統(tǒng)一身份及訪(fǎng)問(wèn)安全管理系統(tǒng)

ULTRA－IAM統(tǒng)一身份及訪(fǎng)問(wèn)安全管理系統(tǒng)

北京神州泰岳軟件股份有限公司信息安全事業(yè)部概要123產(chǎn)品概況Ultra-IAM產(chǎn)品介紹建設(shè)關(guān)注點(diǎn)4案例介紹業(yè)界關(guān)于4A解決方案的一些名詞國(guó)際叫法：IAM——IdentityandAccessManagement，統(tǒng)一身份及訪(fǎng)問(wèn)安全管理神州泰岳產(chǎn)品：Ultra-IAM——Account、Authentication、Authorization、AuditandAccessControlManagementSysytem中國(guó)移動(dòng)叫法：安全管控平臺(tái)或者4A，涵蓋三個(gè)子中心集中維護(hù)接入平臺(tái)SMAP：對(duì)應(yīng)AccessControl帳號(hào)口令管理系統(tǒng)：對(duì)應(yīng)Account、Authentication、Authorization審計(jì)系統(tǒng)：對(duì)應(yīng)Audit4A解決什么問(wèn)題？——錯(cuò)綜復(fù)雜的日常運(yùn)行維護(hù)管理企業(yè)員工張三在公司企業(yè)各類(lèi)IT資源企業(yè)員工李四在出差王五是遠(yuǎn)程的第三方維護(hù)人員小劉是現(xiàn)場(chǎng)的第三方維護(hù)人員弱口令無(wú)法控制維護(hù)接入途徑五花八門(mén)維護(hù)操作內(nèi)容無(wú)從知曉違規(guī)操作無(wú)法控制賬戶(hù)開(kāi)設(shè)無(wú)規(guī)可循4A解決什么問(wèn)題？——安全管控平臺(tái)的作用企業(yè)員工張三在公司企業(yè)員工李四在出差王五是遠(yuǎn)程的第三方維護(hù)人員小劉是現(xiàn)場(chǎng)的第三方維護(hù)人員集中安全維護(hù)接入平臺(tái)集中帳號(hào)口令管理平臺(tái)集中安全審計(jì)平臺(tái)企業(yè)各類(lèi)IT資源建設(shè)現(xiàn)狀分析現(xiàn)狀審計(jì)維護(hù)安全問(wèn)題不斷出現(xiàn)，系統(tǒng)維護(hù)和管理工作負(fù)擔(dān)大，效率低認(rèn)證帳號(hào)獨(dú)立的用戶(hù)數(shù)據(jù)庫(kù)和獨(dú)立的系統(tǒng)管理員；自然人身份和業(yè)務(wù)系統(tǒng)帳號(hào)重疊；多系統(tǒng)都基于獨(dú)立的帳號(hào)管理實(shí)現(xiàn)訪(fǎng)問(wèn)頻繁切換接入網(wǎng)絡(luò)沒(méi)有強(qiáng)制檢測(cè)手段；訪(fǎng)問(wèn)系統(tǒng)沒(méi)有強(qiáng)身份認(rèn)證手段；各應(yīng)用系統(tǒng)都獨(dú)立認(rèn)證；授權(quán)獨(dú)立的系統(tǒng)授權(quán)機(jī)制和獨(dú)立的應(yīng)用授權(quán)管理獨(dú)立的審計(jì)，缺乏關(guān)聯(lián)分析。運(yùn)營(yíng)出現(xiàn)的安全問(wèn)題無(wú)法明確定位Ultra-IAM系統(tǒng)概述神州泰岳Ultra-IAM是集賬號(hào)管理、授權(quán)管理、認(rèn)證管理和綜合審計(jì)、安全訪(fǎng)問(wèn)控制于一體的集中賬號(hào)及安全訪(fǎng)問(wèn)管理系統(tǒng)(業(yè)界稱(chēng)為4A）。該產(chǎn)品實(shí)現(xiàn)用戶(hù)賬戶(hù)管理(Account)、認(rèn)證(Authentication)、授權(quán)(Authorization)和審計(jì)(Audit)四方面的內(nèi)在關(guān)聯(lián)，是目前國(guó)內(nèi)功能最完整、控制粒度最細(xì)的綜合身份認(rèn)證和訪(fǎng)問(wèn)安全管理產(chǎn)品。Ultra-IAM采用模塊化設(shè)計(jì)，不但可以根據(jù)用戶(hù)需要和環(huán)境特點(diǎn)進(jìn)行選擇、組合，而且可以提供定制化的開(kāi)發(fā)，能夠方便地實(shí)現(xiàn)與用戶(hù)應(yīng)用的有機(jī)結(jié)合。Ultra-IAM名詞解釋4A系統(tǒng)：集中安全管控平臺(tái)，神州泰岳內(nèi)部產(chǎn)品為Ultra-IAM統(tǒng)一身份及訪(fǎng)問(wèn)安全管理系統(tǒng)主賬號(hào)：自然人使用的帳號(hào)，目前主要是網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的帳號(hào)。