CA_Access_Control保护服务器解决方案

1、技术介绍：CA Access Control采用CA Access Control保护服务器资源目 录执行摘要第一章：挑战 2高效管理当今复杂的数据中心监管机构不断加强监管力度您的服务器上有敏感数据。IT复杂性非但没有减少，反而不断复杂第三章：优势 15保护用户最重要服务器上的数据监管和审计服务器访问执行基于服务器的合规和报告降低管理的成本和复杂程度第二章：机遇 4保护更广泛企业范围内的服务器资源精细粒度的跨平台访问控制支持各种规模的企业跨平台的服务器保护为合规进程提供协助企业级访问控制管理先进的安全审计功能较大规模身份与访问管理解决方案不可或缺的组成部分第四章：结论 16CA Access

2、Control为服务器资源提供强大保护，同时执行安全合规管理2008 CA版权所有。保留所有权利。此处所有的商标、商品名称、服务标记和徽标均属其各自公司所有。此文档仅供参考。根据相关法律的许可，CA按原样提供本文档，无任何形式的担保，包括但不限于任何适销性、适用于特殊目的或非侵权的暗示担保。在任何情况下，CA对由于使用本文档所造成的直接或间接的损失或破坏，包括但不限于利润损失、业务中断、信誉或数据的损失，均不承担任何责任，即使CA已被明确告知该类损失的可能性。执行摘要挑战 保护用户服务器上的敏感数据和应用正变得越来越艰巨，这是各行业共同需要应对的挑战。数据的价值与日俱增、规章制度日趋严格而且需

3、要访问重要服务器的人数也在不断增多，这些都使保护敏感信息和知识产权的工作倍受压力。这就迫使用户要加倍努力才能高效地管理大型复杂的多元化环境中的安全策略。同时，用户的IT部门必须始终保持对业务要求的高度响应性，才能随时根据需求在保持安全性和实施责任制的前提下，应对意外情况的发生。用户可能需要依靠其操作系统自带的安全功能，但这种方案会给职能划分、可管理性以及审计带来安全隐患。机遇用户需要在更广泛的企业范围内借助集中化的独立安全系统来保护服务器资源，从而可通过向获得授权的管理员分配必要权限来以灵活、可问责的方式限制超级用户。CA Access Control以系统级运行，能够确保跨Windows、U

4、NIX、Linux以及虚拟环境等各种系统高效如一地执行任务。通过采用先进的策略管理功能将服务器安全策略分配给终端设备，用户可以支持大型全球性企业的部署。此外，为了符合全球范围内的监管标准，用户还可安全地支持每项策略更改的审计和执行行动。优势 CA Access Control使用户能够创建、部署并管理精细粒度的复杂访问控制策略，以确保仅获得授权的用户才能访问企业最敏感的数据和应用。借助多平台支持以及与CA Identity and Access Management产品系列其余部分相集成，CA Access Control能够： 跨众多平台始终如一地规范和审计对用户重要服务器的访问 通过创建和

5、报告服务器访问策略来执行内部符合监管标准的合规要求 集中管理用户分布于全局范围内的各分支机构的系统安全性，从而降低管理成本第一章：挑战服务器：当今数据中心复杂性的来源多年以来，IT以其优异的表现赢得了极富竞争力的优势，不仅显著加速了新产品的上市进程，而且还大幅简化了内部操作。广泛部署的服务器资源可自动运行关键性的内部协作业务进程，这给现有的数据中心基础架构带来了压力。随着新的访问与可扩展性需求层出不穷，以及诸如虚拟化技术等可显著提升效率的令人振奋的新技术的推出，数据中心仍将一如既往成为人们关注的领域。不过，跨大型环境对安全策略进行管理仍然是一个严峻的挑战，在快速响应能力对业务需求至关重要的情况

6、下尤其如此，这包括能够灵活高效地处理局部意外情况。当今的数据中心不仅要求对不断扩展的服务器资源提供更为广泛的直观视图，同时还要确保更改的责性，并保护驻留在其上的敏感数据。不能对服务器资源进行有效管理可能直接导致发生严重的数据丢失。IT专业人员最重要的工作之一就是维护数据的完整性。完全采用可提高新数据中心可扩展性与灵活性的技术，而罔顾与这些新技术相关联的安全性和数据保护要求，是极其错误的做法。监管机构不断加强监管力度根据隐私权信息交流中心（Privacy Rights Clearinghouse）提供的数据，自2005年以来，有超过2.26亿桩不同身份的盗用行为发生，从而导致高昂的违规罚款，用以

