亚信4A管理平台技术白皮书
转发给4A管理平台的外部强认证组件,来完成认证功能。
2.5.3.1 认证管理的范围
4A管理平台需要管理全部的认证登录过程,包括4A管理平台全部主帐号的登录认证(主登录认证)和资源中全部从帐号的登录认证(二次登录认证)。
主帐号的认证采用静态密码+强认证系统进行,不仅仅采用静态密码方式。
2.5.3.2 认证管理的内容
认证管理模块应该实现以下功能: ? ? ? ?
建立集中强认证中心,用于为主登录认证和二次登录认证提供集中的认证服务 提供认证枢纽服务,在需要情况下,将认证请求转发至外部认证组件来完成认证 提供多种认证方式,在需要情况下,提供不同安全级别、不同安全策略的认证手段 提供单点登录(SSO)的支持,用于自然人在完成主登录后,访问资源时,自动完成二次登录过程。
2.5.4 授权管理中心
2.5.4.1 授权管理的范围
授权管理实体(即资源)的范围包括系统资源(主机、网络设备、数据库、安全设备、其他)和应用资源。
授权管理,包括全部资源的实体级授权和实体内授权。 ? ?
实体级授权,即主帐号代表的自然人可以访问哪些资源(包括系统和应用)的授权。 实体内授权,包括基于角色的授权和细粒度权限授权。
2.5.4.2 授权管理的内容
4A管理平台可以对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。
? 版权所有 亚信(中国)科技有限公司 第16页 共21页
亚信4A管理平台技术白皮书
? ? ?
授权管理包括对应用资源的管理和系统资源的管理 授权管理包括对资源中角色的管理
授权管理包括对主帐号和资源间授权关系的管理。
2.5.5 审计管理中心
4A管理平台审计管理的主要目标是:业务支撑系统中的被管帐号对被管资源的高敏感数据访问和关键操作行为都应该被审计,接收和保存各种所有审计信息,用于安全审查和追踪依据;及时发现非法登录和非法操作,对非法登录和非法操作快速分析、定位和响应。
2.5.5.1 审计管理范围
审计管理范围包括:4A管理平台自身的安全日志审计信息,被管理资源的高敏感度数据访问和关键操作行为审计记录。
4A管理平台的审计信息包括: ? ? ? ? ?
4A帐号管理审计数据; 4A管理平台登录审计数据;
4A管理平台二次登录(SSO)的审计数据; 4A管理平台授权的审计数据; 4A管理平台自身管理的审计数据;
被管理资源的审计信息包括: ? ? ? ?
应用的所有操作行为数据;
数据库、中间件等第三方应用系统的所有操作行为数据; 操作系统的所有操作行为数据;
网络设备及其他设备的所有操作行为数据。
2.5.5.2 审计信息收集与标准化
4A管理平台通过审计接口,从被管理资源或第三方审计组件收集审计信息。
? 版权所有 亚信(中国)科技有限公司 第17页 共21页
亚信4A管理平台技术白皮书
为了兼容各种网络设备、操作系统和应用系统的审计信息,4A管理平台需支持多种审计接口,包括FTP、Syslog/SNMP、JDBC/ODBC等(详见平台接口规范部分)。
为了便于审计信息的统一存储和分析,4A管理平台必须对收集到的审计信息格式进行标准化处理,形成统一的审计数据格式进行存储。
对于可改造的应用系统或第三方审计组件,需按照统一数据格式进行标准化处理后,发送到4A管理平台。对于网络设备、安全设备、操作系统、数据库等难以改造的审计信息,4A管理平台提供自行标准化处理能力。
2.6 亚信业务操作监控与审计系统AIBASS
亚信业务操作监控与审计系统AIBASS基于“IP数据俘获→应用层数据分析→控制、审计和响应”实现各项功能,设计中充分贯彻了平台化的思路,使得它具备“审计工具”的特征,与基于日志收集的审计系统有着很大的区别。
在基本安全功能的基础上,亚信业务操作监控与审计系统可针对具体的应用需求,如FTP/Telnet系统维护操作、SQL数据库维护操作,制定应用级别的和审计策略,使得系统能针对具体的应用或业务系统实现命令级别、访问逻辑级别的审计。如果再辅以专业安全服务商提供的安全咨询和服务,亚信业务操作监控与审计系统可以更及时、准确地反映系统的安全运行状况,并进行相应的控制。
亚信业务操作监控与审计系统主要实现以下安全功能:
1. 应用级的安全审计和响应:特有的“应用策略库(Application Policy
Library)”可以深入到应用层协议(如操作命令、数据库、业务操作过程)实现详细的安全审计,并根据安全策略采取诸如记录、审计、告警、阻断等响应。