資源：自然人要訪(fǎng)問(wèn)的業(yè)務(wù)系統(tǒng)中實(shí)體，如應(yīng)用程序、帳號(hào)、目錄、文件、數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)中保存的某個(gè)表、IP端口等等；可以根據(jù)實(shí)際需要，將多個(gè)資源看作一個(gè)整體；也可以將一個(gè)資源進(jìn)一步細(xì)分成多個(gè)資源。應(yīng)用資源：業(yè)務(wù)系統(tǒng)中的一種資源類(lèi)型，例如網(wǎng)管系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)等。系統(tǒng)資源：業(yè)務(wù)系統(tǒng)中的一種資源類(lèi)型，包括主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等。概要123產(chǎn)品概況Ultra-IAM產(chǎn)品介紹建設(shè)關(guān)注點(diǎn)4案例介紹4A系統(tǒng)的工作場(chǎng)景C/S應(yīng)用B/S應(yīng)用Ultra-IAMPortal普通用戶(hù)運(yùn)維用戶(hù)LDAPUltra-IAMServerUltra-IAMResourceManagementDriversuites網(wǎng)絡(luò)設(shè)備主機(jī)系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)主賬號(hào)認(rèn)證授權(quán)資源列表帳號(hào)管理員審計(jì)管理員SSOACTIVE控件代填SSO集中應(yīng)用發(fā)布系統(tǒng)SSOSSO安裝filter攔截器授權(quán)策略頁(yè)面嵌入堡壘主機(jī)代填代填（HTTP模擬、Form代填）憑證（Token、Ticket）從帳號(hào)SSOUltra-IAM系統(tǒng)架構(gòu)系統(tǒng)功能用戶(hù)管理認(rèn)證管理系統(tǒng)功能12集中審計(jì)4授權(quán)管理3認(rèn)證方式選擇單點(diǎn)登錄SSO認(rèn)證轉(zhuǎn)發(fā)日志采集日志分析審計(jì)還原告警處理審計(jì)報(bào)表主從帳號(hào)管理用戶(hù)同步生命周期管理密碼管理用戶(hù)自管理授權(quán)管理資源管理訪(fǎng)問(wèn)控制角色管理授權(quán)粒度控制主從帳號(hào)管理主帳號(hào)管理組織管理：能夠按照按地域、組織結(jié)構(gòu)進(jìn)行劃分，建立相 應(yīng)樹(shù)狀目錄用于合理組織主帳號(hào)。分級(jí)管理：以適應(yīng)分部門(mén)、分管理層次的分級(jí)管理要求； 不同級(jí)別的帳號(hào)可以行使不同級(jí)別的權(quán)限屬性管理：包括帳號(hào)基本信息、時(shí)效策略、密碼策略、組 織標(biāo)識(shí)、角色標(biāo)識(shí)。生命周期管理：對(duì)用戶(hù)從產(chǎn)生到刪除各存在狀態(tài)進(jìn)行管理帳號(hào)監(jiān)控：口令系統(tǒng)對(duì)幽靈帳號(hào)、弱口令和交叉帳號(hào)（不 能修改口令的程序帳號(hào)）進(jìn)行監(jiān)控，并提供相應(yīng)的 告警報(bào)表自服務(wù)功能：對(duì)自己的屬性進(jìn)行修改同步功能神州泰岳Ultra-IAM通過(guò)多種方式來(lái)實(shí)現(xiàn)對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)的用戶(hù)同步管理Telnet/SSH方式AD域方式JDBC/ODBCLDAP方式模擬客戶(hù)端Radius協(xié)議AgentWebService專(zhuān)用API方式同步功能-技術(shù)實(shí)現(xiàn)主機(jī)：同步方式：使用標(biāo)準(zhǔn)的通信接口telnet、ssh，通過(guò)發(fā)送用戶(hù)操作指令的方式對(duì)主機(jī)從帳號(hào)進(jìn)行相應(yīng)的維護(hù)。網(wǎng)絡(luò)設(shè)備：驅(qū)動(dòng)主要通過(guò)Radius協(xié)議和建立內(nèi)置Radius服務(wù)器的方式進(jìn)行帳號(hào)的管理，以及進(jìn)行帳號(hào)的訪(fǎng)問(wèn)控制等授權(quán)管理。數(shù)據(jù)庫(kù)：通過(guò)JDBC協(xié)議與數(shù)據(jù)進(jìn)行交換，進(jìn)行數(shù)據(jù)庫(kù)帳號(hào)等的權(quán)限信息的管理。應(yīng)用系統(tǒng)： 通過(guò)標(biāo)準(zhǔn)接口來(lái)實(shí)現(xiàn)帳號(hào)同步，如JDBC/ODBC、標(biāo)準(zhǔn)LDAP

