一次性口令
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
22
一次性口令集中认证系统的价值
安全价值 • 帐号统一集中认证,使得设备登录可管可控 管理价值 • 集中授权,使得设备登录管理,清晰透明 建设价值 • 建立统一认证中心,可为以后其他系统共同使 用(提供标准认证接口),避免帐号混乱
23
与SOC的对接
作为soc 的子系统的建设
所有安全设备 的认证转向认 证子系统 认证系统的认 证、在线日志 传送给soc 分 析 SOC 收到认证 系统认证日志 与防火墙等日 志进行关联分 析
18
设备情况
• Cisco
– 所有网络设备均支持Radius、Tacacs+等AAA协议 – 可以通过Tacacs+协议,对Cisco设备进行完善的认证、授权、审 计
• 华为
– 设备基本上都支持通过Radius进行集中认证。 – 支持通过Syslog进行命令审计。
• 港湾
– 设备基本上都支持通过Radius进行集中认证。 – 支持通过Syslog进行命令审计。
主机
接 入 控 制
单点登录 数据授权 命令授权 工具发布
资 源 控 制
数据库
技术 支持 人员
日志记录 接口 SYSLOG
应用系统
4A、SOC
实现
• UMAP安全管控平台是针对主机、数据库的, 一款通过接入控制,达到命令控制,信息数 据管控产品。 实现功能如下: – 数据信息上传下载的管控 – 主机、数据库操作的细粒度授权、审计 – 特定维护客户端的管控 – 操作行为的日志审计 三重授权功能 – 数据授权-主机、数据库上数据上传下载 权限。 – 实体级授权-授权用户可使用的数据库实 例和目标IP。 – 实体内授权-授权用户可使用的表、sql 语句、主机操作命令的授权。 日志记录功能实现UMAP的日志记录能力。 对于经过该平台的维护操作,应当形成日志 记录,以便于日后审计与追踪。
19
设备情况
• Foundry、Extreme、Redback
– 设备均支持Radius、Tacacs+ 协议 – 可以通过Tacacs+协议,进行完善的认证、授权、审计
• Juniper
– Juniper ERX支持通过Radius进行集中认证、授权(私有属性) ,通过Syslog进行命令统计。
亚信联创 点击此处添加标题 一次性口令认证安全子系统介绍
1 2 3 4
公司简介 方案的部署及介绍 案例介绍 建设
1 2 3 4
公司简介 方案的部署及介绍 案例介绍 SOC建设
安全身份认证系统E-Securer
解决的问题
帐号
认证
授权
分散 帐号
分散 认证
访问 无授 权
如何解决
• 统一帐号管理,帐号生命周期控制 • 统一密码管理,密码策略管理 • 采用Radius,Tacacs+协议将设备 本地认证转发为系统集中认证 • 通过控制认证,达到控制什么人能 访问什么设备认证通过
2010
增强统计分析,建立安全责任分析 健全应急体系,增加预处理手册 基本实现安全风险展现 基本实现安全事件、配置、 漏洞、大网日志采集 基本实现安全告警监控 基本实现告警转工单 完成部分定制开发需求 建立预警中心,规划应急体系 加大性能及系统自身组件监控 引进工单知识自动索引及解释 健全基础数据库、知识库体系 确保覆盖全网,增加互联网防护类资产 完善安全事件分析类型,加大监控力度 建立基础数据,引入安全管理门户模型 提升系统维护人机交互界面及性能
2012
扩充与上级及外系统数据交互接口 建立领导界面,健全安全管理门户
2011
SOC带给中国电信的价值
• 降低管理复杂性 降低管理复杂性(领导)
– 不断变换的信息安全威胁,需要采用新的 防护技术进行拦截,但是如何实现跨平台 ,跨产品的统一集中管理 – 如何证明企业在安全方面的投入产生了 应有的回报
DCN网:4500次/ 天
设备类型
• 江苏电信各个宽带城域网设备类型众多