7、监控受害者的信用、重发信用卡和银行卡，并修复受损品牌。不断发生的侵权行为导致世界各地的政府机构强制要求在数据保护和信息安全方面采用更严密的做法。诸如健康保险流通与责任法案（HIPAA）、金融服务现代化法（GLBA）、萨班法（Sarbanes-Oxley）、欧盟数据隐私法令（EU Data Privacy Directive）、个人信息保护和电子文档法（PIPEDA）、新巴塞尔资本协定（Basel II）等在内的法规都侧重于这些问题的解决。支付卡行业数据安全标准（PCI DSS）将许多这类管理体系提升到了前所未有的高度。出于保护持卡人数据的目的，PCI制定了成系列的12条规定，强制要求IT部门将

8、责任制提升到一个新的水平。为遵从这些法规，用户必须能够证明对服务器的访问是受控的、可跟踪以及有记录可查的。此外，萨班法对职责的划分也有严格的要求，要求确保复杂业务流程的责任分布在多个资源上，以便对这些职能进行检查和平衡。因此，为了满足这些要求，必须实施先进的服务器资源保护。此外，还要求用户提供精细粒度的审计记录和报告将每起审计的控制、策略状态以及服务器访问日志落到实处。这些法规要求精细粒度的控制和跨平台的一致性，才能确保职责的划分，在混合操作系统环境中尤其如此。此外，在出现安全问题情况下，还需要拥有能够准确调查该事件的能力。根据计算机安全协会(Computer Security Institu

9、te)提供的信息，自2007年以来，内部攻击首次成为安全事故最常见的原因，60的受访者报告的事件1与内部攻击有关。您的服务器上有敏感数据。我们所面临的这类对手处在不断发展变化的过程中，因而我们将攻击者假定为“梦幻般”不明身份、容貌不清的黑客不再有效。如今，攻击者既可能是心怀叵测的员工、蓄意怠工的破坏人员，也可能是品行低下、缺乏诚信的业务合作伙伴。总之，用户需要同时防范来自外部（依然存在）和内部的攻击，特别是超级用户的攻击，因为他们可以访问他们所能接入的每台服务器上的所有敏感信息。保护服务器并确保在这些超级用户当中实行责任制具有相当的复杂性。服务器管理员惯常使用的技术之一是共享超级用户账户并使用

10、诸如“Administrator”或者“Root”等一般性用户名登录。由于许多原因，这会引起如下问题：审计问题：共享用户账户会让审计日志无法真正地识别出在服务器上进行更改的管理员，从而会危及到对满足合规性要求具有重要意义的责任制。数据访问：这类共享的用户账户往往会给越权（over-privileged）用户提供访问关键系统和数据的权限，主要原因是如果采用粒度化的访问规则来管理成千上万台服务器上的策略几乎是不可能实现的。越权访问的存在，加上管理人员的疏忽大意，往往会影响业务的持续性。同时，责任制的缺失也会使追踪犯错的特定管理人员成为不可能完成的任务，从而同时导致安全性与责任承担两方面的问题。IT

11、复杂性非但没有减少，反而不断复杂创新性的业务进程显著增加了数据中心环境的复杂程度。用户很可能拥有各种类型的服务器，运行着各种各样的操作系统、应用协议和诸如此类的东西，从而使管理异构系统成为首要具备的能力。在这种多元化的环境中，跨众多服务器强制执行一致性的策略并实现日志的集中登记，具有非常重要的意义。审计人员对于服务器自带的操作系统太复杂或者有诸多限制条件等问题并不关心，他们只想知道用户的专有信息和知识产权是否获得妥善保护，无论是应用、服务平台还是可访问数据的用户社区均如此。托管服务器数量的大量激增进一步使这些问题错综复杂。虚拟化确实显著提高了我们物理资产的的利用率，但同时也大幅度增加了需要托管

