华为集中安全管理系统

日志集中管理 与审计系统 日志采集 日志采集
帐号口令集中管理系统
集中展现层（中央管理平台） 管理员Portal 运行管理 备份管理 告警管理 系统自身权限管理 管理员管理 用户管理 资源管理 报表管理 普通用户Portal
自服务 集中资源展现
审计分析 审计分析
审计策略 审计策略
核心功能层
账 主账号管理 号 从账号管理 管 理 密码管理 集 资源管理 中 角色管理 授 权 授权管理 集 认证服务 中 SSO 认 证 强认证/PKI 登 登录记录 录 审计分析 审 计 预警
张 三离 职 了，他的 帐 张 三离 职 了，他的 帐 号怎 么还 在？要是有 号怎么还在？要是有 人非法利用他的 帐 号 人非法利用他的 帐 号 怎 么办 ？ 怎么办？
我和李四都用 root 帐 我和李四都用 root 帐 号，上次 张 三不小心 号，上次张三不小心 把系 统 搞 DOWN 了， 领 把系 统 搞 DOWN 了， 领 导还 在追 查 我呢 导还在追查我呢
单点登录

很多系统的用户权限管理不合理，权限过大，或不必要的授权
统一授权

谁什么时间、访问了什么资源、执行了哪些操作，不得而知
集中日志审计

内部员工、外部员工、合作伙伴的访问控制混乱
集中访问控制
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 8
帐号管理将自然人与其 拥有的所有系统帐号关 联，集中进行管理，
Account 帐号管理
Authentication 认证
扩展安全 审计
•集中管理平台
目录服务
对用户使用系统 资源的具体情况 进行合理分配
Authorization 授权
商用 Portal
Audit 审计
多层日志关联，将操 作行为与自然人结合 进行审计
架构设计 集成与开发 流程制订
系统对接 定制开发 平稳过渡
满足客户安全需求、符合客户原有习惯、不影响现网系统运行
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 12
CSMS安全建设目标
增强内控安全，满足SOX法规
… 集中帐号口令管理
梳理系统帐号，增强系统安全 加强对系统的访问控制，提高 系统安全性
Page 13
集中帐号管理系统主要功能
¾自动、定期修改 系统账号口令 ¾发现非法创建的帐 号，并处理 ¾一键式帐号创建、 变更、删除 ¾用户帐号生命周期 审批流程管理
¾业务系统帐号集中 管理
¾审批工作流的指派 和委托代理
¾主机、网络设备、数 据库系统帐号集中管理
¾用户自助服务
集中帐号管理系统主要功能
z
z
z
独立的审计管理
z
进入各系统都要输入 用户名密码，降低工 作效率 认证方式使用静态口 令，安全性低，定期 人工更改工作量大
随着用户数量的增 加，权限管理任务越 来越重 权限控制不清，存在 越权访问 缺乏集中统一的资源 授权管理
库系统都要分别进行审 计
z
z
z
无法对系统运行进行 缺乏统一的系统访问 不符合SOX审计需求
目录
z z
现状与需求分析 华为CSMS解决方案

