English

方案介绍

该方案帮助企业在人员和IT资产之间搭建高效、可控的访问接入通道,为企业各类IT维护管理人员和第三方代维管理人员提供统一的接入维护入口,并对各类接入维护行为进行安全认证、授权、控制和审计功能。为了打造该解决方案的开放性和共享性,引入微服务架构和云化概念,构造支持多租户模式的云化平台,实现核心安全能力的微服务化。支持对外输出安全服务能力,提供身份与访问控制安全服务的申请开通和集中运维能力,实现运维流程自动化、移动化、智能化。

客户价值

身份与访问控制解决方案支持账号的集中化管理,简化账号管理工作复杂度;支持通过内置的堡垒主机,为用户建立“维护终端->堡垒主机->目标资源”的安全访问通道,实现集中操作维护区与核心服务区的网络隔离;支持通过金库模式管控,实现针对高危IT维护操作和关键目标资源的二次审批认证,防止部分拥有高权限帐号的操作人员滥用权限违规获取、篡改相关信息等。

核心功能

查看更多

优势分析

经典案例

实现云化升级

实现应急处理

实现单点登录

实现集中访问控制

实现集中安全审计管理

实现集中访问授权

实现集中化的身份认证

实现集中化的帐号管理

支持事后责任调查和追踪

符合国家公安部《信息系统安全等级保护基本要求》对数据安全的保护是安全等级保护关注的重要对象;符合财政部、审计署、证监会、银监会、保监会颁发的《企业内部控制基本规范》,企业内审和外审相互结合,支持事后责任调查和追踪

具备自我实时监控能力以及故障发现和应急处理流程

引用系统化的安全及应急设计,业务数据存储及传输过程均采用主流加密算法以保证数据安全性和保密性,双机备份机制定期备份系统数据保障业务连续性,并具备自我实时监控能力以及故障发现和应急处理流程

提升平台稳定性

配置集中化管理及服务热更新,降低运维复杂度,提升平台稳定性

管理随时随地触手可及

提供多终端维护入口(Web、PAD、移动APP),管理随时随地触手可及;

采用数据库集群化

采用数据库集群化,提升存储层性能

核心服务节点实现高可用集群化

核心服务节点实现高可用集群化,保障业务连续性;

实现应用标准化对接和单点登录

支持OAuth2.0互联网开放认证协议,实现应用标准化对接和单点登录

跨资源类型的批量单点登录

跨资源类型的批量单点登录,提升资源运维效率

支持国产加密算法接口集成

支持国产加密算法接口集成,满足国家标准要求

RADIUS认证标准化

RADIUS认证标准化,VPN、网络设备实现标准化认证对接

前端展现支持H5标准

前端展现支持H5标准,兼容主流浏览器,便于跨平台访问

信息配置式自动采集

资源和用户、机构信息配置式自动采集,实现快速接入

提高运维效率

内置工作流,提供自助申请流程,提高运维效率

支持多租户模式的4A管理能力

支持多租户模式的4A管理能力

实现了对企业资产的精细化管控

实现了对企业资产的精细化管控,遵循最小化授权原则,有效防止越权操作和敏感信息泄露问题

成熟的信息化安全服务解决方案

IAM平台将企业中复杂凌乱的人、事、物通过统一的帐号、授权、认证及审计模型建立关联关系,实现对企业用户及IT资产的综合管控,是一套成熟的信息化安全服务解决方案

独立部署

微服务架构模式使得每个微服务独立部署,开发者不再需要协调其它服务部署对本服务的影响

微服务架构

微服务架构通过分解巨大单体应用为多个服务方法解决了复杂性问题。在功能不变的情况下,应用被分解为多个可管理的分支或服务。每个服务都有一个消息驱动 API 定义清楚的边界

云化架构的IAM平台

云化架构的IAM平台旨在对平台进行适应多租户接入的架构升级改造,提供融合安全服务能力的云租户管理能力和运营能力。通过对多个功能模块的架构改造,形成功能微服务并对外提供

经典案例

中国移动内蒙古公司4A平台

合作背景

伴随运营商行业IT系统的不断发展,网络规模和设备数量迅速扩大,存在平台建设日趋繁重、人员系统日趋复杂、资源种类日趋增加、业务数据日趋庞大、安全问题日趋突显、易用要求日趋强化等现状,IT系统与不同背景的运维人员的行为给信息系统安全带来较大风险,亟需一套成熟的安全服务解决方案,建立安全的企业IT架构。

客户价值

身份与访问控制解决方案支持配置集中化管理及服务热更新,降低运维复杂度,提升平台稳定性;支持账号的集中化管理,简化账号管理工作复杂度;支持通过内置的堡垒主机,为用户建立“维护终端->堡垒主机->目标资源”的安全访问通道,实现集中操作维护区与核心服务区的网络隔离;支持通过金库模式管控,实现针对高危IT维护操作和关键目标资源的二次审批认证,防止部分拥有高权限帐号的操作人员滥用权限违规获取、篡改相关信息等。

  

技术方案

该方案帮助企业在人员和IT资产之间搭建高效、可控的访问接入通道,为企业各类IT维护管理人员和第三方代维管理人员提供统一的接入维护入口,并对各类接入维护行为进行安全认证、授权、控制和审计功能,实现集中化的账号管理、身份认证、访问授权、安全审计、访问控制等,并支持单点登录、应急处理等功能。

应用场景

简化帐号管理工作复杂度 神州泰岳身份与访问控制解决方案全生命周期帐号管理能够快速适应人员变化,缩短管理时间,从人员的上岗、职权变更到离岗,只需在一个管理界面下就可以完成其访问系统所需的一切配置,并快速的实现可访问性。

建立和隔离IT维护操作集中区 神州泰岳身份与访问控制解决方案通过内置的堡垒主机,为用户建立了“维护终端->堡垒主机->目标资源”的安全访问通道,实现了集中操作维护区与核心服务区的网络隔离。

IT维护操作工作标准化 神州泰岳身份与访问控制解决方案从企业整体IT系统的层面上进行角色授权和访问控制,大大降低了管理员的工作强度以及由此造成的安全隐患,确保人员只能访问其应该的、被准许的企业IT资源,同时根据运维人员的组织机构、人员角色、业务范围等信息,制定针对性的访问控制策略,实现IT运维操作工作的标准化。

IT维护外包人员管理 神州泰岳身份与访问控制解决方案能够提高人员的身份认证强度,通过绑定认证方式来验证人员身份;细化和强化人员的授权管理,梳理原有IT系统中的帐号和权限关系,实现外包人员的权限最小化;实现人员行为全程准确的监控审计,将企业IT系统内的访问行为对应到自然人身上,并从自然人登录的开始到退出以及两者之间的全部人员行为进行记录和审计。

高危IT维护操作行为审批管控 神州泰岳身份与访问控制解决方案能够通过金库模式管控,实现针对高危IT维护操作和关键目标资源的二次审批认证,防止部分拥有高权限帐号的操作人员滥用权限违规获取、篡改相关信息,通过相互监督、利益制约确保高风险操作和高价值信息的安全性。

责任的定位与追溯 神州泰岳身份与访问控制解决方案对于所有通过其系统的访问行为进行记录。产品安全审计模块通过“人”、“事”、“物”的关联分析,实现对安全问题责任的定位和追溯。