12、的新虚拟机的数量。虚拟机数量的激增意味着需要进行管理的服务器显著增多，而且由于系统管理程序并不关心哪种操作系统是来宾 (guest) ，因而使异构化问题更为严重。由此，这种更庞大虚拟化数据中心的安全维护工作在很大程度上被低估了。此外，虚拟化还创造出了一批全新的“系统管理程序超级用户”，能够创建、拷贝、移动或是管理这些来宾操作系统，这就更加需要能够高效地对职责进行划分，以确保运行于这些客户端上的数据和应用可得到审计和保护，避免安全问题的发生。第二章：机遇显而易见，有充分的理由说明，确保这类日趋复杂的数据中心环境的有效配置和安全管理，已成为各大IT企业的当务之急。保护更广泛企业范围内的服务器资源当

13、今的数据中心环境需要提供前所未有的可扩展性、灵活性和性能，才能全面满足员工、业务合作伙伴以及客户所采用新、旧应用的需求。从管理的角度来说，由系统管理员负责一定数量运行着特定应用的服务器的模式已经不敷使用。在应对分布更广、更先进应用的内在复杂性方面，管理人员将拥有更高的专业化程度。但无论他们的侧重点是数据库、电子邮件、数据备份还是任何其他领域，他们的技能都无法做到随时随地游刃有余地严密管理。采用虚拟化技术将服务器硬件、操作系统和应用去耦合可进一步深化专业分工。现在，电子邮件服务器和数据库能够运行在同一物理服务器上，从而显著增加了环境的复杂性。因此，这些管理员需要在不同层级上访问其应用、操作系统以

14、及系统管理程序。沿用上面的例子，您可能希望让电子邮件管理员仅负责管理电子邮件系统，对数据库等其他系统资源没有访问权。向所有此类管理员提供超级用户权限会带来严重的安全风险。特权账户（Windows中的Administrator，UNIX中的Root）能够运行任何程序，修改任何文件，和/或停止任何进程。如果既不能将这些超级用户的权限限制为，仅能在工作职责范围内执行任务，又不能让特定的人仅执行特定的管理活动，那么就会明显地造成安全性与责任脱节的问题，进而违背当今安全规范的重要规定。高效率的主机访问控制管理能够实现将必要的权限仅在需要的时候分配给相应的人，从而能够对这类权限的用户进行约束。管理员能够在

15、不泄漏敏感数据或者关键业务资源的情况下进行他们的工作。此外，这种方案还能够确保留存审计追踪记录，并对管理员及其行为执行责任制。精细粒度的跨平台访问控制CA Access Control能够对各种服务器资源的访问进行监控，从而充分满足内部策略与外部的合规管理。通过能够对复杂的精细粒度访问控制策略实现跨平台创建、部署和管理，CA Access Control显著优于操作系统自带的基本控制功能，能够满足最严苛的公司策略及监管规定。端点CA Access Control的核心元素是可与操作系统进行本机集成的安全固化代理，可对达到合规要求所需的粒度化策略进行强制实施和审计。端点代理可用于所有主要的操作系

16、统，如业界领先的Linux、UNIX和Windows版本等。如欲了解所支持系统的最新列表，敬请访问： etrustac-matrix.asp。 CA Access Control为在所支持的操作系统上进行本机安装和管理CA Access Control提供了本机包格式。本机包使用户可使用本机包管理工具管理自己的CA Access Control安装和CA软件交付选项（SDO），能够充分满足企业软件交付的需求，这有助于快速部署具备众多托管服务器的全球企业环境。此外，CA Access Control还可提供用户界面友好且基于Web的统一界面，可高效管理端点策略和设备。CA Access Cont

17、rol可本地支持业界领先的虚拟化平台，其中包括VMware ESX、Solaris 10 Zones/LDOM和XenServer，从而确保运行于其上的系统管理程序层和来宾操作系统得到保护。在企业环境中，使用目录进行用户管理并部署支持目录功能的应用已成为普遍的做法。CA Access Contro可支持企业用户存储，即存储操作系统的本机用户和组。这种本机集成使用户能够根据客户的企业用户和组来定义访问规则，而不必使用户和组与CA Access Control数据库进行同步或者将其导入CA Access Control数据库。高级策略架构* CA Access Control采用将策略发布给所有托