– 路由器:Cisco、华为、港湾等 – 交换机:Cisco、华为、港湾、3Com、Foundry、 Extreme等 – BAS:Cisco、华为、港湾、Redback、Juniper ERX (Unisphere)、Alcatel、中兴、Nokia、爱立信等 – DSLAM:华为、港湾、Alcatel、中兴、Nokia、爱立 信等
• 其他厂商
– BAS设备,基本上都支持通过Radius进行集中认证。 – DSLAM设备,支持Radius等协议的较少
20
Tacacs+命令授权
对于支持Tacacs+协议的设备,还可以通过协议 做到命令授权审计
系统建设带来的效果
帐号 授权 认证 密码 监控 建设
• 全省设备帐号得到统一 • 帐号能访问的设备得到控制 • 登录认证有日志可查,发现多起尝试登录事件 • 强认证防止帐号流传混乱 • 可随时检查在线帐号,便于监控 • 建立统一认证中心,可供vpn等系统认证使用
•
•
•
Integration Team of Solution and Product
1 2 3 4
公司简介 方案的部署及介绍 案例介绍 SOC建设
江苏电信案例
DCN网
132.228.38.200
221.231.148.6
IP网
WEB
建设前
132.228.33.5
222.191.238.174
61.177.64.150
项目组架构
领导组 PMO
需求控制
设计开发 设计开发
质量组
系统平台
测试配置
工程实施
运营商需求控制
架构设计
QA
系统测试
实施协调组
系统部署 集成商需求控制 概要设计 评审 性能测试 操作培训 详细设计/开发 运营业务专家 用户测试 开发支持
包括:业务接 口设计
集成商专家
配置
流程\接口联调
系统维护组
亚信联创项目建设能力
( 132.228.33.6
)
Βιβλιοθήκη Baidu
建设后
61.177.64.146
(
)
支撑范围
帐号数
IP城域网用户数: 10474 令牌卡用户:3517 普通用户数:6957
设备数
认证
主机/网络设备 2116台
IP城域网:5000次 /天
DCN网用户数: 4821 手机用户数:4171 口令卡用户数: 609 普通用户数: 41
同时 亚信联创的网管系统已经在电信网运部七个省得到实施,我们 了解目前网运的现实情况,对网络的设备、链路、业务的监控 形式有清晰的认识。
• 确保策略遵从性 经理) 确保策略遵从性(经理 经理
– 缺少全面的报表统计工具 – 缺少集中日志保存,存贮方案,在突发安全 事件时,很难进行事后取证 – 需要花费大量的人力,物力,完成外部审计
• 提高运维有效性 提高运维有效性(IT/安全维护人员 安全维护人员) 安全维护人员
• 防火墙/IDS等报警过多,没有时间查看 • 无法区分安全产品的误报,缺少安全专业 知识,无法进行跨产品的事故分析 • 不同的产品,不同的界面,不同的报表格式, 28 需要一段时间来熟悉和管理
24
远程演示
• 江苏电信 认证系统可远程接入演示
1 2 3 4
公司简介 方案的部署及介绍 案例介绍 建设
SOC应以互联网防护及数据保护为重点,实现三年(2010-2012) SOC应以互联网防护及数据保护为重点,实现三年(2010-2012)演进目标 应以互联网防护及数据保护为重点
2013
建设SOC 建设
帐号 认证 授权
还能现实什么- 多种认证方式
指纹
短信 挑战
时间令 牌卡
静态 密码
还能现实什么- 多种审计日志
认证日志
• radius认 证日志 • Tacacs认 证日志 • Vpn拨号 日志等
命令审计
• 对于 Tacacs+ 协议设备, 可以做到 命令审计 授权
日志分析
• 密码输入 错误次数 的用户排 名 • 无授权访 问拒绝访 问排名等
如何部署 - 方案一
方案二
性能 应急的考虑
单机每 秒300 次认证
帐号数 据双机 备份
认证服 务双机 互备
操作命令如何审计
帐号统一 认证集中
访问授权 在设备上的操作命令如何 审计授权(主机等)?
