統(tǒng)一身份及訪問安全管理系統(tǒng)

ULTRA－IAM統(tǒng)一身份及訪問安全管理系統(tǒng)

北京神州泰岳軟件股份有限公司信息安全事業(yè)部概要123產(chǎn)品概況Ultra-IAM產(chǎn)品介紹建設(shè)關(guān)注點4案例介紹業(yè)界關(guān)于4A解決方案的一些名詞國際叫法：IAM——IdentityandAccessManagement，統(tǒng)一身份及訪問安全管理神州泰岳產(chǎn)品：Ultra-IAM——Account、Authentication、Authorization、AuditandAccessControlManagementSysytem中國移動叫法：安全管控平臺或者4A，涵蓋三個子中心集中維護(hù)接入平臺SMAP：對應(yīng)AccessControl帳號口令管理系統(tǒng)：對應(yīng)Account、Authentication、Authorization審計系統(tǒng)：對應(yīng)Audit4A解決什么問題？——錯綜復(fù)雜的日常運行維護(hù)管理企業(yè)員工張三在公司企業(yè)各類IT資源企業(yè)員工李四在出差王五是遠(yuǎn)程的第三方維護(hù)人員小劉是現(xiàn)場的第三方維護(hù)人員弱口令無法控制維護(hù)接入途徑五花八門維護(hù)操作內(nèi)容無從知曉違規(guī)操作無法控制賬戶開設(shè)無規(guī)可循4A解決什么問題？——安全管控平臺的作用企業(yè)員工張三在公司企業(yè)員工李四在出差王五是遠(yuǎn)程的第三方維護(hù)人員小劉是現(xiàn)場的第三方維護(hù)人員集中安全維護(hù)接入平臺集中帳號口令管理平臺集中安全審計平臺企業(yè)各類IT資源建設(shè)現(xiàn)狀分析現(xiàn)狀審計維護(hù)安全問題不斷出現(xiàn)，系統(tǒng)維護(hù)和管理工作負(fù)擔(dān)大，效率低認(rèn)證帳號獨立的用戶數(shù)據(jù)庫和獨立的系統(tǒng)管理員；自然人身份和業(yè)務(wù)系統(tǒng)帳號重疊；多系統(tǒng)都基于獨立的帳號管理實現(xiàn)訪問頻繁切換接入網(wǎng)絡(luò)沒有強(qiáng)制檢測手段；訪問系統(tǒng)沒有強(qiáng)身份認(rèn)證手段；各應(yīng)用系統(tǒng)都獨立認(rèn)證；授權(quán)獨立的系統(tǒng)授權(quán)機(jī)制和獨立的應(yīng)用授權(quán)管理獨立的審計，缺乏關(guān)聯(lián)分析。運營出現(xiàn)的安全問題無法明確定位Ultra-IAM系統(tǒng)概述神州泰岳Ultra-IAM是集賬號管理、授權(quán)管理、認(rèn)證管理和綜合審計、安全訪問控制于一體的集中賬號及安全訪問管理系統(tǒng)(業(yè)界稱為4A）。該產(chǎn)品實現(xiàn)用戶賬戶管理(Account)、認(rèn)證(Authentication)、授權(quán)(Authorization)和審計(Audit)四方面的內(nèi)在關(guān)聯(lián)，是目前國內(nèi)功能最完整、控制粒度最細(xì)的綜合身份認(rèn)證和訪問安全管理產(chǎn)品。Ultra-IAM采用模塊化設(shè)計，不但可以根據(jù)用戶需要和環(huán)境特點進(jìn)行選擇、組合，而且可以提供定制化的開發(fā)，能夠方便地實現(xiàn)與用戶應(yīng)用的有機(jī)結(jié)合。Ultra-IAM名詞解釋4A系統(tǒng)：集中安全管控平臺，神州泰岳內(nèi)部產(chǎn)品為Ultra-IAM統(tǒng)一身份及訪問安全管理系統(tǒng)主賬號：自然人使用的帳號，目前主要是網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的帳號。