1、企業4A安全管理平臺方案4A的建設意義14A功能介紹2網絡安全是企業/單位的生命線，沒有安全，發展就如同把樓房建在沙土上，一旦發生大規模安全事故，后果不堪設想。網絡安全法是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律，是我國網絡空間法治建設的重要里程碑，是依法治網、化解網絡風險的法律重器，是讓互聯網在法治軌道上健康運行的重要保障。網絡安全法將近年來一些成熟的好做法制度化，并為將來可能的制度創新做了原則性規定，為網絡安全工作提供切實法律保障。第二十一條： 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權

2、的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（四）采取數據分類、重要數據備份和加密等措施；（五）法律、行政法規規定的其他義務。解讀：對于內部安全管理應從兩方面實施，一方面制定內部安全管理制度，所有操作人員必須按制度嚴格規范操作；另一方面采取內部訪問控制手段（如：賬號管理、授權、堡壘機、審計等）進行日常工作，對操作流程全程記錄并保存相關日志便于事后

3、取證，對敏感信息文件進行管控。網絡安全法應針對系統變更、重要操作、物理訪問和系統接入等事項建立審批程序，按照審批程序執行審批過程，對重要活動建立逐級審批制度，應記錄審批過程并保存審批文檔。身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換。應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。應確保在外部人員訪問受控區域前得到授權或審批，批準后由專人全程陪同或監督，并登記備案。信息系統安全等級保護基本要求 （GBT 22239-2008）系統應提供一種機制，能按時間、進入方式、地點、網絡地址或端口等條件規

4、定哪些用戶能進入系統 數據庫管理系統安全技術要求（GBT 20273 -2006 ）信息安全等級保護相關監管要求文本文本ISO27001標準條款A10.10.1要求組織必須記錄用戶訪問、意外和信息安全事件的日志，并保留一定期限，以便為安全事件的調查和取證；條款A10.10.4要求組織必須記錄系統管理和維護人員的操作行為； 條款A15.1.3明確要求必須保護組織的運行記錄；條款A15.2.1則要求信息系統經理必須確保所有負責的安全過程都在正確執行，符合安全策略和標準的要求。CC標準信息技術通用評估準則 （ Common Criteria for Information Technology Se

5、curity Evaluation）中，安全審計是其安全功能要求中最重要的組成部分，同時也是信息系統安全體系中必備的一個措施，它是評判一個系統是否真正安全的重要尺碼。SOX法案302節：要求行政人員證明他們公司設計和執行了適當的控制，以保證所有財務報表都可靠而且付合公認會計準則(GAAP)。404節：要求所有在302節中所控制的過程都有可信的財務報表。這法令要求IT經理對所有有關財務報表的產生過程負責。 需要符合怎樣的標準？威瑞森電信公司（Verizon）2017 年數據泄露報告這份最新報告總共分析了42068個安全事件以及來自84個國家的1935個漏洞。報告中顯示，外部人員依然是數據泄露的罪

6、魁禍首，占比75%。有組織犯罪團伙的占比為51%，而來自內部人員的威脅也將受到重視，占數據泄露原因的25%。在攻擊方式和策略中，惡意軟件、弱口令、社會攻擊等皆被列入在內。而金融機構成為數據泄露當中的主要受害者，占比24%。1、威瑞森及其合作伙伴在2015年調查的大量數據泄露事件中表示，人的因素是其中最弱的一環。3、在2260起已證實數據泄露事件的分析過程中，可以確定，63%都涉及到弱口令、默認口令或被盜口令。（2016年度數據泄露報告）2、95%的安全事件均可以追溯到身份訪問憑據被盜，而另外則有10%是由可信人員濫用身份訪問憑據所導致的。2015年度數據泄露報告權威調查報告統計安全事件案例內控