通過(guò)私有協(xié)議來(lái)實(shí)現(xiàn)和應(yīng)用系統(tǒng)間帳號(hào)接口，提供java或c的標(biāo)準(zhǔn)api接口，webservicejmx等接口完整的生命周期管理對(duì)用戶(hù)從產(chǎn)生到刪除各存在狀態(tài)進(jìn)行管理,包括統(tǒng)一的用戶(hù)創(chuàng)建、維護(hù)、刪除等功能，并同步到各個(gè)系統(tǒng)中去。流程設(shè)計(jì)4A系統(tǒng)內(nèi)置流程引擎，并內(nèi)置圖形化流程設(shè)計(jì)器，滿(mǎn)足帳號(hào)申請(qǐng)、審批、分配、通知等流程管理制度的需要提供多種密碼管理策略密碼安全策略 密碼強(qiáng)度（長(zhǎng)度、字符、有效期等)，系統(tǒng)還提供多種密碼制定策略，滿(mǎn)足不同系統(tǒng)對(duì)密碼安全的需要密碼修改任務(wù) 用戶(hù)從帳號(hào)密碼的定期變更，提高密碼的安全性密碼定期檢查 通過(guò)系統(tǒng)定時(shí)任務(wù)，或相關(guān)管理員執(zhí)行密碼檢查，找出系統(tǒng)中存在不滿(mǎn)足要求的用戶(hù)口令密碼同步策略

認(rèn)證管理用戶(hù)管理認(rèn)證管理系統(tǒng)功能12集中審計(jì)4授權(quán)管理3認(rèn)證方式選擇單點(diǎn)登錄SSO認(rèn)證轉(zhuǎn)發(fā)日志采集日志分析審計(jì)還原告警處理審計(jì)報(bào)表主從帳號(hào)管理用戶(hù)同步生命周期管理密碼管理用戶(hù)自管理授權(quán)管理資源管理訪(fǎng)問(wèn)控制角色管理授權(quán)粒度控制認(rèn)證方式支持目前，神州泰岳Ultra-IAMSSO單點(diǎn)登陸系統(tǒng)支持以下強(qiáng)身份認(rèn)證方式：支持多種認(rèn)證方式組合，保證認(rèn)證過(guò)程的安全。單點(diǎn)登錄神州泰岳Ultra-IAMSSO單點(diǎn)登陸系統(tǒng)為具有多帳號(hào)的用戶(hù)提供了方便快捷的訪(fǎng)問(wèn)途經(jīng)，使用戶(hù)無(wú)需記憶多種登錄過(guò)程、用戶(hù)ID和口令。它通過(guò)應(yīng)用的集中接入和口令代填等方式向用戶(hù)提供對(duì)其個(gè)性化資源的快捷訪(fǎng)問(wèn)提高生產(chǎn)效率和利潤(rùn)授權(quán)管理用戶(hù)管理認(rèn)證管理系統(tǒng)功能12集中審計(jì)4授權(quán)管理3認(rèn)證方式選擇單點(diǎn)登錄SSO認(rèn)證轉(zhuǎn)發(fā)日志采集日志分析審計(jì)還原告警處理審計(jì)報(bào)表主從帳號(hào)管理用戶(hù)同步生命周期管理密碼管理用戶(hù)自管理授權(quán)管理資源管理訪(fǎng)問(wèn)控制角色管理授權(quán)粒度控制集中授權(quán)管理通過(guò)基于角色授權(quán)，實(shí)現(xiàn)了用戶(hù)到資源訪(fǎng)問(wèn)的權(quán)限分配實(shí)體級(jí)集中授權(quán)，授權(quán)粒度只精確到應(yīng)用、設(shè)備、主機(jī)，通俗一點(diǎn)說(shuō)就是用戶(hù)是否有權(quán)連接某個(gè)IP地址＋端口實(shí)體內(nèi)部資源級(jí)集中授權(quán)，授權(quán)粒度精確到應(yīng)用、設(shè)備、主機(jī)內(nèi)的資源。資源包括應(yīng)用的功能模塊、HTML頁(yè)面、數(shù)據(jù)庫(kù)表或字段；主機(jī)內(nèi)的文件或目錄等23集中訪(fǎng)問(wèn)控制Ultra-IAMPortal堡壘主機(jī)網(wǎng)絡(luò)設(shè)備主機(jī)系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)C/S應(yīng)用B/S應(yīng)用網(wǎng)元桌面發(fā)布系統(tǒng)聯(lián)機(jī)指令平臺(tái)集中審計(jì)用戶(hù)管理認(rèn)證管理系統(tǒng)功能12集中審計(jì)4授權(quán)管理3認(rèn)證方式選擇單點(diǎn)登錄SSO認(rèn)證轉(zhuǎn)發(fā)日志采集日志分析審計(jì)還原告警處理審計(jì)報(bào)表主從帳號(hào)管理用戶(hù)同步生命周期管理密碼管理用戶(hù)自管理授權(quán)管理資源管理訪(fǎng)問(wèn)控制角色管理授權(quán)粒度控制審計(jì)采集平臺(tái)自身安全審計(jì)信息：人員的帳號(hào)管理：帳號(hào)建立、帳號(hào)分配情況、權(quán)限分配情況、認(rèn)證、帳號(hào)使用（登入、登出）情況等。