digitaltrust资源访问控制安全网关.doc

灵创智恒应用系统安全网关 技术白皮书 Version 4.0 天津灵创智恒软件技术有限公司 地址:天津市津南区八里台工业园区丰泽四大道10号 电话:022传真:022邮政编码: 300350  版权声明 最后更新日期 2015年8月 著作权注意事项 本书版权为天津灵创智恒软件技术有限公司所有。未经天津灵创智恒软件技术有限公司书面同意，任何公司、单位或个人不得以用任何手段复制本书的部分或全部内容。 对印刷错误的更正，所述信息谬误的勘误，以及产品的改进，均由天津灵创智恒软件技术有限公司随时做出解释，恕不事先通知，修正内容将编入再版说明书中。 商标 历 史 记 录 序号 修订类型 修订内容简述 修订日期 版本号 审批人 0 首版 2015-1-16 V4.0 注： “修订类型”为“首版”、“添加”、“删除”和“修改”四种类型。 目 录 1 应用安全网关概述 1 1.1 产品简介 1 1.2 系统结构图 2 1.3 系统逻辑图 3 1.4 产品功能特点 4 1.5 资源管理范围 5 1.6 产品技术特色 5 1.7 产品使用方式 7 1.8 产品服务对象 7 2 应用安全网关功能 9 2.1 用户身份的集中管理 9 2.2 资源账号的集中管理 10 2.3 资源账号的集中授权 10 2.4 用户行为的集中审计 11 2.5 身份认证和单点登录 12 2.6 登录资源的访问控制 13 3 应用安全网关部署 14 3.1 串接部署 14 3.2 旁路部署 14 3.3 双机热备 15 3.4 负载均衡 15 3.5 分布式部署 16 4 资源系统整合改造 17 4.1 用户同步 17 4.2 资源整合 18 4.3 账号同步 18 5 应用安全网关特点和优势 21 5.1 完全自主知识产权 21 5.2 业务无关性 21 5.3 技术主流性和先进性 22 5.4 标准化 22 5.5 高强度安全性 22 5.6 可集成性 22 5.7 可扩展性 23 5.8 简单易用性 23 6 产品外观与截图 23 6.1 硬件特性 23 6.2 产品外观 24 6.3 相关截图 24 应用安全网关概述 产品简介 随着信息化的发展，业务资源系统逐渐完善和丰富，极大地提升工作效率的同时，资源系统越来越多，导致操作管理越来越复杂、运维成本越来越高。一般来说，主要存在以下几个方面的问题： 1）缺乏集中统一的用户账号管理机制，无法有效保证每一个真实用户在各个资源系统中有相同的含义。 2）缺乏简单有效的资源单点登录机制，无法有效保证用户经过一次身份认证后无须再次身份认证来登录访问各种类型的资源系统。 3）缺乏分级授权的用户行为鉴权机制，无法有效保证用户只能登录访问授权的资源系统，以及在资源系统上进行授权的资源操作。 4）缺乏精准定位的事后审计取证机制，无法有效保证将日志信息关联到用户，实现对所有用户的所有操作都进行了详细的日志审计。 天津灵创智恒公司为帮助企业解决以上资源访问控制的安全风险问题，提供了良好的解决方案，研发了灵创智恒应用系统安全网关V4.0（以下简称应用安全网关）。 应用安全网关是灵创智恒公司的的一款硬件网关产品，为各种类型业务资源系统提供一个统一的应用安全支撑平台。基于先进的4A管理理念，实现对资源账号的统一管理，对用户身份的统一认证，对资源操作的统一授权，对用户行为的统一审计，达到用户身份可识别，资源访问可控制，用户行为可审计。 系统结构图 应用安全网关是一个应用安全支撑平台，以PKI技术、网络技术、标准协议、标准接口为基础，为用户、业务资源等网络内的应用实体提供统一的用户管理、账号授权、身份鉴别、单点登录、访问控制等信息安全应用支撑。 应用安全网关主要功能涵盖集中账号（Account）管理、集中登录认证（Authentication）、集中访问控制（Authorization）和集中安全审计（Audit）等方面。应用安全网关的系统层次结构图如下所示。 图：应用安全网关系统层次结构图 系统逻辑图 应用安全网关系统由身份管理、账号管理、权限管理、审计管理、身份认证服务、用户门户、客户端软件、网络层访问控制组件、资源端接口/插件等子系统组成。应用安全网关逻辑图如下所示： 作为一个应用安全支撑平台产品，应用安全网关严格按照相关保密要求，做到了三权分离，分别是：系统管理员负责自身系统的配置和用户日志的审计；安全保密管理员负