18、管服务器的分布式层级化模型来实现企业级可扩展性。这种高级策略分布架构（Advanced Policy Distribution Architecture）使用中央部署映射服务器（Deployment Map Server，DMS）和分布式主机（DH）将策略部署发布给端点，交将部署信息从端点发回给DMS。该基础架构与策略的逻辑分配可去耦合，非常易于设置、扩展和配置，可实现非常高的可用性，便于故障转移和灾害恢复。该策略架构需要下列服务器组件：部署映射服务器（DMS）位于高级策略管理的核心。DMS的目的是存储策略管理数据。用户可管理统一的DMS数据库，然后将事件发送至分布式主机。策略管理和策略报告可

19、根据DMS集中完成。分配主机负责将DMS上生成的策略部署分布给端点，以及将从端点上收到的部署状态发送给DMS。在端点侧，CA Access Control端点代理能够定期检查DH上的最新部署，并根据需要下载和应用这些部署。随后可将执行结果发还给DH，再由DH将其发送给DMS进行集中审计。另外，DMS（通过DH）还会通过每个端点代理持续进行检查，以确保保护全面到位，主机运行正常。图A 端点可订阅它们特定的主机组策略，并将策略从分配主机上“调出”，从而通过简单的设置即可实现极高的可用性和可扩展性。CA ACCESS CONTROL策略管理架构* 支持各种规模的企业跨平台的服务器保护许多企业都部署了

20、如Windows、Linux以及UNIX系统等多元化的服务器基础架构。CA Access Control能够跨所有这些环境对访问安全性策略进行一致的一体化管理与执行。Advanced Policy Architecture能够提供统一的界面，通过该界面可对策略进行管理，同时将其发布给Windows与UNIX用户。对Linux、UNIX以及Windows服务器进行整合化管理不仅可减少所需的管理工作量、提高系统管理员的工作效率，而且还能够显著节约管理成本。精细粒度的访问控制CA Access Control是一款独立的高安全性执行解决方案，这意味着其无需依赖底层操作系统即能执行服务器访问控制策略。

21、CA Access Control以系统级运行，能够监控并调整系统资源的所有访问，其中包括源自域或本地系统管理员的访问等。这些精细粒度的访问执行功能可对IT环境中的域管理员或任何其它账户进行监管、委托以及限制，并能提供：人性化控制功能：CA Access Control能够控制代理用户委托功能，以降低未经授权的用户通过增强权限运行应用的风险，并能够对共享型的账户活动实行责任制。例如，管理员能够借其他人的身份更改文件的访问控制列表（ACL）属性，而不对其行为承担任何责任。CA Access Control可首先对使用Run-As与UNIX “su”命令的用户进行限制，并在即使代理行为已经完成的情

22、况下也可以保留原始的用户ID，从而在多个层面上提供保护，进而确保审计日志中的用户访问记录能够显示原始账户。这样用户就可以使用自己的ID进行登录，并将其安全地代理给拥有权限的账户，而且不会造成问责的缺失。超级用户（Administrator/Root）限制功能：“Root”账户是引发问题的重要原因，因为其允许应用或用户获取比所需权限级别更高的权限。CA Access Control可在系统级检查所有相关的进入请求，并根据定义的规则与策略执行授权。即使是特别授权的Root账户也无法绕过这种级别的控制。因此，所有获得权限的用户都会成为托管用户，并需要对他们在系统中的行为负责；基于角色的访问控制功能：

23、最佳实践证明，每位管理员都应拥有足够的权限，但这些权限决不能超过其工作所需的范围。CA Accesss Control通过提供先进的基于角色的访问控制环境使管理员不能共享超级用户密码，也无法充分利用与之相关的权限。在默认条件下，CA Accesss Control能够提供可进行定制和扩展的常用管理与审计角色，从而满足用户IT部门的需求。这些角色包括： 审计员：能够分配审计属性，并显示用户与用户组特性的用户； 操作员：能够显示用户与用户组特性的用户； 密码管理员：能够改变其他用户密码的用户。这使CA Access Control能够根据管理员的具体类别来定义管理权限，例如，能够定义FILE访问或

