4A统一安全管理平台解决方案
华为4A式IAM解决方案(含图)
华为4A式IAM解决方案随着各大运营商在海外的上市,运营商对增强内部控制的需求日益强烈。
华为4A式IAM (Identity Access Manager基于身份的访问管理)解决方案综合利用各厂家成熟的技术,结合自身对电信业务深刻地理解和研发集成能力,致力于提高各大运营商通过合理的技术和途径达到增强内部控制的要求。
4A式IAM解决方案包含了集中帐号管理(Account)、集中认证(Authentication)、集中授权(Authorization)和集中审计(Audit)四个方面。
方案重在帮助运营商通过合理的技术手段和建设方式达到增强内控的目的。
方案需求背景随着各大电信运营商的业务网发展,其各种系统和内部用户数量不断增加,网络规模迅速扩大,安全问题日趋严重。
现有的每个业务网系统分别存储、管理本系统内的账号和口令,独立的以日志形式审计操作者在系统内的操作行为已远远不能满足业务发展的需要,也无法满足萨班斯法案(SOX)内控的要求,无法与国际业务接轨。
存在的问题主要表现在以下几个方面:各系统中有大量的网络设备、主机和应用系统都有一套独立的认证、授权和审计机制,分别由相应的系统管理员负责维护和管理。
系统中帐号繁多,当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加。
各系统分别管理所属的系统资源,为本系统的用户分配权限。
随着用户数量的增加,权限管理任务越来越重,且无法严格按照最小权限原则分配权限,系统的安全性无法得到充分保证。
有些账号多人共用,不仅在发生安全事故时,难以确定账号的实际使用者;而且在平时也难以对账号的扩散范围加以控制,容易造成安全漏洞。
各业务系统及支撑系统的增多,使用户需要经常在各个系统之间切换,每次从一个系统切换到另一支撑系统时,都需要输入用户名和口令进行登录。
给用户的使用带来不便,影响了工作效率。
但是用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的,又会危害到系统的安全性。
4A统一安全管控平台_产品介绍PPT-V1.4
没有技术手段情况下,很难通过日志审计发现异常或违规行为。
数据问题
Access
忽视操作过程中生成的文件,缺乏对其进行上传下载的控制,存在极大的安全隐患。 没有对文件内容进行审计控制,很难对敏感数据泄露事件进行控制和审核。
解决问题
账号集中管理 单点登录与认证
授权管理
日志集中管理 与审计
a) b) c)
d)
实现IT资源账号集中管理、 自动采集、创建、分配、同 步 实现公司统一用户目录中用 户身份信息的规范化,与公 司人力资源等实现数据同步 将资源账号和使用人员真实 身份对应的主账号进行组从 关联,建立主从账号关联关 系视图 强制口令修改。输出需要的 报表,可根据需求自动化定
SSO登录
管理员Portal
授权管理 资源管理 资源授权 分组访问控制 命令防火墙 角色管理 资源关系组
综合审计 日志采集 日志范化 关联分析 审计回放 审计告警 审计报表与查询
业务管理功能 平台自管理 用户自服务 组件管理 分级管理
状态监控 工单管理
业务数据库
审计数据库
帐号管理接口
认证接口
审计接口
体级访问控制和授权
实现系统资源和应用资源权
限的自动采集或手动管理 c)
对所有系统资源、应用资源,
支持角色定义,支持基于角
色的授权
d)
e)
支持多种系统、访问日志收 集和统一格式标准化 将系统侧采集的日志和在同 一用户接入点的文本或视频 进行日志关联 实现将日志关联到用户主账 号且对应到自然人的登录过 程、关键操作进行审计 快速检索日志,支持安全事 件责任调查 能够审计发现绕开4A系统 直接登录资源的行为
需要4A统一安全管理平台解决方案
4A统一安全管理平台解决方案4A包括统一用户账号(Account)管理、统一认证(Authentication)管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。
融合后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。
而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统内的操作行为。
现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求,及与国际业务接轨的需求。
