联创统一身份安全管理解决方案

统一身份安全管理解决方案联创科技1安全管理建设目标成功案例245管理维护现状提纲产品功能简介3联创安全管理解决方案管理维护现状用户帐号管理问题网络中存在大量的网络设备、主机系统，不同职责的管理员为了管理方便，同帐号同密码访问所有资源，或多管理员共用一帐号，造成安全隐患。身份认证及授权使用问题对于某些核心资源，如重要的主机系统，不同级别不同岗位的领导或管理员具有不同的访问权限，管理人员的身份越权或假冒将会造成非授权使用的问题。分散的多点登录管理方式，无法准确进行身份认证和授权控制多点登录的分散管理方式无法进行强有效的授权控制，致使用户的登录操作难以管理、难以审计。图形化界面中用户操作的不透明性，使得事后审计难以进行RDP(3389)、X-Window、VNC等远程图形化窗口操作的不透明性，使得审计人员无法准确的对管理人员操作的审计。文件传输安全审计，是最让信息主管头疼的问题使用FTP、TFTP等工具进行的文件的上传、下载操作是最容易引发资料泄密的方式之一。如果使用加密方式的SFTP、SCP等命令更是无法进行有效审计。服务器之间跳转嵌套登录操作大型、异构的网络环境难于准确的对用户的行为进行审计和控制有规范、规章制度，但没有相应的过程监控手段去监督管理维护现状需关注以下几点用户如何即方便又安全可靠的登陆网络设备与主机系统？怎样将用户在网络设备与主机系统上的操作行为变为透明可视？系统管理员在网络设备与主机系统上做过什么操作？以及操作带来的安全风险？怎么规范管理员的行为？怎么审计用户对主机系统网络设备的操作？谁该对危险操作造成的事故负责？谁该对其的恶意操作负责？怎么进行责任鉴定？1安全管理建设目标成功案例245管理维护现状提纲产品功能简介3联创安全管理解决方案安全管理建设目标管理简化，安全性增强实现集中访问控制实现集中安全审计收集、记录对业务支撑系统关键重要资源的使用情况帐号管理基于角色的细粒度访问控制主机与网络设备帐号、认证、授权、审计集中管控安全管理建设目标1安全管理建设目标成功案例245管理维护现状提纲产品功能简介3联创安全管理解决方案联创安全管理解决方案建立UNIX类服务器、LINUX类服务器、Windows类服务器、网络\安全等重要设备的统一操作管理平台，统一操作管理入口，并对用户操作管理等网络访问行为进行控制。实现管理员用户的帐号统一管理与强身份认证。准确识别用户操作意图，识别用户输入操作命令，并对用户操作进行限制。操作限制支持时间、用户原始IP地址、目标服务器地址、用户名称、系统帐号、使用的命令等策略因子。对高危命令要能自动阻断命令的执行，对越权操作行为要能及时警告。用户通过SSH、TELNET、RDP(3389)、X-WINDOW、VNC、FTP、SFTP、SCP等方式的所有操作行为，都能做到全记录、全审计。用户在主机系统上的的命令操作行为做到实时监控，即时在实时监控中心同步展现。在审计对象出现故障或有管理事故时，可以快速、准确的定位查询相关日志。回放事件的整个过程，用以问题的解决和责任认定。联创安全管理解决方案堡垒主机网关联创安全令牌1、用户登录请求2、提交认证要素，帐号＋静态口令＋动态口令6、网关允许/拒绝用户登陆若允许，显示用户访问列表3、设备发起认证请求5、返回认证结果认证模块动态口令生成模块用户数据库帐号管理与认证平台4、口令比对权限鉴别7、登陆主机系统开始操作主机系统8、访问控制9、命令操作……网络设备2、提交认证要素，帐号＋静态口令＋动态口令3、设备发起认证请求5、返回认证结果6、允许/拒绝登陆E-Securer安全身份认证系统依据动态（一次性）口令机制实现动态身份认证系统，彻底解决了远程/网络环境中的用户身份认证问题集中的用户管理和日志审计功能，便于管理员对整个企业中的员工进行集中的管理授权和事后日志审计基于用户所属机构对信息进行分级管理，保证了用户、资源及角色信息的隐秘性认证管理系统设计理念认证方式管理认证策略管理认证因素管理认证接口管理•实现对内认证服务和认证枢纽•静态，动态•登录时间•登录路径•资源/帐号•认证链管理•资源IP•认证参数•管理联创安全令牌和其他认证因素1安全管理建设目标成功案例245管理维护现状提纲产品功能简介3联创安全管理解决方案口令策略的管理联创安全令牌LinkageSecureKey•6位口令长度，口令每60秒（基于时间的动态口令算法）•或按键变换（基于事件的动态口令算法）一次•高精度时钟、每次登录自动同步•固化封装，运行核心代码不可读•用户密钥动态存在，掉电消失•防水、防尘、防震、防静电性能强•可根据批量大用户需求定制令牌外形联创USB-KEY令牌支持的操作系统：Windows98SE/2000/Me/XP/Server2003内存容量：1.4K字节硬件算法：1、MD5_HMAC2、TEA芯片安全级别：最高级功率：由USB供电，供电电流为：50mA。工作电压为3.3V工作温度：0℃～70℃存放温度：-55℃～+150℃接口类型：USBA型(通用串行主线)封装：硬塑料防篡改数据保存年限：至少10年内存写次数：至少10万次短信一次性口令SMOTP短信预先申请方式移动电话网移动电话网1、用户登录请求2、提交静态口令3、发起认证请求4、判断用户名/静态口令是否正确7、需要动态口令8、提示输入动态口令55、、发送动态口令发送动态口令66、、手机接收动态口令手机接收动态口令9、提交动态口令10、发起认证请求12、返回认证结果13、返回登录响应11、判断用户名/动态口令是否正确资源资源认证服务器认证服务器短信挑战应答方式授权管理设计理念Unix操作审计网络设备审计提供各种日志的统计汇总，供行为审计和跟踪审计报表用户认证报表用户登录报表用户操作报表帐号管理报表权限管理报表审计告警报表资源登录报表资源操作报表敏感操作报表1安全管理建设目标成功案例245管理维护现状提纲产品功能简介3联创安全管理解决方案移动行业成功案例项目名称所用产品江苏移动安全五期联创4A系统江苏移动DCN网管系统二期扩容联创E-Securer安全身份认证系统（含认证、授权、审计）安徽移动BOSS安全改造工程日志与身份认证联创E-Securer安全身份认证系统安徽移动BOSS1.５接入网一期工程身份认证升级联创E-Securer安全身份认证系统陕西移动统一日志管理、统一用户管理、完整性审计联创E-Securer安全身份认证系统陕西移动BOSS容灾联创E-Securer安全身份认证系青海移动业务支撑网安全系统产品项目联创E-Securer身份认证系统新疆移动CMNET系统样本网络项目联创E-Securer身份认证系统（含认证、授权、审计、SSO)天津移动网上营业厅扩容软件工程开发与系统服务联创E-Securer身份认证系统天津移动BOSS二期扩容联创E-Securer身份认证系统湖南移动业务支撑安全审计系统工程联创A-Securer安全审计系统海南移动关于经营分析系统三期联创E-Securer安全身份认证系统Q&A