4A管理平台解决方案白皮书.docx

? ? ? ? ? ? ? 4A管理平台解决方案白皮书 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?  目录 4A管理平台 需求分析 产品简介 功能特点 技术优势 典型应用 用户价值 ?  需求分析 近年来企业用户的业务系统发展十分迅速，内部的系统数和用户数不断增加，网络规模迅速扩大，在应用扩展的同时，各业务系统的安全管理工作相对滞后，无法满足企业发展的长期要求。 各系统中有大量的网络设备、主机和应用系统，分别归属于不同的部门进行维护管理。各系统都有一套独立的认证、授权和审计机制，分别由相应的系统管理员负责维护和管理。帐号繁多，管理困难，管理成本较高；对于离职或者工作岗位变更的用户，很难干净彻底的删除或者禁止相应帐号；有些帐号多人共用，不仅易于发生安全事故，难以定位帐号的实际使用者。缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限；随着用户数量的增加，权限管理任务越来越重。用户经常要在各个系统之间切换，每次都需要输入用户名和口令进行登录，给用户的工作带来不便，影响了工作效率。现有的日志量过大，无法有效审计。需要一套集中的账号、认证、授权、审计管理系统，解决日常安全管理问题。 ? 产品简介 产品简介 4A统一安全管控平台（以下简称4A企业版），实现IT资源（包括系统资源和业务资源）集中管理，为企业提供集中的账号（Account） 、认证（Authentication）、授权(Authorization) 、审计(Audit)管理技术支撑及配套流程，提升系统安全性和可管理能力。 4A统一安全管控平台实现对自然人、资源、资源账号的集中管理，建立“自然人账号——资源——资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，做到作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管，实现日常运维和业务使用可视、可控、可信，完善安全管理体系。 ? 功能特点 ?金库管理： 对重要的账号、重要操作实现“二次授权”管理。加强核心数据的保护，提升数据安全防护能力和管理能力。 ?审计管理： 全面记录用户的登录行为和操作行为。基于场景的异常行为分析，实现对大量日志的有效审计。 ?授权管理： 集中管理系统资源和应用资源权限，自动采集系统资源和应用资源相关权限信息，实现权限的统一展现、统一收集、统一变更、统一回收。 ?单点登录： 提供统一的单点登录门户，实现“一次登录到处通行”，避免记录和输入多个系统密码题，提升用户登录效率和使用感知。 ?认证管理： 全网系统统一集中认证，针对不同类型不同级别的用户采用不同的认证模式，保障用户的登录的安全性和合法性。 ?账号管理： 集中管理全网账号信息，对账号进行全生命周期，建立全网账号的可视、可控、可管运维体系。 ? 技术优势 应急管理 4A故障（无法提供服务），使用人员通过应急系统获取资源的账号密码信息，保障运维操作和业务操作正常。 AAA管控 支持TACAS+、radius协议，实现网络设备的账号、认证、授权、审计管理。 批量登录 一次性同时登录相多个资源设备，并自动执行相同脚本。提升用户运维效率，减少了操作复杂度。 密码托管 对账号/密码进行统一集中管理，自动定期修改账号密码，以保护后台系统账号的安全性。 数据安全管控 从数据的访问获取、传输、使用、销毁各个阶段进行管控，加强数据安全，防止数据外泄。 ? 典型应用 某企业信息安全管理部是负责信息安全管理的部门，目前该部门只有6个安全管员，负责全网IT支撑安全管理。系统资源200多台，应用资源40多套。日常安全管理存在如下问题：1、安全管理员和业务管理员日常账号、权限管理维护工作量大，现有人员无法满足日常管理需求。2、全网缺乏统一的账号密码管理策略，冗余账号、呆账号定期梳理无法满足。3、各系统账号不统一，由各应用系统分别增加，缺乏统一的命名规则和集中的管理。4、日常运维操作和业务操作目前只有记录，无法有效通过审计发现异常。5、内部数据安全缺乏有效防护，发生数据被内部导出泄露风险。解决方案部署4A管控平台，实现系统资源和应用资源的账号管理、认证管理、授权管理、审计管理。1、制定全网统一命名规范，关联自认人。利用4A账号和权限集中采集、增加、删除、修改功能，当人员入职或变更时，通过4A平台统一进行操作，解决运维人员在多个系统中重复增加、删除或调整权限工作，提升工作效率。2、由4A平台自动修改系统资源密码，防止系统出现弱口令。3、基于场景的运维操作和业务操作统计分析，及时发现账号、权限或操作异常。如僵尸账号、呆账号、异常时间操作账号或命令、异常频次操作的账号或命令等。4、利用金库管理能力，对高危账号、高危数据操作