資源：自然人要訪問的業(yè)務(wù)系統(tǒng)中實體，如應(yīng)用程序、帳號、目錄、文件、數(shù)據(jù)庫、數(shù)據(jù)庫中保存的某個表、IP端口等等；可以根據(jù)實際需要，將多個資源看作一個整體；也可以將一個資源進(jìn)一步細(xì)分成多個資源。應(yīng)用資源：業(yè)務(wù)系統(tǒng)中的一種資源類型，例如網(wǎng)管系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)等。系統(tǒng)資源：業(yè)務(wù)系統(tǒng)中的一種資源類型，包括主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等。概要123產(chǎn)品概況Ultra-IAM產(chǎn)品介紹建設(shè)關(guān)注點4案例介紹4A系統(tǒng)的工作場景C/S應(yīng)用B/S應(yīng)用Ultra-IAMPortal普通用戶運維用戶LDAPUltra-IAMServerUltra-IAMResourceManagementDriversuites網(wǎng)絡(luò)設(shè)備主機(jī)系統(tǒng)數(shù)據(jù)庫系統(tǒng)主賬號認(rèn)證授權(quán)資源列表帳號管理員審計管理員SSOACTIVE控件代填SSO集中應(yīng)用發(fā)布系統(tǒng)SSOSSO安裝filter攔截器授權(quán)策略頁面嵌入堡壘主機(jī)代填代填（HTTP模擬、Form代填）憑證（Token、Ticket）從帳號SSOUltra-IAM系統(tǒng)架構(gòu)系統(tǒng)功能用戶管理認(rèn)證管理系統(tǒng)功能12集中審計4授權(quán)管理3認(rèn)證方式選擇單點登錄SSO認(rèn)證轉(zhuǎn)發(fā)日志采集日志分析審計還原告警處理審計報表主從帳號管理用戶同步生命周期管理密碼管理用戶自管理授權(quán)管理資源管理訪問控制角色管理授權(quán)粒度控制主從帳號管理主帳號管理組織管理：能夠按照按地域、組織結(jié)構(gòu)進(jìn)行劃分，建立相 應(yīng)樹狀目錄用于合理組織主帳號。分級管理：以適應(yīng)分部門、分管理層次的分級管理要求； 不同級別的帳號可以行使不同級別的權(quán)限屬性管理：包括帳號基本信息、時效策略、密碼策略、組 織標(biāo)識、角色標(biāo)識。生命周期管理：對用戶從產(chǎn)生到刪除各存在狀態(tài)進(jìn)行管理帳號監(jiān)控：口令系統(tǒng)對幽靈帳號、弱口令和交叉帳號（不 能修改口令的程序帳號）進(jìn)行監(jiān)控，并提供相應(yīng)的 告警報表自服務(wù)功能：對自己的屬性進(jìn)行修改同步功能神州泰岳Ultra-IAM通過多種方式來實現(xiàn)對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)的用戶同步管理Telnet/SSH方式AD域方式JDBC/ODBCLDAP方式模擬客戶端Radius協(xié)議AgentWebService專用API方式同步功能-技術(shù)實現(xiàn)主機(jī)：同步方式：使用標(biāo)準(zhǔn)的通信接口telnet、ssh，通過發(fā)送用戶操作指令的方式對主機(jī)從帳號進(jìn)行相應(yīng)的維護(hù)。網(wǎng)絡(luò)設(shè)備：驅(qū)動主要通過Radius協(xié)議和建立內(nèi)置Radius服務(wù)器的方式進(jìn)行帳號的管理，以及進(jìn)行帳號的訪問控制等授權(quán)管理。數(shù)據(jù)庫：通過JDBC協(xié)議與數(shù)據(jù)進(jìn)行交換，進(jìn)行數(shù)據(jù)庫帳號等的權(quán)限信息的管理。應(yīng)用系統(tǒng)： 通過標(biāo)準(zhǔn)接口來實現(xiàn)帳號同步，如JDBC/ODBC、標(biāo)準(zhǔn)LDAP