问题主要表现在以下几方面:1.大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加;2.一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;3.各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;4.个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;5.随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的威胁;6.对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。
综上,由于缺乏统一的4A管理平台,加重了系统管理人员工作负担,同时,因各业务系统安全策略不一致,实质上也大大降低了业务系统的安全系数。
统一安全管理平台解决方案能够解决运营商当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。
最新安全4A概念及其体系结构简介
安全4A概念及其体系结构简介安全4A概念及其体系结构简介一、4A概念4A是指包括账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit)等保障部信息安全的四个基本要素。
4A系统通过集中的帐号管理、身份认证、授权管理和安全审计等功能可为企业提供强健的、基于统一策略的解决方案,解决企业内控等问题,降低管理成本,提高系统安全性和政策符合性。
二、4A系统的必要性网络信息系统的不断发展,各种业务系统和支撑系统的用户数量快速增加,每个业务网系统分别维护用户信息数据,孤立身份管理和身份认证方式,及以日志形式的审计操作者在系统内的操作行为,已日渐不能满足信息安全的要求,因而急需解决以下几方面问题:帐号与口令管理流程的缺失——如:存在大量共享帐号;用户帐号的添加、修改以及删除、用户账号的定期审阅、职责分工没有全流程控制和执行(或者有相关措施,但难于执行),同时对应员工岗位变更和离职的用户数字身份生命周期管理没有相应的技术手段,最终导致大量帐号的产生和管理失控;(1)系统维护复杂度带来的人为安全性问题——各系统中有大量的网络设备、主机和应用系统,帐号繁多,管理困难,管理成本较高;难以实现帐号权限的有效监督和审核;难以维护有效的用户帐号列表;当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加;(2)用户认证方式和手段缺乏——目前大多数系统采用基本的帐号与口令方式进行认证,由于没有技术机制的限制,口令的设置过于简单,无法实现用户标识唯一性(无法明确到个人,无法区分内部员工、最终用户、设备厂商维护人员等),须考虑增强的认证手段和统一管理;(3)用户行为的审计和跟踪缺失——有些帐号多人共用,不仅在发生安全事故,难于确定帐号的实际使用者,而且难于对帐号的扩散范围进行控制,容易造成安全漏洞;同时,日志和审计手段分散在各个系统和设备中,容易造成日志信息丢失,缺乏集中统一的系统访问审计,审计操作复杂,无法对支撑系统进行综合分析,不能及时发现危害系统安全的事件;(4)“分散”管理的问题——系统分别属于不同的专业进行管理,目前各系统都有一套独立的认证、授权和审计机制,分别由相应的系统管理员负责维护和管理。
统一安全管理AAAA平台解决方案
统一安全管理AA平台解决方案4A包括统一用户账号(Account)管理、统一认证(Authentication)管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。
融合后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。
而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统内的操作行为。
现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求,及与国际业务接轨的需求。
问题主要表现在以下几方面:1.大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加;2.一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;3.各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;4.个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;5.随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的威胁;6.对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。
