ULTRA－IAM統一身份及訪問安全管理系統

北京神州泰岳軟件股份有限公司信息安全事業部概要123產品概況Ultra-IAM產品介紹建設關注點4案例介紹業界關于4A解決方案的一些名詞國際叫法：IAM——IdentityandAccessManagement，統一身份及訪問安全管理神州泰岳產品：Ultra-IAM——Account、Authentication、Authorization、AuditandAccessControlManagementSysytem中國移動叫法：安全管控平臺或者4A，涵蓋三個子中心集中維護接入平臺SMAP：對應AccessControl帳號口令管理系統：對應Account、Authentication、Authorization審計系統：對應Audit4A解決什么問題？——錯綜復雜的日常運行維護管理企業員工張三在公司企業各類IT資源企業員工李四在出差王五是遠程的第三方維護人員小劉是現場的第三方維護人員弱口令無法控制維護接入途徑五花八門維護操作內容無從知曉違規操作無法控制賬戶開設無規可循4A解決什么問題？——安全管控平臺的作用企業員工張三在公司企業員工李四在出差王五是遠程的第三方維護人員小劉是現場的第三方維護人員集中安全維護接入平臺集中帳號口令管理平臺集中安全審計平臺企業各類IT資源建設現狀分析現狀審計維護安全問題不斷出現，系統維護和管理工作負擔大，效率低認證帳號獨立的用戶數據庫和獨立的系統管理員；自然人身份和業務系統帳號重疊；多系統都基于獨立的帳號管理實現訪問頻繁切換接入網絡沒有強制檢測手段；訪問系統沒有強身份認證手段；各應用系統都獨立認證；授權獨立的系統授權機制和獨立的應用授權管理獨立的審計，缺乏關聯分析。運營出現的安全問題無法明確定位Ultra-IAM系統概述神州泰岳Ultra-IAM是集賬號管理、授權管理、認證管理和綜合審計、安全訪問控制于一體的集中賬號及安全訪問管理系統(業界稱為4A）。該產品實現用戶賬戶管理(Account)、認證(Authentication)、授權(Authorization)和審計(Audit)四方面的內在關聯，是目前國內功能最完整、控制粒度最細的綜合身份認證和訪問安全管理產品。Ultra-IAM采用模塊化設計，不但可以根據用戶需要和環境特點進行選擇、組合，而且可以提供定制化的開發，能夠方便地實現與用戶應用的有機結合。Ultra-IAM名詞解釋4A系統：集中安全管控平臺，神州泰岳內部產品為Ultra-IAM統一身份及訪問安全管理系統主賬號：自然人使用的帳號，目前主要是網絡準入控制系統的帳號。資源：自然人要訪問的業務系統中實體，如應用程序、帳號、目錄、文件、數據庫、數據庫中保存的某個表、IP端口等等；可以根據實際需要，將多個資源看作一個整體；也可以將一個資源進一步細分成多個資源。應用資源：業務系統中的一種資源類型，例如網管系統、業務支撐系統等。系統資源：業務系統中的一種資源類型，包括主機、網絡設備、數據庫等。概要123產品概況Ultra-IAM產品介紹建設關注點4案例介紹4A系統的工作場景C/S應用B/S應用Ultra-IAMPortal普通用戶運維用戶LDAPUltra-IAMServerUltra-IAMResourceManagementDriversuites網絡設備主機系統數據庫系統主賬號認證授權資源列表帳號管理員審計管理員SSOACTIVE控件代填SSO集中應用發布系統SSOSSO安裝filter攔截器授權策略頁面嵌入堡壘主機代填代填（HTTP模擬、Form代填）憑證（Token、Ticket）從帳號SSOUltra-IAM系統架構系統功能用戶管理認證管理系統功能12集中審計4授權管理3認證方式選擇單點登錄SSO認證轉發日志采集日志分析審計還原告警處理審計報表主從帳號管理用戶同步生命周期管理密碼管理用戶自管理授權管理資源管理訪問控制角色管理授權粒度控制主從帳號管理主帳號管理組織管理：能夠按照按地域、組織結構進行劃分，建立相 應樹狀目錄用于合理組織主帳號。