统一身份及访问安全管理系统
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Net Collector
通过标准网络协议接口(如Syslogd、 SNMP trap)或者定制网络接口采集操作 系统、数据库系统、应用系统、业务系统 、网络设备、安全设备等对象的日志信息 身份及访问管理平台 用户管理审计
Agent Collector
在目标审计对象上安装agent的 方式采集封闭系统的日志信息
同步功能-技术实现
• 主机:
– 同步方式:使用标准的通信接口telnet、ssh,通过发送用户操作指令 的方式对主机从帐号进行相应的维护。
• 网络设备:
– 驱动主要通过Radius协议和建立内置Radius服务器的方式进行帐号的 管理,以及进行帐号的访问控制等授权管理。
• 数据库:
– 通过JDBC协议与数据进行交换,进行数据库帐号等的权限信息的管 理。
多系统都基于独立的帐 号管理实现访问频繁切 换 帐号
维护
安全问题不断出现, 系统维护和管理工作 负担大,效率低
现状
独立的系统授权机制和 独立的应用授权管理
认证
接入网络没有强制检测手段;
授权
访问系统没有强身份认证 手段;
各应用系统都独立认证;
Ultra-IAM系统概述
• 神州泰岳Ultra-IAM是集账号管理、授权管理、认证管理和 综合审计、安全访问控制于一体的集中账号及安全访问管理 系统(业界称为4A)。
因为专注所以专业 因为专业所以领先
ULTRA-IAM统一身份及访问安全管理系统
北京神州泰岳软件股份有限公司 信息安全事业部
概要
1 2
3 4
产品概况
Ultra-IAM产品介绍
建设关注点 案例介绍
业界关于4A解决方案的一些名词
• 国际叫法:
– IAM——Identity and Access Management,统一身份及访问安全 管理
1
用户管理
2
认证管理
•认证方式选择 •单点登录SSO •认证转发
系统功能
•授权管理 •资源管理 •访问控制 •角色管理 •授权粒度控制
3
授权管理
4
集中审计
•日志采集 •日志分析 •审计还原 •告警处理 •审计报表
主从帐号管理
• 主帐号管理
– 组织管理:能够按照按地域、组织结构进行划分,建立相 应树状目录用于合理组织主帐号。 – 分级管理:以适应分部门、分管理层次的分级管理要求; 不同级别的帐号可以行使不同级别的权限 – 属性管理:包括帐号基本信息、时效策略、密码策略、组 织标识、角色标识。 – 生命周期管理:对用户从产生到删除各存在状态进行管理 – 帐号监控:口令系统对幽灵帐号、弱口令和交叉帐号(不 能修改口令的程序帐号)进行监控,并提供相应的 告警报表 – 自服务功能 :对自己的属性进行修改
为公司领导层提供安全决 策支持,为运维层提供安 全操作指向提供满足规范 要求的安全审计报表报告
• 被管资源操作行为审计
Net / DB Sensor
Access control Gateway
– 主机,网络设备,数据库等的所有用户指令操作的记录; 通过旁路部署的网络嗅探方式实 Central Server 通过集中访问接口的方式,让所有对 – 对主机、网络设备、数据库、安全设备上的日志进行集中存储和集中 现对数据库SQL操作指令的审计、 (包含了集中存储、分析、展现等功能) 目标对象的访问必须串行通过该访问 对http、telnet 、ftp、ssh、rlogin 审计; 控制网关,所有访问行为都将接受访 、rsh、pop3、smtp等网络操作行 问控制网关的监督和记录。 – 应用系统的关键操作行为数据; 为的审计
授 权 资 源 列 表
C/S应用
集中应用发布系统 SSO
帐号管理员 审计管理员
LDAP
Ultra-IAM Server Ultra-IAM Resource Management Driver suites
Ultra-IAM系统架构
系统功能
•主从帐号管理 •用户同步 •生命周期管理 •密码管理 •用户自管理