改变现有的直接登录方式
Umap平台
系统管理 维护 人员 VPN 本地 监控 人员 ……
账号管理 日志记录 应用发布 访问策略管理
亚信联创项目建设能力
依托于亚信联创强大的研发中心和以客户为中心遍布全国的本地化团 队,亚信联创有很强的项目建设能力。表现在:
人员保证 • 完全本地化团队维护+产品研发人员现场实施 进度保证 • 公司有完成项目内控管理SDP体制,项目进度预算全面管控 质量保证 • 对于用户的差异化需求,有极高定制化开发能力,能针对用户的 不同需求,进行个性化深度开发
一次性口令集中认证系统的价值
安全价值 • 帐号统一集中认证,使得设备登录可管可控 管理价值 • 集中授权,使得设备登录管理,清晰透明 建设价值 • 建立统一认证中心,可为以后其他系统共同使 用(提供标准认证接口),避免帐号混乱
23
与SOC的对接
作为soc 的子系统的建设
所有安全设备 的认证转向认 证子系统 认证系统的认 证、在线日志 传送给soc 分 析 SOC 收到认证 系统认证日志 与防火墙等日 志进行关联分 析
18
设备情况
• Cisco
– 所有网络设备均支持Radius、Tacacs+等AAA协议 – 可以通过Tacacs+协议,对Cisco设备进行完善的认证、授权、审 计
• 华为
– 设备基本上都支持通过Radius进行集中认证。 – 支持通过Syslog进行命令审计。
• 港湾
– 设备基本上都支持通过Radius进行集中认证。 – 支持通过Syslog进行命令审计。
主机
接 入 控 制
单点登录 数据授权 命令授权 工具发布
资 源 控 制
数据库
技术 支持 人员
日志记录 接口 SYSLOG
应用系统
4A、SOC
实现
• UMAP安全管控平台是针对主机、数据库的, 一款通过接入控制,达到命令控制,信息数 据管控产品。 实现功能如下: – 数据信息上传下载的管控 – 主机、数据库操作的细粒度授权、审计 – 特定维护客户端的管控 – 操作行为的日志审计 三重授权功能 – 数据授权-主机、数据库上数据上传下载 权限。 – 实体级授权-授权用户可使用的数据库实 例和目标IP。 – 实体内授权-授权用户可使用的表、sql 语句、主机操作命令的授权。 日志记录功能实现UMAP的日志记录能力。 对于经过该平台的维护操作,应当形成日志 记录,以便于日后审计与追踪。
19
设备情况
• Foundry、Extreme、Redback
– 设备均支持Radius、Tacacs+ 协议 – 可以通过Tacacs+协议,进行完善的认证、授权、审计
• Juniper
– Juniper ERX支持通过Radius进行集中认证、授权(私有属性) ,通过Syslog进行命令统计。
亚信联创 点击此处添加标题 一次性口令认证安全子系统介绍
1 2 3 4
公司简介 方案的部署及介绍 案例介绍 建设
1 2 3 4
公司简介 方案的部署及介绍 案例介绍 SOC建设
安全身份认证系统E-Securer
解决的问题
帐号
认证
授权
分散 帐号
分散 认证
访问 无授 权
如何解决
• 统一帐号管理,帐号生命周期控制 • 统一密码管理,密码策略管理 • 采用Radius,Tacacs+协议将设备 本地认证转发为系统集中认证 • 通过控制认证,达到控制什么人能 访问什么设备认证通过
2010
增强统计分析,建立安全责任分析 健全应急体系,增加预处理手册 基本实现安全风险展现 基本实现安全事件、配置、 漏洞、大网日志采集 基本实现安全告警监控 基本实现告警转工单 完成部分定制开发需求 建立预警中心,规划应急体系 加大性能及系统自身组件监控 引进工单知识自动索引及解释 健全基础数据库、知识库体系 确保覆盖全网,增加互联网防护类资产 完善安全事件分析类型,加大监控力度 建立基础数据,引入安全管理门户模型 提升系统维护人机交互界面及性能
2012
扩充与上级及外系统数据交互接口 建立领导界面,健全安全管理门户
2011
SOC带给中国电信的价值
• 降低管理复杂性 降低管理复杂性(领导)
– 不断变换的信息安全威胁,需要采用新的 防护技术进行拦截,但是如何实现跨平台 ,跨产品的统一集中管理 – 如何证明企业在安全方面的投入产生了 应有的回报
DCN网:4500次/ 天
设备类型
• 江苏电信各个宽带城域网设备类型众多