24、PROCESS控制，并对这些资源进行管理；精细粒度的强制实施：本机操作系统（Linux、UNIX以及Windows）在高效且粒度化地将特定系统管理权限授权给权限较低的用户账户方面所具备的功能非常有限。CA Access Control可实现精细粒度的强制实施，并根据如网络属性、当日时间、日历或访问程序等众多标准对访问进行监管。这些特性包括： 额外的粒度控制：能够为文件、服务以及其它操作系统级别（重命名、拷贝、停止、开始）功能提供特定的权限，并分配给特定的管理员或管理员组； 多种不同的执行力度：企业在确定所提议安全策略的宽松程度时通常会使用CA Access Control Warning Mo

25、de，以便进行相应的修改。此外，CA Access Control还可通过Validation Mode设置在不执行限制功能的情况下即时验证安全性策略的效果。在选定用户与资源后，验证检验命令就能够确定用户是否有权在既定的安全性策略下访问该资源； 增强型ACL：CA Access Control可提供众多增强型ACL功能以加强安全管理员将访问权限正确分配给授权用户的能力。这些额外的设置包括：条件访问控制列表（CACL）能够根据如默认访问模式或时间与日期等各种标准强制执行用户访问；程序访问控制列表（PACL）能够移除如配置文件或密码文件等特定数据文件的访问权限，但采用已批准程序的情况除外；否定访问

26、控制列表（Negative Access Control List，NACL）能指定应拒绝哪些访问权限对系统资源进行访问。另外，一般性资源定义功能允许用户根据文件名、主机名、注册表路径模式等定义对资源的访问； 基于网络的访问控制：当今的开放式环境要求对用户访问与流经网络的信息进行强有力的控制。基于网络的访问控制可为监管网络访问添加一层额外的保护。CA Access Control能够管理对网络端口的访问或网络访问程序，而网络安全性策略则能够通过终端ID、主机名、网络地址、段或其它属性对双向访问进行管理。登录控制功能：CA Access Control通过原始的IP地址、终端ID、登录程序类型或

27、当日时间限制用户登录，从而增强登录安全性。同时，CA Access Control还能限制用户同时发起的登录会话，以对服务器执行严格的用户访问。在多次登录尝试失败后，会自动中止用户行为，以保护系统免遭暴力攻击。此外，CA Access Control还可提供分布式环境中用户账户的安全挂起与注销功能。管理对虚拟环境的访问虚拟化可在单个物理机上整合多个服务器实例，从而不仅可降低总体拥有成本，而且还能提高机器利用率。遗憾的是，虚拟化会创造出一批新的“管理程序超级用户”，其能够创建、拷贝、移动或以其他方式管理这些来宾操作系统。这就更加需要对职责进行详细的划分，并集中保护服务器资源，才能确保对所有数据和

28、运行在这些来宾操作系统上的所有应用进行审计与保护，使其免遭破坏。使用CA Access Control不但可以对这些Hypervisor Administrator进行有效控制，而且还可以实施适当的职责划分。该功能还可为降低虚拟化风险提供重要的保护层。端点工具代理可支持众多作为来宾运行的操作系统版本以及各种操作系统虚拟化主机，如VMware ESX Server、Solaris 10 Zone、Linux Xen以及Windows Virtual Server等。操作系统强化深度防御战略最关键的一层是为操作系统免遭未授权外来访问或侵入的干扰提供强大的保护功能。CA Access Control

29、可提供多种外部安全性措施，为用户的服务器增添额外的安全层。可信的程序执行：为避免操作环境遭到恶意软件，特别是木马的入侵，CA Access Control可提供业界一流的可信程序保护功能。该功能可将敏感资源标记为可信，然后对这些文件与程序进行监控。如果程序被恶意软件修改，CA Access Control将阻止该程序的执行。对可信资源的更改仅限于特定的用户或用户组，才能进一步降低未授权更改的可能性； 协议栈溢出保护：危及关键业务或者破坏可执行项完整性的外部威胁会给生产服务器的保护工作造成很高风险。CA Access Control通过保护存储器空间和程序跟踪信息能够严密地监控并保护邮件服务器等

