BIT841某企业统一身份及访问安全管理解决方案.pptx

统一身份及访问控制解决方案某信息安全企业XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求分析XXXXX身份及访问管理解决方案XXXXX身份及访问管理解决方案探讨身份及访问管理系统的建设思路身份及访问管理系统特点和优势XXXXX实施建议和注意事项XXXXX身份及访问管理收益分析XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求分析XXXXX身份及访问管理解决方案XXXXX身份及访问管理解决方案探讨身份及访问管理系统的建设思路身份及访问管理系统特点和优势XXXXX实施建议和注意事项XXXXX身份及访问管理收益分析问题一：管理成本的需求系统中有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。目前各应用系统都有一套独立的认证、授权和审计系统，并且由相应的系统管理员负责维护和管理。当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加 ，无法实现统一的安全策略；另外系统的用户分配权限，缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限。随着用户数量的增加，权限管理任务越来越重，系统的安全性无法得到充分保证。问题二：单点登陆的需求系统的增多，使用户经常需要在各个系统之间切换，每次从一个系统切换到另一支撑系统时，都需要输入用户名和口令进行登录。给用户的工作带来不便，影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个系统的口令设置成相同的，危害到系统的安全性 。问题三：SOX的需求SOX法案的实施，对上市公司的业务系统信息安全进行了更加严格的规范，对实现使用者的身份认证、详细的权限划分以及准确的操作信息审计等功能提出了新的要求。有些帐号多人共用，不仅在发生安全事故，难于确定帐号的实际使用者，而且在平时难于对帐号的扩散范围进行控制，容易造成安全漏洞，加强帐号分配与使用的监控，对能实行每人拥有独立帐号的系统，应尽可能实行一人一个帐号，加强安全规范管理 。对帐户生存周期进行管理，主账号生成、角色分配、主从账号对应、账号使用、账号维护、账号收回等各个账号状态进行管理。帐户密码策略建立，按照策略自动、集中、定期修改各账号的口令， 并符合一定的复杂度 。要求留下系统操作记录和访问日志，以便审查。问题四：集中访问控制的需求提供了单一的登录控制点，用户对网络资源的访问控制通过访问控制服务器实现，因此权限比较容易和访问时间、访问者所处网段等结合进行控制。通过集中接入控制点等手段，规定只有来自访问控制服务器的访问才是合法的 。对实际应用资源的访问行为进行了细粒度划分，同时对认证平台内部的行为和权限进行了细粒度划分，使之符合用户实际的工作流程，满足管理制度的要求 ，并且能进行阻断。问题五：集中审计的需求能够对人员的登录过程、登录后进行的操作进行审计，审计的覆盖范围不仅包括对认证平台本身操作的审计，还包括对各被管系统访问、操作的审计。审计系统应能够统一对认证平台上的所有模块进行安全审计。主要包括，账号、角色、资源等进行创建、授权、分配、管理的内部管理行为的审计；登录过程的审计；身份认证的审计。审计系统还应支持登录被管系统后行为的审计，可以对用户的字符指令操作进行追溯。并且与授权管理产品联动，当审计产品发现某用户操作，已经超过授权管理的权限，审计产品立即阻断此越权行为，保障系统的安全性；XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求分析XXXXX身份及访问管理解决方案XXXXX身份及访问管理解决方案探讨身份及访问管理系统的建设思路身份及访问管理系统特点和优势XXXXX实施建议和注意事项XXXXX身份及访问管理收益分析XXXXX身份及访问管理解决方案框架结构系统架构功能部署图数据流向功能模块功能说明产品部署产品框架结构系统架构系统功能部署图数据流向第三方审计产品防火墙产品功能模块功能模块集中审计用户管理认证管理授权管理日志采集用户同步密码策略集中授权日志过滤生命周期管理集中认证用户授权审计报表角色管理认证方式角色授权归并压制资源管理外部认证资源授权关联分析策略管理客户端认证应用授权智能告警主账号管理行为授权决策支持从账号管理单点登录工单扭转用户自管理访问控制数据挖掘用户组管理主要产品功能说明重点功能说明资源管理统一身份管理用户同步授权管理生命周期管理帐号策略管理口令策略认证方式SSO动态短信口令认证集中访问控制集中审计智能告警功能说明：资源管理资源管理对从帐号进行分类定义并做为资源从帐号的属性，包括孤立帐号、交叉帐号和播测帐号等，并且赋予了一些基本的管理功能。罗列主要的资源从帐号属性如下：孤立帐号：任何被管资源上的从帐号如果在没有被分配给自然人帐号的情况下，则标记为孤立帐号，并能够向管理员产生报告以便及时发现非法帐号或滥用帐号的存在；共享帐号：被做为角色并且分配给了多个自然人的资源从帐