统一身份及访问安全管理系统

ULTRA－IAM统一身份及访问安全管理系统

北京神州泰岳软件股份有限公司信息安全事业部概要123产品概况Ultra-IAM产品介绍建设关注点4案例介绍业界关于4A解决方案的一些名词国际叫法：IAM——IdentityandAccessManagement，统一身份及访问安全管理神州泰岳产品：Ultra-IAM——Account、Authentication、Authorization、AuditandAccessControlManagementSysytem中国移动叫法：安全管控平台或者4A，涵盖三个子中心集中维护接入平台SMAP：对应AccessControl帐号口令管理系统：对应Account、Authentication、Authorization审计系统：对应Audit4A解决什么问题？——错综复杂的日常运行维护管理企业员工张三在公司企业各类IT资源企业员工李四在出差王五是远程的第三方维护人员小刘是现场的第三方维护人员弱口令无法控制维护接入途径五花八门维护操作内容无从知晓违规操作无法控制账户开设无规可循4A解决什么问题？——安全管控平台的作用企业员工张三在公司企业员工李四在出差王五是远程的第三方维护人员小刘是现场的第三方维护人员集中安全维护接入平台集中帐号口令管理平台集中安全审计平台企业各类IT资源建设现状分析现状审计维护安全问题不断出现，系统维护和管理工作负担大，效率低认证帐号独立的用户数据库和独立的系统管理员；自然人身份和业务系统帐号重叠；多系统都基于独立的帐号管理实现访问频繁切换接入网络没有强制检测手段；访问系统没有强身份认证手段；各应用系统都独立认证；授权独立的系统授权机制和独立的应用授权管理独立的审计，缺乏关联分析。运营出现的安全问题无法明确定位Ultra-IAM系统概述神州泰岳Ultra-IAM是集账号管理、授权管理、认证管理和综合审计、安全访问控制于一体的集中账号及安全访问管理系统(业界称为4A）。该产品实现用户账户管理(Account)、认证(Authentication)、授权(Authorization)和审计(Audit)四方面的内在关联，是目前国内功能最完整、控制粒度最细的综合身份认证和访问安全管理产品。Ultra-IAM采用模块化设计，不但可以根据用户需要和环境特点进行选择、组合，而且可以提供定制化的开发，能够方便地实现与用户应用的有机结合。Ultra-IAM名词解释4A系统：集中安全管控平台，神州泰岳内部产品为Ultra-IAM统一身份及访问安全管理系统主账号：自然人使用的帐号，目前主要是网络准入控制系统的帐号。资源：自然人要访问的业务系统中实体，如应用程序、帐号、目录、文件、数据库、数据库中保存的某个表、IP端口等等；可以根据实际需要，将多个资源看作一个整体；也可以将一个资源进一步细分成多个资源。应用资源：业务系统中的一种资源类型，例如网管系统、业务支撑系统等。系统资源：业务系统中的一种资源类型，包括主机、网络设备、数据库等。概要123产品概况Ultra-IAM产品介绍建设关注点4案例介绍4A系统的工作场景C/S应用B/S应用Ultra-IAMPortal普通用户运维用户LDAPUltra-IAMServerUltra-IAMResourceManagementDriversuites网络设备主机系统数据库系统主账号认证授权资源列表帐号管理员审计管理员SSOACTIVE控件代填SSO集中应用发布系统SSOSSO安装filter拦截器授权策略页面嵌入堡垒主机代填代填（HTTP模拟、Form代填）凭证（Token、Ticket）从帐号SSOUltra-IAM系统架构系统功能用户管理认证管理系统功能12集中审计4授权管理3认证方式选择单点登录SSO认证转发日志采集日志分析审计还原告警处理审计报表主从帐号管理用户同步生命周期管理密码管理用户自管理授权管理资源管理访问控制角色管理授权粒度控制主从帐号管理主帐号管理组织管理：能够按照按地域、组织结构进行划分，建立相 应树状目录用于合理组织主帐号。分级管理：以适应分部门、分管理层次的分级管理要求； 不同级别的帐号可以行使不同级别的权限属性管理：包括帐号基本信息、时效策略、密码策略、组 织标识、角色标识。生命周期管理：对用户从产生到删除各存在状态进行管理帐号监控：口令系统对幽灵帐号、弱口令和交叉帐号（不 能修改口令的程序帐号）进行监控，并提供相应的 告警报表自服务功能：对自己的属性进行修改同步功能神州泰岳Ultra-IAM通过多种方式来实现对操作系统、数据库系统、网络设备、应用系统、业务系统的用户同步管理Telnet/SSH方式AD域方式JDBC/ODBCLDAP方式模拟客户端Radius协议AgentWebService专用API方式同步功能-技术实现主机：同步方式：使用标准的通信接口telnet、ssh，通过发送用户操作指令的方式对主机从帐号进行相应的维护。网络设备：驱动主要通过Radius协议和建立内置Radius服务器的方式进行帐号的管理，以及进行帐号的访问控制等授权管理。数据库：通过JDBC协议与数据进行交换，进行数据库帐号等的权限信息的管理。应用系统： 通过标准接口来实现帐号同步，如JDBC/ODBC、标准LDAP