30、应用，从而即便出现存储器溢出或是木马攻击，系统也不会激活恶意代码。 注册表保护：Windows注册表是黑客和恶意用户的明确目标，因为集中化的数据库内含操作系统参数，如控制设备驱动程序、配置详情与硬件、环境以及安全性设置参数等。CA Access Control通过支持能阻止管理员更改或篡改注册表设置的规则来提供注册表。 应用监所：CA Access Control可针对高风险应用定义接受的行动。任何超越这一界限的行动都将被应用监所功能所限制。举例来说，可以根据一个拥有Oracle进程和服务的逻辑ID来创建ACL，这样其监所行为就可以阻止除启动Oracle DBMS业务之外的任何行动。协助合规性

31、流程合规性是指用户拥有正确且已获得部署的策略，但更为重要的是，用户能够提供遵从公司政策和监管标准的证据，同时还可对所有违反策略的情况实行责任制。为证明合规性，服务器资源保护解决方案必须生成报告，才能将口令策略、授权层级以及职责划分落到实处。CA Access Control的报告服务功能能够在整个企业范围从每个端点采集数据，将其汇聚到中央位置，然后再根据公司策略进行分析，得出结果，最终生成报告，从而让客户能够查看其用户、组以及资源的安全状态。该报告功能能够按照事先设定的日程，独立地对每一个端点采集处于生效状态的策略。由于生成端点状态的报告无需手工干预，也不用管采集服务器开启与否，因而系统具有高

32、度的灵活性。此外，报告服务功能组件位于CA Access Control执行系统之外，而且在重新配置或定制任何报告时都不必调用端点执行功能。报告服务功能所采用的结构能够对每一个端点执行的策略的状态进行报告。用户可根据各种用途定制报告，或者使用CA Access Control提供的现有“开箱即用”报告。此外，报告服务功能还有助于集中化存储和管理报告，并通过SSL对这些报告进行高安全性访问。该服务功能采用适用于大型环境的架构，由报告代理（能生成策略数据库的快照）、报告服务器（收集端点报告）和中央数据库（汇聚来自更广企业范围的策略数据）组成。一旦中央数据库有数据可用，用户即可使用Report Po

33、rtalBusinessObjects InfoView门户的CA版本，并将其与现成的CA Access Control报告进行捆绑，以生成报告，并对已存储的数据进行分析。策略合规性与授权报告* 针对既往行为生成基于事件的报告已不再能满足当前合规报告的要求了。要满足当今合规性要求，还需要能够及时突出地反映出任意点上策略状态的主动报告。为此，CA Access Control提供了能主动报告用户访问权限和现有访问控制证明的报告功能。图B 显示符合特定策略的主机时点快照的样本报告。CA Access Control报告服务功能可在默认的产品安装情况下提供“现成”的标准报告，内含授权和所部署策略当前

34、状态（及偏差情况）的详细信息。它们不仅能够对现有基于事件的审计形成有益补充以监控合规性要求，而且还能重点提示已出现的偏差，从而产生立竿见影的价值。标准报告包括：策略管理报告：允许用户查看策略部署的状态和与标准策略之间的偏差。授权报告：允许用户通过系统资源或以其他方式查看对用户和用户组的授权情况，即显示谁能访问特定的资源。通用方法是查看谁对系统具有根（Root）访问权限。用户管理报告：使用户能够查看处于非工作状态的账户、用户和用户群组成员资格、管理员账户和管理职责划分等。密码管理报告：提供与密码时限、密码策略合规等有关的信息。CA Access Control的开放式策略报告功能依赖于标准的RD

35、BMS。其所具备的与外部系统的卓越互操作性使管理员能够采用自己选择的报告工具来运行策略报告，并对报告格式布局进行定制，满足内部标准或者审计员的要求。策略部署积分卡图C安全性管理员能够定义逻辑主机组，向它们分配策略并能对这些主机所具备策略的合规情况提供全面的直观视图。企业级访问控制管理鉴于当今服务器资源所要求的高度复杂性与可扩展性，既能在全球更广泛的企业范围内针对访问控制实施和执行集中化策略，同时又能根据局部意外情况和业务需求进行相应调整至关重要。CA Access Control具备众多先进的特性，不仅能够促进和简化对访问的管理，而且还能以问责和可控的方式容许例外情况。逻辑主机分组* 无论用户

