計(jì)和通用接口規(guī)范，能夠?qū)Ξ悩?gòu)的、復(fù)雜的IT系統(tǒng)進(jìn)行統(tǒng)一身份管理；為第三方產(chǎn)品，如認(rèn)證，審計(jì)等產(chǎn)品的整合提供強(qiáng)大的接口能力，以及便利的接入方式；強(qiáng)大的身份管理引擎同步驅(qū)動(dòng)器，能夠同步各類賬戶管理機(jī)制；完整的用戶賬號(hào)生命周期管理，實(shí)現(xiàn)賬號(hào)的創(chuàng)建、維護(hù)、修改、刪除的集中管理；支持多種強(qiáng)身份認(rèn)證方式的單點(diǎn)登陸技術(shù)，簡(jiǎn)化登陸操作的同時(shí)卻提高了登陸的安全性；嚴(yán)謹(jǐn)?shù)氖跈?quán)

39、管理，確保最小化授權(quán)原則的落實(shí)；基于堡壘主機(jī)技術(shù)的訪問控制網(wǎng)關(guān)，為企業(yè)各類B/S和C/S應(yīng)用實(shí)現(xiàn)了集中的接入訪問控制；強(qiáng)大縝密的綜合安全審計(jì)，為企業(yè)提供基于自然人的行為安全審計(jì)管理，配合靈活的報(bào)表報(bào)告管理，滿足企業(yè)合規(guī)性的管理；支持分布式的物理分級(jí)、虛擬分級(jí)或物理/虛擬分級(jí)混合的部署模式，適應(yīng)企業(yè)的IT組織管理架構(gòu)，尊重企業(yè)各部門、各系統(tǒng)原有的賬號(hào)管理習(xí)慣。 BIT841某企業(yè)統(tǒng)一身份及訪問安全管理解決方案產(chǎn)品特點(diǎn)及優(yōu)勢(shì)先進(jìn)、完善的整體架構(gòu)和靈活的功能實(shí)現(xiàn)方式，產(chǎn)品方案特點(diǎn)及優(yōu)勢(shì)可訂制化可擴(kuò)展性高安全性高可靠性易用性4A系統(tǒng)除了滿足標(biāo)準(zhǔn)的設(shè)備之外，由于各個(gè)用戶的環(huán)境不同，主要的工作是在定制層面；*擁有一支資深的軟件研發(fā)隊(duì)伍，擁有強(qiáng)大的研發(fā)實(shí)力，對(duì)系統(tǒng)定制能得到迅速和有效的支持；*有很多對(duì)客戶業(yè)務(wù)系統(tǒng)符合性修改的經(jīng)驗(yàn)，能快速的滿足客戶在業(yè)務(wù)邏輯方面的需求統(tǒng)一身份及訪問管理系