• 该产品实现用户账户管理(Account)、认证(Authentication)、 授权(Authorization)和审计(Audit)四方面的内在关联,是目 前国内功能最完整、控制粒度最细的综合身份认证和访问安 全管理产品。 • Ultra-IAM采用模块化设计,不但可以根据用户需要和环境 特点进行选择、组合,而且可以提供定制化的开发,能够方 便地实现与用户应用的有机结合。
流程设计
• 4A系统内置流程引擎,并内置图形化流程设计器,满足帐号 申请、审批、分配、通知等流程管理制度的需要
提供多种密码管理策略
•
•
•
•
密码安全策略 密码强度(长度、字符、有效期等),系统还提供多种密码 制定策略,满足不同系统对密码安全的需要 密码修改任务 用户从帐号密码的定期变更,提高密码的安全性 密码定期检查 通过系统定时任务,或相关管理员执行密码检查,找出系统 中存在不满足要求的用户口令 密码同步策略
角色 3 角色 4
从账号1
资产
从账号2
主账号1
主账号2
角色 5 角色 6
从账号1
资产
从账号2
23
集中访问控制
堡垒主机
网络设备 主机系统 数据库系统
联机指令平台
网元
桌面发布系统
C/S应用
Ultra-IAM Portal
B/S应用
集中审计
•主从帐号管理 •用户同步 •生命周期管理 •密码管理 •用户自管理
概要
1 2
3 4
产品概况
Ultra-IAM产品介绍
建设关注点 案例介绍
4A系统的工作场景
堡垒主机 代填 网络设备 主机系统 数据库系统
Ultra-IAM Portal
B/S应用 代填(HTTP模拟 、 Form代填 ) 凭证(Token、Ticket) 安装filter拦截器 主 账 号 认 证 从帐号SSO SSO 普通用户 运维用户
27
支持多种报表样式
统计分析
折线趋势分析
柱状统计分析
支持多种操作重现
RDPFra Baidu bibliotek放
数据库访问回放
SSH行为回放
会话回放
会话数据
windows回放
支持多种SOX报表和管理类报表
– 提供审计报表处理能力,可根据管理人员的定义生成各类报表 – 根据审计对象,产生指定时间周期(日、周、月、季度、年)的报表。 报表自动产生,报表内容可以根据用户需求进行差别化定制。除了自 动产生静态报表外,还可以由用户配置产生动态报表。报表支持包括 打印和输出各种格式的文件,如PDF、Word、Excel、HTML等等。 – 系统内置了多种报表形式,包括:
授权管理
•主从帐号管理 •用户同步 •生命周期管理 •密码管理 •用户自管理
1
用户管理
2
认证管理
•认证方式选择 •单点登录SSO •认证转发
系统功能
•授权管理 •资源管理 •访问控制 •角色管理 •授权粒度控制
3
授权管理
4
集中审计
•日志采集 •日志分析 •审计还原 •告警处理 •审计报表
集中授权管理
同步功能
• 神州泰岳Ultra-IAM 通过多种方式来实现对操作系统、数据 库系统、网络设备、应用系统、业务系统的用户同步管理
– – – – – – – – – Telnet/SSH方式 AD域方式 JDBC/ODBC LDAP方式 模拟客户端 Radius协议 Agent Web Service 专用API方式
• 神州泰岳产品:
– Ultra-IAM——Account、Authentication、Authorization、Audit and Access Control Management Sysytem
• 中国移动叫法:
– 安全管控平台 或者 4A,涵盖三个子中心
• 集中维护接入平台 SMAP:对应Access Control • 帐号口令管理系统:对应Account、Authentication、 Authorization • 审计系统:对应Audit
• 应用系统:
通过标准接口来实现帐号同步,如JDBC/ODBC 、标准LDAP 通过私有协议来实现和应用系统间帐号接口,提供java或c的标准api 接口,webservice jmx 等接口
完整的生命周期管理
• 对用户从产生到删除各存在状态进行管理,包括统一的用户创 建、维护、删除等功能,并同步到各个系统中去。
