安全隐患
信息泄密的主要途径往往是内部的系统管理人员。 系统运维人员需要在现场或远程对后台的服务器、数据库、网络设备进行维护。学校内部的系统管理员将不得不把相关的用户名、口令、设备端口等敏感信息告知这些外部厂家的技术人员。按照规定,现场维护人员应该把自己的所有操作都记录下来,并且有校方内部的人员在旁边进行监管。但是在实际工作中,这几乎是不可能的。当此次运维工作完成后,按照规定,系统管理员应该更改操作用户的密码,避免密码泄露到外部。但是实际情况却可能是:系统管理员往往忘记了更改密码。所以,经常出现的一种安全漏洞就是
整体架构
产品功能及特点
账号管理
在业务支撑网环境中,集中维护包括用户(主账号)和资源(从账号)在内的全部账号以及和账号相关的可在管理平台账号管理模块中集中管理的账号属性。
认证管理
根据访问对象由认证功能模块来提供强认证服务。建恒集中身份认证提供KEY、数字证书认认证、动态令牌证、生物特征认证等多种组合认证方式;并且传输过程加密。
授权管理
授权管理,包括支撑系统中全部资源的实体级授权和实体内授权。 实体级授权,即主账号代表的用户可以访问哪些资源的授权。 实体内授权,包括基于角色的授权和细粒度权限授权。
审计管理
安全审计管理主要审计人员的账号分配情况、权限分配情况、账号使用情况、资源使用情况等。建恒身份及访问管理系统通过系统自身的用户认证系统、用户授权系统,以及访问控制系统等详细记录整个会话过程中用户的全部行为。
高成熟性和安全性
系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段,建立健全的系统安全机制,保证了用户的合法性和数据不被非法盗取,从而保证产品的安全性。
良好的可扩展性
在4A项目中,身份及访问管理系统放弃账号、认证、授权的集中管理,只提供执行单元,完成访问控制和操作审计功能;在非4A项目中,除提供基础的访问控制和操作审计功能外,还提供精简的账号、认证、授权集中管理功能。
全面的信息系统和数据监控及访问控制
身份及访问管理系统除了对服务器和数据库的监控, 还能控制和管理交换换机、路由器, 防止假冒网络地址的窃取行为。在日常运行中,身份及访问管理系统能够提供细粒度的智能访问控制,最大限度保护用户资源的安全。
智能而强大的审计功能
身份及访问管理系统监控的都是人工操作,也就是所有操作都被监控,不会有冗余的无效日志。同时,身份及访问管理系统精确记录用户操作时间,审计结果支持多种展现方式,让操作得以完整还原。
部署迅速上线,使用简单
系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段,建立健全的系统安全机制,保证了用户的合法性和数据不被非法盗取,从而保证产品的安全性。
命令的实时审计和拦截控制
身份及访问管理系统操作简单, 不用设置复杂策略。 尤其是对于操作不熟练的领导来说, 只要分配下属的权限和看审计日志就行了。不增加操作和维护的复杂度,不改变用户的使用习惯,不影响被管理设备的运行。
加密协议审计
身份及访问管理系统支持对SSH、SFTP等加密类协议,以及RDP、VNC、X11等图形协议进行全面审计。可以记录操作命令、操作过程中的键盘事件,同时可以对操作过程进行实时监控、录像、回放。
部署方案
建恒身份及访问管理系统建立企业统一安全目录,梳理用户树和资源树的管理关系
加强身份认证建恒身份及访问管理系统的单点登陆为具有多账号的用户提供了方便快捷的访问途经。
访问控制建恒身份及访问管理系统能够提供细粒度的访问控制,最大限度保护用户资源的安全。
授权的粒度控制建恒身份及访问管理系统解决方案可实现完善的授权管理功能,从用户、角色和资源进行用户授权管理。
用户树、资源树与分级管理建恒身份及访问管理系统建立企业统一安全目录,梳理用户树和资源树的管理关系
用户账号的生命周期管理能按照企业的实际用户管理流程进行选择和定制。