业务系统安全管理

CA安全管理解决方案

徐英培SolutionStrategistYingpei.xu@CA安全方案概览应用身份安全解决方案主机安全访问控制方案Q&A日程3身份SiteMinder单点登录（Web）Federation跨域单点登录（Web）CASSO单点登录（支持非Web）ArcotAccessControlDLPApplication/WorkflowHost/SystemNetwork访问信息保护(“IP”)UserActivityReportingModule(“UARM”)用户身份供应Role&ComplianceManagerIdentityManager角色合规访问控制用户活动报表（审计）强认证（令牌）一张图了解CA安全解决方案CA应用身份安全解决方案

5ApplicationLayerUserStoreOperatingSystemSQL2000LDAPIBMDirectoryOracleRDBMSActiveDirectoryOracleOIDOpenLDAPCRMERP人事合作伙伴SCM客户自助服务门户企业安全现状及需求SecurityLayer众多的应用系统孤岛，管理复杂多种认证方式并存，缺乏统一认证管理功能员工离职后账户是否及时删除？系统审计是否满足法规要求？用户需要记忆多套系统用户名密码，缺乏单点登录体验用户分散管理用户重置密码及新系统访问请求工作流程复杂，管理员成天忙于此类工作员工合作伙伴客户zhangzhang3Zhang_3CERTZhangSan

最大化基础设施的“可重用性”基础设施1应用2应用3基础设施2基础设施3应用1每一个应用使用各自的基础设施旧的方式应用1应用2基础设施应用3基础设施可被多个应用重复共享新的方式基础设施包括：系统人员业务流程和一切可以重用的资源方案设计思路-共享的安全服务

身份管理和访问控制管理方案整体目标:适应业务变化，提升应用安全身份管理和集中身份库建设应用访问控制集成应用安全架构企业身份角色架构员工客户业务合作伙伴身份管理集中身份库用户帐号供应业务事件及变化用户属性用户属性用户属性应用和用户访问控制管理

解决方案逻辑架构图业界评测

-Gartner用户管理和帐号供应魔力象限统一身份管理：CAIdentityManagerCAIdentityManagerDelegatedAdministrationUserSelf-ServicePasswordManagementProvisioningWorkflowE-MailMainframeHRNOSRDBMSDirectoryVoiceManualWorkOrderAuditDatabase&ReportsGlobalUserStoreHRSystemDelegatedAdministratorsUsersEmployeesPartnersCustomersCAIdentityManager提供了一个集成的身份管理平台，该平台可以自动的创建、修改及删除（禁用）账户，控制账户对企业资源的访问，并且提供了自主服务、工作流审批等高级功能。委托用户管理用户自主服务灵活的多级审批工作流密码管理合规支持众多目标系统身份同步集成开放接口10身份信息生命周期管理系统的定义：集中用户管理系统是一套全面的建立和维护数字身份，并提供有效地、安全地IT资源访问的业务流程和管理手段，从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计的解决方案。集中用户管理系统是一套业务处理流程，也是一个用于创建和维护和使用数字身份的支持基础结构。身份管理生命周期让合适的自然人在恰当的时间通过统一的方式访问授权的信息资产，提供集中式的数字身份管理、认证、授权、审计的模式和平台IAM，即IdentityandAccessManagement的缩写。CARole&ComplianceManagerEnterprise/CloudAppsWindows/

UNIXVirtualized

Apps责权分离检查角色模型IT审计&合规团队角色分析CA身份控制组件未被管理用户被管理应用业务用户业务管理用户,角色,权限,

权限认证CAIdentityManager委托管理用户自助服务审批工作流Active

DirectoryMainframeEnterprise/CloudAppsWindows/

UNIXVirtualized

AppsActive

DirectoryMainframe权限信息身份供应RoleModeling/ManagementCAEnterpriseLogManager用户活动合规13工作流提供持续、自动的审批工作流员工入职/离职确保及时授予/删除访问权限，保护企业信息集中控制建立企业权威身份源集成从Web应用到主机审计和报告事件及权限记录安全策略提供身份控制，实现职权分离身份自动供应(Provisioning)的功能身份自动供应CATechnologiesSecuritySolutionsCopyright©2010CA.Allrightsreserved.终端用户访问请求提供持续、自动的审批工作流重置密码减少对IT人员的依赖，提高用户满意度角色建议帮助用户决定恰当的角色自助服务管理基于Web的用户信息自助管理保证合规性安全的身份策略(例如确保职责)服务请求管理的功能服务请求管理与身份供应的集成自动启动身份供应工作流CATechnologiesSecuritySolutionsCopyright©2010CA.Allrightsreserved.数据清理及矫正标示不符合要求及例外的用户角色发现采用经过验证的方法论定义角色:

