身份认证及访问管理系统产品白皮书
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
身份认证及访问管理系统身份认证及访问管理系统产品白皮书
北京艺赛旗软件有限公司
2016年3月
身份认证及访问管理系统
目录
1.产品概述 (1)
2.产品特点 (2)
2.1 丰富的部署方式 (2)
2.2 多元化的认证方法 (2)
2.3 强大的资源管理能力 (2)
2.4 全面的账号管理机制 (3)
2.5 超强的授权管理功能 (3)
2.6 单点登录SSO (3)
2.7 增强的密码管理功能 (4)
2.8 审计管理 (4)
2.9 更专业的安全管理功能 (5)
2.10 良好的扩展性及定制化能力 (5)
3.技术优势 (6)
3.1 逻辑命令自动识别技术 (6)
3.2 分布式处理技术 (6)
3.3 正则表达式匹配技术 (7)
3.4 图形协议代理 (7)
3.5 多进程/线程与同步技术 (7)
3.6 数据加密功能 (7)
3.7 审计查询检索功能 (8)
3.8 操作还原技术 (8)
4.典型应用 (8)
1.产品概述
身份及访问管理系统是一种被加固的可以防御进攻的计算机,具备坚强的安全防护能力。
身份及访问管理系统扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过。
因此身份及访问管理系统能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。
身份及访问管理系统具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来;具备审计回放功能,能够模拟用户的在线操作过程,丰富和完善了网络的内控审计功能。
身份及访问管理系统能够在自身记录审计信息的同时在外部某台计算机上做存储备份,可以极大增强审计信息的安全性,保证审计人员有据可查。
身份及访问管理系统还具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix 平台的XWindow方式图形终端操作。
为了给系统管理员查看审计信息提供方便性,身份及访问管理系统提供了审计查看检索功能。
系统管理员可以通过多种查询条件查看审计信息。
总之,身份及访问管理系统能够极大的保护企业内部网络设备及服务器资源的安全性,使得企业内部网络管理合理化和专业化。
2.产品特点
2.1 丰富的部署方式
➢HA双机部署:一般HA双机基于监测网络存活状态进行切换,无法做到根据系统服务状态进行切换,身份及访问管理系统真正实现基于硬件和应用服务状态进行监控切换,从而为客户提供不间断的服务,确保高可靠性。
➢集群部署:对于大规模资产高并发访问且运维不可中断性质的客户,支持三台或三台以上的集群部署模式,确保运维访问能够均衡的由各个堡垒处理。
➢分布式部署:实现公司总部与各分公司之间,组织机构分散而需要统一集中管理的问题。
2.2 多元化的认证方法
➢自身提供证书认证服务,也可与第三方CA、动态令牌、生物识别、短信认证等方式进行结合。
支持组合认证,提高访问的安全性。
➢平台在网络设备的认证协议上不仅支持RADIUS和TACACS+协议,而且产品系统自身可以作为Radius和TACACS服务器。
2.3 强大的资源管理能力
➢资源数量统计:支持柱形图方式查看系统中不同资源所占比例。
➢资源类型:支持资源类型丰富,unix资源、网络资源、windows资源、数据库资源、C/S资源、B/S资源、中间件资源、大型机资源。
➢中间件:支持对中间件帐户的属性管理与密码变更管理,通过平台系统的单点登录功能实现登录访问,访问过程被完整的审计下来。
➢大型机:支持金融行业大型机的管理。
2.4 全面的账号管理机制
➢主账号支持分组管理,分组可以采用树形方式展现,不限制分组层级数量。
➢完整的用户账号中管理;生命周期管理,实现账号的创建、维护、修改、删除的集
➢用户类型:自定义用户类型,基于用户类型进行用户地址策略。
➢AD域同步:平台与AD域数据同步,将AD域中OU或域用户数据作为身份及访问管理系统组织结构和主账号,实现数据统一,无需重复创建数据。
➢从账号管理:支持资源从账号的管理,系统具有各种资源类型驱动器能够将资源上的账号进行自动收集、推、拉、同步及属性的变更等。
2.5 超强的授权管理功能
➢角色管理:系统内部管理功能权限支持自定义角色。
角色可按照组节点进行定义,从而实现分层分级管理模式。
➢岗位授权:资源授权模式基于岗位授权,岗位授权概念是建立岗位,岗位上绑定资源账号,这样授权可迁移、授权粒度更细;并可针对岗位设置相关安全策略。
2.6 单点登录SSO
➢支持Zmodem协议访问:运行rz,sz等命令,从而可以非常便捷快速的进
行两个系统的文件交换。
➢支持 en、su、super用户角色自动切换操作并代填密码
➢菜单模式:客户端访问IAM系统即可显示用户能访问的资源菜单,用户通过字符菜单选择方式直接访问设备。
2.7 增强的密码管理功能
➢自动改密:支持所有被管设备的密码自动变更计划。
密码变更可以根据密码策略的要求进行变更,变更的密码符合密码策略中关于密码强度的要求。
➢密码拨测计划:定期检查平台存储的设备账号密码与设备实际密码是否匹配,以便进校验密码一致性,提高设备的安全性避免密码混乱无法登陆现象发生。
➢密码信封:支持金融行业打印密码的信封。
将打印好的密码封存在专用的密码信封内,传递给客户,在一定程度上保证的密码的安全性。
2.8 审计管理
➢审计结果支持多种展现方式,让操作得以完整还原。