综上,由于缺乏统一的4A管理平台,加重了系统管理人员工作负担,同时,因各业务系统安全策略不一致,实质上也大大降低了业务系统的安全系数。
统一安全管理平台解决方案能够解决运营商当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。
最新4A(统一安全管理平台)解决方案资料
4A (统一安全管理平台)简介企业信息门户系统供稿1、介绍企业信息化软件,一般经历下面几个阶段:无纸化办公一信息共享一信息安全等三个阶段,随着企业承载应用的越来越多,对所有应用的统一访问、统一控制、统一授权的需求也随着出现,4A就是针对此类问题的综合解决方案。
4A是指:认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为统一安全管理平台解决方案。
融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录(SSO )等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
2、4A系统背景随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统、商务平台不断推出和投入运行,信息系统在企业的运营中全面渗透。
电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户网站,使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务,提供电子商务、数据库应用、ERP和协同工作群件等服务。
由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响企业的经济运行效能,并对企业声誉造成重大影响。
另外黑客的恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。
如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为企业关心的问题。
3、4A平台的管理功能1)集中帐号(account )管理4A功能结构图为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。
中国移动4A系统介绍
移动4A系统介绍目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。
所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。
在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法,仅供参考。
4A之账号管理移动集团的4A规范中提出主账号和从账号的概念,主账号即自然人使用的账号,目前主要是网络准入控制系统的账号。
从账号即资源设备自身账号,主要是指自然人登录设备或应用系统时使用的账号。
为此在4A平台中需要建立两个管理模块:主账号管理模块、从账号管理模块。
4A之授权管理在“4A之账号管理”中进行主账号管理和从账号管理。
而主账号和从账号之间需要通过资源设备进行关联。
授权的目的就是使授权自然人可以登录那些设备,在相应的设备上使用从账号。
因此形成“主账号-从账号-设备”三位一体的对应关系。
目前移动系统中使用的账号情况极为复杂,因此提出“以人为本”的关系梳理。
该梳理就是要搞清“谁—能访问什么设备—使用哪个(些)系统账号”的关系,同时为认证和授权提供相应的关联列表。
4A之认证管理前面进行了授权管理,接下来要对账号的合法性进行相应的认证。
4A的认证合法性应该主要完成三项内容:主账号是否合法、从账号是否合法、授权是否合法。
见图1认证及授权模块的框图。
图1认证及授权模块的的框图认证及授权过程●在前期的安全建设中,已经在网络中做了安全域划分及网络安全准入系统的建设。
用户进入网络访问业务系统时,网络准入系统需对自然人身份的合法性进行认证,主账号认证信息打包转发给4A平台,4A平台对主账号的合法性进行判断,合法则让网络准入控制设备放开控制策略。
●主账号认证通过后,4A平台记录自然人、主账号、终端IP的对应关系,实现网络实名制记录。
