华为集中安全管理系统

HUAWEITECHNOLOGIESCO.,LTD.华为CSMS集中安全管理系统解决方案HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage2目录z现状与需求分析z华为CSMS解决方案‡系统架构与功能‡应用场景‡系统交付‡投资收益z成功案例HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage3普通用户层面存在的安全问题我是新来员工小张，来了三天了，邮件帐号怎么还没下来？我是新来员工小张，来了三天了，邮件帐号怎么还没下来？我的报销系统密码忘了，怎么办呢？我的报销系统密码忘了，怎么办呢？我要用WindowsAD、OA、邮件、报销系统……有太多用户口令要记忆了，密码干脆都设置为123我要用WindowsAD、OA、邮件、报销系统……有太多用户口令要记忆了，密码干脆都设置为123我要登录WindowsAD、OA、邮件、报销系统……系统切换总是要重复输入密码,真烦！我要登录WindowsAD、OA、邮件、报销系统……系统切换总是要重复输入密码,真烦！我换部门了，呵呵，原来的服务器依然可以访问……我换部门了，呵呵，原来的服务器依然可以访问……昨天让张三帮忙收邮件把密码告诉他了,我的其它密码也是这个,得全部改掉昨天让张三帮忙收邮件把密码告诉他了,我的其它密码也是这个,得全部改掉HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage4系统管理员层面存在的安全问题我要维护多台HP-UX、AIX、Solaris、LINUX主机，总是在不同系统之间切换，需要重复输入用户和口令，浪费很多时间。我要维护多台HP-UX、AIX、Solaris、LINUX主机，总是在不同系统之间切换，需要重复输入用户和口令，浪费很多时间。张三离职了，他的帐号怎么还在？要是有人非法利用他的帐号怎么办？张三离职了，他的帐号怎么还在？要是有人非法利用他的帐号怎么办？企业员工、系统维护人员、第三方厂商人员都需要访问业务系统，要是有一个统一的管理平台就好了企业员工、系统维护人员、第三方厂商人员都需要访问业务系统，要是有一个统一的管理平台就好了每个系统一套自己的日志，发生事故了，怎么从这些零星的日志中发现安全原因？每个系统一套自己的日志，发生事故了，怎么从这些零星的日志中发现安全原因？我和李四都用root帐号，上次张三不小心把系统搞DOWN了，领导还在追查我呢我和李四都用root帐号，上次张三不小心把系统搞DOWN了，领导还在追查我呢朋友手机没钱了，怎么才能登上充值系统，给他充个一千块？……朋友手机没钱了，怎么才能登上充值系统，给他充个一千块？……HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage5领导层面关注的安全问题安全系统的建设，是否符合相关标准和法律法规？如SOX法案。安全系统的建设，是否符合相关标准和法律法规？如SOX法案。安全系统的建设是否符合公司安全策略，适用未来发展需要？安全系统的建设是否符合公司安全策略，适用未来发展需要？安全系统的建设，能否预防先前发生的一些安全事故？如智能网盗卡事件、非法群发短信事件等。安全系统的建设，能否预防先前发生的一些安全事故？如智能网盗卡事件、非法群发短信事件等。安全系统的建设，能否提高系统安全，保障业务持续运行？如实现身份实名制，加强访问控制、合理授权、审计用户行为等。安全系统的建设，能否提高系统安全，保障业务持续运行？如实现身份实名制，加强访问控制、合理授权、审计用户行为等。安全系统的建设，能否提高管理效率，降低管理和维护成本？如纸面件审批电子化。安全系统的建设，能否提高管理效率，降低管理和维护成本？如纸面件审批电子化。安全系统的建设，能否融合到当前组织架构、管理制度、业务系统，并使之优化？……安全系统的建设，能否融合到当前组织架构、管理制度、业务系统，并使之优化？……HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage6…电信网络运维安全现状分析BOSSBOSS系统系统OAOA系统系统生产系统生产系统网管系统网管系统用户管理z各应用系统都有一套独立的用户管理z有些账号多人共用，经常发生安全事故z系统帐号众多，形成幽灵帐号z采用较简单的口令或多个系统设置相同口令，危害到系统的安全性z大量纸面件的审批和记录，繁琐认证管理z各应用系统都有一套独立的认证管理z进入各系统都要输入用户名密码，降低工作效率z认证方式使用静态口令，安全性低，定期人工更改工作量大授权管理z各应用系统都有一套独立的授权管理z随着用户数量的增加，权限管理任务越来越重z权限控制不清，存在越权访问z缺乏集中统一的资源授权管理安全审计z各应用系统都有一套独立的审计管理z每个业务系统及数据库系统都要分别进行审计z无法对系统运行进行集中安全分析z缺乏统一的系统访问审计z不符合SOX审计需求HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage7面临的问题业务系统BOSSOASOX内控需求设备帐号混乱,形成幽灵帐号业务帐号众多,管理难度大维护风险高,权限不易控制登录不统一,无有效监控普通用户需登录多个系统和记忆大量口令，单点登录需求强烈大量纸面件的审批和记录，繁琐出现安全事故,无行为追溯客户所面临的问题、风险和挑战HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage8‡登陆不同的系统需要分别输入各系统的帐号密码进行认证，退出也需要分别退出‡很多系统的用户权限管理不合理，权限过大，或不必要的授权‡谁什么时间、访问了什么资源、执行了哪些操作，不得而知‡内部员工、外部员工、合作伙伴的访问控制混乱‡同一人需要经常使用企业多个系统，每个系统都有各自的访问接口‡员工入职、调岗、离职时要进行多个系统的账号管理系统需求统一认证门户统一账号管理