身份认证及访问管理系统产品白皮书Word格式.docx
- 文档编号:17519936
- 上传时间:2022-12-07
- 格式:DOCX
- 页数:7
- 大小:156.82KB
身份认证及访问管理系统产品白皮书Word格式.docx
《身份认证及访问管理系统产品白皮书Word格式.docx》由会员分享,可在线阅读,更多相关《身份认证及访问管理系统产品白皮书Word格式.docx(7页珍藏版)》请在冰豆网上搜索。
为了给系统管理员查看审计信息提供方便性,身份及访问管理系统提供了审计查看检索功能。
系统管理员可以通过多种查询条件查看审计信息。
总之,身份及访问管理系统能够极大的保护企业内部网络设备及服务器资源的安全性,使得企业内部网络管理合理化和专业化。
2.产品特点
2.1丰富的部署方式
Ø
HA双机部署:
一般HA双机基于监测网络存活状态进行切换,无法做到根据系统服务状态进行切换,身份及访问管理系统真正实现基于硬件和应用服务状态进行监控切换,从而为客户提供不间断的服务,确保高可靠性。
集群部署:
对于大规模资产高并发访问且运维不可中断性质的客户,支持三台或三台以上的集群部署模式,确保运维访问能够均衡的由各个堡垒处理。
分布式部署:
实现公司总部与各分公司之间,组织机构分散而需要统一集中管理的问题。
2.2多元化的认证方法
自身提供证书认证服务,也可与第三方CA、动态令牌、生物识别、短信认证等方式进行结合。
支持组合认证,提高访问的安全性。
平台在网络设备的认证协议上不仅支持RADIUS和TACACS+协议,而且产品系统自身可以作为Radius和TACACS服务器。
2.3强大的资源管理能力
资源数量统计:
支持柱形图方式查看系统中不同资源所占比例。
资源类型:
支持资源类型丰富,unix资源、网络资源、windows资源、数据库资源、C/S资源、B/S资源、中间件资源、大型机资源。
中间件:
支持对中间件帐户的属性管理与密码变更管理,通过平台系统的单点登录功能实现登录访问,访问过程被完整的审计下来。
大型机:
支持金融行业大型机的管理。
2.4全面的账号管理机制
主账号支持分组管理,分组可以采用树形方式展现,不限制分组层级数量。
完整的用户账号中管理;
生命周期管理,实现账号的创建、维护、修改、删除的集
用户类型:
自定义用户类型,基于用户类型进行用户地址策略。
AD域同步:
平台与AD域数据同步,将AD域中OU或域用户数据作为身份及访问管理系统组织结构和主账号,实现数据统一,无需重复创建数据。
从账号管理:
支持资源从账号的管理,系统具有各种资源类型驱动器能够将资源上的账号进行自动收集、推、拉、同步及属性的变更等。
2.5超强的授权管理功能
角色管理:
系统内部管理功能权限支持自定义角色。
角色可按照组节点进行定义,从而实现分层分级管理模式。
岗位授权:
资源授权模式基于岗位授权,岗位授权概念是建立岗位,岗位上绑定资源账号,这样授权可迁移、授权粒度更细;
并可针对岗位设置相关安全策略。
2.6单点登录SSO
支持Zmodem协议访问:
运行rz,sz等命令,从而可以非常便捷快速的进行两个系统的文件交换。
支持en、su、super用户角色自动切换操作并代填密码
菜单模式:
客户端访问IAM系统即可显示用户能访问的资源菜单,用户通过字符菜单选择方式直接访问设备。
2.7增强的密码管理功能
自动改密:
支持所有被管设备的密码自动变更计划。
密码变更可以根据密码策略的要求进行变更,变更的密码符合密码策略中关于密码强度的要求。
密码拨测计划:
定期检查平台存储的设备账号密码与设备实际密码是否匹配,以便进校验密码一致性,提高设备的安全性避免密码混乱无法登陆现象发生。
密码信封:
支持金融行业打印密码的信封。
将打印好的密码封存在专用的密码信封内,传递给客户,在一定程度上保证的密码的安全性。
2.8审计管理
审计结果支持多种展现方式,让操作得以完整还原。
图形资源访问时,支持键盘、剪贴板、文件传输记录,并且对图形资源的审计回放时,可以从某个键盘、剪贴板、文件传输记录的指定位置开始回放。
审计结果可以录像回放,支持调节播放速度,并且回放过程中支持前后拖拽,方便快速定位问题操作。
支持对中间件(WebLogic)配置操作的管理和审计能力。
2.9更专业的安全管理功能
提供认证服务器组件,所有对资源的访问都是认证服务器提供的临时会话号,即使会话号被截获,也无法通过此会话号再次访问资源,提高资源访问的安全性。
审计开关:
根据不同设备审计安全需求,客户自定义审计范围,字符(命令、内容、录像)、图形(录像、键盘、上下行剪贴板、上下行文件传输)。
服务端口变更:
很多用户为了提高设备的安全性,不采用标准的协议端口。
平台支持FTP、telnet、ssh、远程桌面等协议服务端口变更。