4A与CA的区别_献给工作在第一线的技术同志
亚信4A的优势
国家电子政务外网平台
采用亚信安全4A,在今后对接中有天然的优势
国内最知名第三方安全评定机构“安全牛”评定亚信安全 为国内身份安全领导者
IAM= Identity and Access Management 即:身份识别与访问管理
7
感谢聆听!
8
单点登录
密码代填(C/S,B/S) 标准协议SSO
5
关于4A与CA的身份认证
4A的身份认证
CA的身份认证
动态令牌
身份证认证
短信认证
硬件证书
网络证书
USBKEY 二维码 人脸识别
SIM卡认证 指纹认证 声纹认证
证书 移动证书
……
简单的说,4A是以人为中心可支持多类认证手段的接入、叠加
CA是以提供数字证书为中心,做出一些形态的变化
CA认证,即电子认证服务,是指为电子签名相关各方提供 真实性、可靠性验证的活动。 证书颁发机构(CA, Certificate Authority)即颁发数字证书 的机构。是负责发放和管理数字证书的权威机构,并作为 电子商务交易中受信任的第三方,承担管理平台,CA是一种电子签名认证服务 现状是部分CA产品也提供了一些简单的身份安全管理手段,如应用单点登录
4A与CA的定义图解
CA : 认证手段中的一种
4A : 基于人的全场景 身份集中管理
3
4A与CA的管理场景
4A的管理场景
CA的管理场景
风险识别 账号托管 精细授权
数据访问 文件流转
身份认证 应用接入 设备访问
手机访问
身份认证 应用接入
简单的说,4A覆盖人在组织内的所有IT使用场景,持续识别风险,并实现统一管理 CA是验证身份,顺便做了应用的单点登录
4A安全-案例手册
4A安全案例手册案例概述4A安全应用,为企业内部的用户和各种资源进行集中管理、集中权限分配、集中审计,提供技术上保证支撑系统安全策略的实施。
如下例举两个案例来体现中间件4A安全:案例1:我的权限表单(TestB.jsp)案例2:我的业务表单(TestC.jsp)案例1:我的权限表单1.操作描述我的权限表单,以图书借阅为例,体现安全中的对用户权限的控制。
假设有User1用户,我们添加权限,授予他可以看书的权限,再回收他看书的权限。
具体步骤:1.注册资源2.定义角色3.授予用户4.在系统中绑定2.操作步骤一、注册资源(BOOK)打开中间件平台首页/cmsWeb/index.jsp,如图1.1图1.1单击,链接到“资源列表”页面,找到BUSSENV(业务属性)这个资源(资源可任意单击“新建”按钮建立)单击,链接到“资源管理”页面单击,弹出资源“新建目录”对话框,新建PERMT--“权限测试”目录下,LIB—“书库目录下,BOOK这个资源(BUSSENV.BUSSENV.PERMT.LIB.BOOK)二、定义角色安全中,通过把权限赋予角色,再把角色赋予用户,来对用户权限进行管理。
三者的关系,我们需将用户,角色,权限先创建好,在进行授予。
1.创建用户步骤如下:打开中间件平台,选择「4A安全」,如图2.1图2.1单击,链接到“用户管理”的主界面。
如图2.2图2.2单击界面左下方按钮,链接到用户创建页面用户创建页面填写详细如下:1.姓名:要添加用户的姓名,可以填写为中文。
2.姓名拼音:不能填写中文,姓名拼音将作为用户的登陆帐号名。
3.组织机构:设置用户的组织机构,即设置用户的部门信息。
单击组织机构选择按钮,选择用户所在的部门,如图选择一个部门,注意:单击部门文件夹图表或部门名字表示选中该部门,单击左边的加号表示进入查看该部门的子部门,如图4.组别:系统默认开发组和项目组,是一个共享的资源,不是存在于某个部门下。
中国移动4A系统建设
所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。
目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。
所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。
在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法,仅供参考。
4A之账号管理移动集团的4A规范中提出主账号和从账号的概念,主账号即自然人使用的账号,目前主要是网络准入控制系统的账号。
从账号即资源设备自身账号,主要是指自然人登录设备或应用系统时使用的账号。
为此在4A平台中需要建立两个管理模块:主账号管理模块、从账号管理模块。
4A之授权管理在“4A之账号管理”中进行主账号管理和从账号管理。
而主账号和从账号之间需要通过资源设备进行关联。
