BI某企業(yè)統(tǒng)一身份及訪問(wèn)安全管理解決方案

某信息安全企業(yè)統(tǒng)一身份及訪問(wèn)控制解決方案XXXXX身份及訪問(wèn)管理解決方案身份及訪問(wèn)安全管理問(wèn)題及需求分析身份及訪問(wèn)管理系統(tǒng)的建設(shè)思路XXXXX身份及訪問(wèn)管理解決方案身份及訪問(wèn)管理系統(tǒng)特點(diǎn)和優(yōu)勢(shì)XXXXX實(shí)施建議和注意事項(xiàng)XXXXX身份及訪問(wèn)管理解決方案探討XXXXX身份及訪問(wèn)管理收益分析XXXXX身份及訪問(wèn)管理解決方案身份及訪問(wèn)安全管理問(wèn)題及需求分析身份及訪問(wèn)管理系統(tǒng)的建設(shè)思路XXXXX身份及訪問(wèn)管理解決方案身份及訪問(wèn)管理系統(tǒng)特點(diǎn)和優(yōu)勢(shì)XXXXX實(shí)施建議和注意事項(xiàng)XXXXX身份及訪問(wèn)管理解決方案探討XXXXX身份及訪問(wèn)管理收益分析問(wèn)題一：管理成本的需求系統(tǒng)中有大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)，分別屬于不同的部門和不同的業(yè)務(wù)系統(tǒng)。目前各應(yīng)用系統(tǒng)都有一套獨(dú)立的認(rèn)證、授權(quán)和審計(jì)系統(tǒng)，并且由相應(yīng)的系統(tǒng)管理員負(fù)責(zé)維護(hù)和管理。當(dāng)維護(hù)人員同時(shí)對(duì)多個(gè)系統(tǒng)進(jìn)行維護(hù)時(shí)，工作復(fù)雜度會(huì)成倍增加，無(wú)法實(shí)現(xiàn)統(tǒng)一的安全策略；另外系統(tǒng)的用戶分配權(quán)限，缺乏集中統(tǒng)一的資源授權(quán)管理平臺(tái)，無(wú)法嚴(yán)格按照最小權(quán)限原則分配權(quán)限。隨著用戶數(shù)量的增加，權(quán)限管理任務(wù)越來(lái)越重，系統(tǒng)的安全性無(wú)法得到充分保證。問(wèn)題二：?jiǎn)吸c(diǎn)登陸的需求系統(tǒng)的增多，使用戶經(jīng)常需要在各個(gè)系統(tǒng)之間切換，每次從一個(gè)系統(tǒng)切換到另一支撐系統(tǒng)時(shí)，都需要輸入用戶名和口令進(jìn)行登錄。給用戶的工作帶來(lái)不便，影響了工作效率。用戶為便于記憶口令會(huì)采用較簡(jiǎn)單的口令或?qū)⒍鄠€(gè)系統(tǒng)的口令設(shè)置成相同的，危害到系統(tǒng)的安全性。問(wèn)題三：SOX的需求SOX法案的實(shí)施，對(duì)上市公司的業(yè)務(wù)系統(tǒng)信息安全進(jìn)行了更加嚴(yán)格的規(guī)范，對(duì)實(shí)現(xiàn)使用者的身份認(rèn)證、詳細(xì)的權(quán)限劃分以及準(zhǔn)確的操作信息審計(jì)等功能提出了新的要求。有些帳號(hào)多人共用，不僅在發(fā)生安全事故，難于確定帳號(hào)的實(shí)際使用者，而且在平時(shí)難于對(duì)帳號(hào)的擴(kuò)散范圍進(jìn)行控制，容易造成安全漏洞，加強(qiáng)帳號(hào)分配與使用的監(jiān)控，對(duì)能實(shí)行每人擁有獨(dú)立帳號(hào)的系統(tǒng)，應(yīng)盡可能實(shí)行一人一個(gè)帳號(hào)，加強(qiáng)安全規(guī)范管理。對(duì)帳戶生存周期進(jìn)行管理，主賬號(hào)生成、角色分配、主從賬號(hào)對(duì)應(yīng)、賬號(hào)使用、賬號(hào)維護(hù)、賬號(hào)收回等各個(gè)賬號(hào)狀態(tài)進(jìn)行管理。帳戶密碼策略建立，按照策略自動(dòng)、集中、定期修改各賬號(hào)的口令，并符合一定的復(fù)雜度。要求留下系統(tǒng)操作記錄和訪問(wèn)日志，以便審查。問(wèn)題四：集中訪問(wèn)控制的需求提供了單一的登錄控制點(diǎn)，用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)控制通過(guò)訪問(wèn)控制服務(wù)器實(shí)現(xiàn)，因此權(quán)限比較容易和訪問(wèn)時(shí)間、訪問(wèn)者所處網(wǎng)段等結(jié)合進(jìn)行控制。通過(guò)集中接入控制點(diǎn)等手段，規(guī)定只有來(lái)自訪問(wèn)控制服務(wù)器的訪問(wèn)才是合法的。對(duì)實(shí)際應(yīng)用資源的訪問(wèn)行為進(jìn)行了細(xì)粒度劃分，同時(shí)對(duì)認(rèn)證平臺(tái)內(nèi)部的行為和權(quán)限進(jìn)行了細(xì)粒度劃分，使之符合用戶實(shí)際的工作流程，滿足管理制度的要求，并且能進(jìn)行阻斷。問(wèn)題五：集中審計(jì)的需求能夠?qū)θ藛T的登錄過(guò)程、登錄后進(jìn)行的操作進(jìn)行審計(jì)，審計(jì)的覆蓋范圍不僅包括對(duì)認(rèn)證平臺(tái)本身操作的審計(jì)，還包括對(duì)各被管系統(tǒng)訪問(wèn)、操作的審計(jì)。審計(jì)系統(tǒng)應(yīng)能夠統(tǒng)一對(duì)認(rèn)證平臺(tái)上的所有模塊進(jìn)行安全審計(jì)。