通过私有协议来实现和应用系统间帐号接口，提供java或c的标准api接口，webservicejmx等接口完整的生命周期管理对用户从产生到删除各存在状态进行管理,包括统一的用户创建、维护、删除等功能，并同步到各个系统中去。流程设计4A系统内置流程引擎，并内置图形化流程设计器，满足帐号申请、审批、分配、通知等流程管理制度的需要提供多种密码管理策略密码安全策略 密码强度（长度、字符、有效期等)，系统还提供多种密码制定策略，满足不同系统对密码安全的需要密码修改任务 用户从帐号密码的定期变更，提高密码的安全性密码定期检查 通过系统定时任务，或相关管理员执行密码检查，找出系统中存在不满足要求的用户口令密码同步策略

认证管理用户管理认证管理系统功能12集中审计4授权管理3认证方式选择单点登录SSO认证转发日志采集日志分析审计还原告警处理审计报表主从帐号管理用户同步生命周期管理密码管理用户自管理授权管理资源管理访问控制角色管理授权粒度控制认证方式支持目前，神州泰岳Ultra-IAMSSO单点登陆系统支持以下强身份认证方式：支持多种认证方式组合，保证认证过程的安全。单点登录神州泰岳Ultra-IAMSSO单点登陆系统为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录过程、用户ID和口令。它通过应用的集中接入和口令代填等方式向用户提供对其个性化资源的快捷访问提高生产效率和利润授权管理用户管理认证管理系统功能12集中审计4授权管理3认证方式选择单点登录SSO认证转发日志采集日志分析审计还原告警处理审计报表主从帐号管理用户同步生命周期管理密码管理用户自管理授权管理资源管理访问控制角色管理授权粒度控制集中授权管理通过基于角色授权，实现了用户到资源访问的权限分配实体级集中授权，授权粒度只精确到应用、设备、主机，通俗一点说就是用户是否有权连接某个IP地址＋端口实体内部资源级集中授权，授权粒度精确到应用、设备、主机内的资源。资源包括应用的功能模块、HTML页面、数据库表或字段；主机内的文件或目录等23集中访问控制Ultra-IAMPortal堡垒主机网络设备主机系统数据库系统C/S应用B/S应用网元桌面发布系统联机指令平台集中审计用户管理认证管理系统功能12集中审计4授权管理3认证方式选择单点登录SSO认证转发日志采集日志分析审计还原告警处理审计报表主从帐号管理用户同步生命周期管理密码管理用户自管理授权管理资源管理访问控制角色管理授权粒度控制审计采集平台自身安全审计信息：人员的帐号管理：帐号建立、帐号分配情况、权限分配情况、认证、帐号使用（登入、登出）情况等。对本系统运行的全部行为，包括任何人（含系统管理员）的任何操作进行记录；被管资源操作行为审计主机，网络设备，数据库等的所有用户指令操作的记录；对主机、网络设备、数据库、安全设备上的日志进行集中存储和集中审计；应用系统的关键操作行为数据；完整保留各类原始记录、证据、依据，确保全方位的可审计对第三方的非常规访问行为进行完整记录，并形成持久的震慑影响。为公司领导层提供安全决策支持，为运维层提供安全操作指向提供满足规范要求的安全审计报表报告CentralServer(包含了集中存储、分析、展现等功能)NetCollectorNet/DBSensor通过旁路部署的网络嗅探方式实现对数据库SQL操作指令的审计、对http、telnet、ftp、ssh、rlogin、rsh、pop3、smtp等网络操作行为的审计通过集中访问接口的方式，让所有对目标对象的访问必须串行通过该访问控制网关，所有访问行为都将接受访问控制网关的监督和记录。身份及访问管理平台用户管理审计AccesscontrolGateway

