【文章內(nèi)容簡介】 系結(jié)構(gòu)出發(fā)，綜合考慮信息網(wǎng)絡(luò)的各種實體和各個環(huán)節(jié)，綜合使用不同層次的不同安全手段，為信息網(wǎng)絡(luò)和安全業(yè)務(wù)提供全方位的管理和服務(wù)。 ? 標(biāo)準(zhǔn)化、一致性原則 XXX 單位 統(tǒng)一用戶身份管理項目 采購項目 安全體系的設(shè)計遵循一系列國家標(biāo)準(zhǔn)，整個系統(tǒng)安全地互聯(lián)互通。 ? 需求、風(fēng)險、成本折衷原則 任何網(wǎng)絡(luò)和信息系統(tǒng)都不能做到絕對的安全，設(shè)計時在不影響原網(wǎng)絡(luò)性能和設(shè)計要求的情況下，在安全需求、安全風(fēng)險和安全成本之間進(jìn)行平衡和折衷。 ? 實用、高效、可擴(kuò)展原則 安全保障系統(tǒng)所采用的產(chǎn)品，便于操作、實用高效。同時隨著技術(shù)發(fā)展，XXX 單位 信息系統(tǒng)也將發(fā)生各種變化，在系統(tǒng)實施過程中，系統(tǒng)的結(jié)構(gòu)、配置也會 發(fā)生變化，系統(tǒng)的安全工程要有一定的靈活性來適應(yīng)這種變化，做到層次性、體系性，既有利于系統(tǒng)的安全，又有利于系統(tǒng)的擴(kuò)展。 XXX 單位 統(tǒng)一用戶身份管理 解決方案 8 ? 技術(shù)和管理相結(jié)合原則 各種安全技術(shù)應(yīng)該與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合，從社會工程學(xué)的角度綜合考慮。 遵循與參考的標(biāo)準(zhǔn)和規(guī)范 1） 國家保密標(biāo)準(zhǔn) BMZ22020《涉及國家秘密的計算機(jī)信息系統(tǒng)安全保密方案設(shè)計指南》 2） 國家保密標(biāo)準(zhǔn) BMZ12020，《涉及國家秘密的計算機(jī)信息系統(tǒng)保密技術(shù)要求》 3） 國家保密標(biāo)準(zhǔn)《計算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》（國保發(fā) {1998}1號） 4） 國 家標(biāo)準(zhǔn) GB178591999，《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》 5） 國家標(biāo)準(zhǔn) GB/，《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 第 2 部分 : 安全功能要求》 6） ISO27001/ISO17799:2020/BS7799,《信息安全管理技術(shù)規(guī)范》。 選型 本投標(biāo)方案選用 堡壘主機(jī)系統(tǒng) 完成 XXX 單位 統(tǒng)一用戶身份管理項目 建設(shè)。 堡壘主機(jī)系統(tǒng) 是安全管理 體系 的重要組成部分，部署在 單位 的內(nèi)部網(wǎng)絡(luò)中，用于保護(hù) 單位 內(nèi)部資源和網(wǎng)絡(luò)的安全性。 堡壘主機(jī)系統(tǒng) 應(yīng)用了目前先進(jìn)的技術(shù)作為支持，針對企業(yè)內(nèi)部 核心服務(wù)器 、網(wǎng)絡(luò)設(shè)備和 應(yīng)用 進(jìn)行保護(hù)，對此類資產(chǎn)的常用訪問方式進(jìn)行監(jiān)控和審計，例如對字符終端、圖形終端等訪問方式進(jìn)行監(jiān)控和審計，實現(xiàn) 對用戶行為 的 控制、追蹤、判定，滿足企業(yè)內(nèi)部網(wǎng)絡(luò)對安全性的要求。 XXX 單位 統(tǒng)一用戶身份管理 解決方案 9 設(shè)計思路 因為運(yùn)維操作的風(fēng)險來源于管理模式、用戶、操作等各個方面，所以我們給用戶提供的是一個對操作進(jìn)行集中管理，對身份、訪問、權(quán)限、審計進(jìn)行控制，真正 幫助用戶降低運(yùn)維操作風(fēng)險的整體解決方案，而不是一個單純的 安全 產(chǎn)品 。 集中管理 管理模式是首要因素，管理是從一個很高的高度，綜合考慮整體的情況，然后制定相應(yīng)的策略，最后落實到技術(shù)實現(xiàn)上。管理解決的是面的問題，技術(shù)解決的是點的問題，管理的模式?jīng)Q定了管理的高度。 隨著應(yīng)用的發(fā)展，設(shè)備越來越多，維護(hù)人員也越來越多，我們必須對操作進(jìn)行集中管理。只有集中才能夠?qū)崿F(xiàn)統(tǒng)一管理，也只有集中管理才能把復(fù)雜問題簡單化，集中管理是運(yùn)維管理思想發(fā)展的必然趨勢，也是唯一的選擇。 