企业员工 张三在公司 企业员工 李四在出差 王五是远程的 第三方维护人员 小刘是现场的 第三方维护人员
集中安全维护接入平台 集中帐号口令管理平台
集中安全 审计平台
企业各类IT资源
建设现状分析
独立的审计,缺乏关联分析。运营出现 的安全问题无法明确定位 独立的用户数据库和独立的 系统管理员;
审计
自然人身份和业务系统帐号 重叠 ;
• • • • • •
SOX要求各类报表 帐号类报表 资源类报表 告警类报表 审计类报表 用户访问类
审计管理:针对敏感数据的审计专题
• 神州泰岳结合业务系统敏感数据泄漏问题,以及数据安全管 理办法, 通过在部分省市的经验,通过Ultra-IAM系统能方 便实现以下审计专题:
– – – – – – – – – – 系统维护人员采用程序帐号访问业务数据; 系统维护人员采用程序帐号维护数据库; 维护人员绕过4A系统登录业务系统或者操作系统; 集团客户资料查询审计 查询用户信息审计 导出用户数据关联审计 用户账单查询审计 客户资料查询审计 数据备份操作频率,数据审计 未经审批流程的建立的帐号的自动发现、报警与控制处理机制
认证管理
•主从帐号管理 •用户同步 •生命周期管理 •密码管理 •用户自管理
1
用户管理
2
认证管理
•认证方式选择 •单点登录SSO •认证转发
系统功能
•授权管理 •资源管理 •访问控制 •角色管理 •授权粒度控制
3
授权管理
4
集中审计
•日志采集 •日志分析 •审计还原 •告警处理 •审计报表
认证方式支持
1
用户管理
2
认证管理
•认证方式选择 •单点登录SSO •认证转发
系统功能
•授权管理 •资源管理 •访问控制 •角色管理 •授权粒度控制
3
授权管理
4
集中审计
•日志采集 •日志分析 •审计还原 •告警处理 •审计报表
审计采集
• 平台自身安全审计信息: 对第三方的非常规访 完整保留各类原始记录
问行为进行完整记录 、证据、依据,确保全 – 人员的帐号管理:帐号建立、帐号分配情况、权限分配情况、认证、 ,并形成持久的震慑 方位的可审计 影响。 帐号使用(登入、登出)情况等。 – 对本系统运行的全部行为,包括任何人(含系统管理员)的任何操作 进行记录;
• 通过基于角色授权,实现了用户到资源访问的权限分配
– 实体级集中授权,授权粒度只精确到应用、设备、主机,通俗一点说 就是用户是否有权连接某个IP地址+端口 从账号1 角色 1 – 实体内部资源级集中授权,授权粒度精确到应用、设备、主机内的资 资产 源。资源包括应用的功能模块、HTML页面、数据库表或字段;主机 从账号2 内的文件或目录等 角色 2 主账号1
4A解决什么问题?——错综复杂的日常运行维护管理
企业员工 张三在公司 企业员工 李四在出差 王五是远程的 第三方维护人员 小刘是现场的 第三方维护人员
账户开设 无规可循
弱口令 无法控制
维护接入途径 五花八门
维护操作内容 无从知晓
违规操作 无法控制
企业各类IT资源
4A解决什么问题?——安全管控平台的作用
• 目前,神州泰岳Ultra-IAM SSO单点登陆系统支持以下强身 份认证方式: • 支持多种认证方式组合,保证认证过程的安全。
单点登录
• 神州泰岳Ultra-IAM SSO单点登陆系统为具有多帐号的用户 提供了方便快捷的访问途经,使用户无需记忆多种登录过程、 用户ID和口令。它通过应用的集中接入和口令代填等方式向 用户提供对其个性化资源的快捷访问提高生产效率和利润
审计分析
– 分类:基于源地址、用户、操作的对象、操作的类型、操作的时间 和操作结果来进行分类。 – 分级:根据审计信息的内容、对应的事件分类、相关资源、相关人 员不同,将可审计事件的重要程度划分为不同的级别,以便对不同 级别的事件采取不同的处理方式 – 操作行为分析:将系统层的日志、数据库日志、应用层的日志及网络 数据进行相互关联,尤其是所有对财务数据相关的关键系统数据的 访问、修改和删除等,再现用户的完整操作过程。 – 提供强大的审计信息查询,管理人员可根据审计信息的各种属性进 行分类查询。支持基于时间、事件类型、级别、用户帐号,关键字 等字段的查询 – 告警:对非法地址、非法客户应用、非法数据库用户名、非法数据库 对象访问、非法操作类型、非法SQL语句和非法时间进行报警