AgentCollector在目标审计对象上安装agent的方式采集封闭系统的日志信息通过标准网络协议接口（如Syslogd、SNMPtrap）或者定制网络接口采集操作系统、数据库系统、应用系统、业务系统、网络设备、安全设备等对象的日志信息审计分析分类：基于源地址、用户、操作的对象、操作的类型、操作的时间和操作结果来进行分类。分级：根据审计信息的内容、对应的事件分类、相关资源、相关人员不同，将可审计事件的重要程度划分为不同的级别，以便对不同级别的事件采取不同的处理方式操作行为分析:将系统层的日志、数据库日志、应用层的日志及网络数据进行相互关联，尤其是所有对财务数据相关的关键系统数据的访问、修改和删除等，再现用户的完整操作过程。提供强大的审计信息查询，管理人员可根据审计信息的各种属性进行分类查询。支持基于时间、事件类型、级别、用户帐号，关键字等字段的查询告警:对非法地址、非法客户应用、非法数据库用户名、非法数据库对象访问、非法操作类型、非法SQL语句和非法时间进行报警27柱状统计分析统计分析折线趋势分析支持多种报表样式会话回放会话数据windows回放RDP回放数据库访问回放SSH行为回放支持多种操作重现支持多种SOX报表和管理类报表提供审计报表处理能力，可根据管理人员的定义生成各类报表根据审计对象，产生指定时间周期（日、周、月、季度、年）的报表。报表自动产生，报表内容可以根据用户需求进行差别化定制。除了自动产生静态报表外，还可以由用户配置产生动态报表。报表支持包括打印和输出各种格式的文件，如PDF、Word、Excel、HTML等等。系统内置了多种报表形式，包括：SOX要求各类报表帐号类报表资源类报表告警类报表审计类报表用户访问类审计管理：针对敏感数据的审计专题神州泰岳结合业务系统敏感数据泄漏问题，以及数据安全管理办法，通过在部分省市的经验，通过Ultra-IAM系统能方便实现以下审计专题：系统维护人员采用程序帐号访问业务数据；系统维护人员采用程序帐号维护数据库；维护人员绕过4A系统登录业务系统或者操作系统；集团客户资料查询审计查询用户信息审计导出用户数据关联审计用户账单查询审计客户资料查询审计数据备份操作频率，数据审计未经审批流程的建立的帐号的自动发现、报警与控制处理机制基于规则的业务系统行为审计基于规则的业务系统行为审计主要完成日志解析、行为适配、规则分析三个处理过程。概要123产品概况Ultra-IAM产品介绍建设关注点4案例介绍关注点——目录设计的合规性原则上4A系统的目录schema设计应符合企业的目录规范的要求。用户目录库不是数据库，性能优化主要针对读操作，因此不建议存放经常变化的用户属性对于要连接的应用，有条件提供Schema的扩展（不同的应用有可能会使用不同的LDAP服务器），支持对业务支撑实现4A管理的架构扩展能力例如：支持自然人主账号与工号的匹配、关联、复用客服、营业厅人员的特殊属性定义和识别对多种用户认证方式和接入访问方式的属性定义和应用关注点——数据的安全为保证业务系统自身的数据安全，在4A系统实施和应用过程中应避免对业务系统资源数据和审计数据的直接访问和采集，通过接口机方式实现对以上数据的采集，对接口机的数据操作必须采用安全加密方式。