企业4A安全管理平台方案

1、企业4A安全管理平台方案4A的建设意义14A功能介绍2网络安全是企业/单位的生命线，没有安全，发展就如同把楼房建在沙土上，一旦发生大规模安全事故，后果不堪设想。网络安全法是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。网络安全法将近年来一些成熟的好做法制度化，并为将来可能的制度创新做了原则性规定，为网络安全工作提供切实法律保障。第二十一条： 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权

2、的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。解读：对于内部安全管理应从两方面实施，一方面制定内部安全管理制度，所有操作人员必须按制度严格规范操作；另一方面采取内部访问控制手段（如：账号管理、授权、堡垒机、审计等）进行日常工作，对操作流程全程记录并保存相关日志便于事后

3、取证，对敏感信息文件进行管控。网络安全法应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度，应记录审批过程并保存审批文档。身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。应及时删除多余的、过期的帐户，避免共享帐户的存在。应确保在外部人员访问受控区域前得到授权或审批，批准后由专人全程陪同或监督，并登记备案。信息系统安全等级保护基本要求 （GBT 22239-2008）系统应提供一种机制，能按时间、进入方式、地点、网络地址或端口等条件规

4、定哪些用户能进入系统 数据库管理系统安全技术要求（GBT 20273 -2006 ）信息安全等级保护相关监管要求文本文本ISO27001标准条款A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全事件的调查和取证；条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为； 条款A15.1.3明确要求必须保护组织的运行记录；条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。CC标准信息技术通用评估准则 （ Common Criteria for Information Technology Se

5、curity Evaluation）中，安全审计是其安全功能要求中最重要的组成部分，同时也是信息系统安全体系中必备的一个措施，它是评判一个系统是否真正安全的重要尺码。SOX法案302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。 需要符合怎样的标准？威瑞森电信公司（Verizon）2017 年数据泄露报告这份最新报告总共分析了42068个安全事件以及来自84个国家的1935个漏洞。报告中显示，外部人员依然是数据泄露的罪

6、魁祸首，占比75%。有组织犯罪团伙的占比为51%，而来自内部人员的威胁也将受到重视，占数据泄露原因的25%。在攻击方式和策略中，恶意软件、弱口令、社会攻击等皆被列入在内。而金融机构成为数据泄露当中的主要受害者，占比24%。1、威瑞森及其合作伙伴在2015年调查的大量数据泄露事件中表示，人的因素是其中最弱的一环。3、在2260起已证实数据泄露事件的分析过程中，可以确定，63%都涉及到弱口令、默认口令或被盗口令。（2016年度数据泄露报告）2、95%的安全事件均可以追溯到身份访问凭据被盗，而另外则有10%是由可信人员滥用身份访问凭据所导致的。2015年度数据泄露报告权威调查报告统计安全事件案例内控

7、缺失：缺乏严格的账号管理、访问控制、审计体系初始攻击获取身份窃取数据给雅虎员工发送鱼叉式钓鱼攻击邮件，控制YAHOO员工终端。在员工终端上，获取了一台关键服务器的特权访问凭证，并发现了该服务器上的数据库及操作数据库的账户管理工具。把YAHOO用户数据库的一份拷贝偷偷转移出来，数据库包含了姓名、电话、安全问题和答案，找回电子邮件的口令和每个账户的唯一加密值。安全事件案例3.15移动联通网通“内鬼”泄密 一调查公司的“私家侦探”涉案被抓后，牵出“移动、联通及原中国网通三大电信运营商的3个内鬼多次向其泄露公民个人信息”一事。2010年的3.15晚会上暴露出该电信行业内鬼泄密事件。 事件的过程是内部坐

8、席维护人员利用工作中的便利途径，获取客服操作员的工号、口令；利用该操作员身份登录客户应用系统。利用修改客服口令不需要旧口令的业务逻辑漏洞，直接修改用户客服密码；以用户的身份和修改后的新客服密码直接登录业务系统，导出短信、通话记录等信息，以此为私家侦探提供线索累计获利300多万。程稚瀚北京移动充值卡盗窃案 2005年3月至8月间，被告人程稚瀚多次通过互联网，经由西藏移动通信有限责任公司（以下简称西藏移动公司）计算机系统，非法侵入北京移动通信有限责任公司（以下简称北京移动公司）充值中心，采取将数据库中已充值的充值卡数据修改后重新写入未充值数据库的手段，对已使用的充值卡进行非法充值后予以销售，非法获

9、利人民币3775万元。70%的安全威胁来自于企业的内部为什么要建设4A安全最薄弱的环节是“人”，只要解决了人的问题，就可以解决50%以上的安全问题。4A系统是所有安全系统或设备中用户数量最大、最有效的安全系统。4A的本质是实现“人”对“物”最便捷、最合规的访问。传统的安全设备都是对“物”的防护，如：FW/WAF/IDS/IPS等等，4A是所有账号口令的管理者，是安全的最后一道屏障。需要解决的问题？资源：各类IT应用系统、主机、网络设备、数据库等什么是4A？集中管理（入口：4A统一安全管理平台）统一身份管理（基础）访问控制管理（手段）权限管理（核心）操作行为审计（保障）你是谁？Account 帐