分級管理：以適應分部門、分管理層次的分級管理要求； 不同級別的帳號可以行使不同級別的權限屬性管理：包括帳號基本信息、時效策略、密碼策略、組 織標識、角色標識。生命周期管理：對用戶從產生到刪除各存在狀態進行管理帳號監控：口令系統對幽靈帳號、弱口令和交叉帳號（不 能修改口令的程序帳號）進行監控，并提供相應的 告警報表自服務功能：對自己的屬性進行修改同步功能神州泰岳Ultra-IAM通過多種方式來實現對操作系統、數據庫系統、網絡設備、應用系統、業務系統的用戶同步管理Telnet/SSH方式AD域方式JDBC/ODBCLDAP方式模擬客戶端Radius協議AgentWebService專用API方式同步功能-技術實現主機：同步方式：使用標準的通信接口telnet、ssh，通過發送用戶操作指令的方式對主機從帳號進行相應的維護。網絡設備：驅動主要通過Radius協議和建立內置Radius服務器的方式進行帳號的管理，以及進行帳號的訪問控制等授權管理。數據庫：通過JDBC協議與數據進行交換，進行數據庫帳號等的權限信息的管理。應用系統： 通過標準接口來實現帳號同步，如JDBC/ODBC、標準LDAP

通過私有協議來實現和應用系統間帳號接口，提供java或c的標準api接口，webservicejmx等接口完整的生命周期管理對用戶從產生到刪除各存在狀態進行管理,包括統一的用戶創建、維護、刪除等功能，并同步到各個系統中去。流程設計4A系統內置流程引擎，并內置圖形化流程設計器，滿足帳號申請、審批、分配、通知等流程管理制度的需要提供多種密碼管理策略密碼安全策略 密碼強度（長度、字符、有效期等)，系統還提供多種密碼制定策略，滿足不同系統對密碼安全的需要密碼修改任務 用戶從帳號密碼的定期變更，提高密碼的安全性密碼定期檢查 通過系統定時任務，或相關管理員執行密碼檢查，找出系統中存在不滿足要求的用戶口令密碼同步策略

認證管理用戶管理認證管理系統功能12集中審計4授權管理3認證方式選擇單點登錄SSO認證轉發日志采集日志分析審計還原告警處理審計報表主從帳號管理用戶同步生命周期管理密碼管理用戶自管理授權管理資源管理訪問控制角色管理授權粒度控制認證方式支持目前，神州泰岳Ultra-IAMSSO單點登陸系統支持以下強身份認證方式：支持多種認證方式組合，保證認證過程的安全。單點登錄神州泰岳Ultra-IAMSSO單點登陸系統為具有多帳號的用戶提供了方便快捷的訪問途經，使用戶無需記憶多種登錄過程、用戶ID和口令。它通過應用的集中接入和口令代填等方式向用戶提供對其個性化資源的快捷訪問提高生產效率和利潤授權管理用戶管理認證管理系統功能12集中審計4授權管理3認證方式選擇單點登錄SSO認證轉發日志采集日志分析審計還原告警處理審計報表主從帳號管理用戶同步生命周期管理密碼管理用戶自管理授權管理資源管理訪問控制角色管理授權粒度控制集中授權管理通過基于角色授權，實現了用戶到資源訪問的權限分配實體級集中授權，授權粒度只精確到應用、設備、主機，通俗一點說就是用戶是否有權連接某個IP地址＋端口實體內部資源級集中授權，授權粒度精確到應用、設備、主機內的資源。資源包括應用的功能模塊、HTML頁面、數據庫表或字段；主機內的文件或目錄等23集中訪問控制Ultra-IAMPortal堡壘主機網絡設備主機系統數據庫系統C/S應用B/S應用網元桌面發布系統聯機指令平臺集中審計用戶管理認證管理系統功能12集中審計4授權管理3認證方式選擇單點登錄SSO認證轉發日志采集日志分析審計還原告警處理審計報表主從帳號管理用戶同步生命周期管理密碼管理用戶自管理授權管理資源管理訪問控制角色管理授權粒度控制審計采集平臺自身安全審計信息：人員的帳號管理：帳號建立、帳號分配情況、權限分配情況、認證、帳號使用（登入、登出）情況等。對本系統運行的全部行為，包括任何人（含系統管理員）的任何操作進行記錄；被管資源操作行為審計主機，網絡設備，數據庫等的所有用戶指令操作的記錄；對主機、網絡設備、數據庫、安全設備上的日志進行集中存儲和集中審計；應用系統的關鍵操作行為數據；完整保留各類原始記錄、證據、依據，確保全方位的可審計對第三方的非常規訪問行為進行完整記錄，并形成持久的震懾影響。