36、的端点是否以物理的形态组成，用户都能将用户的端点以分组的方式分到逻辑主机组中，然后再根据该主机组的成员资格分配策略。根据它们的属性和策略要求，主机可以是众多逻辑主机组的成员，例如，如果用户的主机运行Red Hat操作系统和Oracle软件，就可以将其归入Red Hat逻辑主机组成员，以获得基本的Red Hat访问控制策略，同时还可归入Oracle逻辑主机组获得Oracle访问控制策略。逻辑主机组可让策略分配与策略发布解耦合，由于这样无需更改用户的层级就能适应策略分配要求，因而能够显著简化策略管理，使用户既能管理规模较小且针对性更强的策略，同时又能更加专注于主机组的管理。其结果，就是将安全提供新

37、服务器资源的时间和成本降低双双80%。逻辑主机组策略版本控制*CA Access Control通过将每个策略表现为具有多个版本的单个实体实现用户对策略更改情况的跟踪。在用户创建新版本的策略时，上一个版本仍被保存，并包含策略版本部署规则和部署解除规则信息、版本创建人信息（出于审计和问责目的）以及版本创建时间信息等。此外，通过升级进程，用户可在所有分配的主机上将策略部署升级到最新的策略版本。 图D“Enterprise Management World”视图可从端点、主机组或者策略组的层面提供视图，用户在需要的情况下可向下浏览到端点管理的层面。企业管理Web用户界面* 企业管理Web界面简单而直

38、观，允许用户在执行高级策略管理的同时提供其整个CA Access Control服务器环境的综合视图。此外，基于Web的界面还能帮助用户管理各个端点或者策略模型，使他们能够： 创建主机 将主机分配给主机组 创建并更新策略 为主机或主机组分配策略或移除策略 直接从主机或者主机组部署或移除策略 将分配的策略升级到最新版本 在企业中审计策略部署 按主机、主机组或策略浏览企业 通过End Point Management管理分立的端点所有CA Identity & Access Management解决方案的用户界面都保持一致，使用通用的CA框架，并在感观、管理范围界定与任务委托方面也具有一致性。CA

39、 ACCESS CONTROL R12企业管理控制面板（ENTERPRISE MANAGEMENT CONSOLE）先进且安全的审计功能虽然对于确保主机系统安全来说，主动的访问控制是必要的措施，但具备在访问事件发生后进行解决的能力同样重要。合规性通常要求系统内的关键用户任务具有可控性，并能够通过审计记录进行证明。为了有效地应对定期合规审计，还应能够集中收集，安全管理该数据。CA Access Control可提供独立的、非授权用户（其中包括域管理员或系统管理员）无权更改的审计日志。本机操作系统不能按照大多数监管标准要求的粒度级别对用户的行动进行持续跟踪，也不能跟踪共享账户的使用情况。对于大多数

40、监管条例而言，一项重要的要求就是能始终如一地使超级用户对在系统中所做的更改负责。如果不能对服务器资源进行持续的跨平台监控，就无法检测系统受到的损坏，也不能追溯到实际的用户。CA Access Control能够生成安全可靠的审计日志，将真正的用户ID与所有受保护资源的行动关联起来（即便是在代理操作之后）。任何由用户发起的与访问策略有关的行动都能够得到如实记录，如用户是否被允许成功完成该请求等。如果需要进行调查，该项完整、详尽且准确的审计数据可以大幅加速攻击来源和攻击活动的识别进程。综合审计模式CA Access Control可提供下列三种审计设置： 成功（Success），可在审计资源被成功

41、访问的任何时间生成一个事件； 故障（Failure），跟踪并记录任一或所有被拒绝的访问； 告警（Warning），在CA Access Control虽未拒绝访问，但可在访问策略被违背的任何时间生成审计记录。用户可针对每个用户、用户组或者资源定义应强制执行的审计模式或者组合审计模式。例如，可将安全管理员组的审计和文件的一般审计级别设置为“Failure”，但对于系统配置文件，可将审计事件同时设置为“Success”和“Failure”。日志路由* 将所有相关访问事件路由至单个安全位置，是有效进行合规管理的关键要求。CA Access Control具备对所有访问控制日志进行路由和集中化的能力，

