统一安全管理平台.pptVIP

统一安全管理平台 技术顾问 万光辉 Gary.wan@ CA公司介绍 成立于1976年 总部位于美国纽约长岛 2004财年收入比去年增长8%，达32.8亿美元 全球最大的管理软件公司 客户遍及全球95%的财富500强企业、80%的财富1000企业 在全球40余个国家拥有15,000名员工 拥有300项先进技术解决方案专利 首个通过ISO 9001:2000 全球认证的软件企业 冠群电脑（中国）有限公司 1995年进入中国 1998年成立独资公司：冠群电脑（中国）有限公司 四个办事处：北京、广州、上海、成都 现有员工超过300人 在北京设立了研发中心，现有研发人员200名 2004年7月， 被信息产业部授予“软件企业”的称号 CA统一安全管理平台 安全问题的本质——人 安全管理问题——人 IT管理问题——人 人的管理—— 身份访问管理 身份访问管理 Identity Access Management Who has access to what resources? When did they access those resources? Who authorized that access? What really are our access policies? What did they do while they were there? CA IAM——统一安全管理平台 身份管理 Identity Provisioning and Management Automate the creation and management of user identities And their access rights to applications and data Delegate user administration Manage entitlements Provide user self service capabilities 访问管理 Access management Automate business processes Protect access to critical resources Federate applications with business partners 审计 Monitoring and auditing Monitor all identity-related events Provide reports to simplify continuous compliance CA IAM Solution 统一系统访问管理 系统运维4大问题 恰当授权 安全控制 风险最小 缺乏审计 系统运维4大问题——CA解决方案 恰当授权——安全委托 安全控制——基于角色的精细粒度控制 风险最小——分权分立 缺乏审计——安全审计（统一、独立、详细、溯源） 专利核心技术：动态安全扩展 DSE 1安全委托：角色委托 1，不需要增、删、改系统任何原设置，只需增加普通用户 2，授权用户扮演重要用户（root、应用、数据库等），不需要原用户密码 3，权限控制：角色委托sesu—源用户受AC权限控制—源用户审计 1安全委托：任务委托 1，不需要增、删、改系统任何原设置，只需增加普通用户 2，重要用户（root、应用、数据库等）的指定权限委托，不需原用户的密码 3，任务委托sesudo 2基于角色的精细粒度控制 eTrust Access Control Regulates: Who: can access information What: information can be accessed When: access is allowed Where: is access from From: what application may be used 基于角色的访问控制 (RBAC) 数据机密性保护 主机入侵预防 (HIP) 集中管理 安全审计 基于角色的访问控制 (RBAC) eAC 分配系统管理员的权限到特定的角色，不再需要超级用户——分权分立 eAC 跨所有平台定义角色。 精细粒度控制 文件：加强的文件核心防护提供额外于 UNIX 自身限制之外的文件保护。比如，即使是有 root 权限，一个用户也不能未经授权访问一个受保护的文件。核心防护还可以控制用户以何种方式访问文件（即使用什么程序或应用）。 进程：核心防护保护进程不被任何未授权的用户终止。 userids groupids（su）：核心防护可以控制 surrogate userid 和 groupid。 特权程序：需要特殊权限才能运行的程序，是后门与对系统资源未授权访问的主要来源。核心防护保护受信任的特权程序不