2. 提供多视角的审计报告:根据实时记录的网络访问情况,提供多种安全
审计报告,更清晰地了解系统的使用情况以及安全事件的发生情况,并可根据这些安全审计报告进一步修改和完善“应用策略库(Application Policy Library)”。
? AIBASS-Console管理控制台:安装于Windows操作系统之上,提供
管理控制界面。
? AIBASS-Server审计服务器:负责安全策略的生成、解释、管理,审
? 版权所有 亚信(中国)科技有限公司 第18页 共21页
亚信4A管理平台技术白皮书
计数据的记录和整理。
? AIBASS-Sensor嗅探器:根据安全策略对俘获的数据进行比对、分析,
并做出响应动作,如告警、阻断等。
? AIBASS-APL(Application Policy Library)应用策略库:针对不同的
应用协议、应用(业务)系统提供状命令级的安全策略支持。
亚信业务操作监控与审计系统独具特色的“应用策略库(Application Policy Library)”设计,使得亚信业务操作监控与审计系统不但具备了功能强大的安全审计功能,更使得具备了网络安全分析工具及“应用层IDS”的特征。用户可以自己定义符合业务特征的“应用策略库”,也可选用针对特定业务系统设计的“应用策略库”。
亚信业务操作监控与审计系统在配置不同类型的“应用策略库(Application Policy Library)”后,即具备了应用层审计及响应的功能。例如,如果配置了“DB策略库(DB APL)”,即可对数据库操作进行命令级的审计和响应;如果配置了“操作命令策略库(Management Command APL)”,即可对FTP/Telnet管理协议进行命令级的审计和响应。“应用策略库(Application Policy Library)”使得用户可以灵活地制定数据俘获、安全审计及响应策略,根据系统实际的运行情况输出恰当的审计报告,更全面、更有重点地了解和掌握系统的运行状况。
三. 方案特点和优势
亚信4A管理系统解决方案的功能、性能的优势如下:
3.1 功能优势
? 支持分权的认证和授权模式 ? 支持全局唯一的用户身份标识 ? 支持多重身份的对应关系及属性连接 ? 支持多种数据系统的访问连接
? 版权所有 亚信(中国)科技有限公司 第19页 共21页
亚信4A管理平台技术白皮书
? 支持全生命周期的用户信息管理,包括注册、审批、修改、冻结、删除等流
程化的操作
? 唯一的用户身份管理入口,实现自动化的用户信息更新 ? 统一的认证服务接口,多种认证机制的集成
? 支持广泛认证机制,用户名/口令、证书、动态口令、NT域、RADIUS等 ? 基于策略的访问控制,统一认证、分级授权
? 开放系统便于将来增加新的功能及与第三方的接口;
? 支持C/S、B/S、J2EE、WEB SERVICE、网络设备和操作系统等多种架构
的应用和系统接入;
? 支持对现有认证方式的保留与过渡。
3.2 性能优势
? 应用系统模块化的设计,系统具有良好的扩展性和高效性; ? 完全集成化的系统,易于整体的业务运作; ? 具有良好的扩展性和可用性的认证授权系统; ? 用户信息自动同步,流程化、自动化程度较高; ? 系统具有安全性、可靠性和稳定性; ? 投产周期短、用户界面友好;
? 系统的模块化结构体现便于分阶段实施;
? 亚信优秀的研发队伍保证与业务系统的良好接口; ? 亚信的大型研发、安全项目实施经验和项目管理能力。
3.3 公司优势
作为运营商选型范围内的两家集成商之一的亚信,拥有网络、安全、电信、管理等多个方面技术优势和经验,主要如下:
? 亚信优秀的研发队伍保证与业务系统的良好接口; ? 亚信的大型研发、安全项目实施经验和项目管理能力。 ? 丰富的网络及应用集成经验 ? 优秀的开发工程队伍
? 版权所有 亚信(中国)科技有限公司 第20页 共21页
亚信4A管理平台技术白皮书
? 大型软件开发和项目工程、维护经验 ? 门户、EAI、ERP、BI技术体系研究 ? 大型研发、安全项目实施经验
? 规范化、高质量的项目管理和执行能力 ? 与国际上知名计厂商密切的合作关系。 ? 专业、规范的安全服务体系
? 信息安全测评中心安全服务一级资质。 ? 对移动业务处理和流程的深层次了解 ? 对移动核心业务软件开发和支持能力 ? 对移动安全体系和管理体系规划能力 ? CA、动态口令等强认证系统集成经验 ? 访问权限和身份管理等技术经验。
? 版权所有 亚信(中国)科技有限公司 第21页 共21页