通过标准网络协议接口(如Syslogd、 SNMP trap)或者定制网络接口采集操作 系统、数据库系统、应用系统、业务系统 、网络设备、安全设备等对象的日志信息 身份及访问管理平台 用户管理审计
Agent Collector
在目标审计对象上安装agent的 方式采集封闭系统的日志信息
同步功能-技术实现
• 主机:
– 同步方式:使用标准的通信接口telnet、ssh,通过发送用户操作指令 的方式对主机从帐号进行相应的维护。
• 网络设备:
– 驱动主要通过Radius协议和建立内置Radius服务器的方式进行帐号的 管理,以及进行帐号的访问控制等授权管理。
• 数据库:
– 通过JDBC协议与数据进行交换,进行数据库帐号等的权限信息的管 理。
多系统都基于独立的帐 号管理实现访问频繁切 换 帐号
维护
安全问题不断出现, 系统维护和管理工作 负担大,效率低
现状
独立的系统授权机制和 独立的应用授权管理
认证
接入网络没有强制检测手段;
授权
访问系统没有强身份认证 手段;
各应用系统都独立认证;
Ultra-IAM系统概述
• 神州泰岳Ultra-IAM是集账号管理、授权管理、认证管理和 综合审计、安全访问控制于一体的集中账号及安全访问管理 系统(业界称为4A)。
因为专注所以专业 因为专业所以领先
ULTRA-IAM统一身份及访问安全管理系统
北京神州泰岳软件股份有限公司 信息安全事业部
概要
1 2
3 4
产品概况
Ultra-IAM产品介绍
建设关注点 案例介绍
业界关于4A解决方案的一些名词
• 国际叫法:
– IAM——Identity and Access Management,统一身份及访问安全 管理
1
用户管理
2
认证管理
•认证方式选择 •单点登录SSO •认证转发
系统功能
•授权管理 •资源管理 •访问控制 •角色管理 •授权粒度控制
3
授权管理
4
集中审计
•日志采集 •日志分析 •审计还原 •告警处理 •审计报表
主从帐号管理
• 主帐号管理
– 组织管理:能够按照按地域、组织结构进行划分,建立相 应树状目录用于合理组织主帐号。 – 分级管理:以适应分部门、分管理层次的分级管理要求; 不同级别的帐号可以行使不同级别的权限 – 属性管理:包括帐号基本信息、时效策略、密码策略、组 织标识、角色标识。 – 生命周期管理:对用户从产生到删除各存在状态进行管理 – 帐号监控:口令系统对幽灵帐号、弱口令和交叉帐号(不 能修改口令的程序帐号)进行监控,并提供相应的 告警报表 – 自服务功能 :对自己的属性进行修改
为公司领导层提供安全决 策支持,为运维层提供安 全操作指向提供满足规范 要求的安全审计报表报告
• 被管资源操作行为审计
Net / DB Sensor
Access control Gateway
– 主机,网络设备,数据库等的所有用户指令操作的记录; 通过旁路部署的网络嗅探方式实 Central Server 通过集中访问接口的方式,让所有对 – 对主机、网络设备、数据库、安全设备上的日志进行集中存储和集中 现对数据库SQL操作指令的审计、 (包含了集中存储、分析、展现等功能) 目标对象的访问必须串行通过该访问 对http、telnet 、ftp、ssh、rlogin 审计; 控制网关,所有访问行为都将接受访 、rsh、pop3、smtp等网络操作行 问控制网关的监督和记录。 – 应用系统的关键操作行为数据; 为的审计
授 权 资 源 列 表
C/S应用
集中应用发布系统 SSO
帐号管理员 审计管理员
LDAP
Ultra-IAM Server Ultra-IAM Resource Management Driver suites
Ultra-IAM系统架构
系统功能
•主从帐号管理 •用户同步 •生命周期管理 •密码管理 •用户自管理