為公司領導層提供安全決策支持，為運維層提供安全操作指向提供滿足規范要求的安全審計報表報告CentralServer(包含了集中存儲、分析、展現等功能)NetCollectorNet/DBSensor通過旁路部署的網絡嗅探方式實現對數據庫SQL操作指令的審計、對http、telnet、ftp、ssh、rlogin、rsh、pop3、smtp等網絡操作行為的審計通過集中訪問接口的方式，讓所有對目標對象的訪問必須串行通過該訪問控制網關，所有訪問行為都將接受訪問控制網關的監督和記錄。身份及訪問管理平臺用戶管理審計AccesscontrolGateway

AgentCollector在目標審計對象上安裝agent的方式采集封閉系統的日志信息通過標準網絡協議接口（如Syslogd、SNMPtrap）或者定制網絡接口采集操作系統、數據庫系統、應用系統、業務系統、網絡設備、安全設備等對象的日志信息審計分析分類：基于源地址、用戶、操作的對象、操作的類型、操作的時間和操作結果來進行分類。分級：根據審計信息的內容、對應的事件分類、相關資源、相關人員不同，將可審計事件的重要程度劃分為不同的級別，以便對不同級別的事件采取不同的處理方式操作行為分析:將系統層的日志、數據庫日志、應用層的日志及網絡數據進行相互關聯，尤其是所有對財務數據相關的關鍵系統數據的訪問、修改和刪除等，再現用戶的完整操作過程。提供強大的審計信息查詢，管理人員可根據審計信息的各種屬性進行分類查詢。支持基于時間、事件類型、級別、用戶帳號，關鍵字等字段的查詢告警:對非法地址、非法客戶應用、非法數據庫用戶名、非法數據庫對象訪問、非法操作類型、非法SQL語句和非法時間進行報警27柱狀統計分析統計分析折線趨勢分析支持多種報表樣式會話回放會話數據windows回放RDP回放數據庫訪問回放SSH行為回放支持多種操作重現支持多種SOX報表和管理類報表提供審計報表處理能力，可根據管理人員的定義生成各類報表根據審計對象，產生指定時間周期（日、周、月、季度、年）的報表。報表自動產生，報表內容可以根據用戶需求進行差別化定制。除了自動產生靜態報表外，還可以由用戶配置產生動態報表。報表支持包括打印和輸出各種格式的文件，如PDF、Word、Excel、HTML等等。系統內置了多種報表形式，包括：SOX要求各類報表帳號類報表資源類報表告警類報表審計類報表用戶訪問類審計管理：針對敏感數據的審計專題神州泰岳結合業務系統敏感數據泄漏問題，以及數據安全管理辦法，通過在部分省市的經驗，通過Ultra-IAM系統能方便實現以下審計專題：系統維護人員采用程序帳號訪問業務數據；系統維護人員采用程序帳號維護數據庫；維護人員繞過4A系統登錄業務系統或者操作系統；集團客戶資料查詢審計查詢用戶信息審計導出用戶數據關聯審計用戶賬單查詢審計客戶資料查詢審計數據備份操作頻率，數據審計未經審批流程的建立的帳號的自動發現、報警與控制處理機制基于規則的業務系統行為審計基于規則的業務系統行為審計主要完成日志解析、行為適配、規則分析三個處理過程。概要123產品概況Ultra-IAM產品介紹建設關注點4案例介紹關注點——目錄設計的合規性原則上4A系統的目錄schema設計應符合企業的目錄規范的要求。用戶目錄庫不是數據庫，性能優化主要針對讀操作，因此不建議存放經常變化的用戶屬性對于要連接的應用，有條件提供Schema的擴展（不同的應用有可能會使用不同的LDAP服務器），支持對業務支撐實現4A管理的架構擴展能力例如：支持自然人主賬號與工號的匹配、關聯、復用客服、營業廳人員的特殊屬性定義和識別對多種用戶認證方式和接入訪問方式的屬性定義和應用關注點——數據的安全為保證業務系統自身的數據安全，在4A系統實施和應用過程中應避免對業務系統資源數據和審計數據的直接訪問和采集，通過接口機方式實現對以上數據的采集，對接口機的數據操作必須采用安全加密方式。