神州泰岳

产品介绍

身份与访问安全管控(Identity and Access Management,简称IAM)是各类IT系统必不可少的基础安全管理机制,在各类复杂的云计算环境中,IAM更是云服务最核心的基础安全框架,IAM类的产品或方案在国外有时也被称作IDM,而在国内被众多行业用户称作4A。 Ultra-IAM是神州泰岳于2006年面向企业用户发布的身份与访问安全管理产品。Ultra-IAM面向企业IT系统的业务使用人员、内部维护人员、第三方维护人员提供统一的账户管理、认证管理、授权管理、审计管理和访问控制管理功能,帮助企业管控复杂IT环境内的所有核心IT资产,为企业IT环境建立集中的接入维护通道,实现企业统一身份及访问安全管理。

优势特点

产品功能

适用场景

经典案例

神州泰岳

即插即用模块化设计

接口式访问、采集业务数据,通过控制策略防止非法数据访问,保障业务系统内的信息完整性和安全性;

支持个性化定制

用户可根据业务环境特点自定义功能,支持灵活组合及定制化开发;

框架灵活支持扩展

操作系统包括Windows平台、Unix平台、Aix平台、Solarix平台、OSX平台等;多种主流数据库Oracle、Informix、Sybase、DB2、Sql server、Mysql、Postgre等;多种中间件Weblogic、Websphere、Tomcat、东方通等;

系统化的数据安全保护及应急设计

业务数据存储及传输过程均采用主流加密算法以保证数据安全性和保密性,双机备份机制定期备份系统数据保障业务连续性,并具备自我实时监控能力,以及故障发现和应急处理流程;

法规遵循

符合国家公安部《信息系统安全等级保护基本要求》对数据安全的保护,是安全等级保护关注的重要对象;符合财政部、审计署、证监会、银监会、保监会颁发的《企业内部控制基本规范》,通过将企业内控外审相结合实现事后责任调查和追踪;

细化和强化人员的授权管理

实现了对企业资产的精细化管控,遵循最小化授权原则,有效防止越权操作和敏感信息泄露问题;

集中一体化管理模式

将企业中复杂凌乱的人、事、物通过统一的帐号、授权、认证及审计模型建立关联关系,实现对企业用户及IT资产的综合管控,是一套成熟的信息化安全服务解决方案;

应急保障

建立完备的应急系统,提供应急状态下的帐号认证、单点登录服务,确保业务连续性,应急系统只保留管控平台核心功能,将平台次要业务功能进行裁剪,以增强其稳定性和降低硬件性能需求。在条件允许时可直接建设为双中心模式,即应急系统支持生产平台大部分功能,并能够在能力上支撑用户的认证与登录。

金库模式

“金库模式”也称为“双人操作”或“多人操作”;主要指对于涉及到公司高价值信息的高风险操作,强制要求必须由两人或以上有相应权限的员工共同协作完成操作,通过相互监督、利益制约确保关键操作的安全性。
根据业务需要归纳出高价值风险操作场景作为启用金库模式的触发场景,即金库场景,触发方式可以是帐号登录触发或业务操作触发,预先梳理每类金库场景涉及的高权限帐号、敏感操作指令或高风险操作标识,通过策略配置建立操作人员、金库场景、协同操作人员的绑定关系。根据操作人员实际操作行为关联查询策略,如若满足触发金库模式的条件,则要求操作人员提交操作申请,协同操作人给予批示,协助操作人完成操作,其中审批方式包含协同操作人在操作现场输入个人帐号口令认证授权、协同操作人短信回复审批结果远程授权或接口调用工单系统审核功能自动完成授权三种。平台对纳入金库模式的各种操作行为及操作结果应予以完整记录,确保操作行为的可追溯。

指令通道

面对大批量重复性频繁发生的日常运维操作,维护人员为方便运维,通常采用自行编写脚本程序并自动执行来代替人工操作行为,此过程需要在编写脚本时注入相应资产的帐号及口令等信息以便脚本程序模拟人工登录资产,管控平台为避免大量资产帐号及口令信息外露,专门打造出一条用于接收并转发指令化脚本程序的通道,提供便捷运维、保障资产信息保密性的同时也实现了访问过程的安全审计工作。
基于集中授权和集中认证服务,统一管理脚本程序登录资产所用帐号及口令,在平台中为每一类自行编写的脚本程序都模拟出用户身份,分配唯一主帐号,设置帐号口令,并授权脚本程序可访问的资产,认证方式包含静态口令结合IP方式、组合密码串方式等。指令通道负责接收脚本程序发送的访问请求,并将帐号信息及资产访问信息转发至平台进行认证和鉴权,核实通过即为脚本程序打开访问资产的通道,脚本程序自动运行,开展实施维护工作。目前指令通道访问资产所支持的协议包含telnet、 ssh、 oracle、db2、informix等,同时也支持访问已安装了agent的windows系统。