對(duì)本系統(tǒng)運(yùn)行的全部行為，包括任何人（含系統(tǒng)管理員）的任何操作進(jìn)行記錄；被管資源操作行為審計(jì)主機(jī)，網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)庫(kù)等的所有用戶(hù)指令操作的記錄；對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、安全設(shè)備上的日志進(jìn)行集中存儲(chǔ)和集中審計(jì)；應(yīng)用系統(tǒng)的關(guān)鍵操作行為數(shù)據(jù)；完整保留各類(lèi)原始記錄、證據(jù)、依據(jù)，確保全方位的可審計(jì)對(duì)第三方的非常規(guī)訪(fǎng)問(wèn)行為進(jìn)行完整記錄，并形成持久的震懾影響。為公司領(lǐng)導(dǎo)層提供安全決策支持，為運(yùn)維層提供安全操作指向提供滿(mǎn)足規(guī)范要求的安全審計(jì)報(bào)表報(bào)告CentralServer(包含了集中存儲(chǔ)、分析、展現(xiàn)等功能)NetCollectorNet/DBSensor通過(guò)旁路部署的網(wǎng)絡(luò)嗅探方式實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)SQL操作指令的審計(jì)、對(duì)http、telnet、ftp、ssh、rlogin、rsh、pop3、smtp等網(wǎng)絡(luò)操作行為的審計(jì)通過(guò)集中訪(fǎng)問(wèn)接口的方式，讓所有對(duì)目標(biāo)對(duì)象的訪(fǎng)問(wèn)必須串行通過(guò)該訪(fǎng)問(wèn)控制網(wǎng)關(guān)，所有訪(fǎng)問(wèn)行為都將接受訪(fǎng)問(wèn)控制網(wǎng)關(guān)的監(jiān)督和記錄。身份及訪(fǎng)問(wèn)管理平臺(tái)用戶(hù)管理審計(jì)AccesscontrolGateway

AgentCollector在目標(biāo)審計(jì)對(duì)象上安裝agent的方式采集封閉系統(tǒng)的日志信息通過(guò)標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議接口（如Syslogd、SNMPtrap）或者定制網(wǎng)絡(luò)接口采集操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等對(duì)象的日志信息審計(jì)分析分類(lèi)：基于源地址、用戶(hù)、操作的對(duì)象、操作的類(lèi)型、操作的時(shí)間和操作結(jié)果來(lái)進(jìn)行分類(lèi)。分級(jí)：根據(jù)審計(jì)信息的內(nèi)容、對(duì)應(yīng)的事件分類(lèi)、相關(guān)資源、相關(guān)人員不同，將可審計(jì)事件的重要程度劃分為不同的級(jí)別，以便對(duì)不同級(jí)別的事件采取不同的處理方式操作行為分析:將系統(tǒng)層的日志、數(shù)據(jù)庫(kù)日志、應(yīng)用層的日志及網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行相互關(guān)聯(lián)，尤其是所有對(duì)財(cái)務(wù)數(shù)據(jù)相關(guān)的關(guān)鍵系統(tǒng)數(shù)據(jù)的訪(fǎng)問(wèn)、修改和刪除等，再現(xiàn)用戶(hù)的完整操作過(guò)程。提供強(qiáng)大的審計(jì)信息查詢(xún)，管理人員可根據(jù)審計(jì)信息的各種屬性進(jìn)行分類(lèi)查詢(xún)。支持基于時(shí)間、事件類(lèi)型、級(jí)別、用戶(hù)帳號(hào)，關(guān)鍵字等字段的查詢(xún)告警:對(duì)非法地址、非法客戶(hù)應(yīng)用、非法數(shù)據(jù)庫(kù)用戶(hù)名、非法數(shù)據(jù)庫(kù)對(duì)象訪(fǎng)問(wèn)、非法操作類(lèi)型、非法SQL語(yǔ)句和非法時(shí)間進(jìn)行報(bào)警27柱狀統(tǒng)計(jì)分析統(tǒng)計(jì)分析折線(xiàn)趨勢(shì)分析支持多種報(bào)表樣式會(huì)話(huà)回放會(huì)話(huà)數(shù)據(jù)windows回放RDP回放數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)回放SSH行為回放支持多種操作重現(xiàn)支持多種SOX報(bào)表和管理類(lèi)報(bào)表提供審計(jì)報(bào)表處理能力，可根據(jù)管理人員的定義生成各類(lèi)報(bào)表根據(jù)審計(jì)對(duì)象，產(chǎn)生指定時(shí)間周期（日、周、月、季度、年）的報(bào)表。報(bào)表自動(dòng)產(chǎn)生，報(bào)表內(nèi)容可以根據(jù)用戶(hù)需求進(jìn)行差別化定制。除了自動(dòng)產(chǎn)生靜態(tài)報(bào)表外，還可以由用戶(hù)配置產(chǎn)生動(dòng)態(tài)報(bào)表。報(bào)表支持包括打印和輸出各種格式的文件，如PDF、Word、Excel、HTML等等。