通過私有協(xié)議來實現(xiàn)和應(yīng)用系統(tǒng)間帳號接口，提供java或c的標(biāo)準(zhǔn)api接口，webservicejmx等接口完整的生命周期管理對用戶從產(chǎn)生到刪除各存在狀態(tài)進(jìn)行管理,包括統(tǒng)一的用戶創(chuàng)建、維護(hù)、刪除等功能，并同步到各個系統(tǒng)中去。流程設(shè)計4A系統(tǒng)內(nèi)置流程引擎，并內(nèi)置圖形化流程設(shè)計器，滿足帳號申請、審批、分配、通知等流程管理制度的需要提供多種密碼管理策略密碼安全策略 密碼強(qiáng)度（長度、字符、有效期等)，系統(tǒng)還提供多種密碼制定策略，滿足不同系統(tǒng)對密碼安全的需要密碼修改任務(wù) 用戶從帳號密碼的定期變更，提高密碼的安全性密碼定期檢查 通過系統(tǒng)定時任務(wù)，或相關(guān)管理員執(zhí)行密碼檢查，找出系統(tǒng)中存在不滿足要求的用戶口令密碼同步策略

認(rèn)證管理用戶管理認(rèn)證管理系統(tǒng)功能12集中審計4授權(quán)管理3認(rèn)證方式選擇單點登錄SSO認(rèn)證轉(zhuǎn)發(fā)日志采集日志分析審計還原告警處理審計報表主從帳號管理用戶同步生命周期管理密碼管理用戶自管理授權(quán)管理資源管理訪問控制角色管理授權(quán)粒度控制認(rèn)證方式支持目前，神州泰岳Ultra-IAMSSO單點登陸系統(tǒng)支持以下強(qiáng)身份認(rèn)證方式：支持多種認(rèn)證方式組合，保證認(rèn)證過程的安全。單點登錄神州泰岳Ultra-IAMSSO單點登陸系統(tǒng)為具有多帳號的用戶提供了方便快捷的訪問途經(jīng)，使用戶無需記憶多種登錄過程、用戶ID和口令。它通過應(yīng)用的集中接入和口令代填等方式向用戶提供對其個性化資源的快捷訪問提高生產(chǎn)效率和利潤授權(quán)管理用戶管理認(rèn)證管理系統(tǒng)功能12集中審計4授權(quán)管理3認(rèn)證方式選擇單點登錄SSO認(rèn)證轉(zhuǎn)發(fā)日志采集日志分析審計還原告警處理審計報表主從帳號管理用戶同步生命周期管理密碼管理用戶自管理授權(quán)管理資源管理訪問控制角色管理授權(quán)粒度控制集中授權(quán)管理通過基于角色授權(quán)，實現(xiàn)了用戶到資源訪問的權(quán)限分配實體級集中授權(quán)，授權(quán)粒度只精確到應(yīng)用、設(shè)備、主機(jī)，通俗一點說就是用戶是否有權(quán)連接某個IP地址＋端口實體內(nèi)部資源級集中授權(quán)，授權(quán)粒度精確到應(yīng)用、設(shè)備、主機(jī)內(nèi)的資源。資源包括應(yīng)用的功能模塊、HTML頁面、數(shù)據(jù)庫表或字段；主機(jī)內(nèi)的文件或目錄等23集中訪問控制Ultra-IAMPortal堡壘主機(jī)網(wǎng)絡(luò)設(shè)備主機(jī)系統(tǒng)數(shù)據(jù)庫系統(tǒng)C/S應(yīng)用B/S應(yīng)用網(wǎng)元桌面發(fā)布系統(tǒng)聯(lián)機(jī)指令平臺集中審計用戶管理認(rèn)證管理系統(tǒng)功能12集中審計4授權(quán)管理3認(rèn)證方式選擇單點登錄SSO認(rèn)證轉(zhuǎn)發(fā)日志采集日志分析審計還原告警處理審計報表主從帳號管理用戶同步生命周期管理密碼管理用戶自管理授權(quán)管理資源管理訪問控制角色管理授權(quán)粒度控制審計采集平臺自身安全審計信息：人員的帳號管理：帳號建立、帳號分配情況、權(quán)限分配情況、認(rèn)證、帳號使用（登入、登出）情況等。