– 路由器:Cisco、华为、港湾等 – 交换机:Cisco、华为、港湾、3Com、Foundry、 Extreme等 – BAS:Cisco、华为、港湾、Redback、Juniper ERX (Unisphere)、Alcatel、中兴、Nokia、爱立信等 – DSLAM:华为、港湾、Alcatel、中兴、Nokia、爱立 信等
• 其他厂商
– BAS设备,基本上都支持通过Radius进行集中认证。 – DSLAM设备,支持Radius等协议的较少
20
Tacacs+命令授权
对于支持Tacacs+协议的设备,还可以通过协议 做到命令授权审计
系统建设带来的效果
帐号 授权 认证 密码 监控 建设
• 全省设备帐号得到统一 • 帐号能访问的设备得到控制 • 登录认证有日志可查,发现多起尝试登录事件 • 强认证防止帐号流传混乱 • 可随时检查在线帐号,便于监控 • 建立统一认证中心,可供vpn等系统认证使用
•
•
•
Integration Team of Solution and Product
1 2 3 4
公司简介 方案的部署及介绍 案例介绍 SOC建设
江苏电信案例
DCN网
132.228.38.200
221.231.148.6
IP网
WEB
建设前
132.228.33.5
222.191.238.174
61.177.64.150
项目组架构
领导组 PMO
需求控制
设计开发 设计开发
质量组
系统平台
测试配置
工程实施
运营商需求控制
架构设计
QA
系统测试
实施协调组
系统部署 集成商需求控制 概要设计 评审 性能测试 操作培训 详细设计/开发 运营业务专家 用户测试 开发支持
包括:业务接 口设计
集成商专家
配置
流程\接口联调
系统维护组
亚信联创项目建设能力
( 132.228.33.6
)
Βιβλιοθήκη Baidu
建设后
61.177.64.146
(
)
支撑范围
帐号数
IP城域网用户数: 10474 令牌卡用户:3517 普通用户数:6957
设备数
认证
主机/网络设备 2116台
IP城域网:5000次 /天
DCN网用户数: 4821 手机用户数:4171 口令卡用户数: 609 普通用户数: 41
同时 亚信联创的网管系统已经在电信网运部七个省得到实施,我们 了解目前网运的现实情况,对网络的设备、链路、业务的监控 形式有清晰的认识。
• 确保策略遵从性 经理) 确保策略遵从性(经理 经理
– 缺少全面的报表统计工具 – 缺少集中日志保存,存贮方案,在突发安全 事件时,很难进行事后取证 – 需要花费大量的人力,物力,完成外部审计
• 提高运维有效性 提高运维有效性(IT/安全维护人员 安全维护人员) 安全维护人员
• 防火墙/IDS等报警过多,没有时间查看 • 无法区分安全产品的误报,缺少安全专业 知识,无法进行跨产品的事故分析 • 不同的产品,不同的界面,不同的报表格式, 28 需要一段时间来熟悉和管理
24
远程演示
• 江苏电信 认证系统可远程接入演示
1 2 3 4
公司简介 方案的部署及介绍 案例介绍 建设
SOC应以互联网防护及数据保护为重点,实现三年(2010-2012) SOC应以互联网防护及数据保护为重点,实现三年(2010-2012)演进目标 应以互联网防护及数据保护为重点
2013
建设SOC 建设
帐号 认证 授权
还能现实什么- 多种认证方式
指纹
短信 挑战
时间令 牌卡
静态 密码
还能现实什么- 多种审计日志
认证日志
• radius认 证日志 • Tacacs认 证日志 • Vpn拨号 日志等
命令审计
• 对于 Tacacs+ 协议设备, 可以做到 命令审计 授权
日志分析
• 密码输入 错误次数 的用户排 名 • 无授权访 问拒绝访 问排名等
如何部署 - 方案一
方案二
性能 应急的考虑
单机每 秒300 次认证
帐号数 据双机 备份
认证服 务双机 互备
操作命令如何审计
帐号统一 认证集中
访问授权 在设备上的操作命令如何 审计授权(主机等)?
改变现有的直接登录方式
Umap平台
系统管理 维护 人员 VPN 本地 监控 人员 ……
账号管理 日志记录 应用发布 访问策略管理
亚信联创项目建设能力
依托于亚信联创强大的研发中心和以客户为中心遍布全国的本地化团 队,亚信联创有很强的项目建设能力。表现在:
人员保证 • 完全本地化团队维护+产品研发人员现场实施 进度保证 • 公司有完成项目内控管理SDP体制,项目进度预算全面管控 质量保证 • 对于用户的差异化需求,有极高定制化开发能力,能针对用户的 不同需求,进行个性化深度开发