系统架构与功能 应用场景 系统交付 投资收益
z
成功案例
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 9
什么是CSMS?
确保必须通过CSMS的 认证后才能访问资源 可结合动态口令、 数字证书、生物特 征等多种身份认证 方式 强身份认 证及SSO
审计报警 审计报警
接口适配层 通用的帐号、认证接口 自定义帐号、认证接口
安全监控 安全监控 统一分析 统一分析
统一报表 统一报表
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 11
CSMS专业服务
评估调研 设计开发 实施部署
需求调研 帐号整理 流程梳理
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 14
集中认证授权系统主要功能
¾基于角色实现实 体级的授权和访问 控制 ¾建立集中认证中 心，防止非法访问 ¾B/S，C/S应用单点登 录，提高用户便利性 ¾资源内部应用级访 问授权
¾B/S，C/S业务系统 认证授权 ¾主机、网络设备、 数据库、远程接入认 证授权
我 换 部 门 了，呵呵， 我 换 部 门 了，呵呵， 原来的服 务 器依然可 原来的服务 器依然可 以 访问 以访问 …… ……
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 3
系统管理员层面存在的安全问题
我要 维护 多台 HP-UX 、 AIX 、 我要 维护 多台 HP-UX 、 AIX 、 Solaris 、 LINUX 主机， 总 是 Solaris、LINUX主机，总是 在不同系 统 之 间 切 换 ，需 在不同系 统 之 间 切 换 ，需 要重 复输 入用 户 和口令， 要重复输入用户和口令， 浪 费 很多 时间 。 浪 费 很多 时间 。 每 个系 统 一套自己的 每 个系 统 一套自己的 日志， 发 生事故了， 日志，发生事故了， 怎 么 从 这 些零星的日 怎 么 从 这 些零星的日 志中 发现 安全原因？ 志中发现安全原因？
… 集中认证接入
建立维护工作流，提高维护规 范性 建立安全审计中心，及时发现 安全问题，追溯违规行为 实现单点登录，增强用户便利
… 集中授权管理
集中安全审计 …
建立管理平台，提高管理效率 集成业务系统，推动业务优化
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
安全系 统 的建 设 ，能否 预 安全系 统 的建 设 ，能否 预 防先前 发 生的一些安全事 防先前发生的一些安全事 故？如智能网盗卡事件、 故？如智能网盗卡事件、 非法群 发 短信事件等。 非法群 发 短信事件等。
安全系 统 的建 设 ，能否融 安全系 统 的建 设 ，能否融 合到当前 组织 架构、管理 合到当前组织架构、管理 制度、 业务 系 统 ，并使之 制度、 业务 系 统 ，并使之 优 化？ 优化？ …… ……
我的 报销 系 统 密 码 忘 我的 报销 系 统 密 码 忘 了，怎 么办 呢？ 了，怎么办呢？
昨天 让张 三帮忙收 邮 昨天 让张 三帮忙收 邮 件把密 码 告 诉 他了 , 件把密码告诉他了, 我的其它密 码 也是 这 我的其它密 码 也是 这 个 , 得全部改掉 个,得全部改掉
我要用 Windows 、 我要用 WindowsAD AD 、 OA 、 邮 件、 报销 系 OA、邮件、报销系 统 …… 有太多用 户 口 统…… 有太多用 户 口 令要 记忆 了，密 码 干脆 令要记忆了，密码干脆 都 设 置 为 123 都 设 置 为 123
集中安全分析
z
z
审计
z
生产系统
网管系统
…
BOSS系统
OA系统
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 6
客户所面临的问题、风险和挑战
面临的问题
SOX内控需求 设备帐号混乱,形成幽灵帐号 业务帐号众多,管理难度大 维护风险高,权限不易控制 登录不统一,无有效监控 普通用户需登录多个系统和记忆大 量口令，单点登录需求强烈 大量纸面件的审批和记录，繁琐 出现安全事故,无行为追溯
¾满足SOX审计需 求
集中审计系统主要功能
HUAWEI TECHNOLOGIELeabharlann Baidu CO., LTD.
Huawei Confidential
Page 16
CSMS平台的流程场景
AMS Portal
安全系 统 的建 设 是否 安全系 统 的建 设 是否 符合公司安全策略， 符合公司安全策略， 适用未来 发 展需要？ 适用未来 发 展需要？
安全系统的建设，能 安全系统的建设，能 否提高管理效率，降 否提高管理效率，降 低管理和维护成本？ 低管理和维护成本？ 如纸面件审批电子化。 如纸面件审批电子化。
企 业员 工、系 统维护 人 员 、 企 业员 工、系 统维护 人 员 、 第三方厂商人 员 都需要 访 第三方厂商人员都需要访 问业务 系 统 ，要是有一个 问业务 系 统 ，要是有一个 统 一的管理平台就好了 统一的管理平台就好了
朋友手机没 钱 了，怎 么 朋友手机没 钱 了，怎 么 才能登上充 值 系 统 ， 给 才能登上充值系统，给 他充个一千 块 ？ 他充个一千 块 ？ …… ……
2010-10-14
Security Level: Open
华为CSMS集中安全管理系统 解决方案
www.huawei.com
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
目录
z z
现状与需求分析 华为CSMS解决方案

系统架构与功能 应用场景 系统交付 投资收益
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 5
电信网络运维安全现状分析
用户管理
z
认证管理 各应用系统都有一套 独立的认证管理
z
授权管理 各应用系统都有一套 独立的授权管理
z
安全审计 各应用系统都有一套 每个业务系统及数据
z
z
z
z
各应用系统都有一套独 立的用户管理 有些账号多人共用，经 常发生安全事故 系统帐号众多，形成幽 灵帐号 采用较简单的口令或多 个系统设置相同口令， 危害到系统的安全性 大量纸面件的审批和记 录，繁琐
z
成功案例
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 2
普通用户层面存在的安全问题
我是新来 员 工小 张 ， 我是新来 员 工小 张 ， 来了三天了， 邮 件 帐 来了三天了，邮件帐 号怎 么还 没下来？ 号怎 么还 没下来？ 我要登 录 Windows 我要登 录 Windows AD 、 OA 、 邮 件、 报销 AD、OA、邮 件、 报销 系 统 …… 系 统 切 换总 系统……系统切换总 是要重 复输 入密 码 ,, 是要重 复输 入密 码 真 烦 ！ 真 烦 ！
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 10
体系架构
CSMS管理员 维护人员 应用人员 第三方人员
综合维护接入平台
功能结构
接入管理 接入管理 日志记录 日志记录
安全管理 安全管理 接口管理 接口管理
资源控制 资源控制 系统管理 系统管理
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 4
领导层面关注的安全问题
安全系 统 的建 设 ，是否符 安全系 统 的建 设 ，是否符 合相 关标 准和法律法 规 ？ 合相关标准和法律法 规 ？ 如 SOX 法案。 如SOX法案。 安全系统的建设，能否提 安全系统的建设，能否提 高系统安全，保障业务持 高系统安全，保障业务持 续运行？如实现身份实名 续运行？如实现身份实名 制，加强访问控制、合理 制，加强访问控制、合理 授权、审计用户行为等。 授权、审计用户行为等。
¾单点登录和帐号管 理的紧密结合
¾统一认证平台支持 多种认证方式
集中认证授权系统主要功能
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 15
集中审计系统主要功能
¾提供邮件、声光 等实时安全告警 ¾丰富的报表展现 ¾灵活的操作行为分 析和回放，利于追溯 违规行为 ¾广泛的日志审计对 象支持，利于发现系 统安全问题 ¾用户账号分配、授 权、登录认证的审计 ¾支持集中式，分布 式部署方式 ¾日志关联分析， 帮助定位故障 ¾支持磁带，阵列， NAS，SAN等海量存储 空间
业务系统
BOSS
OA
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 7
系统需求

同一人需要经常使用企业多个系统，每个系统都有各自的访问接口
统一认证门户

员工入职、调岗、离职时要进行多个系统的账号管理
统一账号管理

登陆不同的系统需要分别输入各系统的帐号密码进行认证，退出也需要分别退出