联创统一身份安全管理解决方案.ppt

管理维护现状 用户帐号管理问题 网络中存在大量的网络设备、主机系统，不同职责的管理员为了管理方便，同帐号同密码访问所有资源，或多管理员共用一帐号，造成安全隐患。 身份认证及授权使用问题 对于某些核心资源，如重要的主机系统，不同级别不同岗位的领导或管理员具有不同的访问权限，管理人员的身份越权或假冒将会造成非授权使用的问题。 分散的多点登录管理方式，无法准确进行身份认证和授权控制 多点登录的分散管理方式无法进行强有效的授权控制，致使用户的登录操作难以管理、难以审计。 图形化界面中用户操作的不透明性，使得事后审计难以进行 RDP(3389)、X-Window、VNC等远程图形化窗口操作的不透明性，使得审计人员无法准确的对管理人员操作的审计。 文件传输安全审计，是最让信息主管头疼的问题 使用FTP、TFTP等工具进行的文件的上传、下载操作是最容易引发资料泄密的方式之一。如果使用加密方式的SFTP、SCP等命令更是无法进行有效审计。 服务器之间跳转嵌套登录操作 大型、异构的网络环境难于准确的对用户的行为进行审计和控制 有规范、规章制度，但没有相应的过程监控手段去监督 管理维护现状 需关注以下几点 用户如何即方便又安全可靠的登陆网络设备与主机系统？ 怎样将用户在网络设备与主机系统上的操作行为变为透明可视？ 系统管理员在网络设备与主机系统上做过什么操作？以及操作带来的安全风险？ 怎么规范管理员的行为？ 怎么审计用户对主机系统网络设备的操作？ 谁该对危险操作造成的事故负责？谁该对其的恶意操作负责？怎么进行责任鉴定？ 联创安全管理解决方案 建立UNIX类服务器、LINUX类服务器、Windows类服务器、网络\安全等重要设备的统一操作管理平台，统一操作管理入口，并对用户操作管理等网络访问行为进行控制。 实现管理员用户的帐号统一管理与强身份认证。 准确识别用户操作意图，识别用户输入操作命令，并对用户操作进行限制。操作限制支持时间、用户原始IP地址、目标服务器地址、用户名称、系统帐号、使用的命令等策略因子。对高危命令要能自动阻断命令的执行，对越权操作行为要能及时警告。 用户通过SSH、TELNET、RDP(3389)、 X-WINDOW、VNC 、FTP、SFTP、SCP等方式的所有操作行为，都能做到全记录、全审计。 用户在主机系统上的的命令操作行为做到实时监控，即时在实时监控中心同步展现。 在审计对象出现故障或有管理事故时，可以快速、准确的定位查询相关日志。回放事件的整个过程，用以问题的解决和责任认定。 E-Securer安全身份认证系统 依据动态（一次性）口令机制实现动态身份认证系统，彻底解决了远程/网络环境中的用户身份认证问题 集中的用户管理和日志审计功能，便于管理员对整个企业中的员工进行集中的管理授权和事后日志审计 基于用户所属机构对信息进行分级管理，保证了用户、资源及角色信息的隐秘性 网络设备审计 提供各种日志的统计汇总，供行为审计和跟踪 * 在此重点强调系统能够提供多种形式的用户认证方式：静态口令、令牌卡、USB－KEY、IC卡、手机短信、数字证书等。 提供短信收发功能，可通过手机或小灵通短信向用户发送一次性动态口令； 支持移动、联通、电信小灵通基于CMPP、SMPP等多种协议的短信平台； 支持短信预申请、挑战-应答两种机制的短信应用模式 * 1）权限信息集中管理 2）基于用户，岗位，基于角色的授权 3）基于用户登录路径，（用户访问资源的条件）进行授权 * * 1）审计系统的部署实施结束了我们的业务支撑网黑盒时代，我们的管理员在发生安全事件时不再茫然无助…… * 问题和建议 1）移动现状梳理 2）建设计划 * * * * * 展开介绍网络部4A 案例； 4A的组件在多个移动公司使用，也包括江苏移动 * 统一身份安全管理解决方案 联创科技 1 安全管理建设目标 成功案例 2 4 5 管理维护现状 提纲 产品功能简介 3 联创安全管理解决方案 1 安全管理建设目标 成功案例 2 4 5 管理维护现状 提纲 产品功能简介 3 联创安全管理解决方案 安全管理建设目标 管理简化，安全性增强 实现集中访问控制 实现集中安全审计 收集、记录对业务支撑系统关键重要资源的使用情况 帐号管理 基于角色的细粒度访问控制 主机与网络设备 帐号、认证、授权、审计 集中管控 安全管理建设目标 1 安全管理建设目标 成功案例 2 4 5 管理维护现状 提纲 产品功能简介 3 联创安全管理解决方案 联创安全管理解决方案 堡垒主机网关 联创安全令牌 1、用户登录请求 2、提交认证要素，帐号＋静态口令＋动态口令 6、网关允许/拒绝用户登陆 若允许，显示用户访问列表 3、设备发起 认证请求 5、 返