➢图形资源访问时,支持键盘、剪贴板、文件传输记录,并且对图形资源的审计回放时,可以从某个键盘、剪贴板、文件传输记录的指定位置开始回放。
➢审计结果可以录像回放,支持调节播放速度,并且回放过程中支持前后拖拽,方便快速定位问题操作。
➢支持对中间件(WebLogic)配置操作的管理和审计能力。
2.9 更专业的安全管理功能
➢提供认证服务器组件,所有对资源的访问都是认证服务器提供的临时会话号,即使会话号被截获,也无法通过此会话号再次访问资源,提高资源访问的安全性。
➢审计开关:根据不同设备审计安全需求,客户自定义审计范围,字符(命令、内容、录像)、图形(录像、键盘、上下行剪贴板、上下行文件传输)。
➢服务端口变更:很多用户为了提高设备的安全性,不采用标准的协议端口。
平台支持FTP、telnet、ssh、远程桌面等协议服务端口变更。
➢产品自带病毒检测功能,在通过平台进行文件传输时,自动对传输的文件进行防病毒检测,并阻止带病毒文件的传输,有限防护服务器的安全。
➢产品自身集成VPN功能,不需要第三方VPN产品即可实现公网加密通道的访问。
2.10 良好的扩展性及定制化能力
身份及访问管理系统产品从4A解决方案中抽象出来,提供最便捷的4A项目集成方案。
在程序结构上充分考虑到4A项目和非4A项目的使用场景,以先进的体系结构,清晰合理的模块划分实现多种用户场景的适用性。
在4A项目中,身份及访问管理系统放弃帐号、认证、授权的集中管理,只提供执行单元,完成访问控制和操作审计功能;在非4A项目中将4A的一些理念融合到身份及访问管理系统产品中,除提供基础的访问控制和操作审计功能外,还提供精简的帐号、认
证、授权集中管理功能。
➢支持第三方应用程序获取密码接口。
➢支持定制开发:平台自身根据技术发展和市场需求不断变化而变化着,保证充分满足市场及用户需求。
3.技术优势
身份及访问管理系统采用系列先进技术,成功实现命令及图形的捕获与控制,为服务器的安全运行提供了强有力的系统工具。
3.1 逻辑命令自动识别技术
身份及访问管理系统自动识别当前操作终端,对当前终端的输入输出进行控制,组合输入输出流,自动识别逻辑语义命令。
系统会根据输入输出上下文,确定逻辑命令编辑过程,进而自动捕获出用户使用的逻辑命令。
该项技术解决了逻辑命令自动捕获功能,在传统键盘捕获与控制领域取得新的突破,可以更加准确的控制用户意图。
该技术能自动识别命令状态和编辑状态以及私有工作状态,准确捕获逻辑命令。
3.2 分布式处理技术
身份及访问管理系统采用分布式处理架构进行处理,启用命令捕获引擎机制,通过策略服务器完成策略审计,通过日志服务器存储操作审计日志,并通过实时监视中心,实时察看用户在服务器上的行为。
这种分布式设计有利于策略的正确执行和操作记录日志的安全。
同时,各组件之间采用安全连接进行通信,防止策略和日志被篡改。
各组件可以独立工作,也可以分布于不同的服务器上,亦可将所有组件安装于一台服务器上。
3.3 正则表达式匹配技术
身份及访问管理系统采用正则表达式匹配技术,将正则表达式组合入树型可遗传策略结构,实现控制命令的自动匹配与控制。
树型可遗传策略适合现代企业事业架构,对于服务器的分层分级管理与控制提供了强大的工具。
3.4 图形协议代理
为了对图形终端操作行为进行审计和监控,身份及访问管理系统对图形终端使用的协议进行代理,实现多平台的多种图形终端操作的审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix平台的XWindow方式图形终端操作。
3.5 多进程/线程与同步技术
身份及访问管理系统主体采用多进程/线程技术实现,利用独特的通信和数据同步技术,准确控制程序行为。
多进程/线程方式逻辑处理准确,事务处理不会发生干扰,这有利于保证系统的稳定性、健壮性。
3.6 数据加密功能
身份及访问管理系统在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性,防止恶意用户截获和篡改数据,充分保护用户在操作过程中不被恶意破坏。
3.7 审计查询检索功能
自从<<萨班斯法案>>的推出,企业内控得到了严格的审查,企业的内部审计显得非常重要。
身份及访问管理系统能够为企业内部网络提供完全的审计信息,这些审计信息能够为企业追踪用户行为,判定用户行为等,能够还原出用户的操作行为。
传统审计关联到IP,这本身是一个不确定的和不负责任的审计结果,因为IP信息不能够真实反应出真实的操作者是谁,从而企业内部网络出现问题不能追踪到操作者。
身份及访问管理系统能够对这些用户行为进行关联审计,就是说真正能够把每一次审计出的用户操作行为绑定到自然人身上,便于企业内部网络管理追踪到个人。
3.8 操作还原技术
操作还原技术是指将用户在系统中的操作行为在真实的环境中模拟显现出来,审计管理员可以根据操作还原技术还原出真实的操作,以判定问题出在哪里。
身份及访问管理系统采用操作还原技术能够将用户的操作流程自动地展现出来,能够监控用户的每一次行为,判定用户的行为是否对企业内部网络安全造成危害。
4.典型应用
身份及访问管理系统面对各行各业复杂的IT支撑系统,能够提供多种部署方式,包括单机部署模式,HA高可靠部署模式,分布式集群部署模式,且具有以下特点:
➢无需安装任何客户端代理;
➢无需安装任何服务端引擎;
➢无需更改现有网络拓扑;
➢对业务数据流无任何影响;
➢支持集中管理分级部署;
➢操作直观简便,快速上线。
典型部署模式一:
图4.1 身份及访问管理系统单机部署图典型部署模式二:
图4.1 身份及访问管理系统集群,负载均衡部署图。