安全访问控制

借助堡垒主机的访问控制和审计功能,根据后台对黑白名单及金库策略的梳理,有效规范操作人员的操作行为,防止部分操作人员违规获取、篡改相关信息,避免由于高权限帐号被滥用引起高危操作,降低人为操作风险与信息安全风险。

审计管理

对企业人员访问敏感数据、执行关键操作及其结果进行真实、全面的记录,将业务操作行为、系统操作行为、平台自管理行为以及数据运营状态进行融合,遵循金字塔审计模型,从下至上按照审计信息采集、标准化、筛选、分析等处理过程,明确各环节策略配置,提供关键字、统计、关联等分析功能,并实现对异常行为的深度分析,提供可用于责任追踪的相关证据及审计管理支撑手段。

授权管理

可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制,也可以实现对数据库、主机及网络设备的操作的权限控制,通过统一角色授权和实体授权实现对企业人员管理权限和资产操作权限的统一管理,有效控制每一个人(包括内部员工和外部人员)对企业的哪些IT资源执行哪些操作,从而实现精细化的用户管理与IT资源管理。

认证管理

可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(令牌、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理,并且能够为用户提供统一的认证门户,实现企业信息资源访问的单点登录。

帐号管理

为用户提供统一集中的帐号管理,支持管理的资源包括主机、数据库、网络设备、应用系统等;不仅能够实现被管资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生命周期的设定。

建立和隔离IT维护操作区

如果企业希望规范IT环境的建设和区域划分,希望建立并隔离出单独的IT维护操作网络区域,Ultra-IAM通过内置的堡垒主机,为用户建立了“维护终端->堡垒主机->目标资源”的安全访问通道,实现了集中操作维护区与核心服务区的网络隔离。

IT维护外包人员管理

如果企业希望对IT维护外包人员进行全面的管理,Ultra-IAM能够提高人员的身份认证强度,通过绑定认证方式来验证人员身份;细化和强化人员的授权管理,梳理原有IT系统中的账号和权限关系,实现外包人员的权限最小化;实现人员行为全程准确的监控审计,将企业IT系统内的访问行为对应到自然人身上,并从自然人登录的开始到退出,以及两者之间的全部人员行为进行记录和审计。

IT维护操作工作标准化

如果企业希望规范IT维护操作的标准化操作流程、限定和控制操作步骤、减少误操作,Ultra-IAM基于用户、用户组与资产账号之间的授权实现规范化的权限控制;并通过用户、用户组与访问控制策略之间的关联关系实现操作过程的控制。

综合审计平台

企业可以通过部署Ultra-IAM多种方式采集设备日志、应用系统日志、网络流量日志、操作行为日志等数据并使用大数据技术进行存储与分析,分析结果可通过定制化报表、可视化视图进行集中呈现,为企业提供定制化的综合审计能力。

企业认证中心

Ultra-IAM有着高可靠性高可扩展性的认证模块,可以为各类业务系统、IT设备提供集中的认证服务。平台为人员支持多种认证方式,包括静态密码认证、令牌认证、手机短信认证、证书认证、IC准入认证、指纹识别等多种认证方式相结合,更有效的增强企业对用户合法身份确认和资产访问权限认证的力度。

企业帐号权限中心

提供对企业用户帐号从入职到离职的全生命周期管理功能,包括帐号创建、授权、个人信息更改、帐号删除等。将帐号以地域和组织机构的形式进行划分,树状目录结构存储于LDAP中,清晰的目录结构,便于管理员进行管理。帐号与用户的实际状态保持同步,避免出现用户已经离职但帐号还存在的情况。此外,对帐号的有效期可以用时间等附加因素进行限制,防止滥用。支持第三方帐号系统同步数据,如VPN服务器,将帐号信息同步至VPN服务器,以便用户通过VPN访问系统时认证使用。帐号自助服务功能方便用户对个人信息自行变更。提供模板式管理功能,实现将用户帐号基本属性、状态信息、权限信息批量化纳入管控平台,提高管理便捷性。