對本系統(tǒng)運行的全部行為，包括任何人（含系統(tǒng)管理員）的任何操作進(jìn)行記錄；被管資源操作行為審計主機(jī)，網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)庫等的所有用戶指令操作的記錄；對主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備上的日志進(jìn)行集中存儲和集中審計；應(yīng)用系統(tǒng)的關(guān)鍵操作行為數(shù)據(jù)；完整保留各類原始記錄、證據(jù)、依據(jù)，確保全方位的可審計對第三方的非常規(guī)訪問行為進(jìn)行完整記錄，并形成持久的震懾影響。為公司領(lǐng)導(dǎo)層提供安全決策支持，為運維層提供安全操作指向提供滿足規(guī)范要求的安全審計報表報告CentralServer(包含了集中存儲、分析、展現(xiàn)等功能)NetCollectorNet/DBSensor通過旁路部署的網(wǎng)絡(luò)嗅探方式實現(xiàn)對數(shù)據(jù)庫SQL操作指令的審計、對http、telnet、ftp、ssh、rlogin、rsh、pop3、smtp等網(wǎng)絡(luò)操作行為的審計通過集中訪問接口的方式，讓所有對目標(biāo)對象的訪問必須串行通過該訪問控制網(wǎng)關(guān)，所有訪問行為都將接受訪問控制網(wǎng)關(guān)的監(jiān)督和記錄。身份及訪問管理平臺用戶管理審計AccesscontrolGateway

AgentCollector在目標(biāo)審計對象上安裝agent的方式采集封閉系統(tǒng)的日志信息通過標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議接口（如Syslogd、SNMPtrap）或者定制網(wǎng)絡(luò)接口采集操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等對象的日志信息審計分析分類：基于源地址、用戶、操作的對象、操作的類型、操作的時間和操作結(jié)果來進(jìn)行分類。分級：根據(jù)審計信息的內(nèi)容、對應(yīng)的事件分類、相關(guān)資源、相關(guān)人員不同，將可審計事件的重要程度劃分為不同的級別，以便對不同級別的事件采取不同的處理方式操作行為分析:將系統(tǒng)層的日志、數(shù)據(jù)庫日志、應(yīng)用層的日志及網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行相互關(guān)聯(lián)，尤其是所有對財務(wù)數(shù)據(jù)相關(guān)的關(guān)鍵系統(tǒng)數(shù)據(jù)的訪問、修改和刪除等，再現(xiàn)用戶的完整操作過程。提供強(qiáng)大的審計信息查詢，管理人員可根據(jù)審計信息的各種屬性進(jìn)行分類查詢。支持基于時間、事件類型、級別、用戶帳號，關(guān)鍵字等字段的查詢告警:對非法地址、非法客戶應(yīng)用、非法數(shù)據(jù)庫用戶名、非法數(shù)據(jù)庫對象訪問、非法操作類型、非法SQL語句和非法時間進(jìn)行報警27柱狀統(tǒng)計分析統(tǒng)計分析折線趨勢分析支持多種報表樣式會話回放會話數(shù)據(jù)windows回放RDP回放數(shù)據(jù)庫訪問回放SSH行為回放支持多種操作重現(xiàn)支持多種SOX報表和管理類報表提供審計報表處理能力，可根據(jù)管理人員的定義生成各類報表根據(jù)審計對象，產(chǎn)生指定時間周期（日、周、月、季度、年）的報表。報表自動產(chǎn)生，報表內(nèi)容可以根據(jù)用戶需求進(jìn)行差別化定制。除了自動產(chǎn)生靜態(tài)報表外，還可以由用戶配置產(chǎn)生動態(tài)報表。報表支持包括打印和輸出各種格式的文件，如PDF、Word、Excel、HTML等等。