系統(tǒng)內(nèi)置了多種報(bào)表形式，包括：SOX要求各類(lèi)報(bào)表帳號(hào)類(lèi)報(bào)表資源類(lèi)報(bào)表告警類(lèi)報(bào)表審計(jì)類(lèi)報(bào)表用戶(hù)訪(fǎng)問(wèn)類(lèi)審計(jì)管理：針對(duì)敏感數(shù)據(jù)的審計(jì)專(zhuān)題神州泰岳結(jié)合業(yè)務(wù)系統(tǒng)敏感數(shù)據(jù)泄漏問(wèn)題，以及數(shù)據(jù)安全管理辦法，通過(guò)在部分省市的經(jīng)驗(yàn)，通過(guò)Ultra-IAM系統(tǒng)能方便實(shí)現(xiàn)以下審計(jì)專(zhuān)題：系統(tǒng)維護(hù)人員采用程序帳號(hào)訪(fǎng)問(wèn)業(yè)務(wù)數(shù)據(jù)；系統(tǒng)維護(hù)人員采用程序帳號(hào)維護(hù)數(shù)據(jù)庫(kù)；維護(hù)人員繞過(guò)4A系統(tǒng)登錄業(yè)務(wù)系統(tǒng)或者操作系統(tǒng)；集團(tuán)客戶(hù)資料查詢(xún)審計(jì)查詢(xún)用戶(hù)信息審計(jì)導(dǎo)出用戶(hù)數(shù)據(jù)關(guān)聯(lián)審計(jì)用戶(hù)賬單查詢(xún)審計(jì)客戶(hù)資料查詢(xún)審計(jì)數(shù)據(jù)備份操作頻率，數(shù)據(jù)審計(jì)未經(jīng)審批流程的建立的帳號(hào)的自動(dòng)發(fā)現(xiàn)、報(bào)警與控制處理機(jī)制基于規(guī)則的業(yè)務(wù)系統(tǒng)行為審計(jì)基于規(guī)則的業(yè)務(wù)系統(tǒng)行為審計(jì)主要完成日志解析、行為適配、規(guī)則分析三個(gè)處理過(guò)程。概要123產(chǎn)品概況Ultra-IAM產(chǎn)品介紹建設(shè)關(guān)注點(diǎn)4案例介紹關(guān)注點(diǎn)——目錄設(shè)計(jì)的合規(guī)性原則上4A系統(tǒng)的目錄schema設(shè)計(jì)應(yīng)符合企業(yè)的目錄規(guī)范的要求。用戶(hù)目錄庫(kù)不是數(shù)據(jù)庫(kù)，性能優(yōu)化主要針對(duì)讀操作，因此不建議存放經(jīng)常變化的用戶(hù)屬性對(duì)于要連接的應(yīng)用，有條件提供Schema的擴(kuò)展（不同的應(yīng)用有可能會(huì)使用不同的LDAP服務(wù)器），支持對(duì)業(yè)務(wù)支撐實(shí)現(xiàn)4A管理的架構(gòu)擴(kuò)展能力例如：支持自然人主賬號(hào)與工號(hào)的匹配、關(guān)聯(lián)、復(fù)用客服、營(yíng)業(yè)廳人員的特殊屬性定義和識(shí)別對(duì)多種用戶(hù)認(rèn)證方式和接入訪(fǎng)問(wèn)方式的屬性定義和應(yīng)用關(guān)注點(diǎn)——數(shù)據(jù)的安全為保證業(yè)務(wù)系統(tǒng)自身的數(shù)據(jù)安全，在4A系統(tǒng)實(shí)施和應(yīng)用過(guò)程中應(yīng)避免對(duì)業(yè)務(wù)系統(tǒng)資源數(shù)據(jù)和審計(jì)數(shù)據(jù)的直接訪(fǎng)問(wèn)和采集，通過(guò)接口機(jī)方式實(shí)現(xiàn)對(duì)以上數(shù)據(jù)的采集，對(duì)接口機(jī)的數(shù)據(jù)操作必須采用安全加密方式。4A系統(tǒng)自身應(yīng)實(shí)現(xiàn)應(yīng)用和數(shù)據(jù)的分區(qū)域隔離保護(hù)，通過(guò)設(shè)置訪(fǎng)問(wèn)控制策略防止非法的數(shù)據(jù)訪(fǎng)問(wèn)在多系統(tǒng)集中建設(shè)4A系統(tǒng)的情況下，需要考慮業(yè)務(wù)的LDAP目錄數(shù)據(jù)、審計(jì)數(shù)據(jù)與其他系統(tǒng)分離存儲(chǔ)設(shè)計(jì)關(guān)注點(diǎn)——如何實(shí)現(xiàn)應(yīng)用的4A4A管理門(mén)戶(hù)業(yè)務(wù)系統(tǒng)門(mén)戶(hù)系統(tǒng)資源維護(hù)管理門(mén)戶(hù)4A管理員普通用戶(hù)系統(tǒng)維護(hù)人員集中應(yīng)用發(fā)布系統(tǒng)4A平臺(tái)集中認(rèn)證樞紐集中用戶(hù)管理集中授權(quán)管理集中審計(jì)管理數(shù)字證書(shū)流程服務(wù)系統(tǒng)LDAP審計(jì)數(shù)據(jù)庫(kù)非標(biāo)準(zhǔn)化應(yīng)用（不可改造）虛擬化發(fā)布業(yè)務(wù)應(yīng)用（不可改造）代填方式SSO業(yè)務(wù)應(yīng)用（可改造）票據(jù)服務(