【導(dǎo)讀】XXX單位統(tǒng)一用戶身份管理解決方案。二〇二〇年十二月。實(shí)現(xiàn)集中身份認(rèn)證和訪問控制，避免冒名訪問，提高訪問安全性........18. 實(shí)現(xiàn)實(shí)名運(yùn)維審計，滿

　　

【正文】 自動生成統(tǒng)計報表，并能按照 用戶 的要求添加、修改報表數(shù)量、格式及內(nèi)容，以滿足審計的要求。 還原審計 審計管理以集中的資源管理為基礎(chǔ)，實(shí)現(xiàn)用戶資源訪問會話的還原審計。 ? 對于字符 訪問 ，可以還原完整的用戶會話內(nèi)容： 統(tǒng)一用戶身份 管理平臺在會話層 記錄 各種操作命令， 形成會話 日志，進(jìn)行審計。 ? 對于 RDP 類訪問，可以對用戶的會話進(jìn)行錄像，完整記錄用戶的圖形操作。 4 客戶 收益 實(shí)現(xiàn)集中帳號管理，降低管理費(fèi)用 ? 實(shí)現(xiàn)對用戶帳號的統(tǒng)一管理和維護(hù) 在實(shí)現(xiàn)集中帳號管理前，每一個新上線系統(tǒng)均需要建立一套新的用戶帳號管理系統(tǒng)，并且分別由各自的管理員負(fù)責(zé)維護(hù)和管理。這種相對獨(dú)立的帳號管理系統(tǒng)不僅建設(shè)前期投入成本較高，而且后期管理維護(hù)成本也會成倍增加。而通過統(tǒng)一用戶身份 管理平臺 的集中帳號管理，可實(shí)現(xiàn)對 IT 系統(tǒng)所需的帳號基礎(chǔ)信息（包括用戶身份信息、機(jī)構(gòu)部門信息、其他公司相關(guān)信息，以及生命周期信息等）進(jìn)行標(biāo)準(zhǔn)化的管理，能夠?yàn)楦?IT 系統(tǒng)提供基礎(chǔ)的用戶信息源。通過統(tǒng)一用戶信息維護(hù)入口，保證各系統(tǒng)的用 戶帳號信息的唯一性和同步更新。 ? 解決 用戶 帳號 共享 問題 主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備 、應(yīng)用系統(tǒng) 中存在大量的共享帳號 ，當(dāng) 發(fā)生安全事故 時 ，難于確定帳號的實(shí)際使用者 ，通過部署 統(tǒng)一用戶身份 管理平臺 ，可以解決共享帳號問題。 XXX 單位 統(tǒng)一用戶身份管理 解決方案 18 ? 解決帳號鎖定問題 用戶登錄失敗五次，應(yīng)對帳號進(jìn)行鎖定 。 網(wǎng)絡(luò)設(shè)備、主機(jī)、 數(shù)據(jù)庫 系統(tǒng)等大 都不支持帳號鎖定功能。 通過部署 統(tǒng)一用戶身份 管理平臺 ，可以實(shí)現(xiàn)用戶帳號鎖定、一鍵刪除等功能。 實(shí)現(xiàn)集中身份認(rèn)證和訪問控制，避免冒名訪問，提高訪問安全性 ? 提供集中身份認(rèn)證服務(wù) 實(shí)現(xiàn)用戶訪問 IT 系統(tǒng)的認(rèn)證入口集中化和統(tǒng)一化，并實(shí) 現(xiàn)高強(qiáng)度的認(rèn)證方式，使整個 IT 系統(tǒng)的登錄和認(rèn)證行為可控制及可管理，從而提升業(yè)務(wù)連續(xù)性和系統(tǒng)安全性。 ? 實(shí)現(xiàn)用戶密碼管理，滿足 SOX 法案內(nèi)控管理的要求 多數(shù)企業(yè) 對 主機(jī) 、網(wǎng)絡(luò) 設(shè)備 、數(shù)據(jù)庫的訪問都是基于 “ 用戶名 +靜態(tài)密碼 ”訪問，密碼長期不更換，密碼重復(fù)嘗試的次數(shù)也沒有限制， 這些都 不能滿足 SOX法案內(nèi)控管理的需求 。 