4A系统自身应实现应用和数据的分区域隔离保护，通过设置访问控制策略防止非法的数据访问在多系统集中建设4A系统的情况下，需要考虑业务的LDAP目录数据、审计数据与其他系统分离存储设计关注点——如何实现应用的4A4A管理门户业务系统门户系统资源维护管理门户4A管理员普通用户系统维护人员集中应用发布系统4A平台集中认证枢纽集中用户管理集中授权管理集中审计管理数字证书流程服务系统LDAP审计数据库非标准化应用（不可改造）虚拟化发布业务应用（不可改造）代填方式SSO业务应用（可改造）票据服务SS0服务模拟SSO关注点——应用资源的认证改造方法基于认证转发的应用改造模式关注点——应用资源的认证改造方法关注点——应用资源的认证改造方法-认证拦截与转发关注点——应用资源的认证改造的方法-本地认证恢复关注点——授权管理实现的目标要求授权管理实现的当前目标：系统资源和应用资源的实体级授权通过4A系统的门户访问控制、访问控制网关、应用代理等实现对访问对象的实体管理应用资源基于角色的实体内授权通过4A系统配合业务系统进行接口改造模式关注点——基于角色的实体内授权实现方法应用系统侧应用系统/4A系统接口4A系统侧系统内权限配置模块对象功能权限数据用户组织角色资源同步接口从账号角色组4A系统权限配置主账号主账号组应用资源基于角色的实体内授权关注点——同步账号、角色数据账号资源同步需要应用系统提供以下内容：帐号实体数据角色实体数据授权关系数据组织、系统、账号关系接口机通过安全API/Webservice接口方式向4A平台同步数据关注点——细粒度授权授权管理期望实现的最终目标现阶段可实施的实现方法通过嵌入业务系统授权页面实现应用资源实体内的细粒度授权配置管理。4A系统授权管理改造4A系统最终替代业务系统完成对应用系统的用户、授权的配置管理功能，实现对业务支撑应用系统无缝的集中用户授权的细粒度控制管理关注点——嵌套业务系统授权页面实现细粒度授权常使用到的几种页面嵌入技术IframeWEBClipPortletWSRP关注点－系统接口设计SMAPEOMS审计系统SOCNMS系统故障和性能信息认证接口调用业务流程流转和状态查询用户管理类日志和系统自身日志安全日志或安全事件日志4A关注点－系统跨平台能力支持各类Windows平台，HPUnix平台，AIX平台，SUNSolaris平台，FujitsuSolaris平台，Linux平台，Apple(OSX)平台等支持多主流数据库(如ORACLE、INFORMIX、SYBASE、DB2、SQLSEVER、MySQL、POSTGRE等)环境下无差异化的支撑业务能力。支持多种中间件（如：WEBLOGIC、Websphere、东方通、Glassfish、Tomcat等）关注点－系统安全及应急设计系统冗余设计系统自身监控管理系统自身的安全评估和加固数据加密存储加密方式通讯数据定期备份系统应急流程系统应急设计当4A管理平台发生异常时，系统维护人员和管理人员对4A管理平台的异常情况及恢复所需时间进行分析和评估，然后根据评估结果确定应急策略选定应急策略后，应急方案根据应急策略要求进行各项准备工作：4A管理平台启动应急系统，引导用户登录应急系统取回信息,。系统维护人员对4A管理平台进行修复使其具备提供正常服务能力后，通过人工或自动方式触发应急方案进入恢复阶段，启动异常恢复操作。阶段划分