系統(tǒng)內(nèi)置了多種報表形式，包括：SOX要求各類報表帳號類報表資源類報表告警類報表審計類報表用戶訪問類審計管理：針對敏感數(shù)據(jù)的審計專題神州泰岳結(jié)合業(yè)務(wù)系統(tǒng)敏感數(shù)據(jù)泄漏問題，以及數(shù)據(jù)安全管理辦法，通過在部分省市的經(jīng)驗，通過Ultra-IAM系統(tǒng)能方便實現(xiàn)以下審計專題：系統(tǒng)維護(hù)人員采用程序帳號訪問業(yè)務(wù)數(shù)據(jù)；系統(tǒng)維護(hù)人員采用程序帳號維護(hù)數(shù)據(jù)庫；維護(hù)人員繞過4A系統(tǒng)登錄業(yè)務(wù)系統(tǒng)或者操作系統(tǒng)；集團(tuán)客戶資料查詢審計查詢用戶信息審計導(dǎo)出用戶數(shù)據(jù)關(guān)聯(lián)審計用戶賬單查詢審計客戶資料查詢審計數(shù)據(jù)備份操作頻率，數(shù)據(jù)審計未經(jīng)審批流程的建立的帳號的自動發(fā)現(xiàn)、報警與控制處理機(jī)制基于規(guī)則的業(yè)務(wù)系統(tǒng)行為審計基于規(guī)則的業(yè)務(wù)系統(tǒng)行為審計主要完成日志解析、行為適配、規(guī)則分析三個處理過程。概要123產(chǎn)品概況Ultra-IAM產(chǎn)品介紹建設(shè)關(guān)注點4案例介紹關(guān)注點——目錄設(shè)計的合規(guī)性原則上4A系統(tǒng)的目錄schema設(shè)計應(yīng)符合企業(yè)的目錄規(guī)范的要求。用戶目錄庫不是數(shù)據(jù)庫，性能優(yōu)化主要針對讀操作，因此不建議存放經(jīng)常變化的用戶屬性對于要連接的應(yīng)用，有條件提供Schema的擴(kuò)展（不同的應(yīng)用有可能會使用不同的LDAP服務(wù)器），支持對業(yè)務(wù)支撐實現(xiàn)4A管理的架構(gòu)擴(kuò)展能力例如：支持自然人主賬號與工號的匹配、關(guān)聯(lián)、復(fù)用客服、營業(yè)廳人員的特殊屬性定義和識別對多種用戶認(rèn)證方式和接入訪問方式的屬性定義和應(yīng)用關(guān)注點——數(shù)據(jù)的安全為保證業(yè)務(wù)系統(tǒng)自身的數(shù)據(jù)安全，在4A系統(tǒng)實施和應(yīng)用過程中應(yīng)避免對業(yè)務(wù)系統(tǒng)資源數(shù)據(jù)和審計數(shù)據(jù)的直接訪問和采集，通過接口機(jī)方式實現(xiàn)對以上數(shù)據(jù)的采集，對接口機(jī)的數(shù)據(jù)操作必須采用安全加密方式。4A系統(tǒng)自身應(yīng)實現(xiàn)應(yīng)用和數(shù)據(jù)的分區(qū)域隔離保護(hù)，通過設(shè)置訪問控制策略防止非法的數(shù)據(jù)訪問在多系統(tǒng)集中建設(shè)4A系統(tǒng)的情況下，需要考慮業(yè)務(wù)的LDAP目錄數(shù)據(jù)、審計數(shù)據(jù)與其他系統(tǒng)分離存儲設(shè)計關(guān)注點——如何實現(xiàn)應(yīng)用的4A4A管理門戶業(yè)務(wù)系統(tǒng)門戶系統(tǒng)資源維護(hù)管理門戶4A管理員普通用戶系統(tǒng)維護(hù)人員集中應(yīng)用發(fā)布系統(tǒng)4A平臺集中認(rèn)證樞紐集中用戶管理集中授權(quán)管理集中審計管理數(shù)字證書流程服務(wù)系統(tǒng)LDAP審計數(shù)據(jù)庫非標(biāo)準(zhǔn)化應(yīng)用（不可改造）虛擬化發(fā)布業(yè)務(wù)應(yīng)用（不可改造）代填方式SSO業(yè)務(wù)應(yīng)用（可改造）票據(jù)服務(wù)SS0服務(wù)模擬SSO關(guān)注點——應(yīng)用資源的認(rèn)證改造方法基于認(rèn)證轉(zhuǎn)發(fā)的應(yīng)用改造模式關(guān)注點——應(yīng)用資源的認(rèn)證