• 该产品实现用户账户管理(Account)、认证(Authentication)、 授权(Authorization)和审计(Audit)四方面的内在关联,是目 前国内功能最完整、控制粒度最细的综合身份认证和访问安 全管理产品。 • Ultra-IAM采用模块化设计,不但可以根据用户需要和环境 特点进行选择、组合,而且可以提供定制化的开发,能够方 便地实现与用户应用的有机结合。
流程设计
• 4A系统内置流程引擎,并内置图形化流程设计器,满足帐号 申请、审批、分配、通知等流程管理制度的需要
提供多种密码管理策略
•
•
•
•
密码安全策略 密码强度(长度、字符、有效期等),系统还提供多种密码 制定策略,满足不同系统对密码安全的需要 密码修改任务 用户从帐号密码的定期变更,提高密码的安全性 密码定期检查 通过系统定时任务,或相关管理员执行密码检查,找出系统 中存在不满足要求的用户口令 密码同步策略
角色 3 角色 4
从账号1
资产
从账号2
主账号1
主账号2
角色 5 角色 6
从账号1
资产
从账号2
23
集中访问控制
堡垒主机
网络设备 主机系统 数据库系统
联机指令平台
网元
桌面发布系统
C/S应用
Ultra-IAM Portal
B/S应用
集中审计
•主从帐号管理 •用户同步 •生命周期管理 •密码管理 •用户自管理
概要
1 2
3 4
产品概况
Ultra-IAM产品介绍
建设关注点 案例介绍
4A系统的工作场景
堡垒主机 代填 网络设备 主机系统 数据库系统
Ultra-IAM Portal
B/S应用 代填(HTTP模拟 、 Form代填 ) 凭证(Token、Ticket) 安装filter拦截器 主 账 号 认 证 从帐号SSO SSO 普通用户 运维用户
27
支持多种报表样式
统计分析
折线趋势分析
柱状统计分析
支持多种操作重现
RDPFra Baidu bibliotek放
数据库访问回放
SSH行为回放
会话回放
会话数据
windows回放
支持多种SOX报表和管理类报表
– 提供审计报表处理能力,可根据管理人员的定义生成各类报表 – 根据审计对象,产生指定时间周期(日、周、月、季度、年)的报表。 报表自动产生,报表内容可以根据用户需求进行差别化定制。除了自 动产生静态报表外,还可以由用户配置产生动态报表。报表支持包括 打印和输出各种格式的文件,如PDF、Word、Excel、HTML等等。 – 系统内置了多种报表形式,包括:
授权管理
•主从帐号管理 •用户同步 •生命周期管理 •密码管理 •用户自管理
1
用户管理
2
认证管理
•认证方式选择 •单点登录SSO •认证转发
系统功能
•授权管理 •资源管理 •访问控制 •角色管理 •授权粒度控制
3
授权管理
4
集中审计
•日志采集 •日志分析 •审计还原 •告警处理 •审计报表
集中授权管理
同步功能
• 神州泰岳Ultra-IAM 通过多种方式来实现对操作系统、数据 库系统、网络设备、应用系统、业务系统的用户同步管理
– – – – – – – – – Telnet/SSH方式 AD域方式 JDBC/ODBC LDAP方式 模拟客户端 Radius协议 Agent Web Service 专用API方式
• 神州泰岳产品:
– Ultra-IAM——Account、Authentication、Authorization、Audit and Access Control Management Sysytem
• 中国移动叫法:
– 安全管控平台 或者 4A,涵盖三个子中心
• 集中维护接入平台 SMAP:对应Access Control • 帐号口令管理系统:对应Account、Authentication、 Authorization • 审计系统:对应Audit
• 应用系统:
通过标准接口来实现帐号同步,如JDBC/ODBC 、标准LDAP 通过私有协议来实现和应用系统间帐号接口,提供java或c的标准api 接口,webservice jmx 等接口
完整的生命周期管理
• 对用户从产生到删除各存在状态进行管理,包括统一的用户创 建、维护、删除等功能,并同步到各个系统中去。
企业员工 张三在公司 企业员工 李四在出差 王五是远程的 第三方维护人员 小刘是现场的 第三方维护人员