运维操作门户

统一运维门户分为Web门户、云桌面、字符门户三大类。Web门户是一个用于进行访问资产的集中资产访问门户,列表或图标方式展示出用户可访问的资源,供用户进行单点登录访问。云桌面支持统一部署客户端软件并提供运维操作的入口。字符门户为使用命令工具进行业务操作的运维人员提供更高效、快捷的访问资产的途径。

经典案例

中国移动全国安全管控平台(4A)集采项目

客户背景

随着IT建设的发展,各种系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,内部维护人员和第三方厂家人员利用手中权限谋取非法利益的网络安全事件日益增多,针对以上问题,中国移动要求在网络安全管控系统的建设中遵循集中化建设原则,以“确保合法的人做合法的事”为目标,按照“事先授权、事中监控、事后审计”的思路,通过建设集中化4A管控系统,有机结合帐号口令集中管理和日志管理与审计、集中接入控制系统、客户端集中发布等手段,对内部维护人员和厂家人员操作业务系统和网管系统的全过程实施管控。

客户价值

解决企业对于信息系统中“人”和“资产”的管理缺失问题,具体包括“人”的身份、认证、权限和行为的管理以及“资产”的权限分配及访问控制。集中化的管理模式,降低了企业运维成本,提高运维效率。

  

技术方案

帐号口令集中管理

对各类维护人员拥有的主帐号、从帐号信息,实现主帐号与其拥有的所有从帐号关联,并对帐号、密码进行集中管理,包括按照密码策略自动更改密码,实现不同系统间的帐号密码数据变更等。

对各类应用资源进行集中管理,设立不同用户角色,并将用户使用资源的具体情况进行合理分配,实现不同用户对系统不同资源的授权访问控制。通过统一的认证及PORTAL功能,实现用户的身份认证及单点登录访问控制功能。

日志集中管理与审计

搭建基于日志分析及采集的综合审计系统,实现对各个被管业务系统的系统资源和应用资源进行数据采集、日志标准化、日志分析、并输出审计结果、告警、以及定制化报表等功能。通过对日志的分析,可以快速定位和发现非法用户、非法访问、异常操作、异常状态等安全问题,形成相应的审计记录,输出审计报告。同时,实现自然人身份帐号的关联审计,输出萨班斯法案等多种审计要求需要的各类报表。

集中综合维护接入

在帐号口令集中管理的基础上补充维护接入控制手段,通过访问控制网关、集中应用发布系统作为接入维护的集中控制点,整合SSL VPN等多种接入手段,提供集中接入控制。用户在完成对接入用户的身份认证后,根据系统确定的授权信息,控制接入用户能够访问的系统资源和应用资源,并对接入用户的操作进行详细的过程记录。

应用场景

1. 企业中的系统帐号纷繁杂乱
各个业务系统都有一套独立的用户帐号体系,每个企业员工拥有多套帐号,需要分别使用不同的帐号登录不同的系统进行业务操作,工作复杂度倍增;
随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,影响工作效率;
一些设备和业务系统需要由厂商人员代维,缺乏统一监管,业务信息对外泄露的风险极大;

2. 系统权限交叉不清
多数系统没有权限管理,或仅仅依靠系统自身用户权限设置;
独立的系统级权限分配机制和应用级权限管理机制,缺乏统一的权限控制,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;
个别资产帐号存在多人共用现象,扩散范围难以控制,发生安全事故时更难以确定实际使用者;

3. 认证访问控制薄弱
认证方式比较单一,使用静态口令认证方式比较多,而且用户往往会采用简单口令或将多个系统的口令设置成相同的,容易遭受暴力破解;
对于高权限帐号访问部分资源时无门槛限制,引起高危操作,造成信息安全风险;

4. 用户行为审计缺失
对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为;
对系统资源(主机、网络设备、安全设备、数据库等)的访问控制和管理以及访问过程中产生的日志信息等无法记录审计;
无法对业务系统中访问敏感数据、执行关键操作及其结果进行真实、全面的记录;
无法将业务操作行为、系统操作行为、平台自管理操作及平台运营状态融合审计,不能提供可用于责任追踪的相关证据及审计管理支撑手段;
不具备审计报表功能,对告警信息、审计信息的多维分析和其他分析的结果展现;

5、 系统故障业务中断
没有一个系统可以保障平台业务连续性,面对灾难、故障可以更加稳定、可靠地运行;
无法实时监测企业内各系统及业务服务的运行情况,无法通过视图或报表查看;