单点登录统一授权集中日志审计集中访问控制HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage9目录z现状与需求分析z华为CSMS解决方案‡系统架构与功能‡应用场景‡系统交付‡投资收益z成功案例HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage10什么是CSMS?Authentication认证Authorization授权Audit审计•集中管理平台强身份认证及SSO目录服务商用Portal扩展安全审计Account帐号管理帐号管理将自然人与其拥有的所有系统帐号关联，集中进行管理，可结合动态口令、数字证书、生物特征等多种身份认证方式对用户使用系统资源的具体情况进行合理分配多层日志关联，将操作行为与自然人结合进行审计确保必须通过CSMS的认证后才能访问资源HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage11体系架构第三方人员维护人员日志记录日志记录接口管理接口管理系统管理系统管理接入管理接入管理安全管理安全管理资源控制资源控制功能结构日志采集日志采集审计分析审计分析审计策略审计策略综合维护接入平台审计报警审计报警日志集中管理与审计系统安全监控安全监控统一分析统一分析统一报表统一报表帐号口令集中管理系统核心功能层接口适配层通用的帐号、认证接口自定义帐号、认证接口管理员Portal管理员管理系统自身权限管理普通用户Portal自服务集中资源展现运行管理备份管理告警管理资源管理用户管理报表管理集中展现层（中央管理平台）资源管理集中授权角色管理授权管理主账号管理账号管理从账号管理密码管理认证服务集中认证SSO强认证/PKI登录记录登录审计审计分析预警CSMS管理员应用人员HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage12评估调研设计开发实施部署需求调研帐号整理流程梳理满足客户安全需求、符合客户原有习惯、不影响现网系统运行CSMS专业服务架构设计集成与开发流程制订系统对接定制开发平稳过渡HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage13CSMS安全建设目标„增强内控安全，满足SOX法规„梳理系统帐号，增强系统安全„加强对系统的访问控制，提高系统安全性„建立维护工作流，提高维护规范性„建立安全审计中心，及时发现安全问题，追溯违规行为„实现单点登录，增强用户便利„建立管理平台，提高管理效率„集成业务系统，推动业务优化集中认证接入集中认证接入集中授权管理集中授权管理集中帐号口令管理集中帐号口令管理………集中安全审计集中安全审计…HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage14集中帐号管理系统主要功能¾用户自助服务¾用户帐号生命周期审批流程管理集中帐号管理系统主要功能¾一键式帐号创建、变更、删除¾发现非法创建的帐号，并处理¾主机、网络设备、数据库系统帐号集中管理¾自动、定期修改系统账号口令¾业务系统帐号集中管理¾审批工作流的指派和委托代理HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage15集中认证授权系统主要功能¾主机、网络设备、数据库、远程接入认证授权¾基于角色实现实体级的授权和访问控制¾B/S，C/S应用单点登录，提高用户便利性¾统一认证平台支持多种认证方式¾单点登录和帐号管理的紧密结合集中认证授权系统主要功能¾建立集中认证中心，防止非法访问¾B/S，C/S业务系统认证授权¾资源内部应用级访问授权HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage16集中审计系统主要功能¾广泛的日志审计对象支持，利于发现系统安全问题¾提供邮件、声光等实时安全告警¾满足SOX审计需求¾支持集中式，分布式部署方式¾日志关联分析，帮助定位故障集中审计系统主要功能¾丰富的报表展现¾灵活的操作行为分析和回放，利于追溯违规行为¾支持磁带，阵列，NAS，SAN等海量存储空间¾用户账号分配、授权、登录认证的审计HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage17CSMS平台的流程场景C/S应用B/S应用网络设备、主机字符堡垒图形堡垒AMSPortal普通用户运维用户••LDAPLDAPAMSServer主帐号认证授权资源列表单点访问SSO从帐号SSOSSOSSO资源管理（从帐号、授权和审计）帐号管理员审计管理员HTTP模拟Filter方式ACTIVE控件代填TokenForm-BasedHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage18系统功能模块HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage19SynchronizationfunctionzHuaweiEngineDrivermanagementenginesynchronizationdrivermodulesupportstheITsystemaccountdraw,push,delete,modifyandsynchronizemanagementofgeneralOS,DB,NE,applicationsystem,businesssystem,omcandOSS,buildsunifiedsecurityindex,usertreeandresourcetree.Telnet/SSH/JDBC/ODBC/LDAPI/F,API/Webservice/JMX/text/SNMP/simulationmethodhostDBNENetworksecurityequipmentB/Sapplic