7、缺失：缺乏嚴格的賬號管理、訪問控制、審計體系初始攻擊獲取身份竊取數據給雅虎員工發送魚叉式釣魚攻擊郵件，控制YAHOO員工終端。在員工終端上，獲取了一臺關鍵服務器的特權訪問憑證，并發現了該服務器上的數據庫及操作數據庫的賬戶管理工具。把YAHOO用戶數據庫的一份拷貝偷偷轉移出來，數據庫包含了姓名、電話、安全問題和答案，找回電子郵件的口令和每個賬戶的唯一加密值。安全事件案例3.15移動聯通網通“內鬼”泄密 一調查公司的“私家偵探”涉案被抓后，牽出“移動、聯通及原中國網通三大電信運營商的3個內鬼多次向其泄露公民個人信息”一事。2010年的3.15晚會上暴露出該電信行業內鬼泄密事件。 事件的過程是內部坐

8、席維護人員利用工作中的便利途徑，獲取客服操作員的工號、口令；利用該操作員身份登錄客戶應用系統。利用修改客服口令不需要舊口令的業務邏輯漏洞，直接修改用戶客服密碼；以用戶的身份和修改后的新客服密碼直接登錄業務系統，導出短信、通話記錄等信息，以此為私家偵探提供線索累計獲利300多萬。程稚瀚北京移動充值卡盜竊案 2005年3月至8月間，被告人程稚瀚多次通過互聯網，經由西藏移動通信有限責任公司（以下簡稱西藏移動公司）計算機系統，非法侵入北京移動通信有限責任公司（以下簡稱北京移動公司）充值中心，采取將數據庫中已充值的充值卡數據修改后重新寫入未充值數據庫的手段，對已使用的充值卡進行非法充值后予以銷售，非法獲

9、利人民幣3775萬元。70%的安全威脅來自于企業的內部為什么要建設4A安全最薄弱的環節是“人”，只要解決了人的問題，就可以解決50%以上的安全問題。4A系統是所有安全系統或設備中用戶數量最大、最有效的安全系統。4A的本質是實現“人”對“物”最便捷、最合規的訪問。傳統的安全設備都是對“物”的防護，如：FW/WAF/IDS/IPS等等，4A是所有賬號口令的管理者，是安全的最后一道屏障。需要解決的問題？資源：各類IT應用系統、主機、網絡設備、數據庫等什么是4A？集中管理（入口：4A統一安全管理平臺）統一身份管理（基礎）訪問控制管理（手段）權限管理（核心）操作行為審計（保障）你是誰？Account 帳

10、號 你能去哪？ Authentication認證你能做什么？ Authorization授權 你做了什么？Audit審計 4A核心4A統一安全管理平臺，即融合統一用戶賬號管理、統一認證管理、統一授權管理和統一安全審計四要素后的解決方案將涵蓋單點登錄（SSO）等安全功能，既能夠為客戶提供功能完善的、高安全級別的4A管理，也能夠為用戶提供符合薩班斯法案（SOX）要求的內控報表。安全、高效的使用各類IT資源，降低操作復雜度：（1）短時間的用戶帳號申請、審批與創建（2）一次認證，全網通行，不需多次輸入帳號和口令（3）減少記憶資源URL、IP地址與密碼（4）全網統一的強認證介質、登錄、認證與訪問體驗降低

11、日常安全管理與運營工作壓力，提升安全支撐服務能力：（1）貫徹最小化授權，不需面對基礎設施（2）統一帳號權限管理流程，減少學習成本和時間（3）集中審計各類訪問日志，及時發現并追蹤定位（4）減少用戶帳號盜用、冒用、濫用、共享等及時、準確并可控的實現各類安全檢查與考核要求：（1）落實SOX、等保中帳號、權限、審計、認證方面的控制點（2）減少業務和管理的違規操作、漏洞利用及客戶信息泄露（3）確保系統穩定安全運行，不存在單個系統安全短板（4）落實崗位匹配、適度夠用、職責分離落實國家法律法規，降低安全事件的影響：（1）提升企業形象和競爭力；（2）落實國家、行業安全保障要求中層管理人員高層決策人員業務及運維

12、人員（營業、客服、維護、實施）管理及運營人員（應用、系統、安全）高效減壓合規影響4A平臺建設目的：節約資源、降低成本、促進生產、優化流程、穩定合規4A管理平臺建設目的和意義14A的建設意義24A功能介紹信息安全解決方案4A管理平臺業務價值：核心能力主要體現在以下幾個方面：統一的身份認證和單點登錄統一的帳號、授權管理全面的安全審計完善的運營稽核和金庫審批安全的運維管控、命令級控制落實國內外以及企業的安全政策，降低安全事件的影響降低日常安全管理工作壓力，提升安全管理效率安全、高效的使用各類IT資源，降低操作復雜度 4A安全支撐平臺作為安全架構中的基礎安全服務系統，側重于用戶安全層面實現統一訪問控制

