建恒运维4A管理平台是集用户(Account)管理、授权(Authorization)管理、认证(Authentication)管理和综合审计(Audit)于一体的集中运维管理系统。该系统能够为企业提供集中的管理平台,减少系统维护工作;能够为企业提供全面的用户和资源管理,减少企业的维护成本;能够帮助企业制定严格的资源访问策略,并且采用强身份认证手段,全面保障系统资源的安全;能够详细记录用户对资源的访问及操作,达到对用户行为审计的需要。
各类运维人员,技术水平不一,在操作关键网络设备及服务器时,有可能执行了危险命令,如:reboot , delete 等命令,导致大量用户无法正常访问,严重影响正常业务! 操作风险除了执行危险命令外,还包括:内部运维人员建立木马账户或者“僵尸账户”,假如用户离职,通过网络途径登录管理服务器,窃取机密信息或者对网络设备和服务器执行破坏性操作,结果是难以估量的,问题也无法跟踪!
XX用户的支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的账号体系,用户为了方便登录,经常出现多人共用账号的情况。 多人同时使用一个系统账号在带来方便性的同时,导致用户身份唯一性无法确定。如果其中任何一个人离职或者将账号告诉其他无关人员,会使这个账号的安全无法保证。 由于共享账号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此账号的人员,带来了密码管理的复杂化。
各系统分别管理所属的系统资源,为本系统的用户分配权限,无法严格按照最小权限原则分配权限。另外,随着用户数量的增加,权限管理任务越来越重,当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加,安全性无法得到充分保证。
目前,在网络管理中没有一个清晰的访问控制列表,无法一目了然看到哪个用户能够以何种身份访问哪些关键设备,同时缺少有效的技术手段来保证访问控制策略被有效执行。
各系统独立运行、维护和管理,所以各系统的审计也是相互独立的。每个网络设备,每个主机系统分别进行审计,安全事故发生后需要排查各系统的日志,但是往往日志找到了,也不能最终定位到行为人。 另外各系统的日志记录能力各不相同,例如对于B/S、C/S应用以及Unix系统来说,日志记录就存在以下问题: 在B/S、C/S应用页面中,所有的操作都无法做到记录,并且系统日志也无法对WEB界面进行记录。 Unix系统中,用户在服务器上的操作有一个历史命令记录的文件,但是用户可以随意更改和删除自己的记录;
提供对运维过程的实时监控,采用了业内领先的图形录像处理技术,实现阻断和审计记录功能,能够保证重要资源的高危操作在有效监控下进行,同时,出现安全事故可以追溯源头。
基于岗位进行自然人与资源、资源从账号的授权管理,相比人到资源的直接授权,更符合大型用户的使用要求,通过简单的添加删除,就可以满足人员调动,资源上下线等行为给授权模型带来的变更影响。
资源管理中,提供了所有资源类型的管理功能,包括资源的账号和访问方式等属性,以柱形图结合组织架构目录的形式,直观展示各个节点下资源数量比例。
运维4A管理平台的所有功能模块都可以基于角色进行划分,包括具体到增删改等细节功能,建立后的角色就是部分管理功能的集合,可以灵活授权给运维用户。
通过对用户运维环境及运维方式的深入调研学习,进行深度定制化开发,在提升访问B/S,C/S资源访问效率和审计细粒度的同时,完全免去应用发布服务器,彻底排除引入应用发布服务器带来的性能瓶颈和单点故障几率。
图形审计采用特有的变屏捕捉技术,能够实现图形审计的画质(真彩、伪真彩),帧间隔,压缩比例的策略化控制。在录像文件大小和审计效果上具有独一无二的优势。
建恒信安运维4A管理平台经过多年的发展,已经积累了完整且成熟的技术体系,并且产品在金融,能源等行业有众多的成功案例,在多个银行用户环境里实现了全国总分行乃至海外分行范围内的推广和使用,在业界具有标杆性的作用。
架构设计上除了充分考虑到大型企业用户信息化平台多,整合需求强的特点,还考虑到对于未来的业务发展需要,如人员的增长,资源数量、种类的增加,并发数的提高等,在建恒运维4A管理平台上都可以根据业务发展而便捷的扩展。在资源和人员的数量的扩展方面,建恒运维4A管理平台只需增加授权License数量即可。
配置数据包括人员信息、资源信息、授权信息、策略信息、密码信息等,建恒运维4A管理平台采用轻量目录访问协议(LDAP)进行配置数据的存储,并通过LDAP同步功能实现配置数据的高可用性,能够确保任何一台设备故障的情况下不丢失,并可以无中断的提供服务。
系统中用于提供并发访问的压力承载组件以负载均衡方式工作,正常情况下并发访问会根据每个组件的压力进行分配。而且,任意一台故障都不影响整体服务,其他组件可以重新分配并发访问。
建恒身份及访问管理系统部署在被管服务器区的访问路径上,通过防火墙或者交换机的访问控制策略限定只能由建恒身份及访问管理系统直接访问服务器的远程维护端口。 维护人员维护被管服务器或者网络设备时,首先以WEB方式登录建恒身份及访问管理系统,然后通过WEB方式访问建恒身份及访问管理系统主机上展现的访问资源列表直接访问授权资源。
实现对用户帐号的统一管理和维护在实现集中帐号管理前,每一个新上线系统均需要建立一套新的用户帐号管理系统,并且分别由各自的管理员负责维护和管理。这种相对独立的帐号管理系统不仅建设前期投入成本较高,而且后期管理维护成本也会成倍增加。而通过建恒身份及访问管理系统的集中帐号管理,可实现对IT系统所需的帐号基础信息(包括用户身份信息、机构部门信息、其他公司相关信息,以及生命周期信息等)进行标准化的管理,能够为各IT系统提供基础的用户信息源。通过统一用户信息维护入口,保证各系统的用户帐号信息的唯一性和同步更新。
解决用户帐号共享问题主机、数据库、网络设备、应用系统中存在大量的共享帐号,当发生安全事故时,难于确定帐号的实际使用者,通过部署建恒身份及访问管理系统,可以解决共享帐号问题。
咨询热线 400 655 8875
传 真 010-56428067
地 址 北京市海淀区中关村软件园8号楼华夏科技大厦2层
咨询热线 400 655 8875
传 真 010-56428067
地 址 北京市海淀区中关村软件园8号楼华夏科技大厦2层