10、号 你能去哪？ Authentication认证你能做什么？ Authorization授权 你做了什么？Audit审计 4A核心4A统一安全管理平台，即融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录（SSO）等安全功能，既能够为客户提供功能完善的、高安全级别的4A管理，也能够为用户提供符合萨班斯法案（SOX）要求的内控报表。安全、高效的使用各类IT资源，降低操作复杂度：（1）短时间的用户帐号申请、审批与创建（2）一次认证，全网通行，不需多次输入帐号和口令（3）减少记忆资源URL、IP地址与密码（4）全网统一的强认证介质、登录、认证与访问体验降低

11、日常安全管理与运营工作压力，提升安全支撑服务能力：（1）贯彻最小化授权，不需面对基础设施（2）统一帐号权限管理流程，减少学习成本和时间（3）集中审计各类访问日志，及时发现并追踪定位（4）减少用户帐号盗用、冒用、滥用、共享等及时、准确并可控的实现各类安全检查与考核要求：（1）落实SOX、等保中帐号、权限、审计、认证方面的控制点（2）减少业务和管理的违规操作、漏洞利用及客户信息泄露（3）确保系统稳定安全运行，不存在单个系统安全短板（4）落实岗位匹配、适度够用、职责分离落实国家法律法规，降低安全事件的影响：（1）提升企业形象和竞争力；（2）落实国家、行业安全保障要求中层管理人员高层决策人员业务及运维

12、人员（营业、客服、维护、实施）管理及运营人员（应用、系统、安全）高效减压合规影响4A平台建设目的：节约资源、降低成本、促进生产、优化流程、稳定合规4A管理平台建设目的和意义14A的建设意义24A功能介绍信息安全解决方案4A管理平台业务价值：核心能力主要体现在以下几个方面：统一的身份认证和单点登录统一的帐号、授权管理全面的安全审计完善的运营稽核和金库审批安全的运维管控、命令级控制落实国内外以及企业的安全政策，降低安全事件的影响降低日常安全管理工作压力，提升安全管理效率安全、高效的使用各类IT资源，降低操作复杂度 4A安全支撑平台作为安全架构中的基础安全服务系统，侧重于用户安全层面实现统一访问控制

13、、帐号管理、授权管理、密码管理、身份认证、数据安全与审计，提升IT系统安全性和可管理能力。认证、授权与流程整合安全审计与报表管理数据库接口适配器应用接口适配器主机接口适配器网络设备接口适配器安全设备接口适配器接口层认证中心访问控制通道资源权限SSO流程管理用户管理权限管理策略管理认证管理运营管理业务操作人员应用管理人员系统管理人员安全管理人员运行管理安全管理机构管理口令监控帐号监控身份服务AgentServer密码比对时间令牌认证服务认证服务第三方认证转发服务认证链服务字符型堡垒登录门户B/S单点登录C/S单点登录数据采集数据规格化数据过滤实时告警分析审计服务主帐号管理从帐号管理帐号策略身份管

14、理口令策略验证策略帐号接口管理认证方式管理用户认证策略令牌卡管理认证管理认证接口管理审计接口管理审计采集策略管理告警策略管理审计管理审计报表资源管理权限管理用户自服务备份管理岗位管理角色管理命令集管理授权管理命令级控制RDP图形化操作控制自定义报表服务器告警方式管理资源认证策略认证链管理用户组管理用户导入口令重设帐号收集Unix/Linux/ Windows数据库代理应用系统代理事件令牌认证服务USB-KEY令牌短信认证服务系统功能架构图网络设备访问控制VPN设备访问控制授权服务主机设备访问控制应用系统访问控制单点登录会话管理票据管理认证管理4A图形化堡垒信息安全解决方案功能框架4A管理平台相

15、关概念介绍概念说明用户（自然人）使用IT资源的物理存在的人。用户访问系统的唯一身份标识User ID。从帐号用户对应的在应用或系统中的帐号。资源用户要访问的实体，包括应用资源和系统资源。应用资源一种资源类型，主要指应用系统（如：ERP、CRM等）的被用户访问的实体。系统资源一种资源类型，主要指主机、网络设备、数据库等系统中被用户访问的实体。权限用户对各类资源访问能力的标识。角色资源中若干访问权限的集合。4A管理平台管理的资源类型资源类型描述资源特点4A管理重点应用资源功能组件应用主要包括各种应用系统，如ERP财务、PMS、财务共享等系统，组件是构成这些应用的主要实体，是用户进行操作的载体用户对