授权的目的就是使授权自然人可以登录那些设备,在相应的设备上使用从账号。
因此形成“主账号-从账号-设备”三位一体的对应关系。
目前移动系统中使用的账号情况极为复杂,因此提出“以人为本”的关系梳理。
该梳理就是要搞清“谁—能访问什么设备—使用哪个(些)系统账号”的关系,同时为认证和授权提供相应的关联列表。
4A之认证管理前面进行了授权管理,接下来要对账号的合法性进行相应的认证。
4A的认证合法性应该主要完成三项内容:主账号是否合法、从账号是否合法、授权是否合法。
见图1认证及授权模块的框图。
图1 认证及授权模块的的框图认证及授权过程●在前期的安全建设中,已经在网络中做了安全域划分及网络安全准入系统的建设。
用户进入网络访问业务系统时,网络准入系统需对自然人身份的合法性进行认证,主账号认证信息打包转发给4A平台,4A平台对主账号的合法性进行判断,合法则让网络准入控制设备放开控制策略。
4a统一安全管理平台解决方案
4a统一安全管理平台解决方案篇一:移动应用系统安全管理平台解决方案概述1移动应用系统安全管理平台方案概述系统建设背景近日,。
无线城市规划的出台促进了。
无线应用系统快速发展。
因此,作为各种无线应用系统的核心基础—安全管理问题,也变得越来越重要,对无线应用系统安全管理方面的建设具有时间紧迫性。
XX年,Comodo, Gucci 和花期银行等国际公司的无线应用都相继发生了一系列安全事故。
这些安全事故都造成了巨大的经济损失。
我市各单位的无线应用系统(特别是政务系统和办公系统)中的数据往往都是需要保密的,一旦泄露后果不堪设想。
此外,各单位应用系统的离散独立建设和管理,会带来巨大的建设、管理成本,造成资源浪费。
例如,某单位如果不使用独立物理专线,无线应用的性能可能会难以接受;但是,如果建设将为这个单位带来巨额的专线使用费用,且容易出现专线资源的浪费。
综合政府无线城市规划的要求和各单位实际建设无线应用系统遇到的问题,本项目将重点解决我市各种无线应用系统的统一安全管理和网络资源统筹优化问题,其重点目标是在不改变各单位已有无线应用系统结构和物理联网的基础上,建立基于SSL VPN的移动应用安全管理平台,在逻辑和应用层面上将各单位移动应用系统纳入一个安全的使用范围,在移动应用系统各层面和关键节点上提供完善的防护和管理机制,最大限度的保障用户数据安全;同时,提供一个统一的VPN MSC客户端来实现用户的单点登陆管理,简化用户的操作步骤,以及降低各单位离散管理带来的安全隐患。
项目建设基础分析随着智能手机、平板电脑等移动设备的出现,移动互联网这一新兴事物蓬勃发展,移动平台正式进入大众市场。
当然,在这一发展过程中,也会遭遇一些成长的难题,比如安全问题和营收模式等。
不过无论如何,移动互联网时代正在来临。
根据XX年知名风投公司KPCB(Kleiner Perkins Caufield & Byers)发布的《移动互联网趋势报告》显示:全球ipad/iphone/ipod累计销售量达到7500万台,而Android系统移动平台更是达到2亿台;智能手机和平板电脑的销售量已经超过了笔记本和台式机的销量。
4A平台常见问题及解决办法
4A平台常见问题及解决办法V2.0 4A功能简述:4A系统的主要功能是完成登录BOSS系统的功能,登录4A系统时一定要确保通过BOSS网络拨小钥匙后进行登录,登录进去后页面将跳转至http://10.204.37.149:11000/页面后将完成4A系统的功能。
登录IP:10.204.33.153 (以下问题的解决办法只适用于登录4A系统访问BOSS系统)支撑网门户帐号锁定(1)报错场景,当员工登陆支撑网门户(http://10.204.33.153/SX4AEAI/login.jsp)的时候,提示错误,如图6-1;图6-1(1)解决方案1.管理员进入集中帐号管理平台的用户管理界面,如图6-2;图6-22.点击需要解除锁定的用户的登录名(图6-2),进入到帐号管理界面,会看到服务app_jf_支撑网门户状态为锁定状态,如图6-3;图6-33.选择服务,点击恢复帐号,弹出初始化密码框,如图6-4;图6-44.输入初始化密码,点击继续,完成解锁过程。
员工可以利用初始化的密码登陆支撑网门户。