13、、帳號管理、授權管理、密碼管理、身份認證、數據安全與審計，提升IT系統安全性和可管理能力。認證、授權與流程整合安全審計與報表管理數據庫接口適配器應用接口適配器主機接口適配器網絡設備接口適配器安全設備接口適配器接口層認證中心訪問控制通道資源權限SSO流程管理用戶管理權限管理策略管理認證管理運營管理業務操作人員應用管理人員系統管理人員安全管理人員運行管理安全管理機構管理口令監控帳號監控身份服務AgentServer密碼比對時間令牌認證服務認證服務第三方認證轉發服務認證鏈服務字符型堡壘登錄門戶B/S單點登錄C/S單點登錄數據采集數據規格化數據過濾實時告警分析審計服務主帳號管理從帳號管理帳號策略身份管

14、理口令策略驗證策略帳號接口管理認證方式管理用戶認證策略令牌卡管理認證管理認證接口管理審計接口管理審計采集策略管理告警策略管理審計管理審計報表資源管理權限管理用戶自服務備份管理崗位管理角色管理命令集管理授權管理命令級控制RDP圖形化操作控制自定義報表服務器告警方式管理資源認證策略認證鏈管理用戶組管理用戶導入口令重設帳號收集Unix/Linux/ Windows數據庫代理應用系統代理事件令牌認證服務USB-KEY令牌短信認證服務系統功能架構圖網絡設備訪問控制VPN設備訪問控制授權服務主機設備訪問控制應用系統訪問控制單點登錄會話管理票據管理認證管理4A圖形化堡壘信息安全解決方案功能框架4A管理平臺相

15、關概念介紹概念說明用戶（自然人）使用IT資源的物理存在的人。用戶訪問系統的唯一身份標識User ID。從帳號用戶對應的在應用或系統中的帳號。資源用戶要訪問的實體，包括應用資源和系統資源。應用資源一種資源類型，主要指應用系統（如：ERP、CRM等）的被用戶訪問的實體。系統資源一種資源類型，主要指主機、網絡設備、數據庫等系統中被用戶訪問的實體。權限用戶對各類資源訪問能力的標識。角色資源中若干訪問權限的集合。4A管理平臺管理的資源類型資源類型描述資源特點4A管理重點應用資源功能組件應用主要包括各種應用系統，如ERP財務、PMS、財務共享等系統，組件是構成這些應用的主要實體，是用戶進行操作的載體用戶對

16、象：資源的使用者通常為普通用戶，如財務、計劃相關員工，用戶量比較大；技術特點：資源大多為自主開發產生，標準化程度不高，但開放性較好；集成角度：一般通過SOA平臺實現對資源的訪問和控制用戶：提升用戶管理的標準化和效率授權：優化授權流程，提升授權效率認證：實現多認證手段的采用審計：審計信息采集的規范流程組件數據組件系統資源操作系統開放系統OS，各類UNIX（如AIX、HP-UX、RedHat、）和Windows等用戶對象：資源的使用者通常為系統管理員，如操作系統管理員、數據庫DBA等；技術特點：由于大多數系統相對成熟、商業化，所以其資源的標準化程度較高；集成角度：一般需要通過專用網關實現對資源的訪

17、問和控制用戶：禁止系統資源公用帳號的共用，尤其是特權帳號的使用授權：規范化授權流程，提升授權安全認證：加強安全認證的強度，如第三方認證審計：用戶行為審計數據庫關系型數據庫，如Oracle、MS SQL Server、MySQL等網絡設備網絡管理硬件設備，如交換機安全設備基于安全管理的硬件設備，如入侵檢測設備、防火墻等4A管理平臺帳號管理用戶開通用戶支持IdentityLifecycle用戶離職刪除用戶刪除權利同步刪除用戶維護口令重設權利新建新建資源用戶變更升職調動權利變更新建用戶身份創建身份憑據頒發權利賦予用戶變更用戶離職自然人IT運維系統主機1主機2網絡業務1數據庫網銀主帳號從帳號業務2業務