4A系統自身應實現應用和數據的分區域隔離保護，通過設置訪問控制策略防止非法的數據訪問在多系統集中建設4A系統的情況下，需要考慮業務的LDAP目錄數據、審計數據與其他系統分離存儲設計關注點——如何實現應用的4A4A管理門戶業務系統門戶系統資源維護管理門戶4A管理員普通用戶系統維護人員集中應用發布系統4A平臺集中認證樞紐集中用戶管理集中授權管理集中審計管理數字證書流程服務系統LDAP審計數據庫非標準化應用（不可改造）虛擬化發布業務應用（不可改造）代填方式SSO業務應用（可改造）票據服務SS0服務模擬SSO關注點——應用資源的認證改造方法基于認證轉發的應用改造模式關注點——應用資源的認證改造方法關注點——應用資源的認證改造方法-認證攔截與轉發關注點——應用資源的認證改造的方法-本地認證恢復關注點——授權管理實現的目標要求授權管理實現的當前目標：系統資源和應用資源的實體級授權通過4A系統的門戶訪問控制、訪問控制網關、應用代理等實現對訪問對象的實體管理應用資源基于角色的實體內授權通過4A系統配合業務系統進行接口改造模式關注點——基于角色的實體內授權實現方法應用系統側應用系統/4A系統接口4A系統側系統內權限配置模塊對象功能權限數據用戶組織角色資源同步接口從賬號角色組4A系統權限配置主賬號主賬號組應用資源基于角色的實體內授權關注點——同步賬號、角色數據賬號資源同步需要應用系統提供以下內容：帳號實體數據角色實體數據授權關系數據組織、系統、賬號關系接口機通過安全API/Webservice接口方式向4A平臺同步數據關注點——細粒度授權授權管理期望實現的最終目標現階段可實施的實現方法通過嵌入業務系統授權頁面實現應用資源實體內的細粒度授權配置管理。4A系統授權管理改造4A系統最終替代業務系統完成對應用系統的用戶、授權的配置管理功能，實現對業務支撐應用系統無縫的集中用戶授權的細粒度控制管理關注點——嵌套業務系統授權頁面實現細粒度授權常使用到的幾種頁面嵌入技術IframeWEBClipPortletWSRP關注點－系統接口設計SMAPEOMS審計系統SOCNMS系統故障和性能信息認證接口調用業務流程流轉和狀態查詢用戶管理類日志和系統自身日志安全日志或安全事件日志4A關注點－系統跨平臺能力支持各類Windows平臺，HPUnix平臺，AIX平臺，SUNSolaris平臺，FujitsuSolaris平臺，Linux平臺，Apple(OSX)平臺等支持多主流數據庫(如ORACLE、INFORMIX、SYBASE、DB2、SQLSEVER、MySQL、POSTGRE等)環境下無差異化的支撐業務能力。支持多種中間件（如：WEBLOGIC、Websphere、東方通、Glassfish、Tomcat等）關注點－系統安全及應急設計系統冗余設計系統自身監控管理系統自身的安全評估和加固數據加密存儲加密方式通訊數據定期備份系統應急流程系統應急設計當4A管理平臺發生異常時，系統維護人員和管理人員對4A管理平臺的異常情況及恢復所需時間進行分析和評估，然后根據評估結果確定應急策略選定應急策略后，應急方案根據應急策略要求進行各項準備工作：4A管理平臺啟動應急系統，引導用戶登錄應急系統取回信息,。系統維護人員對4A管理平臺進行修復使其具備提供正常服務能力后，通過人工或自動方式觸發應急方案進入恢復階段，啟動異常恢復操作。階段劃分

觸發階段執行階段