触发阶段执行阶段

恢复阶段系统应急触发设计(一)短信应急服务器LDAP核心服务器LDAP同步短信应急服务模块邮件应急服务模块各主账号对应的从帐号信息从帐号的登陆路径信息从帐号名称从帐号密码逆向解析可由管理员运行的逆向解析工具，从LDAP中解密并导出：系统应急触发设计(二)Ultra-IAM功能模块-AUltra-IAM功能模块-BUltra-IAM功能模块-CUltra-IAMServer中央管理控制台Ultra-IAMEmergencyServicePlatform应急服务平台2311111541各模块的自守护进程在实时监控模块自身的运行状况，并保障各模块服务的可用性2Ultra-IAM平台的综合运行监控维护功能，可以控制各模块的运行和停止，通过实时采集各模块守护进程的监控信息，实现对Ultra-IAM各个功能模块的实时监控3应急服务平台实时掌握Ultra-IAM综合运行监控维护模块发送的运行状态信息，分析是否进入应急服务触发状态,需经管理员确认.4应急服务平台进入触发状态，可设置通过短信方式与多个管理员通知Ultra-IAM平台故障情况并申请启动应急服务5在得到充分的确认许可后，应急服务平台进入工作状态，可以通过短信方式向主帐号用户发送应急服务平台的访问路径和方式。实施管理层面——实施阶段划分调研和准备阶段资源调研梳理访问和管理控制方式调研应用系统改造调研系统建设和实施阶段规划设计测试实施割接调试管理和维护阶段优化流程强化制度积累知识完善管理检查更新实施管理层面——调研和准备阶段主账号建设从帐号同步角色梳理主从帐号映射梳理遵从什么样的建设规范？按照管理规则生成主账号预先提供一个有被管资源从帐号管理权限的账号和密码利用该帐号实现被管资源上所有从帐号的同步将某个/某几个最小权限定义为一个角色依据角色不同梳理从帐号权限主账号对应哪些资源上的哪些从帐号？角色组对应于哪些资源上的哪些从帐号？账号安全管理策略僵尸帐号如何处理？孤立帐号如何处理？交叉账号如何处理？从账号及密码安全策略资源调研梳理实施管理层面——调研和准备阶段访问维护方式认证方式单点登录访问控制策略使用什么样的访问维护工具、种类、版本要求等允许访问的合法工作时间、地点和路径用户默认的认证方式、可选的认证方式认证服务响应的质量要求现有的SSO实现模式SSO的使用场景要求SSO的使用限制条件合理的访问发起区域和数据流量端口和服务要求物理环境接入服务区域的网络环境，可用带宽要求区域访问控制策略访问和管理控制方式梳理实施管理层面——系统建设和实施阶段规范设计详细设计阶段测试实施目录设计和代码设计4A系统门户设计集中认证接口设计集中审计接口设计和外部系统集成接口设计

。。。。。。4A系统部署实施方案XXX系统SSO单点登录实现设计代码实现说明网管接口实现流程管理接口实现 。。。。。。测试环境准备测试数据和测试用例准备离线功能测试和性能测试4A平台的安装配置数据同步和初始化配置管理策略4A平台接口调试网络访问控制策略配置组件联调规划、设计、测试、实施实施管理层面——系统建设和实施阶段培训割接准备割接调试用户使用培训技术宣贯场景演练应急操作流程 。。。。。。分批割接计划安排割接方案制订回退方案制订故障应急处理方案制订XXX割接人员工作安排

。。。。。。割接时间点控制割接分工确认故障处理流程确认割接作业单割接工作记录性能优化负载均衡策略优化关闭备份访问路径4A平台管理接口调试网络访问控制策略优化资源割接、调试实施管理层面——管理和维护阶段优化和4A相关的配套IT管理流程积累业务审计规则，强化审计管理力度配套完善4A管理制度周期性的进行资源账号、授权数据的同步和校对完善应急处理流程，进行分系统的周期性检查、演练周期性的技术宣贯和培训 。。。。。。管理和维护概要123产品概况Ultra-IAM产品介绍建设关注点4案例介绍主要案例-电信行业用户及项目名称建设部门主要模块电信中国移动集团网络安全管控平台建设工程网管中心、数据业务中心Ultra-IAM全部模块Ultra-ESA全部模块电信中国移动集团南方基地支撑系统集中化4A系统一期工程网管支撑系统、管理支撑系统、业务支撑系统Ultra-IAM全部模块Ultra-ESA全部模块电信广东移动4A管理平台建设项目集成开发商选型管理信息部Ultra-IAM全部模块Ultra-ESA全部模块电信湖南移动业务支撑网4A管理平台一期工程业务支撑系统Ultra-ESA全部模块电信四川公司2009年业务支撑系统安全门户平台(4A)业务支撑系统Ultra-IAM全部模块Ultra-ESA全部模块电信河北移动EOMS四期工程应用软件开发和集成服务