改造方法關(guān)注點——應(yīng)用資源的認(rèn)證改造方法-認(rèn)證攔截與轉(zhuǎn)發(fā)關(guān)注點——應(yīng)用資源的認(rèn)證改造的方法-本地認(rèn)證恢復(fù)關(guān)注點——授權(quán)管理實現(xiàn)的目標(biāo)要求授權(quán)管理實現(xiàn)的當(dāng)前目標(biāo)：系統(tǒng)資源和應(yīng)用資源的實體級授權(quán)通過4A系統(tǒng)的門戶訪問控制、訪問控制網(wǎng)關(guān)、應(yīng)用代理等實現(xiàn)對訪問對象的實體管理應(yīng)用資源基于角色的實體內(nèi)授權(quán)通過4A系統(tǒng)配合業(yè)務(wù)系統(tǒng)進(jìn)行接口改造模式關(guān)注點——基于角色的實體內(nèi)授權(quán)實現(xiàn)方法應(yīng)用系統(tǒng)側(cè)應(yīng)用系統(tǒng)/4A系統(tǒng)接口4A系統(tǒng)側(cè)系統(tǒng)內(nèi)權(quán)限配置模塊對象功能權(quán)限數(shù)據(jù)用戶組織角色資源同步接口從賬號角色組4A系統(tǒng)權(quán)限配置主賬號主賬號組應(yīng)用資源基于角色的實體內(nèi)授權(quán)關(guān)注點——同步賬號、角色數(shù)據(jù)賬號資源同步需要應(yīng)用系統(tǒng)提供以下內(nèi)容：帳號實體數(shù)據(jù)角色實體數(shù)據(jù)授權(quán)關(guān)系數(shù)據(jù)組織、系統(tǒng)、賬號關(guān)系接口機(jī)通過安全API/Webservice接口方式向4A平臺同步數(shù)據(jù)關(guān)注點——細(xì)粒度授權(quán)授權(quán)管理期望實現(xiàn)的最終目標(biāo)現(xiàn)階段可實施的實現(xiàn)方法通過嵌入業(yè)務(wù)系統(tǒng)授權(quán)頁面實現(xiàn)應(yīng)用資源實體內(nèi)的細(xì)粒度授權(quán)配置管理。4A系統(tǒng)授權(quán)管理改造4A系統(tǒng)最終替代業(yè)務(wù)系統(tǒng)完成對應(yīng)用系統(tǒng)的用戶、授權(quán)的配置管理功能，實現(xiàn)對業(yè)務(wù)支撐應(yīng)用系統(tǒng)無縫的集中用戶授權(quán)的細(xì)粒度控制管理關(guān)注點——嵌套業(yè)務(wù)系統(tǒng)授權(quán)頁面實現(xiàn)細(xì)粒度授權(quán)常使用到的幾種頁面嵌入技術(shù)IframeWEBClipPortletWSRP關(guān)注點－系統(tǒng)接口設(shè)計SMAPEOMS審計系統(tǒng)SOCNMS系統(tǒng)故障和性能信息認(rèn)證接口調(diào)用業(yè)務(wù)流程流轉(zhuǎn)和狀態(tài)查詢用戶管理類日志和系統(tǒng)自身日志安全日志或安全事件日志4A關(guān)注點－系統(tǒng)跨平臺能力支持各類Windows平臺，HPUnix平臺，AIX平臺，SUNSolaris平臺，F(xiàn)ujitsuSolaris平臺，Linux平臺，Apple(OSX)平臺等支持多主流數(shù)據(jù)庫(如ORACLE、INFORMIX、SYBASE、DB2、SQLSEVER、MySQL、POSTGRE等)環(huán)境下無差異化的支撐業(yè)務(wù)能力。