18、3從帳號從帳號從帳號從帳號從帳號從帳號從帳號自然人唯一的ID主帳號提供強認證方式、時間訪問控制、區域訪問控制的策略配置認證策略提供單點登錄認證憑證信息的生成以及認證接口等功能認證處理主帳號在登錄4A平臺后訪問資源時，4A平臺應自動完成被管資源登錄單點登錄提供將主帳號、從帳號的認證請求轉發到強認證組件或認證處理，并應支持主帳號身份認證、VPN身份認證、被管應用資源認證等認證樞紐4A管理平臺認證管理 可以根據用戶應用的實際需要，為用戶提供不同強度的認證方式，既可以保持原有的靜態口令方式，又可以提供具有雙因子認證方式的高強度認證（一次性口令、數字證書、動態口令），而且還能夠集成現有其它如生物特征等新

19、型的認證方式。不僅可以實現用戶認證的統一管理，并且能夠為用戶提供統一的認證門戶，實現企業信息資源訪問的單點登錄。4A管理平臺授權管理4A平臺統一授?？蚣軕觅Y源授權由4A平臺調用授權頁面或者調用響應的授權接口實現；網絡設備，建議通過TACACS協議在4A平臺配置用戶可使用的命令集，來控制用戶對網絡設備的操作命令，從而實現網絡設備的實體內授權；(TACACS終端訪問控制器訪問控制系統)采用堡壘機進行實體內授權，把用戶或用戶組和命令集關聯，從而實現對主機的命令級訪問控制；4A平臺可通過ODBC/JDBC接口連接數據庫，執行用戶授權語句，利用數據庫本身授權機制實現對用戶賬號權限的控制；授權方式4A管

20、理平臺堡壘系統有效控制用戶可訪問設備范圍1控制數據不流向客戶端2集中定制用戶使用操作軟件3記錄用戶操作軌跡，支持審計4資源、用戶的集中管理5全WEB化應用操作，交互便捷6 堡壘系統主要實現自然人對系統資源(主機、網絡設備、安全設備、數據庫等)的訪問控制。其核心思想就是將自然人與系統資源在邏輯上實現分離，從傳統的“自然人資源”的訪問模式改造為“自然人堡壘主機資源”的模式。完成對于資源訪問的“單點登錄訪問鑒權操作管控操作記錄”的全過程監管。PLSQLSqlplus個人文件夾10.153.170.70_ORACLE10.153.170.71_ORACLESelectUpdate清單/詳單表敏感數據1

21、敏感數據2工具授權數據庫實體授權數據庫細粒度授權敏感數據授權堡壘系統細粒度訪問控制對敏感賬號和高風險操作實施金庫模式管理，加強事前、事中、事后三個環節的控制，形成全流程的金庫管理模式。事前事中事后金庫模式也稱為“雙人操作”或“多人操作”模式，指對于涉及到公司高價值信息的高風險操作，強制要求必須由兩人或以上有相應權限的員工共同協作完成操作，防止部分擁有高權限賬號的操作人員濫用權限違規獲取、篡改相關信息，通過相互監督、利益制約確保高風險操作和高價值信息的安全性。事中控制是現有信息安全技術體系的短板聚焦關鍵系統、聚焦關鍵操作、聚焦高價值信息；關鍵操作，多人完成，分權控制；授權不操作，操作不授權；金庫模式4A管理平臺集中審計身份認證審計：身份認證統計失敗身份認證統計4A平臺帳號管理審計：主帳號與從帳號對應關系主帳號的創建時間創建人主、從帳號的有限期密碼更改規則設備主機數據庫等管理員用戶帳號授權審計：權限分配時間、分配者主、從帳號的訪問權限資源的授權訪問者登錄過程審計：什么人用什么帳號登錄什么時間登錄什么系統什么時間退出登錄后行為審計：用戶訪問了哪些資源對資源做了什么操作收集系統日志記錄授權管理帳號管理用戶登錄用戶操作第25頁在集中的資源管理為基礎，通過各種堡壘主機能夠實現用戶資源訪問會話的還原審計。對于字符堡壘主機，可以還原完整的