集中管理包括：集中的 資源 訪問入口、集中帳號管理、集中授權(quán)管理、集中認(rèn)證、集中審計等等。 協(xié)議代理技術(shù) 為了對 字符終端、 圖形終端操作行為進(jìn)行審計和監(jiān)控， 堡壘主機(jī)系統(tǒng) 提供訪XXX 單位 統(tǒng)一用戶身份管理 解決方案 10 問控制模塊對 各種字符終端和 圖形終端使用的協(xié)議進(jìn)行代理，實現(xiàn)多平臺的 操作支持和 審計，例如 Tel、 SSH、 FTP、 SFTP， Windows 平臺的 RDP 圖形終端操作，Linux/Unix 平臺的 XWindow 圖形終端操作 等 。 身份授權(quán)分離 以前管理員依靠各 IT 系統(tǒng)上的系統(tǒng)帳號完成兩部分功能：身份認(rèn)證和系統(tǒng)授權(quán)，但是因為共享帳號、弱口令帳號等問題存在，這兩方面功能實際都不能達(dá)到預(yù)期的效果。 在 統(tǒng)一用戶身份管理平臺 上建立主帳號體系，用于身份認(rèn)證，原各 IT 系統(tǒng)上的系統(tǒng)帳號僅用于系統(tǒng)授權(quán)，可以有效增強(qiáng)身份認(rèn)證和系統(tǒng)授權(quán)的可靠性。 功能 實現(xiàn) 主帳號 管理 使用 統(tǒng)一用戶身份 管理平臺 的 用戶 大致可分為普通用戶 和 具有不同角色的管理員 。 主帳號 管理將實現(xiàn)對用戶的集中管理及用戶的集中授權(quán)管理。 主帳號 管理功能包括 主帳號 的創(chuàng)建， 主帳號 基本信息維護(hù) ， 主帳號 資源角色授權(quán)（ 主帳號XXX 單位 統(tǒng)一用戶身份管理 解決方案 11 資源訪問授權(quán)）， 主帳號 的鎖定， 主帳號 刪除等。 主帳號 創(chuàng)建 及 基本信息維護(hù) ? 主帳號 創(chuàng)建 主帳號 創(chuàng)建可以理解為 主帳號 的入職。 由超級管理員負(fù)責(zé)為新增用戶創(chuàng)建主帳號 ，這些 主帳號具有不同資源的訪問權(quán)限。 ? 主帳號 的基本信息包括 主帳號 ID，名稱，密碼，密碼策略，訪問時間策略，訪問鎖定策略，客戶端地址策略，狀態(tài)，手機(jī)，電話，郵件，通信地址 等 。 ? 基本 信息維護(hù) 基本信息維護(hù)同樣分為兩個方面： 第一個方面是 主帳號 自維護(hù)基本信息，包括，用戶的名稱，口令，手機(jī)，電話，通信地址等，第二個方面是管理員負(fù)責(zé)維護(hù) 主帳號 基本信息，內(nèi)容囊括了所有第一方面的內(nèi)容外，還包括：密碼策略的分配，訪問時間策略的分配，訪問鎖定策略的分配，客戶端地址策略的分配等。 主帳號 資源 訪問授權(quán) 主帳號 資源 訪問授權(quán)是 主帳號 訪問 資源 的必要環(huán)節(jié)，只有經(jīng)過此項授權(quán)的 主帳號 ，才能夠訪問 資源 。 針對每個授權(quán)都可以 指定它的訪問時間策略，客戶端地址策略，主機(jī)命令策略 等 。 主帳號 鎖定 鎖定狀態(tài)是 主帳號 狀態(tài)的一種， 主帳 號 鎖定可以有兩種情況發(fā)生。第一種是由于 主帳號 分配了鎖定策略，并且登錄時連續(xù)輸入錯誤口令次數(shù)超出了訪問鎖定策略規(guī)定的范圍，導(dǎo)致 主帳號 處于鎖定 狀態(tài) ；另一種是由管理員維護(hù) 主帳號 信息時，點擊了該 主帳號 的鎖定按鈕，致使該 主帳號 處于鎖定狀態(tài)。 主帳號 刪除 主帳號 刪除功能是 將 主帳號 基本資料徹底從 統(tǒng)一用戶身份 管理平臺 中刪除。刪除的 主帳號 應(yīng)該是無用處的賬號。及時刪除僵尸帳號 ，這樣保證了整個業(yè)務(wù)的XXX 單位 統(tǒng)一用戶身份管理 解決方案 12 完整性，也可防止 其他 人員使用僵尸帳號進(jìn)行破壞行為。 資源管理 資源 管理 與 主帳號 管理同樣是系統(tǒng)的核心部分。資源管理主要負(fù)責(zé)管理不同類型 的資源，其中包括不同類型主機(jī)系統(tǒng)，網(wǎng)絡(luò)設(shè)備， 安全設(shè)備 ，應(yīng)用系統(tǒng) 等。這些不同類型的資源組成了整個 統(tǒng)一用戶身份 管理平臺 的訪問對象，也是保護(hù)對象。 資源管理主要包含兩個大模塊：資源管理和資源 從 賬號管理。資源管理主要 是對 不同類型的資源進(jìn)行劃分。 從 賬號管理則依附于不同的資源。訪問資源就是訪問資源的 從 賬號，這里也是操作的核心部分。 資源 創(chuàng)建 及 基本信息維護(hù) ? 資源 創(chuàng)建 資源 創(chuàng)建是對設(shè)備的基本信息進(jìn)行錄入，內(nèi)容包括： 資源 名稱、 IP 地址、描述等 。 ? 基本信息維護(hù) 基本信息維護(hù) 主要針對設(shè)備的常見配置信息，例如 IP 地址，密碼策略，資 源名稱