42、这不仅能实现日志整合的优势，而且还能在网络遭到攻击或者系统受损时确保这些日志的可用性和完整性。实时通知CA Access Control可支持对安全事件的即时通知功能，其能够将安全事件路由到寻呼机或者外部控制台以迅速解决问题，也可路由到其他的安全信息管理系统。在将CA Access Control安全事件交付给CA Audit或者CA Security Command Center之后，即可对其进行收集、过滤和整合，以供报告和分析之用。自保护 审计监控程序和日志自身也需要防范潜在的外来攻击、关闭或者篡改。CA Access Control的审计业务和日志具备自我保护功能，不能被关闭或者修改，从

43、而可确保日志的完整性，并让任何未来调查有完整的信息可用。CA审计集成CA Access Control与CA Audit和CA Access Control Premium Edition实现了完美集成，其中包含用于采集访问控制事件的CA Audit许可证。因此，CA Access Control中的事件可被发送至CA Audit进行进一步处理，以完成日志文件的汇聚，与企业IT环境中其他事件的关联，以及特定策略报告的创建。这不仅可加速审计进程，同时还能支持依照重要的合规审计指标和监控指标进行详细的调查和审核。此外，CA Audit的特性还包括：跨平台数据采集：从各种源头汇聚事件数据，其中包括：

44、操作系统、业务应用、网络设备、安全设备、大型机、访问控制系统以及Web服务等。用于采集、查看和报告的实时工具：提供与特定用户角色相关的定制视图和报告。告警管理：过滤和监控重要事件，并根据既定的策略执行告警和其他任务。中央安全数据库：将审计数据存储在围绕可扩展关系数据库构建的中央库内以便访问，并提供可供历史分析的报告。较大规模身份与访问管理解决方案不可或缺的组成部分 CA Access Control可进行独立安装，并能在不依靠其他CA产品或第三方产品的情况下提供全面的服务器访问保护。此外，CA Identity & Access Management 解决方案中的所有产品在Web用户界面、管理

45、思路、责任委托以及报告方面可共享通用的方案和组件，以确保始终如一的管理体验。鉴于操作系统的访问保护可在深度防御战略中独立存在，因而CA Access Control还可提供与下列CA安全产品的集成：CA Identity Manager（身份管理器）：作为CA Identity Manager的配置目标，CA Access Control的用户群体可以用CA Identity Manager进行管理，并自动与CA Identity Manager保持同步。CA Enterprise Log Manager（企业日志管理器）：CA Access Control的安全事件可由CA Enterpri

46、se Log Manager采集。CA ACF2SECURITY和CA TOP SECRET SECURITY：CA Access Control可将CA ACF2 Security或者CA Top Secret Security提供的大型机用户存储当作可信库使用，或者让用户密码与这些大型机的用户存储同步，这就可协助各企业对关键性的大型机资源、权限和实用软件的访问加强管理，就如CA Access Control为Windows和UNIX提供保护的方式一样。第三章：优势保护用户最重要服务器上的数据 在虚拟化的多平台环境中，部署和支持全局分布式应用的复杂性远无止境。如果没有独立的安全层来强制执行和

47、审计针对服务器资源的企业策略与监管政策，用户可能不得不事倍功半，费尽气力地解决因管理员共享账户引发的安全故障问题和责任问题。CA Access Control可提供额外的安全层，采用灵活、可问责的方式帮助用户保护更广泛企业范围内的服务器资源，以便通过将必需的权限分配给授权管理员的方式来对超级用户账户进行限制。CA Access Control以系统级运行，能够确保跨所有系统（其中包括Windows、UNIX、Linux以及虚拟环境等）高效一致地执行策略。通过高级策略管理功能将服务器安全策略发布给端点设备，用户能够支持大规模、多位置的企业级部署。此外，CA Access Control还为对每个策略的更改和执行行动进行安全审计奠定了基础，从而有助于遵从全局性调控。更重要的是，CA Access Control能够通过执行授权访问确保应用、数据库和服务器的可用性，同时还能以可审计和可问责的方式支持局部例外