产品自带病毒检测功能,在通过平台进行文件传输时,自动对传输的文件进行防病毒检测,并阻止带病毒文件的传输,有限防护服务器的安全。
产品自身集成VPN功能,不需要第三方VPN产品即可实现公网加密通道的访问。
2.10良好的扩展性及定制化能力
身份及访问管理系统产品从4A解决方案中抽象出来,提供最便捷的4A项目集成方案。
在程序结构上充分考虑到4A项目和非4A项目的使用场景,以先进的体系结构,清晰合理的模块划分实现多种用户场景的适用性。
在4A项目中,身份及访问管理系统放弃帐号、认证、授权的集中管理,只提供执行单元,完成访问控制和操作审计功能;
在非4A项目中将4A的一些理念融合到身份及访问管理系统产品中,除提供基础的访问控制和操作审计功能外,还提供精简的帐号、认证、授权集中管理功能。
支持第三方应用程序获取密码接口。
支持定制开发:
平台自身根据技术发展和市场需求不断变化而变化着,保证充分满足市场及用户需求。
3.技术优势
身份及访问管理系统采用系列先进技术,成功实现命令及图形的捕获与控制,为服务器的安全运行提供了强有力的系统工具。
3.1逻辑命令自动识别技术
身份及访问管理系统自动识别当前操作终端,对当前终端的输入输出进行控制,组合输入输出流,自动识别逻辑语义命令。
系统会根据输入输出上下文,确定逻辑命令编辑过程,进而自动捕获出用户使用的逻辑命令。
该项技术解决了逻辑命令自动捕获功能,在传统键盘捕获与控制领域取得新的突破,可以更加准确的控制用户意图。
该技术能自动识别命令状态和编辑状态以及私有工作状态,准确捕获逻辑命令。
3.2分布式处理技术
身份及访问管理系统采用分布式处理架构进行处理,启用命令捕获引擎机制,通过策略服务器完成策略审计,通过日志服务器存储操作审计日志,并通过实时监视中心,实时察看用户在服务器上的行为。
这种分布式设计有利于策略的正确执行和操作记录日志的安全。
同时,各组件之间采用安全连接进行通信,防止策略和日志被篡改。
各组件可以独立工作,也可以分布于不同的服务器上,亦可将所有组件安装于一台服务器上。
3.3正则表达式匹配技术
身份及访问管理系统采用正则表达式匹配技术,将正则表达式组合入树型可遗传策略结构,实现控制命令的自动匹配与控制。
树型可遗传策略适合现代企业事业架构,对于服务器的分层分级管理与控制提供了强大的工具。
3.4图形协议代理
为了对图形终端操作行为进行审计和监控,身份及访问管理系统对图形终端使用的协议进行代理,实现多平台的多种图形终端操作的审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix平台的XWindow方式图形终端操作。
3.5多进程/线程与同步技术
身份及访问管理系统主体采用多进程/线程技术实现,利用独特的通信和数据同步技术,准确控制程序行为。
多进程/线程方式逻辑处理准确,事务处理不会发生干扰,这有利于保证系统的稳定性、健壮性。
3.6数据加密功能
身份及访问管理系统在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性,防止恶意用户截获和篡改数据,充分保护用户在操作过程中不被恶意破坏。
3.7审计查询检索功能
自从<
<
萨班斯法案>
>
的推出,企业内控得到了严格的审查,企业的内部审计显得非常重要。
身份及访问管理系统能够为企业内部网络提供完全的审计信息,这些审计信息能够为企业追踪用户行为,判定用户行为等,能够还原出用户的操作行为。
传统审计关联到IP,这本身是一个不确定的和不负责任的审计结果,因为IP信息不能够真实反应出真实的操作者是谁,从而企业内部网络出现问题不能追踪到操作者。
身份及访问管理系统能够对这些用户行为进行关联审计,就是说真正能够把每一次审计出的用户操作行为绑定到自然人身上,便于企业内部网络管理追踪到个人。
3.8操作还原技术
操作还原技术是指将用户在系统中的操作行为在真实的环境中模拟显现出来,审计管理员可以根据操作还原技术还原出真实的操作,以判定问题出在哪里。
身份及访问管理系统采用操作还原技术能够将用户的操作流程自动地展现出来,能够监控用户的每一次行为,判定用户的行为是否对企业内部网络安全造成危害。
4.典型应用
身份及访问管理系统面对各行各业复杂的IT支撑系统,能够提供多种部署方式,包括单机部署模式,HA高可靠部署模式,分布式集群部署模式,且具有以下特点:
无需安装任何客户端代理;
无需安装任何服务端引擎;
无需更改现有网络拓扑;
对业务数据流无任何影响;
支持集中管理分级部署;
操作直观简便,快速上线。
典型部署模式一:
图4.1身份及访问管理系统单机部署图
典型部署模式二:
图4.1身份及访问管理系统集群,负载均衡部署图
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 身份 认证 访问 管理 系统 产品 白皮书