僅通過制度 要求 用戶在密碼更換、密碼設(shè)定 等方面 滿足SOX 相關(guān) 要求， 無法 在具體執(zhí)行過程中 對用戶 進(jìn)行有效監(jiān)督和檢查。 統(tǒng)一用戶身份 管理平臺 通過建設(shè)集中 的認(rèn)證系統(tǒng)， 并結(jié)合集中帳號管理的相關(guān)功能， 實(shí)現(xiàn)用戶 密碼管理 ，密碼 自動變更 ，提高系統(tǒng)認(rèn)證的安全性。 ? 實(shí)現(xiàn)對用戶的統(tǒng)一接入訪問控制功能 部署 統(tǒng)一用戶身份 管理平臺 主機(jī)前，維護(hù)人員接入 IT 系統(tǒng)進(jìn)行維護(hù)操作具有接入方式多樣、接入點(diǎn)分散的特點(diǎn)。而維護(hù)人員中很多是代維人員，這些代維人員來自于各集成商或設(shè)備供應(yīng)商，人員參差不齊，流動性大。由于維護(hù)人員對系統(tǒng)擁有過大權(quán)限，缺乏對其進(jìn)行訪問控制和行為審計的手段，存在極大的安全隱患。 統(tǒng)一用戶身份 管理平臺 統(tǒng)一維護(hù)人員訪問系統(tǒng)和設(shè)備的入口，提供訪問控制功能，有效的解決人員的操作 風(fēng)險 問題，降低相關(guān) IT 系統(tǒng)的安全風(fēng)險。 實(shí)現(xiàn)集中授權(quán)管理，簡化授權(quán)流程 ，減輕管理壓力 ? 實(shí)現(xiàn)統(tǒng)一的授權(quán)管理 各系統(tǒng)分別管理所屬的資源，并為本系統(tǒng)的用戶分配權(quán)限，若沒有集中統(tǒng)XXX 單位 統(tǒng)一用戶身份管理 解決方案 19 一的資源授權(quán)管理平臺，授權(quán)管理任務(wù)隨著用戶數(shù)量的增加越來越重，系統(tǒng)的安全性也無法得到充分保證。 統(tǒng)一用戶身份 管理平臺 實(shí)現(xiàn)統(tǒng)一的授權(quán)管理，對所有被管系統(tǒng)的授權(quán)信息進(jìn)行標(biāo)準(zhǔn)化的管理，減輕管理員的管理工作，提升系統(tǒng)安全性。 ? 授權(quán)流程化管理 通過 統(tǒng)一用戶身份 管理平臺 ， 管理層 可容易地 對用戶權(quán)限進(jìn)行 審查，并確保 用戶的權(quán)限中不能有 不 兼容職責(zé) ， 用戶只能擁有與身份相符的權(quán)限 ， 授權(quán) 也 有相應(yīng)的工作流審批 。 實(shí)現(xiàn)單點(diǎn)登錄，規(guī)范操作過程 ，簡化操作流程 ? 單點(diǎn)登錄 統(tǒng)一用戶身份 管理平臺 提供了基于 B/S 的單點(diǎn)登錄系統(tǒng)，用戶通過一次登錄系統(tǒng)后，就可以無需認(rèn)證的訪問包括被授權(quán)的多種基于 B/S 和 C/S 的系統(tǒng)。單點(diǎn)登錄為具有多帳號的用戶提供了方便快捷的訪問途經(jīng)，使用戶無需記憶多種登錄用戶 ID 和口令。它通過向用戶和客戶提供對其個性化資源的快捷訪問來提高生產(chǎn)效率。同時，單點(diǎn)登錄可以實(shí)現(xiàn)與用戶授權(quán)管理的無縫連接，這樣可以通過對用戶、角色、行為和資源的授權(quán)，增加對資源的保護(hù)，和對用戶行為的監(jiān)控及審計。 ? 規(guī)范操作流程 規(guī)范操作人員和第三方代維廠商的操作行為。通過 統(tǒng)一用戶身份 管理平臺的部署，所有系統(tǒng)管理人員，第三方系統(tǒng)維護(hù)人員，都必須通過 統(tǒng)一用戶身份 管理平臺 來實(shí)施網(wǎng)絡(luò)管理和服務(wù)器維護(hù)。