主要包括，賬號(hào)、角色、資源等進(jìn)行創(chuàng)建、授權(quán)、分配、管理的內(nèi)部管理行為的審計(jì)；登錄過(guò)程的審計(jì)；身份認(rèn)證的審計(jì)。審計(jì)系統(tǒng)還應(yīng)支持登錄被管系統(tǒng)后行為的審計(jì)，可以對(duì)用戶的字符指令操作進(jìn)行追溯。并且與授權(quán)管理產(chǎn)品聯(lián)動(dòng)，當(dāng)審計(jì)產(chǎn)品發(fā)現(xiàn)某用戶操作，已經(jīng)超過(guò)授權(quán)管理的權(quán)限，審計(jì)產(chǎn)品立即阻斷此越權(quán)行為，保障系統(tǒng)的安全性；XXXXX身份及訪問(wèn)管理解決方案身份及訪問(wèn)安全管理問(wèn)題及需求分析身份及訪問(wèn)管理系統(tǒng)的建設(shè)思路XXXXX身份及訪問(wèn)管理解決方案身份及訪問(wèn)管理系統(tǒng)特點(diǎn)和優(yōu)勢(shì)XXXXX實(shí)施建議和注意事項(xiàng)XXXXX身份及訪問(wèn)管理解決方案探討XXXXX身份及訪問(wèn)管理收益分析XXXXX身份及訪問(wèn)管理解決方案框架結(jié)構(gòu)系統(tǒng)架構(gòu)功能部署圖數(shù)據(jù)流向功能模塊功能說(shuō)明產(chǎn)品部署產(chǎn)品框架架結(jié)構(gòu)系統(tǒng)架構(gòu)構(gòu)系統(tǒng)功能能部署圖圖數(shù)據(jù)流向向第三方審計(jì)產(chǎn)品品防火墻產(chǎn)品功能能模塊日志采集集集中審計(jì)計(jì)日志過(guò)濾濾審計(jì)報(bào)表表歸并壓制制關(guān)聯(lián)分析析智能告警警決策支持持工單扭轉(zhuǎn)轉(zhuǎn)數(shù)據(jù)挖掘掘密碼策略略認(rèn)證管理理集中認(rèn)證證認(rèn)證方式式外部認(rèn)證證客戶端認(rèn)認(rèn)證集中授權(quán)權(quán)授權(quán)管理理用戶授權(quán)權(quán)角色授權(quán)權(quán)資源授權(quán)權(quán)應(yīng)用授權(quán)權(quán)行為授權(quán)權(quán)單點(diǎn)登錄錄訪問(wèn)控制制用戶同步步用戶管理理生命周期期管理角色管理理資源管理理策略管理理主賬號(hào)管管理從賬號(hào)管管理用戶自管管理用戶組管管理功能模塊塊主要產(chǎn)品品功能說(shuō)說(shuō)明重點(diǎn)功能能說(shuō)明資源管理理統(tǒng)一身份份管理用戶同步步授權(quán)管理理生命周期期管理帳號(hào)策略略管理口令策略略認(rèn)證方式式SSO動(dòng)態(tài)短信信口令認(rèn)認(rèn)證集中訪問(wèn)問(wèn)控制集中審計(jì)計(jì)智能告警警功能說(shuō)明明：資源源管理資源管理理對(duì)從帳帳號(hào)進(jìn)行行分類定定義并做做為資源源從帳號(hào)號(hào)的屬性性，包括括孤立帳帳號(hào)、交交叉帳號(hào)號(hào)和播測(cè)測(cè)帳號(hào)等等，并且且賦予了了一些基基本的管管理功能能。羅列列主要的的資源從從帳號(hào)屬屬性如下下：孤立帳號(hào)號(hào)：任何何被管資資源上的的從帳號(hào)號(hào)如果在在沒有被被分配給給自然人人帳號(hào)的的情況下下，則標(biāo)標(biāo)記為孤孤立帳號(hào)號(hào)，并能能夠向管管理員產(chǎn)產(chǎn)生報(bào)告告以便及及時(shí)發(fā)現(xiàn)現(xiàn)非法帳帳號(hào)或?yàn)E濫用帳號(hào)號(hào)的存在在；共享帳號(hào)號(hào)：被做做為角色色并且分分配給了了多個(gè)自自然人的的資源從從帳號(hào)，，則標(biāo)記記為共享享帳號(hào)，，并提供供帳號(hào)報(bào)報(bào)告；直屬帳號(hào)號(hào)：唯一一對(duì)應(yīng)且且僅僅從從屬于單單一自然然人的資資源從帳帳號(hào)，則則標(biāo)記為為直屬帳帳號(hào)，并并提供帳帳號(hào)報(bào)告告；交叉帳號(hào)號(hào)：除了了XXXXX對(duì)對(duì)其進(jìn)行行管理以以外，還還存在其其他應(yīng)用用系統(tǒng)對(duì)對(duì)其使用用或管理理的情況況下，資資源從帳帳號(hào)需要要被保護(hù)護(hù)并不能能隨意變變更密碼碼的，則則標(biāo)記為為交叉帳帳號(hào)并提提供帳號(hào)號(hào)報(bào)告；；播測(cè)帳號(hào)號(hào)：對(duì)于于交叉帳帳號(hào)或其其他需要要重點(diǎn)保保護(hù)的資資源從帳帳號(hào)（比比如數(shù)據(jù)據(jù)庫(kù)帳號(hào)號(hào)），需需要XXXXX對(duì)其進(jìn)進(jìn)行周期期性播測(cè)測(cè)以確保保此類帳帳號(hào)能夠夠獲得持持續(xù)的正正常訪問(wèn)問(wèn)，則標(biāo)標(biāo)記為播播測(cè)帳號(hào)號(hào)。