IBM身份管理安全服务070525-LK.pptVIP

李凯 – 高级安全架构师 现职与经历 9年信息安全工作经验 IBM高级安全架构师 Sun资深IT架构师 CA资深安全顾问 加安信息技术公司创始人 中国首批CISSP 华东地区CISSP考官 Cobit培训讲师 专长 信息安全咨询顾问 信息安全管理 信息安全架构和方案设计 IT内控与IT审计 专业证照 CISSP CISA CISM BS7799 Lead Auditor Cobit Foundation ITIL Foundation Prince2 Foundation 项目经验 平安集团BS7799咨询和认证服务 太平洋保险集团IT安全咨询项目 首都机场IT安全咨询项目 上海运营商IT内控咨询项目 华为集中安全审计项目 华为网络刑侦分析项目 广东建行Unix安全访问控制项目 安利（中国）Unix安全访问控制项目 ICBC数据中心运维用户集中管理项目 东风汽车电子商务安全访问控制项目 福建电力SOC项目 重庆电信SOC项目 UTStarcom远程安全接入项目 广东运营商OA网入侵检测项目 深圳电信弱点评估和入侵检测项目 通用汽车弱点评估项目 华为防病毒项目 湖南电力防病毒项目 业务不断发展，越来越多的安全孤岛，帐号多，认证多，授权复杂，审计分散… 交流内容 从运营商外部合规看：用户帐号、认证授权、密码策略和审计成为主要缺陷 中国运营商SOX审计发现的主要缺陷有： 安全规章制度的定期审核、批准、发布 帐号审批、创建、授权、审计；一人一帐号，基于角色授权 密码周期性修改、不可重复、猜测口令 接入控制 门禁、检查、日志 测试环境 专用文档服务器 备份数据恢复性测试 借助暂时性方案，可以解决眼前的审核，但不能满足运营商内控的长期要求。 如何更好的满足帐号、权限、密码、审计的内控要求？是未来一段时间内的安全工作重点。 从运营商内部管理看：系统多，用户类型多，管理问题突出，运维成本高。 从运营商新业务发展看：身份管理，是B2C，B2B业务发展的基础和驱动力 降低风险 降低电子身份欺诈和失窃的风险 控制成本 减少电子身份的管理和运维成本 提高效率 提高用户管理服务能力和效率 建立合作 在员工、合作伙伴和顾客之间建立合作，开发新业务。 交流内容 理想的身份管理服务，能够建立身份和帐号的关联关系，保护信息资产。 孤立的，分散的4A管理架构 集成的，自主的用户管理架构：解决了帐号管理问题，但不能解决认证、授权和审计等问题。 集成的，集中的4A管理结构：满足当前的集中趋势和未来的发展需要1) Access (Authentication/Authorization)2) Account (Provisioning/Password)3) Auditing 基于角色的用户帐号管理模式，适用于复杂的用户管理环境。 4A整体设计和4A实施规划，是4A项目长期成功的必要条件。 4A系统平台，是安全的大集中。涉及的系统、设备、应用、人员都非常多，需要有详尽的计划。 4A系统平台，是最关键的和最根本的基础安全服务架构，是数据和应用的安全保卫，关系到运营商各个主要系统。 4A系统平台建设，是一个长期的系统工程。项目的成功关键，必须依靠一个面向长远考虑的整体设计，并通过分步实施来不断完善。遵循4A规范，可以让4A建设少走弯路。 4A系统结构复杂，4A架构设计实现受4A产品成熟度的影响较大。某运营商推出4A规范创国内先河，提出整体设计和规划，这将大大推动国内4A系统的设计、开发和系统整合能力。 几点思考： 如何应对4A集中后的管理效率问题？（组织设计、分权和分层管理，工作流设计） 近几年全球4A技术产品发展很快，如何保持4A规范对新技术手段的更新和采纳？（单点登录技术、生物识别技术） 如何适应和满足未来的IT服务架构和应用体系？（WebService，SOA） 交流内容 IBM提供完整身份管理解决方案和服务 身份管理应用模式一：用户目录 身份管理应用模式二：用户信息整合和同步 身份管理应用模式3：统一用户身份管理 身份管理应用模式4：安全访问和认证授权 身份管理应用模式5：联盟关系 IBM身份管理安全服务：模块的、弹性的和定制的解决方案，适应任何阶段的身份管理需求。 交流内容 运营商运维用户的管理挑战 管理挑战和安全问题 设备和系统多、维护人员少。同一台服务器或网络设备需要多人维护，同一人需要维护多台服务器和网络设备。 难以管理系统运维帐号，超级用户帐号借用的现象较普遍。 系统运维帐号登录频繁，口令多，管理员登录不方便，安全性差。 难以保证口令及时更改和通知到相关人员。 系统运维操作审计分散，系统日志信息不准确，不可信。 项目目标 符合集中运维管理的要求，集中管理所有系统运维帐号，消除帐号共享现象。 系统管理员登录简单方便、安全性高。 定期口令更改方