自上而下,自下而上审计/评估分析评估和审计系统状况模型适应与身份和合规系统集成提供核实、验证及报表功能报表了解模型情况，标示变化及例外情况CARole&ComplianceManager-角色管理的功能角色管理B/邮S统一阁访问姿：Si冈te现mi宣nd四er市场歇的创许造者Si修te男Mi崇nd导er于19肾96推出唱，是宽市场拘上第碍一款站针对We漠b访问需控制谢的解号决方六案。技术辩领导席者Si坦te施mi缸nd足er是业蚁界公棉认的配标准惕，被挖称为We踢b访问绕控制耗产品香的“镜蓝图痛”。被Ga佛rt特ne挨r,鸭M话et指a,朝B润ur傲to锣n和Fo齐rr甩es诵te验r多家厦咨询申公司括公认浆为该麦领域微的唯众一领伞导者填。绝对什领先知的市摧场份访额，固财富10拉0强中票的57家Si苏te桂Mi挎nd确er技术课优势唯一挂同时耍支持Ag位en临t和Pr达ox慎y两种安单点尺登录虏模式简单澡可靠希的可娇扩展读性和闹高可贿用性与Pe征op花le货So愁ft等企搏业级钱应用宏的无道缝集使成支持踪蝶各类OS平台扩，与束各种饺目录迁服务俩无缝何集成司（LD娘AP，AD，RD蜜BM阶S等）支持困最广固泛的撇认证组模式膀（静螺态密连码、庸动态汤密码呆、证快书等诉等）提供盆全面煤的AP鞠I方便怖定制傲和扩浓展与主省流We脆b开发任工具钻强大山的集潜成功除能Me览ri迅ll邮L槐yn愧ch鼻–标8酸27个代殖理,叠33掘9名管者理员,纺50岁5个策弦略do梦ma情inE*造TR扰AD钞E脾–3玩50万用辨户,所有通在线嫂交易跑系统Am膛er碍ic睁an牙E禾xp省re泳ss利–吉2脖50旗0万用食户JP因M贴or希ga轿n理Ch债as秩e–20顺00万用驼户Ba不nk浸o尿f璃Am箩er路ic放a袋–萌35蚁0多万迁用户Ci唤sc核o稳–若10棉00钉+个应摧用,杀25纠0+万用再户Ve蔑ri额zo勒n蛇–著5百万调个在韵线交牛易用挤户16主机安候全访筝问控土制方域案对资牛源的抵所有塌访问芬权限典型胜的共案享帐要号–缺乏尊审计没有蔬责权凑分离缺少池日志豪整合缺少呢访问朝透明霉度虚拟棚化和置云的驶挑战主机职特权败帐号靠的管欠理挑什战18特权袋用户Pr拘iv别il怀eg芹ed志U猴se堪r允Pa退ss彼wo煮rd环M占an名ag增er控制婶共享识帐号授权恨工作虚流，某包括‘br败ea惑k歪gl匹as努s’共享猛帐号雀可计鸽量自动块登录与用急户行摇为审阵计集远成管理矮应用箭密码Wi辣nd飘ow特s服务填及日圆程任护务1单一检解决筑方案盐实现另最佳欧覆盖CA苍A抽cc疤es罗s猜Co文nt当ro剑lUNIXAuthenticationBroker集中UNIX管理微软活动目录认证内置于AD集成UNIX键入记录基于Kerberos的单点登录3HostAccessControl服务器安全(物理机/虚拟机l)管理细粒度访问跟踪用户行为责权分离特权帐号审计2Reporting集中管理AccessControl审计日志特权用户访问报告访问管理日志趋势与行为审计（SessionRecording）集成419CAAc霉ce庄ssCo苍nt串ro红l提供击端到殿端的主机访问湖控制缴解决速方案20Ma托y月18犯,册20矛23主机UN迟ABPU泼PMUA剂RM网络形分区主机UN树ABPU霞PMUA矮RM网络碌分区主机UN辆ABPU她PMUA肌RM网络夹分区适用藏于倾虚拟破环境渔的CAAc梦ce谣ss煌C走on煤tr伙olHy她pe蠢rv艺is斯or访问挂控制访问揪控制访问烦控制受适俘用于荣虚拟厅环境脱的CA朽A局cc泄es兰s猪Co岔nt汪ro括l保护CA冶A常cc矮es锦s辽Co肚nt翼ro黑l卸P轮re喘mi余um抛E尊di跟ti印on受CA漠A脚cc规es姓s绢Co集nt味ro尖l榨Pr份em塌iu脚m征Ed就it唤io圣n保护讨论两种CA班A载cc男es晕s席Co膊nt吸ro夜l产品宰可以愿结合镰使用，以提槽供端章到阁端的匪虚拟软化安建全，包舒括Hy亚pe剥rv没is率or和柏虚拟紧机Gu虚st喉O捎S这两允种CA结A告cc畜es佩s报Co害nt首ro翼l产品趣同时盲部署盘时，CA畅A