功能說(shuō)明明：統(tǒng)一一身份管管理實(shí)現(xiàn)了對(duì)對(duì)自然人人的生命命周期管管理和授授權(quán)管理理提供用戶戶分組管管理的功功能，所所有的賬賬號(hào)策略略、授權(quán)權(quán)策略、、訪問(wèn)控控制策略略等均可可通過(guò)組組的方式式來(lái)進(jìn)行行批量的的設(shè)定，，同時(shí)也也可以對(duì)對(duì)單個(gè)用用戶進(jìn)行行精細(xì)的的策略授授權(quán)提供流程程引擎，，滿足賬賬號(hào)申請(qǐng)請(qǐng)、審批批、分配配、通知知等流程程管理制制度的需需要，并并且能夠夠與BMCRemedy、、HPOSD、CAHelpDesk等主流流電子運(yùn)運(yùn)維流程程進(jìn)行無(wú)無(wú)縫集成成，便于于企業(yè)建建立統(tǒng)一一的安全全運(yùn)維管管理提供角色色授權(quán)與與訪問(wèn)控控制等一一系列策策略管理理功能，，滿足企企業(yè)對(duì)人人員訪問(wèn)問(wèn)安全的的各種需需求，能能夠?qū)崿F(xiàn)現(xiàn)對(duì)人員員、時(shí)間間、地點(diǎn)點(diǎn)、被訪訪資源、、操作、、頻率次次數(shù)等的的授權(quán)、、訪問(wèn)控控制和審審計(jì)能力力提供用戶戶自服務(wù)務(wù)功能，，使得用用戶可以以自行登登錄XXXXXPortal修改個(gè)人人身份信信息以及及獲得修修改授權(quán)權(quán)范圍內(nèi)內(nèi)資源從從賬號(hào)密密碼的能能力功能說(shuō)明明：用戶戶同步能夠自動(dòng)發(fā)現(xiàn)現(xiàn)主機(jī)、網(wǎng)網(wǎng)絡(luò)設(shè)備備、數(shù)據(jù)據(jù)庫(kù)上的的已有賬賬號(hào)系統(tǒng)還可可以通過(guò)過(guò)帳號(hào)推推送機(jī)制制，通過(guò)過(guò)集中帳帳號(hào)管理理系統(tǒng)在在被管系系統(tǒng)中創(chuàng)創(chuàng)建新的的帳號(hào)還可以通通過(guò)同步步機(jī)制，，與用戶戶現(xiàn)有的的用戶管管理系統(tǒng)統(tǒng)，例如如、域用用戶系統(tǒng)統(tǒng)等用戶戶管理系系統(tǒng)實(shí)現(xiàn)現(xiàn)帳號(hào)的的同步對(duì)各種主主機(jī)、網(wǎng)網(wǎng)絡(luò)設(shè)備備、數(shù)據(jù)據(jù)庫(kù)、應(yīng)應(yīng)用系統(tǒng)統(tǒng)等分別別提供專專門的帳帳號(hào)驅(qū)動(dòng)動(dòng)機(jī)制和和協(xié)議來(lái)來(lái)實(shí)現(xiàn)帳帳號(hào)的管管理，例例如Radius協(xié)議議、LDAP協(xié)協(xié)議、SSH、、JDBC、API等等等主機(jī)：主機(jī)驅(qū)動(dòng)動(dòng)針對(duì)unix，windows主主機(jī)進(jìn)行行帳號(hào)管管理，以以及包括括組、目目錄、Shell等的的建立。。Unix主機(jī)：：支持列表表：linux、hpunix、ibmaix、scounix、、freebsd、sunsolaris等。。同步方式式：使用用標(biāo)準(zhǔn)的的通信接接口telnet、ssh，，通過(guò)發(fā)發(fā)送用戶戶操作指指令的方方式對(duì)主主機(jī)從帳帳號(hào)進(jìn)行行相應(yīng)的的維護(hù)。。Windows主機(jī)：：同步方式式：獨(dú)立主機(jī)機(jī)：使用用標(biāo)準(zhǔn)的的通信接接口telnet、ssh，，通過(guò)發(fā)發(fā)送用戶戶操作指指令的方方式對(duì)主主機(jī)從帳帳號(hào)進(jìn)行行相應(yīng)的的維護(hù)。。域服務(wù)器器：使用用LDAP協(xié)議議，對(duì)AD進(jìn)行行標(biāo)準(zhǔn)的的帳號(hào)管管理。網(wǎng)絡(luò)設(shè)備備：網(wǎng)絡(luò)設(shè)備備驅(qū)動(dòng)主主要通過(guò)過(guò)Radius協(xié)議和和建立內(nèi)內(nèi)置Radius服務(wù)務(wù)器的方方式進(jìn)行行帳號(hào)的的管理，，以及進(jìn)進(jìn)行帳號(hào)號(hào)的訪問(wèn)問(wèn)控制等等授權(quán)管管理。支持列表表：cisco交換機(jī)機(jī)交換機(jī)機(jī)、華為為路由器器交換機(jī)機(jī)、juniper網(wǎng)網(wǎng)絡(luò)設(shè)備備等支持持標(biāo)準(zhǔn)Radius協(xié)協(xié)議的設(shè)設(shè)備。同步方式式：通過(guò)過(guò)Radius協(xié)議，，使設(shè)備備的用戶戶和主用用戶同步步。數(shù)據(jù)庫(kù)：：數(shù)據(jù)庫(kù)驅(qū)驅(qū)動(dòng)通過(guò)過(guò)JDBC協(xié)議議與數(shù)據(jù)據(jù)進(jìn)行交交換，進(jìn)進(jìn)行數(shù)據(jù)據(jù)庫(kù)帳號(hào)號(hào)等的權(quán)權(quán)限信息息的管理理。支持列表表：MSSQLSERVER、ORACLE、、SYBASE、DB2、INFOMIX和MYSQL等主流流數(shù)據(jù)庫(kù)庫(kù)。同步方式式：通過(guò)過(guò)jdbc協(xié)議議，通過(guò)過(guò)使用各各個(gè)數(shù)據(jù)據(jù)庫(kù)相關(guān)關(guān)命令，，進(jìn)行數(shù)數(shù)據(jù)庫(kù)用用戶的同同步。應(yīng)用：應(yīng)用系統(tǒng)統(tǒng)的驅(qū)動(dòng)動(dòng)一般通通過(guò)其自自身專有有協(xié)議、、對(duì)外接接口API的方方式實(shí)現(xiàn)現(xiàn)。