wù)SS0服務(wù)模擬SSO關(guān)注點(diǎn)——應(yīng)用資源的認(rèn)證改造方法基于認(rèn)證轉(zhuǎn)發(fā)的應(yīng)用改造模式關(guān)注點(diǎn)——應(yīng)用資源的認(rèn)證改造方法關(guān)注點(diǎn)——應(yīng)用資源的認(rèn)證改造方法-認(rèn)證攔截與轉(zhuǎn)發(fā)關(guān)注點(diǎn)——應(yīng)用資源的認(rèn)證改造的方法-本地認(rèn)證恢復(fù)關(guān)注點(diǎn)——授權(quán)管理實(shí)現(xiàn)的目標(biāo)要求授權(quán)管理實(shí)現(xiàn)的當(dāng)前目標(biāo)：系統(tǒng)資源和應(yīng)用資源的實(shí)體級(jí)授權(quán)通過(guò)4A系統(tǒng)的門(mén)戶(hù)訪(fǎng)問(wèn)控制、訪(fǎng)問(wèn)控制網(wǎng)關(guān)、應(yīng)用代理等實(shí)現(xiàn)對(duì)訪(fǎng)問(wèn)對(duì)象的實(shí)體管理應(yīng)用資源基于角色的實(shí)體內(nèi)授權(quán)通過(guò)4A系統(tǒng)配合業(yè)務(wù)系統(tǒng)進(jìn)行接口改造模式關(guān)注點(diǎn)——基于角色的實(shí)體內(nèi)授權(quán)實(shí)現(xiàn)方法應(yīng)用系統(tǒng)側(cè)應(yīng)用系統(tǒng)/4A系統(tǒng)接口4A系統(tǒng)側(cè)系統(tǒng)內(nèi)權(quán)限配置模塊對(duì)象功能權(quán)限數(shù)據(jù)用戶(hù)組織角色資源同步接口從賬號(hào)角色組4A系統(tǒng)權(quán)限配置主賬號(hào)主賬號(hào)組應(yīng)用資源基于角色的實(shí)體內(nèi)授權(quán)關(guān)注點(diǎn)——同步賬號(hào)、角色數(shù)據(jù)賬號(hào)資源同步需要應(yīng)用系統(tǒng)提供以下內(nèi)容：帳號(hào)實(shí)體數(shù)據(jù)角色實(shí)體數(shù)據(jù)授權(quán)關(guān)系數(shù)據(jù)組織、系統(tǒng)、賬號(hào)關(guān)系接口機(jī)通過(guò)安全API/Webservice接口方式向4A平臺(tái)同步數(shù)據(jù)關(guān)注點(diǎn)——細(xì)粒度授權(quán)授權(quán)管理期望實(shí)現(xiàn)的最終目標(biāo)現(xiàn)階段可實(shí)施的實(shí)現(xiàn)方法通過(guò)嵌入業(yè)務(wù)系統(tǒng)授權(quán)頁(yè)面實(shí)現(xiàn)應(yīng)用資源實(shí)體內(nèi)的細(xì)粒度授權(quán)配置管理。4A系統(tǒng)授權(quán)管理改造4A系統(tǒng)最終替代業(yè)務(wù)系統(tǒng)完成對(duì)應(yīng)用系統(tǒng)的用戶(hù)、授權(quán)的配置管理功能，實(shí)現(xiàn)對(duì)業(yè)務(wù)支撐應(yīng)用系統(tǒng)無(wú)縫的集中用戶(hù)授權(quán)的細(xì)粒度控制管理關(guān)注點(diǎn)——嵌套業(yè)務(wù)系統(tǒng)授權(quán)頁(yè)面實(shí)現(xiàn)細(xì)粒度授權(quán)常使用到的幾種頁(yè)面嵌入技術(shù)IframeWEBClipPortletWSRP關(guān)注點(diǎn)－系統(tǒng)接口設(shè)計(jì)SMAPEOMS審計(jì)系統(tǒng)SOCNMS系統(tǒng)故障和性能信息認(rèn)證接口調(diào)用業(yè)務(wù)流程流轉(zhuǎn)和狀態(tài)查詢(xún)用戶(hù)管理類(lèi)日志和系統(tǒng)自身日志安全日志或安全事件日志4A關(guān)注點(diǎn)－系統(tǒng)跨平臺(tái)能力支持各類(lèi)Windows平臺(tái)，HPUnix平臺(tái)，AIX平臺(tái)，SUNSolaris平臺(tái)，F(xiàn)ujitsuSolaris平臺(tái)，Linux平臺(tái)，Apple(OSX)平臺(tái)等支持多主流數(shù)據(jù)庫(kù)(如ORACLE、INFORMIX、SYBASE、DB2、SQLSEVER、MySQL、POSTGRE等)環(huán)境下無(wú)差異化的支撐業(yè)務(wù)能力。