钻cc贪es识s到Co订nt仪ro嫌l绵PE提供PU领PM和UA纯RM功能CA脑A砖cc渔es嚼s阻Co渣nt阔ro炒l透明售的限诵制特它权用讨户权瓜限消除谷对超编级用梁户帐蒸号的桨共享对共拒享访婆问可测计量加固晃操作侧系统保护妈主要序进程爽和文趴件开箱搏即用止的报嘉告和要策略悄管理21特权稻用户唤密码恳管理(P毫UP绪M)保护福共享谱密码确认崭共享妥帐号盏访问许可计泄量管理段共享密帐号者密码女策略避免沸在应滩用或祸脚本悉文件聋中使浸用明孙文密啊码CAAccessControl重置密码登录取出密码交回密码验证密码UARM特权用户活动的相关性ITAdministratorAppserverWebServerRouterSwitchStorageDatabaseApplicationDesktopWindowsLinuxUNIXVirtualization22PU伍PM主要怜功能使用泳一次悄性密猪码机惧制管窃理密尼码取出/交回(ch垃ec怖k吨ou柴t/锡ch趋ec醋k番in横)应急咏事件拾处理芝（Br仆ea锹k粘gl扣as艇s）和职请求润工作查流从脚龙本文挥件、炮批处泉理文妙件、OD处BC和JD吸BC应用花中消碰除写筝死的崖密码为Wi桥nd盈ow杜s服务霉管理寻密码亦更改冶和管红理定军期执妙行的匹任务抱中所级使用舞的写武死密隐码发现封特权侍帐号单一管折理控左制台特权欺用户珠权限必报告为所糟选择舒的应隆用使激用Ac抬ti萄ve神X控件实现偶自动缠登录用户单行为敞审计惊，提蚂供类底似于然录像雷回放泼的功章能对所楚有终绞端无执需安戴装Ag棍en虚t（代阁理）榨，实哭现快喝速部雁署23统一评的管坐理控音制台特权帐号乖管理营单一运控制截台24Po献we尤rf叠ul幅C翅on洞tr兰ol故o浆f鸭Pr巴iv铃il萝eg条ed侍U艰se涉rs降Co德py纽奉ri誉gh矮t虫©20纳11CA集成验钻取唐式审确计25Po样we涨rf皮ul屋C疤on养tr委ol凳o纵f彻Pr饥iv乔il艰eg呢ed括U链se概rs酒Co塌py吹ri劲gh泉t显©20亡11CAPU借PM特性–自动猛登录在密精码ch铁ec烧k-威ou振t方面,用户宁可以史选择紧采用扑允许PU补PM来自茧动登票录，礼而无祖需提犯供登酸录客第户端浸应用缠的密码实现这栽种方献式采领用的漫是Ac娃ti构ve尿X来控词制，搬自动冻的填蔬入用独户ID和PU难PM生成园的密拨码到剖目标口窗口支持蚀自动帝登录业的应便用包随括:UN画IX炎/凉L惑in刷ux梢S窄SH巴(阿Pu推tt杜y)Wi辩nd角ow匠s颈Te框rm残in榆al纤S民er置vi忧ce龙s刊(R绳DP偶)Or棕ac爷le蜻D烘B鞭Lo咏gi林nSQ呜L渣DB建L辱og祥in节省豪了需穴要为绩密码土“复肺制/粘贴隔”的制工作莲。增秀强安渴全性欣，因丝式为密片码不胳需要奴在屏壮幕上剑显示另外蛙有可极选的盏会话送记录剑和回杀放26Po悲we隙rf谢ul岛C筋on然tr畜ol类o厦f汪Pr络iv船il莲eg拦ed断U菊se恶rs商Co呜py皇ri渡gh施t浆©20胶11CAPU袍PM特性–应用到合应用Wi递nd幕ow摇s服务-自动必管理骨服务恒密码系，替难代手个工操夸作Wi傅nd蒙ow泼s定期退任务–管理Wi树nd次ow您s定期烂任务权中需箱要用苦户认瓜证的辨密码Wi莲nd诞ow代s捆Ru垦n奴As集成–集成Wi贴nd示ow鞋s“ru徐n勇as”机制，从PU密PM获取甘特权恩用户矩密码27PU巩PM特性–应用捧到数哗据库拦截OD忍BC连接并傅替换绞特权勾帐号涉的密想码在II煮S实例序架构前中管波理所顷有特肥权帐它号,应用焦系统骗运行驴在II稍S实例拔中在II距S中这蚂些特颜权帐觉号需热要连交接到闷后台矿上的角数据却库中遗，需呆要连友接密朵码拦截JD凑BC连接寨并替守换特捏权帐曾号的匀密码典型的J2福EE应用框服务展器认已证授影权支持古主流J2组EE应用服做务器拦截.N脉ET28用户行驳为审旺计（Se介ss前io葛n蒙Re举co短rd卷in怎g）:如同响在您无的服穴务器件安装帆了摄元像头录像+文字做日志狐记录填补圈日志惯空白：自动为茄应用辉生成线日志年，无阴需应烫用自跌身产箭生日纱志!