支持列表表：LotusDomino、SAP、、以及各各種C/S、B/S應(yīng)應(yīng)用等常常用系統(tǒng)統(tǒng)。此外外，*****具備強(qiáng)強(qiáng)大的本本地研發(fā)發(fā)能力為為客戶提提供各種種需求的的開發(fā)定定制能力力，能夠夠最廣泛泛的、最最深入的的實(shí)現(xiàn)客客戶個(gè)性性化帳號(hào)號(hào)管理的的需求。。同步方式式：Domino：：通過(guò)DIIOP遠(yuǎn)程程操作，，進(jìn)行帳帳號(hào)管理理。SAP：：通過(guò)其其提供的的JCO接口，，進(jìn)行帳帳號(hào)管理理。其他應(yīng)用用：通過(guò)過(guò)應(yīng)用提提供的相相應(yīng)接口口，進(jìn)行行帳號(hào)管管理。功能說(shuō)明明：授權(quán)權(quán)管理集中授權(quán)權(quán)管理可可實(shí)現(xiàn)完完善的角角色授權(quán)權(quán)管理功功能，從從用戶、、角色和和資源進(jìn)進(jìn)行用戶戶授權(quán)管管理。制定到資資源邊界界的粗粒粒度授權(quán)權(quán)，即，，用戶按按照角色色權(quán)限和和管理資資源范圍圍的不同同，能夠夠訪問(wèn)的的資源IP和Port也不同同；制定針對(duì)對(duì)資源操操作的細(xì)細(xì)粒度授授權(quán)，即即，能夠夠?qū)τ脩魬暨M(jìn)行登登錄時(shí)間間、訪問(wèn)問(wèn)地點(diǎn)、、目的資資源、次次數(shù)、頻頻率、失失敗控制制、操作作命令、、操作參參數(shù)等等等的具體體行為、、時(shí)間、、地點(diǎn)、、目的的的精細(xì)控控制授權(quán)與訪訪問(wèn)控制制-資源源內(nèi)部訪訪問(wèn)控制制對(duì)自然人人賬號(hào)授授權(quán)資源源內(nèi)部角角色，實(shí)實(shí)現(xiàn)了自自然人賬賬號(hào)到資資源訪問(wèn)問(wèn)的基本本授權(quán)，，由于資資源從帳帳號(hào)與資資源內(nèi)部部角色包包含有資資源自身身訪問(wèn)控控制的內(nèi)內(nèi)部授權(quán)權(quán)信息（（例如用用戶組、、Shell等等），可可以依靠靠資源內(nèi)內(nèi)部實(shí)現(xiàn)現(xiàn)末端的的訪問(wèn)控控制。資源主、、從角色色管理：：通過(guò)規(guī)規(guī)劃資源源上的角角色（稱稱為從角角色）以以及建立立XXXXX主主角色與與從角色色的對(duì)應(yīng)應(yīng)關(guān)系，，來(lái)集中中建立企企業(yè)角色色自然人帳帳號(hào)授權(quán)權(quán)管理：：向自然然人帳號(hào)號(hào)授權(quán)資資源列表表及主角角色批量授權(quán)權(quán)引擎：：根據(jù)自自然人帳帳號(hào)、資資源列表表，在各各個(gè)資源源上批量量建立從從帳號(hào)及及所屬組組，并將將從賬號(hào)號(hào)分配給給主賬號(hào)號(hào)授權(quán)與訪訪問(wèn)控制制-訪問(wèn)問(wèn)控制網(wǎng)網(wǎng)關(guān)XXXXXPortal方方式的集集中接入入和訪問(wèn)問(wèn)控制；；集成SSLVPN方方式的集集中接入入和訪問(wèn)問(wèn)控制；；集成反向向代理（（AccessManager））方式的的集中接接入和訪訪問(wèn)控制制；集成堡壘壘主機(jī)方方式的集集中接入入和訪問(wèn)問(wèn)控制；；集成Citrix、NTA方方式的集集中接入入和訪問(wèn)問(wèn)控制授權(quán)與訪訪問(wèn)控制制-AAA的訪訪問(wèn)控制制通過(guò)將支支持Radius的資資源的認(rèn)認(rèn)證指向向XXXXX內(nèi)內(nèi)置的RadiusServer來(lái)保證證資源訪訪問(wèn)的授授權(quán)功能說(shuō)明明：生命命周期管管理功能說(shuō)明明：帳號(hào)號(hào)策略管管理*****XXXXX的帳號(hào)號(hào)策略管管理提供供了豐富富的自動(dòng)動(dòng)化帳號(hào)號(hào)管理功功能，能能夠根據(jù)據(jù)帳號(hào)類類型和相相應(yīng)的管管理策略略滿足用用戶多樣樣的管理理需求。。這些管管理需求求包括：：自動(dòng)發(fā)現(xiàn)現(xiàn)和自動(dòng)動(dòng)監(jiān)測(cè)：滿足用用戶對(duì)各各IT資資源上的的帳號(hào)監(jiān)監(jiān)控需求求，周期期性的采采集、同同步和監(jiān)監(jiān)測(cè)被管管資源上上的帳號(hào)號(hào)。主從帳號(hào)號(hào)一致性性：滿足用用戶對(duì)授授權(quán)資源源內(nèi)的自自然人帳帳號(hào)的統(tǒng)統(tǒng)一與同同步需求求，保證證在授權(quán)權(quán)資源范范圍內(nèi)對(duì)對(duì)每個(gè)自自然人帳帳號(hào)維持持一套獨(dú)獨(dú)有的、、一致性性的資源源從帳號(hào)號(hào)。此功功能不同同于角色色管理模模式，在在角色管管理模式式下，多多個(gè)自然然人可能能共享同同一套資資源從帳帳號(hào)。特殊帳號(hào)號(hào)一致性性推拉：滿足用用戶對(duì)特特定用戶戶、特定定資源范范圍內(nèi)的的應(yīng)用系系統(tǒng)帳號(hào)號(hào)的快速速推廣需需求，滿滿足其他他IT管管理系統(tǒng)統(tǒng)對(duì)企業(yè)業(yè)IT資資源的自自動(dòng)化監(jiān)監(jiān)管需求求。