建恒信安堡垒机产品白皮书.docxVIP

精品文档 精品文档 PAGE PAGE #欢迎下载 塵||亘信口JfAN HENG X1N AN 塵||亘信口 JfAN HENG X1N AN 建恒身份及访问管理系统产品白皮书 未有的运维挑战 随着信息技术的不断发展和信息化建设的不断进步，业务应用、办公系统、 商务平台不断推出和投入运行，信息系统在企业的运营中全面渗透。电信行业、 财政、税务、公安、金融、电力、石油、大中型企业和门户网站，使用数量众多 的网络设备、服务器主机来提供基础网络服务、运行关键业务，提供电子商务、 数据库应用、ERP和协同工作群件等服务。由于设备和服务器众多，系统管理员 压力太大等因素，越权访问、误操作、滥用、恶意破坏等情况时有发生，这严重 影响企业的经济运行效能，并对企业声誉造成重大影响。另外黑客的恶意访问也 有可能获取系统权限，闯入部门或企业内部网络，造成不可估量的损失。如何提 高系统运维管理水平，跟踪服务器上用户的操作行为，防止黑客的入侵和破坏， 提供控制和审计依据，降低运维成本，满足相关标准要求，越来越成为企业关心 的问题。 目前，面对日趋复杂的IT系统，不同背景的运维人员已给企业信息系统安 全运行带来较大潜在风险，主要表现在： 账号缺乏统一管理，隐藏着巨大的风险 多个用户混用同一个账号 这种情况主要出现在同一工作组中，由于工作需要，同时系统管理账 号唯一，因此只能多用户共享同一账号。不仅在发生安全事故时难以定位 账号的实际使用者和责任人，而且无法对账号的使用范围进行有效控制， 存在较大安全隐患。 建恒身份及访问管理系统产品白皮书 一个用户使用多个账号 目前，一个维护人员使用多个账号是较为普遍的情况，用户需要记忆 Windows^器 Unix服努器业等系统IT资产多套口令同时在多套主机系统、网络设备之间切换。如果设备数量达到几 十甚至上百台时，维护人员进行一项简单的配置需要分别逐一登录相关设 备，其工作量和复杂度成倍增加，直接导致的后果是工作效率低下、管理 繁琐甚至出现误操作，影响系统正常运行。 Windows^器 Unix服努器 业等系统 IT资产 粗放式权限管理，安全性难以保证 大多数企事业单位的IT运维均采用设备、操作系统自身的授权系统, 授权功能分散在各设备和系统中。管理人员的权限大多是粗放式管理， 由于缺少统一的运维操作授权策略，授权粒度粗，无法基于最小权限分 配原则管理用户权限，难以与业务管理要求相协调。因此，出现运维人 员权限过大、内部操作权限滥用等诸多问题，如果不及时解决，信息系 统的安全性难以充分保证。 设备自身日志粒度粗，难以有效定位安全事件 建恒身份及访问管理系统产品白皮书 建It 建It亘信曰 JFAN HENG X1N AN 监控审计，但是由于各系统自身审计日志分散、内容深浅不一，且无法 根据业务要求制定统一审计策略；因此，难以通过系统自身审计及时发 现违规操作行为和追查取证。 第三方代维人员带来安全隐患 目前，很多大型企业，包括一些政府机构选择将非核心业务外包给 设备商或代维公司，在享受便利的同时，由于代维人员流动性大、对操 作行为缺少监控带来的风险日益凸显。因此，需要通过严格的权限控制 和操作行为审计，加强对代维人员的行为管理，从而达到消隐患、避风 险的目的。 面临法规遵从的压力 为加强信息系统风险管理，政府、金融、运营商等陆续发布信息系 统管理规范和要求，如“信息系统等级保护”、“商业银行信息科技风险 管理指引”、“企业内部控制基本规范”等均要求采取信息系统风险内控 与审计，但其缺乏有效的技术手段。 上述风险带来的运维安全风险和审计监管问题， 已经成为企业信息系统安全 运行的严重隐患。企业IT运维安全管理的变革已刻不容缓！ 产品概述 建恒身份及访问管理系统是集用户 (Account)管理、授权(Authorization ) 管理、认证(Authentication )管理和综合审计(Audit )于一体的集中运维管 精品文档建恒身份及访问管理系统产品白皮书 精品文档 建恒身份及访问管理系统产品白皮书 JfAN HENG X1N AN PAGE PAGE #欢迎下载 理系统。该系统能够为企业提供集中的管理平台，减少系统维护工作；能够为企 业提供全面的用户和资源管理，减少企业的维护成本；能够帮助企业制定严格的 资源访问策略，并且采用强身份认证手段，全面保障系统资源的安全；能够详细 记录用户对资源的访问及操作，达到对用户行为审计的需要。 建恒身份及访问管理系统采用层次化、模块化的设计，产品整体架构包括: 资源层、接口管理层、核心服务层和统一展示层。 资源层：负责提供各种类型资源的资源管理交互。 接口管理层： 主要功能是实现核心层与外部产品、用户资源系统之间的数 据交互，包括账号类、认证类、