支持多種中間件（如：WEBLOGIC、Websphere、東方通、Glassfish、Tomcat等）關(guān)注點－系統(tǒng)安全及應(yīng)急設(shè)計系統(tǒng)冗余設(shè)計系統(tǒng)自身監(jiān)控管理系統(tǒng)自身的安全評估和加固數(shù)據(jù)加密存儲加密方式通訊數(shù)據(jù)定期備份系統(tǒng)應(yīng)急流程系統(tǒng)應(yīng)急設(shè)計當(dāng)4A管理平臺發(fā)生異常時，系統(tǒng)維護(hù)人員和管理人員對4A管理平臺的異常情況及恢復(fù)所需時間進(jìn)行分析和評估，然后根據(jù)評估結(jié)果確定應(yīng)急策略選定應(yīng)急策略后，應(yīng)急方案根據(jù)應(yīng)急策略要求進(jìn)行各項準(zhǔn)備工作：4A管理平臺啟動應(yīng)急系統(tǒng)，引導(dǎo)用戶登錄應(yīng)急系統(tǒng)取回信息,。系統(tǒng)維護(hù)人員對4A管理平臺進(jìn)行修復(fù)使其具備提供正常服務(wù)能力后，通過人工或自動方式觸發(fā)應(yīng)急方案進(jìn)入恢復(fù)階段，啟動異?；謴?fù)操作。階段劃分

觸發(fā)階段執(zhí)行階段

恢復(fù)階段系統(tǒng)應(yīng)急觸發(fā)設(shè)計(一)短信應(yīng)急服務(wù)器LDAP核心服務(wù)器LDAP同步短信應(yīng)急服務(wù)模塊郵件應(yīng)急服務(wù)模塊各主賬號對應(yīng)的從帳號信息從帳號的登陸路徑信息從帳號名稱從帳號密碼逆向解析可由管理員運行的逆向解析工具，從LDAP中解密并導(dǎo)出：系統(tǒng)應(yīng)急觸發(fā)設(shè)計(二)Ultra-IAM功能模塊-AUltra-IAM功能模塊-BUltra-IAM功能模塊-CUltra-IAMServer中央管理控制臺Ultra-IAMEmergencyServicePlatform應(yīng)急服務(wù)平臺2311111541各模塊的自守護(hù)進(jìn)程在實時監(jiān)控模塊自身的運行狀況，并保障各模塊服務(wù)的可用性2Ultra-IAM平臺的綜合運行監(jiān)控維護(hù)功能，可以控制各模塊的運行和停止，通過實時采集各模塊守護(hù)進(jìn)程的監(jiān)控信息，實現(xiàn)對Ultra-IAM各個功能模塊的實時監(jiān)控3應(yīng)急服務(wù)平臺實時掌握Ultra-IAM綜合運行監(jiān)控維護(hù)模塊發(fā)送的運行狀態(tài)信息，分析是否進(jìn)入應(yīng)急服務(wù)觸發(fā)狀態(tài),需經(jīng)管理員確認(rèn).4應(yīng)急服務(wù)平臺進(jìn)入觸發(fā)狀態(tài)，可設(shè)置通過短信方式與多個管理員通知Ultra-IAM平臺故障情況并申請啟動應(yīng)急服務(wù)5在得到充分的確認(rèn)許可后，應(yīng)急服務(wù)平臺進(jìn)入工作狀態(tài)，可以通過短信方式向主帳號用戶發(fā)送應(yīng)急服務(wù)平臺的訪問路徑和方式。實施管理層面——實施階段劃分調(diào)研和準(zhǔn)備階段資源調(diào)研梳理訪問和管理控制方式調(diào)研應(yīng)用系統(tǒng)改造調(diào)研系統(tǒng)建設(shè)和實施階段規(guī)劃設(shè)計測試實施割接調(diào)試管理和維護(hù)階段優(yōu)化流程強(qiáng)化制度積累知識完善管理檢查更新實施管理層面——調(diào)研和準(zhǔn)備階段主賬號建設(shè)從帳號同步角色梳理主從帳號映射梳理遵從什么樣的建設(shè)規(guī)范？按照管理規(guī)則生成主賬號預(yù)先提供一個有被管資源從帳號管理權(quán)限的賬號和密碼利用該帳號實現(xiàn)被管資源上所有從帳號的同步將某個/某幾個最小權(quán)限定義為一個角色依據(jù)角色不同梳理從帳號權(quán)限主賬號對應(yīng)哪些資源上的哪些從帳號？角色組對應(yīng)于哪些資源上的哪些從帳號？賬號安全管理策略僵尸帳號如何處理？孤立帳號如何處理？交叉賬號如何處理？