支持多種中間件（如：WEBLOGIC、Websphere、東方通、Glassfish、Tomcat等）關(guān)注點(diǎn)－系統(tǒng)安全及應(yīng)急設(shè)計(jì)系統(tǒng)冗余設(shè)計(jì)系統(tǒng)自身監(jiān)控管理系統(tǒng)自身的安全評(píng)估和加固數(shù)據(jù)加密存儲(chǔ)加密方式通訊數(shù)據(jù)定期備份系統(tǒng)應(yīng)急流程系統(tǒng)應(yīng)急設(shè)計(jì)當(dāng)4A管理平臺(tái)發(fā)生異常時(shí)，系統(tǒng)維護(hù)人員和管理人員對(duì)4A管理平臺(tái)的異常情況及恢復(fù)所需時(shí)間進(jìn)行分析和評(píng)估，然后根據(jù)評(píng)估結(jié)果確定應(yīng)急策略選定應(yīng)急策略后，應(yīng)急方案根據(jù)應(yīng)急策略要求進(jìn)行各項(xiàng)準(zhǔn)備工作：4A管理平臺(tái)啟動(dòng)應(yīng)急系統(tǒng)，引導(dǎo)用戶(hù)登錄應(yīng)急系統(tǒng)取回信息,。系統(tǒng)維護(hù)人員對(duì)4A管理平臺(tái)進(jìn)行修復(fù)使其具備提供正常服務(wù)能力后，通過(guò)人工或自動(dòng)方式觸發(fā)應(yīng)急方案進(jìn)入恢復(fù)階段，啟動(dòng)異?；謴?fù)操作。階段劃分

觸發(fā)階段執(zhí)行階段

恢復(fù)階段系統(tǒng)應(yīng)急觸發(fā)設(shè)計(jì)(一)短信應(yīng)急服務(wù)器LDAP核心服務(wù)器LDAP同步短信應(yīng)急服務(wù)模塊郵件應(yīng)急服務(wù)模塊各主賬號(hào)對(duì)應(yīng)的從帳號(hào)信息從帳號(hào)的登陸路徑信息從帳號(hào)名稱(chēng)從帳號(hào)密碼逆向解析可由管理員運(yùn)行的逆向解析工具，從LDAP中解密并導(dǎo)出：系統(tǒng)應(yīng)急觸發(fā)設(shè)計(jì)(二)Ultra-IAM功能模塊-AUltra-IAM功能模塊-BUltra-IAM功能模塊-CUltra-IAMServer中央管理控制臺(tái)Ultra-IAMEmergencyServicePlatform應(yīng)急服務(wù)平臺(tái)2311111541各模塊的自守護(hù)進(jìn)程在實(shí)時(shí)監(jiān)控模塊自身的運(yùn)行狀況，并保障各模塊服務(wù)的可用性2Ultra-IAM平臺(tái)的綜合運(yùn)行監(jiān)控維護(hù)功能，可以控制各模塊的運(yùn)行和停止，通過(guò)實(shí)時(shí)采集各模塊守護(hù)進(jìn)程的監(jiān)控信息，實(shí)現(xiàn)對(duì)Ultra-IAM各個(gè)功能模塊的實(shí)時(shí)監(jiān)控3應(yīng)急服務(wù)平臺(tái)實(shí)時(shí)掌握Ultra-IAM綜合運(yùn)行監(jiān)控維護(hù)模塊發(fā)送的運(yùn)行狀態(tài)信息，分析是否進(jìn)入應(yīng)急服務(wù)觸發(fā)狀態(tài),需經(jīng)管理員確認(rèn).4應(yīng)急服務(wù)平臺(tái)進(jìn)入觸發(fā)狀態(tài)，可設(shè)置通過(guò)短信方式與多個(gè)管理員通知Ultra-IAM平臺(tái)故障情況并申請(qǐng)啟動(dòng)應(yīng)急服務(wù)5在得到充分的確認(rèn)許可后，應(yīng)急服務(wù)平臺(tái)進(jìn)入工作狀態(tài)，可以通過(guò)短信方式向主帳號(hào)用戶(hù)發(fā)送應(yīng)急服務(wù)平臺(tái)的訪(fǎng)問(wèn)路徑和方式。實(shí)施管理層面——實(shí)施階段劃分調(diào)研和準(zhǔn)備階段資源調(diào)研梳理訪(fǎng)問(wèn)和管理控制方式調(diào)研應(yīng)用系統(tǒng)改造調(diào)研系統(tǒng)建設(shè)和實(shí)施階段規(guī)劃設(shè)計(jì)測(cè)試實(shí)施割接調(diào)試管理和維護(hù)階段優(yōu)化流程強(qiáng)化制度積累知識(shí)完善管理檢查更新實(shí)施管理層面——調(diào)研和準(zhǔn)備階段主賬號(hào)建設(shè)從帳號(hào)同步角色梳理主從帳號(hào)映射梳理遵從什么樣的建設(shè)規(guī)范？按照管理規(guī)則生成主賬號(hào)預(yù)先提供一個(gè)有被管資源從帳號(hào)管理權(quán)限的賬號(hào)和密碼利用該帳號(hào)實(shí)現(xiàn)被管資源上所有從帳號(hào)的同步將某個(gè)/某幾個(gè)最小權(quán)限定義為一個(gè)角色依據(jù)角色不同梳理從帳號(hào)權(quán)限主賬號(hào)對(duì)應(yīng)哪些資源上的哪些從帳號(hào)？角色組對(duì)應(yīng)于哪些資源上的哪些從帳號(hào)？賬號(hào)安全管理策略僵尸帳號(hào)如何處理？孤立帳號(hào)如何處理？交叉賬號(hào)如何處理？