例如如，網(wǎng)管管系統(tǒng)的的自動(dòng)巡巡檢模塊塊需要根根據(jù)網(wǎng)管管系統(tǒng)的的值班帳帳號(hào)來(lái)采采集主機(jī)機(jī)、網(wǎng)絡(luò)絡(luò)設(shè)備或或系統(tǒng)等等的配置置、性能能等狀態(tài)態(tài)數(shù)據(jù)，，XXXXX的的帳號(hào)策策略管理理模塊能能夠?yàn)檫@這部分特特殊帳號(hào)號(hào)提供值值班期間間的設(shè)備備、系統(tǒng)統(tǒng)以及網(wǎng)網(wǎng)管系統(tǒng)統(tǒng)自動(dòng)巡巡檢系統(tǒng)統(tǒng)間的一一致性臨臨時(shí)帳號(hào)號(hào)，保證證安全有有效的自自動(dòng)化訪訪問(wèn)。動(dòng)態(tài)密碼碼計(jì)劃：滿足對(duì)對(duì)被管資資源從帳帳號(hào)的安安全保護(hù)護(hù)需求，，對(duì)資源源從帳號(hào)號(hào)進(jìn)行周周期性的的高強(qiáng)度度密碼變變更，維維護(hù)賬號(hào)號(hào)的安全全性。帳號(hào)處理理策略：滿足對(duì)對(duì)各種帳帳號(hào)類型型的處理理需求，，將帳號(hào)號(hào)劃分為為交叉帳帳號(hào)、共共享帳號(hào)號(hào)、孤立立帳號(hào)等等：交叉帳號(hào)號(hào)：交叉叉帳號(hào)是是XXXXX管管理但被被其他系系統(tǒng)內(nèi)部部使用的的帳號(hào)，，它的密密碼不能能隨意改改變。因因此這類類帳號(hào)不不能進(jìn)入入密碼計(jì)計(jì)劃；共享賬號(hào)號(hào)：在AMS內(nèi)內(nèi)部被授授予多個(gè)個(gè)用戶使使用的帳帳號(hào)，這這個(gè)賬號(hào)號(hào)的刪除除不能隨隨一個(gè)賬賬號(hào)的刪刪除而刪刪除；孤立帳號(hào)號(hào)：在AMS內(nèi)內(nèi)部未被被授權(quán)的的用戶，，這類賬賬號(hào)會(huì)一一告警的的方式被被告知管管理原；；播測(cè)帳號(hào)號(hào)：這類類賬號(hào)，，系統(tǒng)會(huì)會(huì)對(duì)其進(jìn)進(jìn)行定期期的播測(cè)測(cè)，發(fā)現(xiàn)現(xiàn)異常會(huì)會(huì)告知管管理員。。功能說(shuō)明明：口令令策略實(shí)現(xiàn)集中中的密碼碼管理，，并按照照密碼策策略的要要求，自自動(dòng)、集集中、定定期修改改系統(tǒng)賬賬號(hào)的口口令，對(duì)對(duì)口令強(qiáng)強(qiáng)度和周周期實(shí)行行統(tǒng)一的的管理。。實(shí)現(xiàn)集集中刪除除一個(gè)自自然人的的所有或或者部分分系統(tǒng)賬賬號(hào)。系統(tǒng)按照照SOX要求設(shè)設(shè)置了嚴(yán)嚴(yán)格的用用戶帳號(hào)號(hào)安全策策略，并并且可以以根據(jù)需需要自行行配置，，策略包包括密碼碼強(qiáng)度、、生存周周期等，，可以根根據(jù)需要要自動(dòng)定定時(shí)對(duì)從從帳號(hào)口口令進(jìn)行行修改，，并且能能夠?qū)⒔Y(jié)結(jié)果自動(dòng)動(dòng)同步到到所有被被管理系系統(tǒng)中去去。密碼(口口令)管管理策略略密碼制定定策略用戶必須須按照規(guī)規(guī)定涉及及相關(guān)主主、從賬賬號(hào)密碼碼（長(zhǎng)度度、字符符等），，系統(tǒng)還還提供多多種密碼碼制定策策略，滿滿足不同同系統(tǒng)對(duì)對(duì)密碼安安全的需需要；密碼修改改計(jì)劃用戶從賬賬號(hào)密碼碼的定期期變更，，提高密密碼的安安全性密碼定期期檢查通過(guò)系統(tǒng)統(tǒng)定時(shí)任任務(wù)，或或相關(guān)管管理員執(zhí)執(zhí)行密碼碼檢查，，找出系系統(tǒng)中存存在不滿滿足要求求的用戶戶口令；；密碼失效效策略系統(tǒng)自動(dòng)動(dòng)使不滿滿足要求求的密碼碼失效；；密碼存儲(chǔ)儲(chǔ)策略密碼的存存儲(chǔ)采用用加密存存儲(chǔ)，加加密方式式MD5，DES等功能說(shuō)明明：認(rèn)證證方式身份認(rèn)證證和訪問(wèn)問(wèn)管理系系統(tǒng)提供供靜態(tài)密密碼、WindowsNT域、WindowsKerberos、雙因因素、一一次性口口令和生生物特征征等多種種認(rèn)證方方式，而而且系統(tǒng)統(tǒng)具有靈靈活的定定制接口口，可以以方便的的與其它它第三方方認(rèn)證服服務(wù)器之之間的結(jié)結(jié)合。認(rèn)證系統(tǒng)統(tǒng)支持多多種認(rèn)證證方式，，系統(tǒng)通通過(guò)統(tǒng)一一的強(qiáng)身身份認(rèn)證證，保證證認(rèn)證過(guò)過(guò)程的安安全。