16、象：资源的使用者通常为普通用户，如财务、计划相关员工，用户量比较大；技术特点：资源大多为自主开发产生，标准化程度不高，但开放性较好；集成角度：一般通过SOA平台实现对资源的访问和控制用户：提升用户管理的标准化和效率授权：优化授权流程，提升授权效率认证：实现多认证手段的采用审计：审计信息采集的规范流程组件数据组件系统资源操作系统开放系统OS，各类UNIX（如AIX、HP-UX、RedHat、）和Windows等用户对象：资源的使用者通常为系统管理员，如操作系统管理员、数据库DBA等；技术特点：由于大多数系统相对成熟、商业化，所以其资源的标准化程度较高；集成角度：一般需要通过专用网关实现对资源的访

17、问和控制用户：禁止系统资源公用帐号的共用，尤其是特权帐号的使用授权：规范化授权流程，提升授权安全认证：加强安全认证的强度，如第三方认证审计：用户行为审计数据库关系型数据库，如Oracle、MS SQL Server、MySQL等网络设备网络管理硬件设备，如交换机安全设备基于安全管理的硬件设备，如入侵检测设备、防火墙等4A管理平台帐号管理用户开通用户支持IdentityLifecycle用户离职删除用户删除权利同步删除用户维护口令重设权利新建新建资源用户变更升职调动权利变更新建用户身份创建身份凭据颁发权利赋予用户变更用户离职自然人IT运维系统主机1主机2网络业务1数据库网银主帐号从帐号业务2业务

18、3从帐号从帐号从帐号从帐号从帐号从帐号从帐号自然人唯一的ID主帐号提供强认证方式、时间访问控制、区域访问控制的策略配置认证策略提供单点登录认证凭证信息的生成以及认证接口等功能认证处理主帐号在登录4A平台后访问资源时，4A平台应自动完成被管资源登录单点登录提供将主帐号、从帐号的认证请求转发到强认证组件或认证处理，并应支持主帐号身份认证、VPN身份认证、被管应用资源认证等认证枢纽4A管理平台认证管理 可以根据用户应用的实际需要，为用户提供不同强度的认证方式，既可以保持原有的静态口令方式，又可以提供具有双因子认证方式的高强度认证（一次性口令、数字证书、动态口令），而且还能够集成现有其它如生物特征等新

19、型的认证方式。不仅可以实现用户认证的统一管理，并且能够为用户提供统一的认证门户，实现企业信息资源访问的单点登录。4A管理平台授权管理4A平台统一授模框架应用资源授权由4A平台调用授权页面或者调用响应的授权接口实现；网络设备，建议通过TACACS协议在4A平台配置用户可使用的命令集，来控制用户对网络设备的操作命令，从而实现网络设备的实体内授权；(TACACS终端访问控制器访问控制系统)采用堡垒机进行实体内授权，把用户或用户组和命令集关联，从而实现对主机的命令级访问控制；4A平台可通过ODBC/JDBC接口连接数据库，执行用户授权语句，利用数据库本身授权机制实现对用户账号权限的控制；授权方式4A管

20、理平台堡垒系统有效控制用户可访问设备范围1控制数据不流向客户端2集中定制用户使用操作软件3记录用户操作轨迹，支持审计4资源、用户的集中管理5全WEB化应用操作，交互便捷6 堡垒系统主要实现自然人对系统资源(主机、网络设备、安全设备、数据库等)的访问控制。其核心思想就是将自然人与系统资源在逻辑上实现分离，从传统的“自然人资源”的访问模式改造为“自然人堡垒主机资源”的模式。完成对于资源访问的“单点登录访问鉴权操作管控操作记录”的全过程监管。PLSQLSqlplus个人文件夹10.153.170.70_ORACLE10.153.170.71_ORACLESelectUpdate清单/详单表敏感数据1

21、敏感数据2工具授权数据库实体授权数据库细粒度授权敏感数据授权堡垒系统细粒度访问控制对敏感账号和高风险操作实施金库模式管理，加强事前、事中、事后三个环节的控制，形成全流程的金库管理模式。事前事中事后金库模式也称为“双人操作”或“多人操作”模式，指对于涉及到公司高价值信息的高风险操作，强制要求必须由两人或以上有相应权限的员工共同协作完成操作，防止部分拥有高权限账号的操作人员滥用权限违规获取、篡改相关信息，通过相互监督、利益制约确保高风险操作和高价值信息的安全性。事中控制是现有信息安全技术体系的短板聚焦关键系统、聚焦关键操作、聚焦高价值信息；关键操作，多人完成，分权控制；授权不操作，操作不授权；金库模式4A管理平台集中审计身份认证审计：身份认证统计失败身份认证统计4A平台帐号管理审计：主帐号与从帐号对应关系主帐号的创建时间创建人主、从帐号的有限期密码更改规则设备主机数据库等管理员用户帐号授权审计：权限分配时间、分配者主、从帐号的访问权限资源的授权访问者登录过程审计：什么人用什么帐号登录什么时间登录什么系统什么时间退出登录后行为审计：用户访问了哪些资源对资源做了什么操作收集系统日志记录授权管理帐号管理用户登录用户操作第25页在集中的资源管理为基础，通过各种堡垒主机能够实现用户资源访问会话的还原审计。对于字符堡垒主机，可以还原完整的