信息安全基础培训.pptVIP

4A 随着企业的业务系统的发展，其内部用户数量持续增加，网络规模迅速扩大，安全问题不断出现。而每个业务系统分别维护一套用户信息数据，管理本系统内的账号和口令，孤立的以日志形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求，及与国际业务接轨的需求。 问题主要表现在以下几方面： 大量的网络设备、主机系统和应用系统分属不同的部门或业务系统，认证、授权和审计方式没有统一，当需要同时对多个系统进行操作时，工作复杂度成倍增加； 一些设备和业务系统由厂商代维，因缺乏统一监管，安全状况不得而知； 各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统一的访问控制平台，随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障； 个别账号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际使用者； 随着系统增多，用户经常需要在各系统间切换，而每次切换都需要输入该系统的用户名和口令，为不影响工作效率，用户往往会采用简单口令或将多个系统的口令设置成相同的，造成对系统安全性的威胁； 对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为。 …. 由于缺乏统一的安全管理平台，加重了系统管理人员工作负担，同时，因各业务系统安全策略不一致，实质上也大大降低了业务系统的安全系数。 采用4A统一安全管理平台解决方案能够解决企业当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。 4A是指融合统一用户账号管理（账号Account）、统一认证管理（认证Authentication）、统一授权管理（授权Authorization）和统一安全审计（审计Audit）四要素后的解决方案，该方案涵盖单点登录（SSO）、统一用户身份认证等安全功能，为客户提供功能完善的、高安全级别的管理。 统一账号管理子系统功能。统一实现用户单点登陆，各账号同步，统一账号管理与统一认证授权协作。 统一认证授权子系统功能。统一实现身份认证，对账号口令集中管理；对网络设备、主机系统、远程接入或VPN接入用户、数据库管理员等进行统一的认证和授权。 统一日志审计子系统功能。统一实现安全日志采集、多维分析、实时展现，以及审计策略配置、审计数据的存储。 网络行为审计子系统功能。对各种网络协议、操作系统、常用数据库等的各种正常操作及非正常网络行为的审计。 * 认证包括身份认证和数据起源的认证 身份认证技术是在计算机网络系统中确认操作者身份方法，一般用特定信息对用户身份的真实性进行确认。 用于鉴别的信息一般是非公开的、难以仿造的，如口令、密码、智能卡、指纹、声音、视网膜、签字、笔迹等。 身份认证可分为用户与主机间的认证和主机与主机之间的认证，这里主要指用户与主机间的认证，即主机对操作者身份的识别，在有些应用环境下，如电子商务环境中，还需要提供用户对主机身份的识别，以防止网络钓鱼类攻击的发生。 身份认证技术 身份认证的实现包括用户管理和用户鉴别两部分： 用户管理 访问用户首先需要在系统中进行标识（注册）成为系统的合法用户，并获得系统内的唯一性标识，如唯一的ID、用户名等。 系统应提供对用户的标识进行管理的功能：能对系统内的无效用户标识（如因工作调动而离开的用户）及时清除。同时需要确保合法用户信息不被非授权地访问、修改或删除。所有与用户标识信息相关的访问需进行安全审计。 用户鉴别 用户访问系统时，由系统对用户身份进行鉴别，判断其是否是系统的合法用户。用户鉴别时，系统首先通过用户标识，鉴别其是否是合法用户，若是合法用户，系统还将通过鉴别用户提交口令、证件或用户的生物特征来识别用户是否是其所声称的合法用户。 身份认证系统还应提供鉴别失败处理：为不成功的鉴别尝试（包括尝试次数和时间的阈值）定义一个值，并明确规定达到该值时所应采取的动作。 常见的身份认证技术 用户名/密码方式 用户名/密码（即口令）是最简单也是最常用的身份认证方法，所面临的安全威胁也最多，如: 口令泄露 口令攻击 线路窃听 对验证方的攻击 ID=zxj Pwd=dkdf ID=zxj Pwd=dkdf 成功 成功 返回应用数据 基于地址的认证 在网络通信中，通信数据中包括发送者的源地址，这为认证提供了一种机制或补充。例如，在Internet网络中，通信数据包的包头中包含发送者的IP地址；在局域网中，包头中也包含发送者的网卡地址。一般来说，欺诈者伪造这些数据是不便的。从应用的角度来看，很多情况下，一些系统用户所处的网络地址范围代表了他们的身份，可以授予相关的访问权限。 生物特征认证 主要的生物认证有指纹识别、声音识别、人眼虹膜识别等。 理论上说，生物特征认证是