用戶名/密碼安盟雙因因素認(rèn)證證LDAP智能卡X.509證書書RSASecurID令牌牌RADIUS短信認(rèn)證證生物特征征認(rèn)證認(rèn)證方式式比較認(rèn)證方式客戶端應(yīng)用支持安全性方便性存儲(chǔ)方式服務(wù)器證書認(rèn)證有Ｂ／ＳＣ／Ｓ高中文件證書服務(wù)器短信認(rèn)證無(wú)Ｂ／ＳＣ／Ｓ高高無(wú)短信認(rèn)證服務(wù)器&短信中心雙因素認(rèn)證無(wú)Ｂ／ＳＣ／Ｓ高中令牌認(rèn)證服務(wù)器靜態(tài)口令無(wú)Ｂ／ＳＣ／Ｓ低高無(wú)無(wú)功能說(shuō)明明:SSOXXXXXPortal的的B/S方式式的SSO單點(diǎn)登錄錄：通過(guò)XXXXXPortal自動(dòng)提交交表單的的方式：：用戶訪訪問(wèn)Web應(yīng)用用系統(tǒng)時(shí)時(shí)，XXXXXPortal通過(guò)過(guò)構(gòu)造隱隱藏的登登錄表單單并自動(dòng)動(dòng)提交的的方式進(jìn)進(jìn)入Web應(yīng)用用系統(tǒng)。。此種方方式下，，客戶端端在首次次通過(guò)XXXXXPortal的強(qiáng)認(rèn)證證和單獨(dú)獨(dú)登錄認(rèn)認(rèn)證后直直接與Web應(yīng)用系統(tǒng)統(tǒng)交互，，其訪問(wèn)問(wèn)行為需需要訪問(wèn)問(wèn)控制網(wǎng)網(wǎng)關(guān)來(lái)進(jìn)進(jìn)行授權(quán)權(quán)控制。。通過(guò)SSLVPN、、反向代代理表單單注入的的方式：：訪問(wèn)控控制網(wǎng)關(guān)關(guān)設(shè)備在在作代理理的過(guò)程程中當(dāng)發(fā)發(fā)現(xiàn)有登登錄特征征的http內(nèi)內(nèi)容，自自動(dòng)注入入表單內(nèi)內(nèi)容，完完成web應(yīng)用用登錄。。單點(diǎn)登出出：通過(guò)SSLVPN、、反向代代理和AMS進(jìn)進(jìn)行策略略聯(lián)動(dòng)的的方式。。當(dāng)用戶戶登出XXXXXPortal時(shí)時(shí)SSLVPN、反向向代理設(shè)設(shè)備收到到XXXXXServer的聯(lián)動(dòng)動(dòng)策略后后，斷開開用戶和和WEB應(yīng)用的的連接，，實(shí)現(xiàn)登登出。功能說(shuō)明明:SSOXXXXXPortal的的C/S方式式的SSO單點(diǎn)登錄錄：通過(guò)瀏覽覽器代填填控件進(jìn)進(jìn)行代填填：用戶戶在通過(guò)過(guò)XXXXXPortal的強(qiáng)認(rèn)證證后，代代填控件件會(huì)被自自動(dòng)下載載到客戶戶端瀏覽覽器中，，控件會(huì)會(huì)對(duì)C/S的客客戶端進(jìn)進(jìn)行掛鉤鉤，分析析特征事事件序列列，進(jìn)行行窗口控控件級(jí)操操作實(shí)現(xiàn)現(xiàn)代填動(dòng)動(dòng)作，單單獨(dú)登錄錄后的訪訪問(wèn)行為為需要訪訪問(wèn)控制制網(wǎng)關(guān)來(lái)來(lái)進(jìn)行授授權(quán)控制制。此種種方式需需要客戶戶端預(yù)先先安裝C/S的的Client端。單點(diǎn)登出出：通過(guò)SSLVPN，，堡壘主主機(jī)，Citrix等等這些C/S訪訪問(wèn)控制制設(shè)備，，和AMS進(jìn)行行策略聯(lián)聯(lián)動(dòng)的方方式。當(dāng)當(dāng)用戶登登出XXXXXPortal時(shí)時(shí)SSLVPN、堡壘壘主機(jī)，，Citrix收到XXXXXServer的的聯(lián)動(dòng)策策略后斷斷開用戶戶和應(yīng)用用的連接接，實(shí)現(xiàn)現(xiàn)登出。。功能說(shuō)明明：動(dòng)態(tài)態(tài)短信口口令認(rèn)證證提供基于于短信動(dòng)動(dòng)態(tài)密碼碼（SMS-OTP））的認(rèn)證證方式，，能夠提提供符合合SOX等國(guó)際際標(biāo)準(zhǔn)和和法規(guī)要要求的高高強(qiáng)度認(rèn)認(rèn)證服務(wù)務(wù)；自動(dòng)判斷斷登錄IP網(wǎng)段段，能夠夠根據(jù)不不同的IP網(wǎng)段段確定是是否觸發(fā)發(fā)短信動(dòng)動(dòng)態(tài)密碼碼認(rèn)證；；短信動(dòng)態(tài)態(tài)密碼認(rèn)認(rèn)證服務(wù)務(wù)器在生生成并向向用戶發(fā)發(fā)送動(dòng)態(tài)態(tài)口令之之前，必必需對(duì)用用戶的身身份進(jìn)行行驗(yàn)證，，驗(yàn)證通通過(guò)后才才能向用用戶注冊(cè)冊(cè)手機(jī)號(hào)號(hào)碼發(fā)送送生成的的一次性性口令；；觸發(fā)過(guò)程中，，用戶的驗(yàn)證證密碼（PIN碼等）不不能在網(wǎng)絡(luò)上上明文傳輸；；短信動(dòng)態(tài)密碼碼認(rèn)證服務(wù)器器的觸發(fā)機(jī)制制能夠抵御惡惡意的動(dòng)態(tài)密密碼觸發(fā)請(qǐng)求求，防止拒絕絕服務(wù)攻擊；；認(rèn)證平臺(tái)只能能接受一次動(dòng)動(dòng)態(tài)密碼的登登錄認(rèn)證請(qǐng)求求，成功后動(dòng)動(dòng)態(tài)密碼立即即失效，此后后再采用該動(dòng)動(dòng)態(tài)密碼進(jìn)行行登錄均被視視為違法操作作；短信動(dòng)態(tài)密碼碼具有一定的的生命周期，，即使用戶沒沒有使用該動(dòng)動(dòng)態(tài)密碼進(jìn)行行登錄，超出出時(shí)間范圍后后該動(dòng)態(tài)密碼碼仍將自動(dòng)過(guò)過(guò)期。