集中安全维护接入平台 集中帐号口令管理平台
集中安全 审计平台
企业各类IT资源
建设现状分析
独立的审计,缺乏关联分析。运营出现 的安全问题无法明确定位 独立的用户数据库和独立的 系统管理员;
审计
自然人身份和业务系统帐号 重叠 ;
• • • • • •
SOX要求各类报表 帐号类报表 资源类报表 告警类报表 审计类报表 用户访问类
审计管理:针对敏感数据的审计专题
• 神州泰岳结合业务系统敏感数据泄漏问题,以及数据安全管 理办法, 通过在部分省市的经验,通过Ultra-IAM系统能方 便实现以下审计专题:
– – – – – – – – – – 系统维护人员采用程序帐号访问业务数据; 系统维护人员采用程序帐号维护数据库; 维护人员绕过4A系统登录业务系统或者操作系统; 集团客户资料查询审计 查询用户信息审计 导出用户数据关联审计 用户账单查询审计 客户资料查询审计 数据备份操作频率,数据审计 未经审批流程的建立的帐号的自动发现、报警与控制处理机制
认证管理
•主从帐号管理 •用户同步 •生命周期管理 •密码管理 •用户自管理
1
用户管理
2
认证管理
•认证方式选择 •单点登录SSO •认证转发
系统功能
•授权管理 •资源管理 •访问控制 •角色管理 •授权粒度控制
3
授权管理
4
集中审计
•日志采集 •日志分析 •审计还原 •告警处理 •审计报表
认证方式支持
1
用户管理
2
认证管理
•认证方式选择 •单点登录SSO •认证转发
系统功能
•授权管理 •资源管理 •访问控制 •角色管理 •授权粒度控制
3
授权管理
4
集中审计
•日志采集 •日志分析 •审计还原 •告警处理 •审计报表
审计采集
• 平台自身安全审计信息: 对第三方的非常规访 完整保留各类原始记录
问行为进行完整记录 、证据、依据,确保全 – 人员的帐号管理:帐号建立、帐号分配情况、权限分配情况、认证、 ,并形成持久的震慑 方位的可审计 影响。 帐号使用(登入、登出)情况等。 – 对本系统运行的全部行为,包括任何人(含系统管理员)的任何操作 进行记录;
• 通过基于角色授权,实现了用户到资源访问的权限分配
– 实体级集中授权,授权粒度只精确到应用、设备、主机,通俗一点说 就是用户是否有权连接某个IP地址+端口 从账号1 角色 1 – 实体内部资源级集中授权,授权粒度精确到应用、设备、主机内的资 资产 源。资源包括应用的功能模块、HTML页面、数据库表或字段;主机 从账号2 内的文件或目录等 角色 2 主账号1
4A解决什么问题?——错综复杂的日常运行维护管理
企业员工 张三在公司 企业员工 李四在出差 王五是远程的 第三方维护人员 小刘是现场的 第三方维护人员
账户开设 无规可循
弱口令 无法控制
维护接入途径 五花八门
维护操作内容 无从知晓
违规操作 无法控制
企业各类IT资源
4A解决什么问题?——安全管控平台的作用
• 目前,神州泰岳Ultra-IAM SSO单点登陆系统支持以下强身 份认证方式: • 支持多种认证方式组合,保证认证过程的安全。
单点登录
• 神州泰岳Ultra-IAM SSO单点登陆系统为具有多帐号的用户 提供了方便快捷的访问途经,使用户无需记忆多种登录过程、 用户ID和口令。它通过应用的集中接入和口令代填等方式向 用户提供对其个性化资源的快捷访问提高生产效率和利润
审计分析
– 分类:基于源地址、用户、操作的对象、操作的类型、操作的时间 和操作结果来进行分类。 – 分级:根据审计信息的内容、对应的事件分类、相关资源、相关人 员不同,将可审计事件的重要程度划分为不同的级别,以便对不同 级别的事件采取不同的处理方式 – 操作行为分析:将系统层的日志、数据库日志、应用层的日志及网络 数据进行相互关联,尤其是所有对财务数据相关的关键系统数据的 访问、修改和删除等,再现用户的完整操作过程。 – 提供强大的审计信息查询,管理人员可根据审计信息的各种属性进 行分类查询。支持基于时间、事件类型、级别、用户帐号,关键字 等字段的查询 – 告警:对非法地址、非法客户应用、非法数据库用户名、非法数据库 对象访问、非法操作类型、非法SQL语句和非法时间进行报警