1 访问支撑网门户报错(1)报错场景,员工访问支撑网门户http://10.204.33.153/SX4AEAI/login.jsp时,输入4A帐号和密码,点击确认不弹出短信验证码窗口,页面报错;(2)问题原因,浏览器没有装JDK;(3)解决方案,需要安装java虚拟机,如果浏览器没有弹出自动下载的提示,请手动下载下载地址:http://10.204.33.153/SX4AEAI/nresources/jre-6u15-windows-i586-s.exe2 员工绑定工号提示错误(1)报错场景,员工在绑定工号时,提示员工工号与人员信息不对应;(2)问题原因,BOSS工号中对应人员属性和人员中属性对应不上;(3)解决方案,管理员进入集中账号管理平台,给员工分配BOSS工号,具体分配操作查看《BOSS管理员统一安全管理平台使用手册3.0》3.33 点击营业视图报500错误第一步:第二步:第三步:删除Java(TM)6 Update 15第四步:关闭所有浏览器后访问地址http://10.204.33.153/SX4AEAI/nresources//jre-6u15-windows-i586-s.exe,下载java虚拟机后安装。
4A统一安全管控平台_产品介绍PPT-V1.4
体级访问控制和授权
实现系统资源和应用资源权
限的自动采集或手动管理 c)
对所有系统资源、应用资源,
支持角色定义,支持基于角
色的授权
d)
e)
支持多种系统、访问日志收 集和统一格式标准化 将系统侧采集的日志和在同 一用户接入点的文本或视频 进行日志关联 实现将日志关联到用户主账 号且对应到自然人的登录过 程、关键操作进行审计 快速检索日志,支持安全事 件责任调查 能够审计发现绕开4A系统 直接登录资源的行为
4A安全管控平台
被管系统1 (主机、网络 设备)
被管系统2 (数据库)
终端
被管系统3 (业务系统如 CRM)
4A体系建设总体框架图
运维Portal
账号管理 主从账号管理 账号双向同步 生命周期管理 账号属性管理 账号组管理 密码策略管理
认证管理 强认证服务 认证组合 认证转发 主账号认证 二次登录认证
金库模式
ls
rm
特性
支持本地授权 支持远程授权 支持实时授权 支持预授权
ls
rm
高危命令,rm指 令被告警、忽略、 阻断,或是需要审 批员进行二次审批
防绕行-绕行阻断
通过堡垒主机对系统资源进行操作时,为了加强安全审计,杜绝人员绕行 4A平台,达到集中使用4A平台的目的,采用具备流量采集与阻断功能的防绕行设 备,辅助并引导维护人员统一登录4A平台进行日常运维操作
账号管理
系统资源:堡垒主机使用特权账号采集系统资源的从账号,并且通过该 特权账号可以实 现对系统资源上的从账号的增删改等管理;
应用资源:应用系统为4A安全管控平台开放数据库接口,通过应用系统的数据库采集资 源上的从账号,然后通过webservice,4A安全管控平台将增删改等命令推送到应用系统上, 实现对应用资源从账号的管理;
立足SOX法案的系列安全解决方案
萨班斯(SOX)法案内控审计要求的出台,提升了IT控制在企业内部控制中的重要性,对电信运营商IT设施的安全性提出了更高的要求,如何改进IT控制和完善IT治理,是电信运营商的CIO们面临的新挑战。
潜心关注电信行业安全并不断创新的启明星辰信息技术有限公司结合多年在安全领域的丰富经验与最佳实践,推出了针对电信运营商SOX内控的系列安全解决方案,从宏观到微观,包括ISO27001安全认证咨询服务解决方案、安全域解决方案、4A(账号、认证、授权、审计)统一安全管理平台解决方案、以及面向业务保障的安全服务体系解决方案。
一、ISO27001安全认证咨询服务解决方案近年来,国家出台了一系列信息安全的法律法规,信息产业部已将安全与业务准入挂钩,与此同时,海外政府、资本市场提出的新监管要求(如:SOX法案)的强制执行都要求运营商进一步遵守安全内控要求。
放眼电信市场,各大运营商的“转型”都在寻找新的蓝海,IT与电信迅速融为一体成为ICT,而IT为传统通信产业注入无限活力的同时,也引发了大量安全问题,能否解决这些安全问题,已成为运营商与竞争对手拉开差距的关键,并已成为新的业务增长点。
在此背景下,各大运营商需要建立完善的信息安全管理体系(ISMS),通过国际权威机构的安全认证,并不断巩固完善,旨在赢得国内外客户的信任与国际资本市场的青睐,为企业的持续健康发展保驾护航。
相关国际标准与法案作为建立信息安全管理体系(ISMS)的重要规范,BS7799标准被ISO组织采纳后,衍生为ISO 17799《信息安全管理实施细则》和ISO 27001《信息安全管理体系规范》。
ISO 17799是建立并实施信息安全管理体系的指导性标准,ISO 27001是对信息安全管理体系进行审核的依据性标准。
获得ISO 27001认证是企业拥有完善的信息安全管理体系的象征。
萨班斯(SOX)法案是另一部更加具有国际性影响的规章,始创于2002 年,由美国证券交易委员会(SEC)提交,是一部旨在消除企业财务欺诈行为和弊端的历史性法案,它要求在美国上市的所有企业必须通过该法案审核。