功能說(shuō)明：集集中訪問(wèn)控制制MSADMailServerWEBServerNetworkDeviceshttp/httpstelnet/ssh/ftprlogin/rshRDP/PCAnywhereVNC/Xwindowstelnet/sshsnmpset/ftpFireWall訪問(wèn)控制網(wǎng)關(guān)及審計(jì)XXXXXAuditManagementXXXXXAccessControlGateway√√√√功能說(shuō)明：集集中審計(jì)*****XXXXX的的審計(jì)管理以以集中的資源源管理為基礎(chǔ)礎(chǔ)，通過(guò)各種種堡壘主機(jī)、、網(wǎng)絡(luò)嗅探能能夠?qū)崿F(xiàn)用戶戶資源訪問(wèn)會(huì)會(huì)話的還原審審計(jì)。對(duì)于字符堡壘壘主機(jī)，可以以還原完整的的用戶會(huì)話內(nèi)內(nèi)容：用戶對(duì)對(duì)字符應(yīng)用的的訪問(wèn)是經(jīng)過(guò)過(guò)堡壘主機(jī)的的，堡壘主機(jī)機(jī)在會(huì)話層轉(zhuǎn)轉(zhuǎn)發(fā)對(duì)對(duì)應(yīng)用用的各種操作作命令，由于于在會(huì)話層對(duì)對(duì)操作命令和和執(zhí)行結(jié)果作作相應(yīng)的轉(zhuǎn)發(fā)發(fā)，因此可以以對(duì)這些轉(zhuǎn)發(fā)發(fā)的內(nèi)容（會(huì)會(huì)話）計(jì)入日日志，進(jìn)行審審計(jì)。對(duì)于RDP類類訪問(wèn)控制網(wǎng)網(wǎng)關(guān)，可以對(duì)對(duì)用戶的會(huì)話話進(jìn)行錄像，，完整記錄用用戶的圖形操操作：RDP類訪問(wèn)控制制網(wǎng)關(guān)通過(guò)轉(zhuǎn)轉(zhuǎn)發(fā)用戶對(duì)圖圖形應(yīng)用操作作的各種動(dòng)作作（鍵盤鼠標(biāo)標(biāo)事件）和圖圖形應(yīng)用的各各種繪圖操作作，實(shí)現(xiàn)圖形形應(yīng)用的會(huì)話話級(jí)代理。由由于在會(huì)話層層對(duì)操作動(dòng)作作和繪圖操作作作轉(zhuǎn)發(fā)，因因此可以對(duì)轉(zhuǎn)轉(zhuǎn)發(fā)的內(nèi)容進(jìn)進(jìn)行錄像，并并進(jìn)行審計(jì)。。網(wǎng)絡(luò)嗅探、數(shù)數(shù)據(jù)庫(kù)嗅探：：可以對(duì)用戶戶的資源操作作在網(wǎng)絡(luò)層做做相應(yīng)的嗅探探分析，對(duì)協(xié)協(xié)議內(nèi)容進(jìn)行行記錄，經(jīng)過(guò)過(guò)匹配規(guī)則實(shí)實(shí)現(xiàn)會(huì)話還原原。功能說(shuō)明：智智能告警提供豐富多樣樣的通知方式式，包括短信信、郵件、電電話和可執(zhí)行行命令行程序序等。提供SNMPTrap、Syslog兩種公公共通訊方式式發(fā)送告警。。提供與第三方方統(tǒng)一電子運(yùn)運(yùn)維系統(tǒng)的無(wú)無(wú)縫集成能力力，派發(fā)工作作單到對(duì)應(yīng)的的管理員或用用戶組。產(chǎn)品部署方案案典型部署———XXXXX部署結(jié)構(gòu)典型部署———XXXXX分級(jí)部署結(jié)結(jié)構(gòu)系統(tǒng)

詳細(xì)部部署圖典型部署———XXXXX分級(jí)部署分分析優(yōu)點(diǎn)：管理結(jié)構(gòu)清晰晰，符合用戶戶現(xiàn)有組織結(jié)結(jié)構(gòu)。采用這這種部署方式式，各業(yè)務(wù)系系統(tǒng)/各分支支機(jī)構(gòu)負(fù)責(zé)本本業(yè)務(wù)系統(tǒng)/本分支機(jī)構(gòu)構(gòu)的管理，總總部對(duì)各業(yè)務(wù)務(wù)系統(tǒng)/各分分支機(jī)構(gòu)進(jìn)行行監(jiān)督、審核核和統(tǒng)一管理理。符合用戶現(xiàn)有有運(yùn)維組織結(jié)結(jié)構(gòu)，易于實(shí)實(shí)施和推廣；；可以更好的適適應(yīng)和滿足不不同業(yè)務(wù)系統(tǒng)統(tǒng)安全運(yùn)維管管理的客戶化化需要和要求求，比如安全全策略設(shè)置、、定制報(bào)表等等；安全管理中心心的調(diào)試周期期短，能夠更更快適應(yīng)各業(yè)業(yè)務(wù)系統(tǒng)的安安全運(yùn)行管理理需求；安全運(yùn)行管理理中心的日常常維護(hù)工作量量較少。缺點(diǎn)：建設(shè)成本較高高，用戶多個(gè)個(gè)業(yè)務(wù)系統(tǒng)/分部/分支支機(jī)構(gòu)可能需需要建設(shè)多個(gè)個(gè)二級(jí)ＡＭＳＳ中心，相對(duì)對(duì)成本較高；；中國(guó)移動(dòng)身份份及訪問(wèn)管理理解決方案身份及訪問(wèn)安安全管理問(wèn)題題及需求分析析身份及訪問(wèn)管管理系統(tǒng)的建建設(shè)思路XXXXX身份及訪問(wèn)管管理解決方案案身份及訪問(wèn)管管理系統(tǒng)特點(diǎn)點(diǎn)和優(yōu)勢(shì)XXXXX實(shí)施建議和注注意事項(xiàng)身份及訪問(wèn)管管理解決方案探討討XXXXX身份及訪問(wèn)管管理收益分析析建設(shè)思路一、、遵循統(tǒng)一的的平臺(tái)的整體體架構(gòu)、具體體功能細(xì)節(jié)可可靈活實(shí)現(xiàn)Authentication認(rèn)