從賬號及密碼安全策略資源調(diào)研梳理實施管理層面——調(diào)研和準(zhǔn)備階段訪問維護(hù)方式認(rèn)證方式單點登錄訪問控制策略使用什么樣的訪問維護(hù)工具、種類、版本要求等允許訪問的合法工作時間、地點和路徑用戶默認(rèn)的認(rèn)證方式、可選的認(rèn)證方式認(rèn)證服務(wù)響應(yīng)的質(zhì)量要求現(xiàn)有的SSO實現(xiàn)模式SSO的使用場景要求SSO的使用限制條件合理的訪問發(fā)起區(qū)域和數(shù)據(jù)流量端口和服務(wù)要求物理環(huán)境接入服務(wù)區(qū)域的網(wǎng)絡(luò)環(huán)境，可用帶寬要求區(qū)域訪問控制策略訪問和管理控制方式梳理實施管理層面——系統(tǒng)建設(shè)和實施階段規(guī)范設(shè)計詳細(xì)設(shè)計階段測試實施目錄設(shè)計和代碼設(shè)計4A系統(tǒng)門戶設(shè)計集中認(rèn)證接口設(shè)計集中審計接口設(shè)計和外部系統(tǒng)集成接口設(shè)計

。。。。。。4A系統(tǒng)部署實施方案XXX系統(tǒng)SSO單點登錄實現(xiàn)設(shè)計代碼實現(xiàn)說明網(wǎng)管接口實現(xiàn)流程管理接口實現(xiàn) 。。。。。。測試環(huán)境準(zhǔn)備測試數(shù)據(jù)和測試用例準(zhǔn)備離線功能測試和性能測試4A平臺的安裝配置數(shù)據(jù)同步和初始化配置管理策略4A平臺接口調(diào)試網(wǎng)絡(luò)訪問控制策略配置組件聯(lián)調(diào)規(guī)劃、設(shè)計、測試、實施實施管理層面——系統(tǒng)建設(shè)和實施階段培訓(xùn)割接準(zhǔn)備割接調(diào)試用戶使用培訓(xùn)技術(shù)宣貫場景演練應(yīng)急操作流程 。。。。。。分批割接計劃安排割接方案制訂回退方案制訂故障應(yīng)急處理方案制訂XXX割接人員工作安排

。。。。。。割接時間點控制割接分工確認(rèn)故障處理流程確認(rèn)割接作業(yè)單割接工作記錄性能優(yōu)化負(fù)載均衡策略優(yōu)化關(guān)閉備份訪問路徑4A平臺管理接口調(diào)試網(wǎng)絡(luò)訪問控制策略優(yōu)化資源割接、調(diào)試實施管理層面——管理和維護(hù)階段優(yōu)化和4A相關(guān)的配套IT管理流程積累業(yè)務(wù)審計規(guī)則，強(qiáng)化審計管理力度配套完善4A管理制度周期性的進(jìn)行資源賬號、授權(quán)數(shù)據(jù)的同步和校對完善應(yīng)急處理流程，進(jìn)行分系統(tǒng)的周期性檢查、演練周期性的技術(shù)宣貫和培訓(xùn) 。。。。。。管理和維護(hù)概要123產(chǎn)品概況Ultra-IAM產(chǎn)品介紹建設(shè)關(guān)注點4案例介紹主要案例-電信行業(yè)用戶及項目名稱建設(shè)部門主要模塊電信中國移動集團(tuán)網(wǎng)絡(luò)安全管控平臺建設(shè)工程網(wǎng)管中心、數(shù)據(jù)業(yè)務(wù)中心Ultra-IAM全部模塊Ultra-ESA全部模塊電信中國移動集團(tuán)南方基地支撐系統(tǒng)集中化4A系統(tǒng)一期工程網(wǎng)管支撐系統(tǒng)、管理支撐系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)Ultra-IAM全部模塊Ultra-ESA全部模塊電信廣東移動4A管理平臺建設(shè)項目集成開發(fā)商選型管理信息部Ultra-IAM全部模塊Ultra-ESA全部模塊電信湖南移動業(yè)務(wù)支撐網(wǎng)4A管理平臺一期工程業(yè)務(wù)支撐系統(tǒng)Ultra-ESA全部模塊電信四川公司2009年業(yè)務(wù)支撐系統(tǒng)安全門戶平臺(4A)業(yè)務(wù)支撐系統(tǒng)Ultra-IAM全部模塊Ultra-ESA全部模塊電信河北移動EOMS四期工程應(yīng)用軟件開發(fā)和集成服務(wù)