從賬號(hào)及密碼安全策略資源調(diào)研梳理實(shí)施管理層面——調(diào)研和準(zhǔn)備階段訪(fǎng)問(wèn)維護(hù)方式認(rèn)證方式單點(diǎn)登錄訪(fǎng)問(wèn)控制策略使用什么樣的訪(fǎng)問(wèn)維護(hù)工具、種類(lèi)、版本要求等允許訪(fǎng)問(wèn)的合法工作時(shí)間、地點(diǎn)和路徑用戶(hù)默認(rèn)的認(rèn)證方式、可選的認(rèn)證方式認(rèn)證服務(wù)響應(yīng)的質(zhì)量要求現(xiàn)有的SSO實(shí)現(xiàn)模式SSO的使用場(chǎng)景要求SSO的使用限制條件合理的訪(fǎng)問(wèn)發(fā)起區(qū)域和數(shù)據(jù)流量端口和服務(wù)要求物理環(huán)境接入服務(wù)區(qū)域的網(wǎng)絡(luò)環(huán)境，可用帶寬要求區(qū)域訪(fǎng)問(wèn)控制策略訪(fǎng)問(wèn)和管理控制方式梳理實(shí)施管理層面——系統(tǒng)建設(shè)和實(shí)施階段規(guī)范設(shè)計(jì)詳細(xì)設(shè)計(jì)階段測(cè)試實(shí)施目錄設(shè)計(jì)和代碼設(shè)計(jì)4A系統(tǒng)門(mén)戶(hù)設(shè)計(jì)集中認(rèn)證接口設(shè)計(jì)集中審計(jì)接口設(shè)計(jì)和外部系統(tǒng)集成接口設(shè)計(jì)

。。。。。。4A系統(tǒng)部署實(shí)施方案XXX系統(tǒng)SSO單點(diǎn)登錄實(shí)現(xiàn)設(shè)計(jì)代碼實(shí)現(xiàn)說(shuō)明網(wǎng)管接口實(shí)現(xiàn)流程管理接口實(shí)現(xiàn) 。。。。。。測(cè)試環(huán)境準(zhǔn)備測(cè)試數(shù)據(jù)和測(cè)試用例準(zhǔn)備離線(xiàn)功能測(cè)試和性能測(cè)試4A平臺(tái)的安裝配置數(shù)據(jù)同步和初始化配置管理策略4A平臺(tái)接口調(diào)試網(wǎng)絡(luò)訪(fǎng)問(wèn)控制策略配置組件聯(lián)調(diào)規(guī)劃、設(shè)計(jì)、測(cè)試、實(shí)施實(shí)施管理層面——系統(tǒng)建設(shè)和實(shí)施階段培訓(xùn)割接準(zhǔn)備割接調(diào)試用戶(hù)使用培訓(xùn)技術(shù)宣貫場(chǎng)景演練應(yīng)急操作流程 。。。。。。分批割接計(jì)劃安排割接方案制訂回退方案制訂故障應(yīng)急處理方案制訂XXX割接人員工作安排

。。。。。。割接時(shí)間點(diǎn)控制割接分工確認(rèn)故障處理流程確認(rèn)割接作業(yè)單割接工作記錄性能優(yōu)化負(fù)載均衡策略?xún)?yōu)化關(guān)閉備份訪(fǎng)問(wèn)路徑4A平臺(tái)管理接口調(diào)試網(wǎng)絡(luò)訪(fǎng)問(wèn)控制策略?xún)?yōu)化資源割接、調(diào)試實(shí)施管理層面——管理和維護(hù)階段優(yōu)化和4A相關(guān)的配套IT管理流程積累業(yè)務(wù)審計(jì)規(guī)則，強(qiáng)化審計(jì)管理力度配套完善4A管理制度周期性的進(jìn)行資源賬號(hào)、授權(quán)數(shù)據(jù)的同步和校對(duì)完善應(yīng)急處理流程，進(jìn)行分系統(tǒng)的周期性檢查、演練周期性的技術(shù)宣貫和培訓(xùn) 。。。。。。管理和維護(hù)概要123產(chǎn)品概況Ultra-IAM產(chǎn)品介紹建設(shè)關(guān)注點(diǎn)4案例介紹主要案例-電信行業(yè)用戶(hù)及項(xiàng)目名稱(chēng)建設(shè)部門(mén)主要模塊電信中國(guó)移動(dòng)集團(tuán)網(wǎng)絡(luò)安全管控平臺(tái)建設(shè)工程網(wǎng)管中心、數(shù)據(jù)業(yè)務(wù)中心Ultra-IAM全部模塊Ultra-ESA全部模塊電信中國(guó)移動(dòng)集團(tuán)南方基地支撐系統(tǒng)集中化4A系統(tǒng)一期工程網(wǎng)管支撐系統(tǒng)、管理支撐系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)Ultra-IAM全部模塊Ultra-ESA全部模塊電信廣東移動(dòng)4A管理平臺(tái)建設(shè)項(xiàng)目集成開(kāi)發(fā)商選型管理信息部Ultra-IAM全部模塊Ultra-ESA全部模塊電信湖南移動(dòng)業(yè)務(wù)支撐網(wǎng)4A管理平臺(tái)一期工程業(yè)務(wù)支撐系統(tǒng)Ultra-ESA全部模塊電信四川公司2009年業(yè)務(wù)支撐系統(tǒng)安全門(mén)戶(hù)平臺(tái)(4A)業(yè)務(wù)支撐系統(tǒng)Ultra-IAM全部模塊Ultra-ESA全部模塊電信河北移動(dòng)EOMS四期工程應(yīng)用軟件開(kāi)發(fā)和集成服務(wù)