恢復階段系統應急觸發設計(一)短信應急服務器LDAP核心服務器LDAP同步短信應急服務模塊郵件應急服務模塊各主賬號對應的從帳號信息從帳號的登陸路徑信息從帳號名稱從帳號密碼逆向解析可由管理員運行的逆向解析工具，從LDAP中解密并導出：系統應急觸發設計(二)Ultra-IAM功能模塊-AUltra-IAM功能模塊-BUltra-IAM功能模塊-CUltra-IAMServer中央管理控制臺Ultra-IAMEmergencyServicePlatform應急服務平臺2311111541各模塊的自守護進程在實時監控模塊自身的運行狀況，并保障各模塊服務的可用性2Ultra-IAM平臺的綜合運行監控維護功能，可以控制各模塊的運行和停止，通過實時采集各模塊守護進程的監控信息，實現對Ultra-IAM各個功能模塊的實時監控3應急服務平臺實時掌握Ultra-IAM綜合運行監控維護模塊發送的運行狀態信息，分析是否進入應急服務觸發狀態,需經管理員確認.4應急服務平臺進入觸發狀態，可設置通過短信方式與多個管理員通知Ultra-IAM平臺故障情況并申請啟動應急服務5在得到充分的確認許可后，應急服務平臺進入工作狀態，可以通過短信方式向主帳號用戶發送應急服務平臺的訪問路徑和方式。實施管理層面——實施階段劃分調研和準備階段資源調研梳理訪問和管理控制方式調研應用系統改造調研系統建設和實施階段規劃設計測試實施割接調試管理和維護階段優化流程強化制度積累知識完善管理檢查更新實施管理層面——調研和準備階段主賬號建設從帳號同步角色梳理主從帳號映射梳理遵從什么樣的建設規范？按照管理規則生成主賬號預先提供一個有被管資源從帳號管理權限的賬號和密碼利用該帳號實現被管資源上所有從帳號的同步將某個/某幾個最小權限定義為一個角色依據角色不同梳理從帳號權限主賬號對應哪些資源上的哪些從帳號？角色組對應于哪些資源上的哪些從帳號？賬號安全管理策略僵尸帳號如何處理？孤立帳號如何處理？交叉賬號如何處理？從賬號及密碼安全策略資源調研梳理實施管理層面——調研和準備階段訪問維護方式認證方式單點登錄訪問控制策略使用什么樣的訪問維護工具、種類、版本要求等允許訪問的合法工作時間、地點和路徑用戶默認的認證方式、可選的認證方式認證服務響應的質量要求現有的SSO實現模式SSO的使用場景要求SSO的使用限制條件合理的訪問發起區域和數據流量端口和服務要求物理環境接入服務區域的網絡環境，可用帶寬要求區域訪問控制策略訪問和管理控制方式梳理實施管理層面——系統建設和實施階段規范設計詳細設計階段測試實施目錄設計和代碼設計4A系統門戶設計集中認證接口設計集中審計接口設計和外部系統集成接口設計

。。。。。。4A系統部署實施方案XXX系統SSO單點登錄實現設計代碼實現說明網管接口實現流程管理接口實現 。。。。。。測試環境準備測試數據和測試用例準備離線功能測試和性能測試4A平臺的安裝配置數據同步和初始化配置管理策略4A平臺接口調試網絡訪問控制策略配置組件聯調規劃、設計、測試、實施實施管理層面——系統建設和實施階段培訓割接準備割接調試用戶使用培訓技術宣貫場景演練應急操作流程 。。。。。。分批割接計劃安排割接方案制訂回退方案制訂故障應急處理方案制訂XXX割接人員工作安排

。。。。。。割接時間點控制割接分工確認故障處理流程確認割接作業單割接工作記錄性能優化負載均衡策略優化關閉備份訪問路徑4A平臺管理接口調試網絡訪問控制策略優化資源割接、調試實施管理層面——管理和維護階段優化和4A相關的配套IT管理流程積累業務審計規則，強化審計管理力度配套完善4A管理制度周期性的進行資源賬號、授權數據的同步和校對完善應急處理流程，進行分系統的周期性檢查、演練周期性的技術宣貫和培訓 。。。。。。管理和維護概要123產品概況Ultra-IAM產品介紹建設關注點4案例介紹主要案例-電信行業用戶及項目名稱建設部門主要模塊電信中國移動集團網絡安全管控平臺建設工程網管中心、數據業務中心Ultra-IAM全部模塊Ultra-ESA全部模塊電信中國移動集團南方基地支撐系統集中化4A系統一期工程網管支撐系統、管理支撐系統、業務支撐系統Ultra-IAM全部模塊Ultra-ESA全部模塊電信廣東移動4A管理平臺建設項目集成開發商選型管理信息部Ultra-IAM全部模塊Ultra-ESA全部模塊電信湖南移動業務支撐網4A管理平臺一期工程業務支撐系統Ultra-ESA全部模塊電信四川公司2009年業務支撐系統安全門戶平臺(4A)業務支撐系統Ultra-IAM全部模塊Ultra-ESA全部模塊電信河北移動EOMS四期工程應用軟件開發和集成服務