安讯奔-USO 中国银行北京分行实施.pptx

北京安讯奔科技公司;基本概括 功能范围 实施路线 项目需求和分析 部署方式 项目实施效果 ; 基本概况;1）申请流程繁琐——在发生人员及岗位变动时，网点需向不同条线管理部门提交多个特色系统的柜员变更申请，且多采用纸质申请报送方式，申请过程繁琐，时间较长，网点压力较大，工作效率低； 2）密码种类多——各外围系统有自己的密码设置方式，且均不相同，造成网点柜员 “一人多码”的现象，不利于密码的妥善保管； 3）柜员信息有误——非核心外围系统缺乏与人力员工数据的比对验证功能，无法验证柜员号是否与人员员工号一致，无法验证柜员号是否真实、准确，存在风险隐患； 4）权岗不匹配——非核心外围系统尚未实现权岗的匹配验证，员工出现调岗、离职等情况，权限未实现调整，冗余数据长期存在； 5）权限不兼容——非核心外围系统采用条线部门自主管理的模式，缺乏条线间、系统间的综合评估及管控管理，特色系统柜员权限的资格准入管理、权限管控管理尚处在初级阶段，未形成规范化、制度化的管理机制。 6）统一日志审计需求 实现集中的日志审计功能。各应用系统相互独立的日志审计，无法进行综合日志分析，很难通过日志审计发现异常或违规行为。集中的日志审计能关联用户的操作行为，对非法登录和非法操作快速发现、分析、定位和响应，为安全审计和追踪提供依据。;实现中行北京分行主要业务系统之间的单点登录管理。 实现统一的帐号管理，实现对用户的唯一主帐号信息的统一管理。 实现统一的强身份认证管理（可无缝支持） 实现统一审计管理 方案可扩展性考虑 ;项目功能要求;; ;;分行AccessMatrix平台升级拟本着 “整体规划、分步实施、持续推进”的建设原则。 初期，先将分行特色系统纳入统一认证平台中来，在40多个外围系统中，选择分行开发的特色系统，实现单点登录功能。根据用户体验及反馈逐步完善统一认证平台的各项功能。 中后期，将范围扩展到总行非核心外围系统，逐步实现柜员登录总行外围系统的统一用户认证，尽可能将我行所有非核心外围系统的登录纳入到平台管理的范围。 ;???现北京分行主要非核心业务系统的统一身份认证管理。 提供机制统一的账户认证、授权和审计安全服务，最大的问题是没有源代码、重新开发任务量过大等问题。利用AccessMatrix USO无需修改系统源代码，即可实现所有CS或者BS架构的应用系统的单点登录功能，实现统一认证分散授权，同时符合监管审计要求。 实现统一的帐号管理，实现对用户的唯一主帐号信息的统一管理。 AccessMatrix的模块可以无缝集成AD、LDAP或者JDBC的关系型数据库的用户管理服务器，统一可依据LDAP服务器原有用户的自然人与其拥有的主帐号关联，统一规划用户身份信息和角色，统一系统资源控制分配。 ;实现统一的强身份认证管理（可无缝支持） 在不更改或只对应用有限更改的情况下，在原来只有弱身份认证手段的应用上，通过北京分行统一身份认证平台门户实现原有应用系统单点登录，实现门户入口的强身份认证,从而加强各个应用系统的认证安全。 实现统一审计管理 本期实现北京分行统一身份认证平台内部用户和管理员操作日志审计，并为未来更高级别审计要求进行规划，实现重要系统的操作记录等审计功能。 ;;统一用户账号管理 统一认证管理 单点登录 统一审计管理 细粒度授权（二期实现） ;AM统一管理平台和界面，一次全部安装完毕，管理简单易用 符合金融行业的规范，并嵌入了很多行业的最佳实践（Basel 、SOX、PCI等） 安全性 没有超级用户 双重控制 最小权限 职责分离 分级授权 分步实施的方法 现有的应用系统 可以改造的系统 未来新的系统 ;安全管理 登录时间及地点限制（IP控制和工作时间等） 双重控制（Make/Check) 并发登录控制 管理、应用、审计角色分离 提高应用系统安全性和效率 单点登录降低密码使用的风险 监控应用系统共享账号的使用（特别是超级用户) 及时撤销离职员工对应用系统的访问 提高呼叫中心员工的服务效率和品质 ;双重控制 分区段管理 基于工作角色的登录-USO支持单个用户在某个应用系统中的多个角色登录（一对多） 组账户- 不同的用户使用应用系统的同一个账号（多对一） 一组应用系统共享一组用户账号 业务授权登录 临时业务授权 ; 部署方式;建议的部署方案 – 正式环境;在本项目生产环境中，我们采用1+1的部署方式，即1台AccessMatrix应用服务器和1台RDBMS服务器。以下是具体硬件配置要求： 生产环境（Production Environnent ） 1.单点登录服务器和特权账户管理系统使用相同服务器;在本项目中，我们采用的基础软件配置为： 操作系统：Win2008R2/Linux 数据库：Oracle 10g WebAppServer:WebSphere 7以上 ;