對所有操作行為做到可控制、可審計、可追蹤。審計人員定期對維護(hù)人員的操作進(jìn)行審計，以提高維護(hù)人員的操作規(guī)范性。 統(tǒng)一用戶身份 管理平臺 規(guī)范了運(yùn)維操作的工作流程，將管理員從繁瑣的密碼管理工作中解放出來，投入到其他工作上，對第三方代維廠商的維護(hù)操作也不再需要專門陪同，從而有效提高了運(yùn)維管理效率。 實(shí)現(xiàn)實(shí)名運(yùn)維審計，滿足安全規(guī)范要求 ? 實(shí)現(xiàn)集中的日志審計功能 XXX 單位 統(tǒng)一用戶身份管理 解決方案 20 各系統(tǒng)相互獨(dú)立的日志審計，無法進(jìn)行綜合 日志分析，很難通過日志審計發(fā)現(xiàn)異?；蜻`規(guī)行為。 統(tǒng)一用戶身份 管理平臺 提供集中的日志審計，能關(guān)聯(lián)用戶的操作行為，對非法登錄和非法操作快速發(fā)現(xiàn)、分析、定位和響應(yīng)，為安全審計和追蹤提供依據(jù)。 ? 輔助審查 通過集中的日志審計，可以收集用戶 訪問網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫的操作日志記錄 ，并對 日志記錄需要定期進(jìn)行 審查， 滿足保監(jiān)會《 保險公司公司內(nèi)部審計指引 》 中關(guān)于日志審計的需求，真正實(shí)現(xiàn)關(guān)聯(lián)到自然人的日志審計。 5 方案特點(diǎn) 技術(shù)成熟性 堡壘主機(jī)系統(tǒng) 的開發(fā) 研制中，我們盡量采用了成熟的先進(jìn)技術(shù)，對系統(tǒng)的關(guān)鍵技術(shù)在前期的工作中進(jìn)行了大量實(shí)驗(yàn)和攻關(guān)及原型建立，在已開發(fā)并經(jīng)廣泛測試的產(chǎn)品中，上述的關(guān)鍵技術(shù)問題已解決。而且， 堡壘主機(jī)系統(tǒng) 所選取的硬件平臺和軟件平臺，是具有良好的技術(shù)支持和發(fā)展前途的成熟產(chǎn)品。 業(yè)務(wù)需求可靠性 我們進(jìn)行了詳細(xì)的需求調(diào)研和業(yè)務(wù)建模，使業(yè)務(wù)管理模式和業(yè)務(wù)內(nèi)容（包括崗位設(shè)置、工作程序及其要求等）均符合我國現(xiàn)行法律、法規(guī)的規(guī)定和要求；并且，有機(jī)地融合了集中和分布兩種模式的模 塊化、平臺化的應(yīng)用軟件，不僅可以滿足網(wǎng)絡(luò)安全管理的各種需求，而且，還能夠較好地解決業(yè)務(wù)需求可能面臨的擴(kuò)充及變動，具有較好的通用性與靈活的擴(kuò)展及升級能力。 可擴(kuò)展性 在保證系統(tǒng)接口統(tǒng)一性和系統(tǒng)結(jié)構(gòu)完整性的前提下，本系統(tǒng)提倡在總體設(shè)計XXX 單位 統(tǒng)一用戶身份管理 解決方案 21 的前提下，分步實(shí)施系統(tǒng)的每一個環(huán)節(jié)，保證了接口統(tǒng)一和系統(tǒng)結(jié)構(gòu)完整性的設(shè)計，避免重復(fù)建設(shè)、重復(fù)投資、系統(tǒng)接口不吻合、業(yè)務(wù)關(guān)聯(lián)脫節(jié)等等弊端。 安全性 堡壘主機(jī)系統(tǒng) 運(yùn)用了先進(jìn)的加密、過濾、備份、數(shù)字簽名與身份認(rèn)證 、權(quán)限管理等安全手段，建立健全的系統(tǒng)安全機(jī)制，保證了用戶的合法性和數(shù)據(jù)不被非法盜取，從而保證產(chǎn)品的安全性。