證Authorization授權(quán)Audit審計(jì)中央管理控制制臺(tái)強(qiáng)身份認(rèn)證及及SSO目錄選擇商用Portal選擇擴(kuò)展安全審計(jì)計(jì)Account賬號(hào)管理AccessControlGateWayAccessControlGateWayAccessControlGateWayAccessControlGateWay建設(shè)思路二：：目錄結(jié)構(gòu)規(guī)規(guī)劃用戶樹、資源源樹和分級(jí)管管理甲地二級(jí)用戶樹甲地二級(jí)資源樹用戶G用戶E用戶F用戶H資源5資源6資源7資源8一級(jí)用戶樹一級(jí)資源樹資源1資源2資源3資源4用戶C用戶A用戶B用戶D乙地二級(jí)用戶樹乙地二級(jí)資源樹用戶K用戶J用戶L資源9資源10資源11資源12用戶I建設(shè)思路二：：目錄結(jié)構(gòu)規(guī)規(guī)劃漫游和跨域訪訪問(wèn)二級(jí)單位（乙乙）一級(jí)單位二級(jí)單位（甲甲）主賬號(hào)：C主賬號(hào)：D主賬號(hào)：E主賬號(hào)：F主賬號(hào)：A主賬號(hào)：B主賬號(hào)：E主賬號(hào)：E用戶漫游跨域訪問(wèn)方式一跨域訪問(wèn)方式二建設(shè)思路三：：部署建議建設(shè)思路四：：負(fù)載均衡XXXXX身身份及訪問(wèn)管管理解決方案案身份及訪問(wèn)安安全管理問(wèn)題題及需求分析析身份及訪問(wèn)管管理系統(tǒng)的建建設(shè)思路XXXXX身份及訪問(wèn)管管理解決方案案身份及訪問(wèn)管管理特點(diǎn)和優(yōu)優(yōu)勢(shì)XXXXX實(shí)施建議和注注意事項(xiàng)XXXXX身份及訪問(wèn)管管理解決方案探討討XXXXX身份及訪問(wèn)管管理收益分析析產(chǎn)品特點(diǎn)及優(yōu)優(yōu)勢(shì)先進(jìn)、完善的的整體架構(gòu)和和靈活的功能能實(shí)現(xiàn)方式，，產(chǎn)品采用模模塊化的設(shè)計(jì)計(jì)和通用接口口規(guī)范，能夠夠?qū)Ξ悩?gòu)的、、復(fù)雜的IT系統(tǒng)進(jìn)行統(tǒng)統(tǒng)一身份管理理；為第三方產(chǎn)產(chǎn)品，如認(rèn)認(rèn)證，審計(jì)計(jì)等產(chǎn)品的的整合提供供強(qiáng)大的接接口能力，，以及便利利的接入方方式；強(qiáng)大的身份份管理引擎擎同步驅(qū)動(dòng)動(dòng)器，能夠夠同步各類類賬戶管理理機(jī)制；完整的用戶戶賬號(hào)生命命周期管理理，實(shí)現(xiàn)賬賬號(hào)的創(chuàng)建建、維護(hù)、、修改、刪刪除的集中中管理；支持多種強(qiáng)強(qiáng)身份認(rèn)證證方式的單單點(diǎn)登陸技技術(shù)，簡(jiǎn)化化登陸操作作的同時(shí)卻卻提高了登登陸的安全全性；嚴(yán)謹(jǐn)?shù)氖跈?quán)權(quán)管理，確確保最小化化授權(quán)原則則的落實(shí)；；基于堡壘主主機(jī)技術(shù)的的訪問(wèn)控制制網(wǎng)關(guān)，為為企業(yè)各類類B/S和和C/S應(yīng)應(yīng)用實(shí)現(xiàn)了了集中的接接入訪問(wèn)控控制；強(qiáng)大縝密的的綜合安全全審計(jì)，為為企業(yè)提供供基于自然然人的行為為安全審計(jì)計(jì)管理，配配合靈活的的報(bào)表報(bào)告告管理，滿滿足企業(yè)合合規(guī)性的管管理；支持分布式式的物理分分級(jí)、虛擬擬分級(jí)或物物理/虛擬擬分級(jí)混合合的部署模模式，適應(yīng)應(yīng)企業(yè)的IT組織管管理架構(gòu)，，尊重企業(yè)業(yè)各部門、、各系統(tǒng)原原有的賬號(hào)號(hào)管理習(xí)慣慣。方案特點(diǎn)及及優(yōu)勢(shì)可訂制化可擴(kuò)展性高安全性高可靠性易用性4A系統(tǒng)除除了滿足標(biāo)標(biāo)準(zhǔn)的設(shè)備備之外，由由于各個(gè)用用戶的環(huán)境境不同，主主要的工作作是在定制制層面；*****擁有一支支資深的軟軟件研發(fā)隊(duì)隊(duì)伍，擁有有強(qiáng)大的研研發(fā)實(shí)力，，對(duì)系統(tǒng)定定制能得到到迅速和有有效的支持持；*****有很多對(duì)對(duì)客戶業(yè)務(wù)務(wù)系統(tǒng)符合合性修改的的經(jīng)驗(yàn)，能能快速的滿滿足客戶在在業(yè)務(wù)邏輯輯方面的需需求統(tǒng)一身份及及訪問(wèn)管理理系統(tǒng)完全全采用模塊塊化的開發(fā)發(fā)模式，系系統(tǒng)各模塊塊之間可以以靈活的組組合與對(duì)接接，而且可可以通過(guò)通通用接口與與第三方的的產(chǎn)品進(jìn)行行對(duì)接；系統(tǒng)提供支支持現(xiàn)有主主流的各種種主機(jī)設(shè)備備、操作系系統(tǒng)和應(yīng)用用系統(tǒng)；系統(tǒng)能夠提提供快捷的的開發(fā)平臺(tái)臺(tái)，方便用用戶針對(duì)一一些特有系系統(tǒng)的二次次開發(fā)；硬件系統(tǒng)采采用模塊化化結(jié)構(gòu)，以以保證系統(tǒng)統(tǒng)內(nèi)存、CPU及儲(chǔ)儲(chǔ)存容量的的擴(kuò)展；在軟件系統(tǒng)統(tǒng)的開發(fā)中中保持高聚聚合低耦合