明御运维审计与风险控制系统产品简介
明御®运维审计与风险控制系统国内领先的统一运维安全管理与审计系统支持多种部署方式支持统一账户管理全方位的运维风险控制丰富的审计功能产品概述明御®运维审计与风险控制系统(简称:DAS-USM)是安恒信息结合多年运维统一安全管理的理论和实践经验积累的基础上,结合各类法令法规(如SOX、PCI、企业内控管理、等级保护等)对运维审计的要求,自主研发完成的业内首创支持灵活部署方式,集统一账户管理与单点登录,支持多种字符协议与图形协议的实时监控与历史查询,全方位风险控制的统一运维安全管理与审计产品。
明御®运维审计与风险控制系统是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)统一安全管理平台方案并且被加固的高性能抗网络攻击设备,具备很强安全防范能力,作为进入内部网络的一个检查点,能够拦截非法访问和恶意攻击,对不合法命令进行阻断,过滤掉所有对目标设备的非法访问行为。
系统具备强大的输入输出审计功能,为企事业内部提供完全的审计信息,通过账号管理、身份认证、资源授权、实时监控、操作还原、自定义策略、日志服务等操作增强审计信息的安全性,广泛适用于需要统一运维安全管理与审计的“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业”等各个行业。
部署明御®运维审计与风险控制系统,能够极大的保护政府机关和企事业单位内部网络设备及服务器资源的安全性,使得企事业内部网络管理合理化,专业化,信息化。
典型部署1、旁路模式明御®运维审计与风险控制系统2、桥接模式明御®运维审计与风险控制系统主要功能1.单点登录✧用户只需一次登录系统,就可以无需认证的安全访问被授权的多种应用系统✧用户无需记忆多种系统的登录用户ID 和口令✧增强认证的系统,从而提高了用户认证环节的安全性✧实现与用户授权管理的无缝连接,这样可以通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计2.账号管理✧集中管理所有服务器、网络设备账号,从而可以集中授权、认证和审计✧通过对账号整个生命周期的监控和管理,降低管理大量用户账号的难度和工作量✧通过统一的管理能够发现账号中存在的安全隐患,制定统一的、标准的、符合安全账号管理要求的账号安全策略✧通过建立集中账号管理,企业可以实现将账号与具体的自然人相关联,实现多级用户管理和细粒度的用户授权,还可以实现针对自然人的行为审计,以满足审计需要3.身份认证✧系统为用户提供统一的认证接口,不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性✧提供多种认证方式可供用户选择✧具有灵活的定制接口,方便与第三方认证服务器结合4.资源授权✧系统提供统一的界面对用户、角色及行为和资源进行授权,达到对权限的细粒度控制,最大限度保护用户资源的安全✧集中访问授权和访问控制可以对用户对服务器主机、网络设备的访问进行审计和阻断✧授权的对象包括用户、用户角色、资源和用户行为✧系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以限制用户的操作,以及在什么时间进行操作这样应用内部的细粒度授权5.访问控制✧系统提供细粒度的访问控制,最大限度保护用户资源的安全。
中国移动4A系统介绍.pdf
移动4A系统介绍目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。
所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。
在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法,仅供参考。
4A之账号管理移动集团的4A规范中提出主账号和从账号的概念,主账号即自然人使用的账号,目前主要是网络准入控制系统的账号。
从账号即资源设备自身账号,主要是指自然人登录设备或应用系统时使用的账号。
为此在4A平台中需要建立两个管理模块:主账号管理模块、从账号管理模块。
4A之授权管理在“4A之账号管理”中进行主账号管理和从账号管理。
而主账号和从账号之间需要通过资源设备进行关联。
授权的目的就是使授权自然人可以登录那些设备,在相应的设备上使用从账号。
因此形成“主账号-从账号-设备”三位一体的对应关系。
目前移动系统中使用的账号情况极为复杂,因此提出“以人为本”的关系梳理。
该梳理就是要搞清“谁—能访问什么设备—使用哪个(些)系统账号”的关系,同时为认证和授权提供相应的关联列表。
