统一安全管理平台解决方案
4A是指:认证Authentication、授权Authorization、账号Account、审计Audit
中文名称为统一安全管理平台解决方案。即将身份认证、授权、记账和审计定义为网络安全的四大组成部分,从而确立了身份认证在整个网络安全系统中的地位与作用。
1)集中帐号(account)管理
为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。
2)集中认证(authentication)管理
可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(一次性口令、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理,并且能够为用户提供统一的认证门户,实现企业信息资源访问的单点登录。
3)集中权限(authorization)管理
可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制,也可以实现对数据库、主机及网络设备的操作的权限控制,资源控制类型既包括B/S的URL、C/S的功能模块,也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。
4)集中审计(audit)管理
将用户所有的操作日志集中记录管理和分析,不仅可以对用户行为进行监控,并且可以通过集中的审计数据进行数据挖掘,以便于事后的安全事故责任的认定。
需求分析:
近年来企业用户的业务系统发展十分迅速,内部的系统数和用户数不断增加,网络规模迅速扩大,在应用扩展的同时,各业务系统的安全管理工作相对滞后,无法满足企业发展的长期要求。
各系统中有大量的网络设备、主机和应用系统,分别归属于不同的部门进行维护管理。各系统都有一套独立的认证、授权和审计机制,分别由相应的系统管理员负责维护和管理。帐号繁多,管理困难,管理成本较高;对于离职或者工作岗位变更的用户,很难干净彻底的删除或者禁止相应帐号;有些帐号多人共用,不仅易于发生安全事故,难以定位帐号的实际使用者。缺乏集中统一的资源授权管理平台,无法严格按照最小权限原则分配权限;随着用户数量的增加,权限管理任务越来越重。用户经常要在各个系统之间切换,每次都需要输入用户名和口令进行登录,给用户的工作带来不便,影响了工作效率。现有的日志量过大,无法有效审计。需要一套集中的账号、认证、授权、审计管理系统,解决日常安全管理问题。
功能:
对重要的账号、重要操作实现“二次授权”管理。加强核心数据的保护,提升数据安全防护能力和管理能力
实现对大量日志的有效审计
实现权限的统一展现、统一收集、统一变更、统一回收
提供统一的单点登录门户,实现“一次登录到处通行”,避免记录和输入多个系统密码题,提升用户登录效率和使用感知
全网系统统一集中认证,针对不同类型不同级别的用户采用不同的认证模式,保障用户的登录的安全性和合法性
集中管理全网账号信息,对账号进行全生命周期,建立全网账号的可视、可控、可管运维体系
参考案例:
日常安全管理存在如下问题:
1、安全管理员和业务管理员日常账号、权限管理维护工作量大,现有人员无法满足日常管理需求。
2、全网缺乏统一的账号密码管理策略,冗余账号、呆账号定期梳理无法满足。
3、各系统账号不统一,由各应用系统分别增加,缺乏统一的命名规则和集中的管理。
4、日常运维操作和业务操作目前只有记录,无法有效通过审计发现异常。
5、内部数据安全缺乏有效防护,发生数据被内部导出泄露风险。
解决方案
部署4A管控平台,实现系统资源和应用资源的账号管理、认证管理、授权管理、审计管理。
1、制定全网统一命名规范,关联自认人。利用4A账号和权限集中采集、增加、删除、修改功能,当人员入职或变更时,通过4A平台统一进行操作,解决运维人员在多个系统中重复增加、删除或调整权限工作,提升工作效率。
2、由4A平台自动修改系统资源密码,防止系统出现弱口令。
3、基于场景的运维操作和业务操作统计分析,及时发现账号、权限或操作异常。如僵尸账号、呆账号、异常时间操作账号或命令、异常频次操作的账号或命令等。
4、利用金库管理能力,对高危账号、高危数据操作行为进行管控。利用零下载功能,为每个用户建立基于4A的个人文件夹,从数据的访问、下载、使用各个简单进行控制,防止敏感数据下载到本地。对需要下载的数据进行二次审批,防止数据泄露。