日志五清晰量：以易弃于读搭懂的威日志批替代仁系统仔级产范生的坚技术泰级别禾日志视频推回放华：每个日沸志记剂录对序应着锡用户规动作塑的回聋放每个适用户捞的会娘话都显被记兆录完整榆的覆勤盖：Wi笛nd景ow纵s,己U寸ni肠x/厦Li武nu离x服务器和建桌面所有院的协密议：–弊SS报H,使R痛DP旷,吧Ci歪tr准ix梯,焰VM肯Wa要re等远程鱼和本毫地会渔话所有的茧用户–无论乒是业酷务用胖户还绿是特宝权（痰共享摧）用洒户Se歇ss累io罗n跑Re爹co花rd奏in渐g在工愚作审计航日志每个反用户甜会话泊列表录像回放视频挖回放柱用户阀的动关作每个韵用户握会话渡，详奋细列撕出了饱其所摘作的胜事情30改变IP地址祥：无跨盲点!审计堂日志升：清役晰的料显示跪其打北开了页“高驴级网凯络设没定视频回融放：西可以辅看到井用户霸做了横什么31获取su南do权限大：没趁有盲帽点审计日雁志：木列出弦了每向个用巨户发冠出的农系统汇调用视频回邮放:看到川了用穿户所字作的音事情32以管娱理员保权限父运行熄服务床器：婚没有总盲点!审计尖日志:现实撇服务群属性孝窗口浇被打具开视频栗回放:看到播用户著所作鼠的事呼情33编辑弊文件:没有圣盲点!审计兴日志:列出魂了每库个用眯户的似动作视频仆回放:详细模观看作用户拔的操抄作34合规赔报告社修饰:从系既统级锤日志蜓到易安于读立懂的毒日志避帮助诊您满套足合接规性除要求DateUserActionThuFeb8,201108:09:11AMadministratorThursUserinitiatedlogoff:UserName:administratorDomain:ThuFeb8,201108:09:11AMadministratorPrivilegedServiceCalled:Server:NTLocalSecurityAuthorityThuFeb8,201108:08:47AMadministratorUserLogoffUserName:TST-SRV2$Domain:OBSERVThuFeb8,201108:08:47AMadministratorSpecialprivilegesassignedtonewlogon:UserName:TST-SRVThuFeb8,201108:08:23AMadministratorSuccessfulNetworkLogin:UserName:TST-SRV2$DomainThuFeb8,201108:08:21AMadministratorAuditPolicyChange:NewPolicy:SuccessFailure之前:保准仇的合容规审盆计从系回统产怀生的桃日志隐来，妖对于通一般字人看深不出狠用户泻实际赴到底山做了俩什么当。失败绵的审授计!DateUserActionReplayThuFeb8,201108:09:11AMadministratorLogOffWindowsThuFeb8,201108:09:11AMjohnbLocalSecuritySettingsThuFeb8,201108:08:47AMjohnbC:\Windows\System32\GPUdate.exeThuFeb8,201108:08:47AMjohnbRunThuFeb8,201108:08:23AMkatetpAuditsystemeventPropertiesThuFeb8,201108:08:21AMkatetpLocalSecuritySettings之后:由Se仆ss灵io熄n拘Re屈co何rd落in项g修饰最后的桥日志扩充活些动细允节：抽为同踢样的买事件饱产生避了易获于读递懂的迁审计铸日志合规雅审计!可用稍于作阴为证柳据的踏审计执：可链以回庄放用政户的稻实际凳操作宪行为河。易于压做调陆查!UN合IX合/阁L每in蹄ux键盘垒录入项记录–审计春钻取36Po贵we边rf词ul吐C救on际tr送ol壳o秤f爱Pr词iv耳il很eg勤ed霜U虽se岂rs扰Co由py摇ri眯gh符t艳©20嘴11CACA炮A灯cc洪es早s谨Co年nt朗ro论l企业炉管理览可以精采用Mi信cr框os寻of钳t击Ac菊