4A之认证管理前面进行了授权管理,接下来要对账号的合法性进行相应的认证。
4A的认证合法性应该主要完成三项内容:主账号是否合法、从账号是否合法、授权是否合法。
见图1认证及授权模块的框图。
图1认证及授权模块的的框图认证及授权过程●在前期的安全建设中,已经在网络中做了安全域划分及网络安全准入系统的建设。
用户进入网络访问业务系统时,网络准入系统需对自然人身份的合法性进行认证,主账号认证信息打包转发给4A平台,4A平台对主账号的合法性进行判断,合法则让网络准入控制设备放开控制策略。
●主账号认证通过后,4A平台记录自然人、主账号、终端IP的对应关系,实现网络实名制记录。
4A(统一安全管理平台)解决方案
4A(统一安全管理平台)简介企业信息门户系统供稿1、介绍企业信息化软件,一般经历下面几个阶段:无纸化办公—信息共享—信息安全等三个阶段,随着企业承载应用的越来越多,对所有应用的统一访问、统一控制、统一授权的需求也随着出现,4A就是针对此类问题的综合解决方案。
4A是指:认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为统一安全管理平台解决方案。
融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
2、4A系统背景随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统、商务平台不断推出和投入运行,信息系统在企业的运营中全面渗透。
电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户网站,使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务,提供电子商务、数据库应用、ERP和协同工作群件等服务。
由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响企业的经济运行效能,并对企业声誉造成重大影响。
另外黑客的恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。
如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为企业关心的问题。
3、4A平台的管理功能1)集中帐号(account)管理4A功能结构图为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。
4A统一安全平台设计方案
4A统一安全平台设计方案熊冬青【摘要】介绍了4A安全平台的必要性,给出了安全平台的整体架构,并对关键业务流程给予了说明。
【期刊名称】《广东通信技术》【年(卷),期】2012(032)004【总页数】3页(P22-24)【关键词】认证;授权;签权【作者】熊冬青【作者单位】华中科技大学电信系【正文语种】中文【中图分类】TP393.081 概述随着企业业务发展迅速,各种IT应用系统和用户数量不断增加,分散的业务应用、信息孤岛存在安全和管理问题:各应用不在统一的安全平台上,有不同的授权机制和验证方式,开发和维护费用很大;没有统一的安全平台,以后开发新的应用,用户需要记忆多个用户名/和密码,做多次登录,用户满意度低;各应用条块分割,封闭的用户验证方式,不能安全和方便的扩展业务到合作伙伴,不利于业务的扩展;没有集中统一安全管理机制,管理费用很大;没有统一标准的安全验证、访问、授权、审计平台,没有一致的安全等级保护,没有统一的安全策略,存在安全风险;没有集中的安全审计,统一审计各应用的安全事件。
所以需要建设集中统一的安全平台,各个应用在统一平台上作认证和授权,使得管理人员可以对IT系统的用户和各种资源进行集中安全管理、集中权限分配、集中审计,从而保证业务的统一安全管理。
统一安全平台包括认证(Authentication)管理、授权(Authorization)管理、用户(Account)管理、安全审计(Audit),简称4A统一安全平台。
2 4A统一安全平台设计2.1 整体设计4A统一安全平台解决方案由3个模块组成:(1)安全访问管理(SAM):提供统一认证、授权功能(Authentication,Authorization);(2)统一用户管理(IAM):提供统一用户管理功能(Account);(3)统一安全审计(AUDIT):提供统一审计功能(Audit) 2.1.1 安全访问管理(1)统一身份认证。
原来分散的各个应用分别验证,统一到 SAM平台。