东软集团：统一身份管控系统技术白皮书（12页）.pdf

1、 东软东软统一身份管控系统统一身份管控系统 技术白皮书技术白皮书 内控堡垒主机 技术白皮书-1-目目 录录 1 背景.-1-1.1 概述.-1-1.2 适用场景.-1-2 产品概述.-2-2.1 产品简介.-2-3 产品功能.-3-3.1 综述.-3-3.2 集中帐号管理.-3-3.2.1 帐号的收集与同步.-3-3.2.2 帐号生命周期管理.-3-3.2.3 密码策略管理.-4-3.3 统一认证管理.-4-3.3.1 自然人统一身份认证.-4-3.3.2 资源帐号统一认证.-4-3.3.3 单点登录.-5-3.3.4 外部认证.-5-3.3.5 认证策略.-5-3.4 统一授权管理.-5-3

2、.4.1 集中授权.-6-3.4.2 访问控制.-6-3.4.3 堡垒主机.-6-3.4.4 用户授权.-6-3.4.5 角色授权.-7-3.4.6 资源授权.-7-3.4.7 行为授权.-7-3.5 综合审计.-7-3.5.1 日志采集.-7-3.5.2 关联分析.-8-3.5.3 统计报表.-8-3.5.4 审计回放.-8-3.5.5 告警管理.-8-4 产品特点.-9-4.1 业务访问全过程审计.-9-4.2 强大的审计功能.-9-4.3 安全的数据存储机制.-9-4.4 可扩展性.-9-4.5 高成熟性和安全性.-10-内控堡垒主机 技术白皮书-1-1 背景背景 1.1 概述概述 随着

3、信息业务的发展，各种信息系统的种类和数量不断增加，给信息安全管理带来了新的问题，主要包括：1)各应用系统相对独立且网元数量众多，无法进行统一的用户鉴权和日志管理。2)用户管理难度大，系统多、人员变更频繁，单纯依靠人工的方式难以实现及时有效的用户管理，大量的用户名和密码不便于维护人员记忆。3)各系统的日志相互独立，缺乏集中统一的系统访问审计，无法进行综合分析。1.2 适用场景适用场景 统一身份管控系统，适合应用于各行业各领域业务系统的帐号管理、统一认证授权、综合审计运维工作中，实现对系统帐号和应用帐号集中管理和综合审计。内控堡垒主机 技术白皮书-2-2 产品概述产品概述 2.1 产品简介产品简介

4、 统一身份管控系统实现用户操作实名制，将自然人帐号与各系统上的帐号建立对应管理，实现自然人帐号与各种业务操作的对应。统一认证支持多种认证方式。统一授权管理实现自然人帐号与被维护资源帐号的映射关系，实现在自然人帐号对应资源帐号的一对多关系，在自然人完成认证之后能在统一身份管控系统上显示对应可访问资源的列表。综合审计实现对多种审计部件审计数据的采集，在采集数据后进行基于访问行为的关联分析。内控堡垒主机 技术白皮书-3-3 产品功能产品功能 3.1 综述综述 统一身份管控系统，对所管管理资源的系统帐号和应用帐号进行集中管理、统一认证、集中授权和综合审计。统一身份管控系统通过对自然人身份以及资源、从帐

5、号的集中管理建立“自然人帐号资源从帐号”对应关系，实现自然人帐号与从帐号的映射关系，实现自然人对资源的统一授权，同时，对授权人员的业务操作行为进行记录、分析、展现。3.2 集中集中帐号管理帐号管理 集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理，而且还降低了管理大量用户帐号的难度和工作量。通过集中帐号管理，企业可以实现将帐号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。3.2.1 帐号的收集与同步帐号

6、的收集与同步 统一身份管控系统能够自动发现主机、网络设备、数据库上的已有帐号。系统可以定期手动触发或自动搜索所有被管理的系统，收集所有新创建、被修改的帐号，还可以收集所有帐号与统一身份管控系统的帐号做比对。系统还可以通过帐号推送机制，通过统一身份管控系统在被管系统中创建新的帐号。统一身份管控系统还可以与应用系统做帐号的同步。3.2.2 帐号生命周期管理帐号生命周期管理 帐号生命周期管理是指对用户从产生到删除各存在状态进行管理。包括统一的用户创建、维护、删除等功能。统一的帐号审批管理流程(添加、修改、禁用、启用、删除)。制定人员兼职、调动、离职的管理机制。内控堡垒主机 技术白皮书-4-3.2.3