统一身份及访问控制解决方案课件

某信息安全企业统一身份及访问控制解决方案某信息安全企业统一身份及访问控制解决方案居利思义身劳心安人强我强共同发展XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求分析身份及访问安全管理问题及需求分析身份及访问管理系统的建设思路身份及访问管理系统的建设思路XXXXX身份及访问管理解决方案身份及访问管理解决方案身份及访问管理系统特点和优势身份及访问管理系统特点和优势XXXXX实施建议和注意事项实施建议和注意事项XXXXXXXXXX身份及访问管理身份及访问管理身份及访问管理身份及访问管理解决方案探讨解决方案探讨解决方案探讨解决方案探讨XXXXX身份及访问管理收益分析身份及访问管理收益分析XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求居利思义身劳心安人强我强共同发展XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求分析身份及访问安全管理问题及需求分析身份及访问管理系统的建设思路身份及访问管理系统的建设思路XXXXX身份及访问管理解决方案身份及访问管理解决方案身份及访问管理系统特点和优势身份及访问管理系统特点和优势XXXXX实施建议和注意事项实施建议和注意事项XXXXXXXXXX身份及访问管理身份及访问管理身份及访问管理身份及访问管理解决方案探讨解决方案探讨解决方案探讨解决方案探讨XXXXX身份及访问管理收益分析身份及访问管理收益分析XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求居利思义身劳心安人强我强共同发展问题一：管理成本的需求系统中有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。目前各应用系统都有一套独立的认证、授权和审计系统，并且由相应的系统管理员负责维护和管理。当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加，无法实现统一的安全策略；另外系统的用户分配权限，缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限。随着用户数量的增加，权限管理任务越来越重，系统的安全性无法得到充分保证。问题一：管理成本的需求系统中有大量的网络设备、主机系统和应用居利思义身劳心安人强我强共同发展问题二：单点登陆的需求系统的增多，使用户经常需要在各个系统之间切换，每次从一个系统切换到另一支撑系统时，都需要输入用户名和口令进行登录。给用户的工作带来不便，影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个系统的口令设置成相同的，危害到系统的安全性。问题二：单点登陆的需求系统的增多，使用户经常需要在各个系统之居利思义身劳心安人强我强共同发展问题三：SOX的需求SOX法案的实施，对上市公司的业务系统信息安全进行了更加严格的规范，对实现使用者的身份认证、详细的权限划分以及准确的操作信息审计等功能提出了新的要求。有些帐号多人共用，不仅在发生安全事故，难于确定帐号的实际使用者，而且在平时难于对帐号的扩散范围进行控制，容易造成安全漏洞，加强帐号分配与使用的监控，对能实行每人拥有独立帐号的系统，应尽可能实行一人一个帐号，加强安全规范管理。对帐户生存周期进行管理，主账号生成、角色分配、主从账号对应、账号使用、账号维护、账号收回等各个账号状态进行管理。帐户密码策略建立，按照策略自动、集中、定期修改各账号的口令，并符合一定的复杂度。要求留下系统操作记录和访问日志，以便审查。问题三：SOX的需求SOX法案的实施，对上市公司的业务系统信居利思义身劳心安人强我强共同发展问题四：集中访问控制的需求提供了单一的登录控制点，用户对网络资源的访问控制通过访问控制服务器实现，因此权限比较容易和访问时间、访问者所处网段等结合进行控制。通过集中接入控制点等手段，规定只有来自访问控制服务器的访问才是合法的。对实际应用资源的访问行为进行了细粒度划分，同时对认证平台内部的行为和权限进行了细粒度划分，使之符合用户实际的工作流程，满足管理制度的要求，并且能进行阻断。问题四：集中访问控制的需求提供了单一的登录控制点，用户对网络居利思义身劳心安人强我强共同发展问题五：集中审计的需求能够对人员的登录过程、登录后进行的操作进行审计，审计的覆盖范围不仅包括对认证平台本身操作的审计，还包括对各被管系统访问、操作的审计。审计系统应能够统一对认证平台上的所有模块进行安全审计。主要包括，账号、角色、资源等进行创建、授权、分配、管理的内部管理行为的审计；登录过程的审计；身份认证的审计。审计系统还应支持登录被管系统后行为的审计，可以对用户的字符指令操作进行追溯。并且与授权管理产品联动，当审计产品发现某用户操作，已经超过授权管理的权限，审计产品立即阻断此越权行为，保障系统的安全性；问题五：集中审计的需求能够对人员的登录过程、登录后进行的操作居利思义身劳心安人强我强共同发展XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求分析身份及访问安全管理问题及需求分析身份及访问管理系统的建设思路身份及访问管理系统的建设思路XXXXX身份及访问管理解决方案身份及访问管理解决方案身份及访问管理系统特点和优势身份及访问管理系统特点和优势XXXXX实施建议和注意事项实施建议和注意事项XXXXXXXXXX身份及访问管理身份及访问管理身份及访问管理身份及访问管理解决方案探讨解决方案探讨解决方案探讨解决方案探讨XXXXX身份及访问管理收益分析身份及访问管理收益分析XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求居利思义身劳心安人强我强共同发展XXXXX身份及访问管理解决方案框架结构系统架构功能部署图数据流向功能模块功能说明产品部署XXXXX身份及访问管理解决方案框架结构居利思义身劳心安人强我强共同发展产品框架结构产品框架结构居利思义身劳心安人强我强共同发展系统架构系统架构居利思义身劳心安人强我强共同发展系统功能部署图系统功能部署图居利思义身劳心安人强我强共同发展数据流向第三方第三方审计产品审计产品防火墙防火墙数据流向第三方防火墙居利思义身劳心安人强我强共同发展产品功能模块产品功能模块居利思义身劳心安人强我强共同发展日志采集日志采集集中审计日志过滤日志过滤审计报表审计报表归并压制归并压制关联分析关联分析智能告警智能告警决策支持决策支持工单扭转工单扭转数据挖掘数据挖掘密码策略密码策略认证管理集中认证集中认证认证方式认证方式外部认证外部认证客户端认证客户端认证集中授权集中授权授权管理用户授权用户授权角色授权角色授权资源授权资源授权应用授权应用授权行为授权行为授权单点登录单点登录访问控制访问控制用户同步用户同步用户管理生命周期管理生命周期管理角色管理角色管理资源管理资源管理策略管理策略管理主账号管理主账号管理从账号管理从账号管理用户自管理用户自管理用户组管理用户组管理功能模块日志采集集中审计日志过滤审计报表归并压制关联分析智能告警决策居利思义身劳心安人强我强共同发展主要产品功能说明主要产品功能说明居利思义身劳心安人强我强共同发展重点功能说明资源管理统一身份管理用户同步授权管理生命周期管理帐号策略管理口令策略认证方式SSO动态短信口令认证集中访问控制集中审计智能告警重点功能说明资源管理居利思义身劳心安人强我强共同发展功能说明：资源管理资源管理对从帐号进行分类定义并做为资源从帐号的属性，包括孤立帐号、交叉帐号和播测帐号等，并且赋予了一些基本的管理功能。罗列主要的资源从帐号属性如下：孤立帐号：任何被管资源上的从帐号如果在没有被分配给自然人帐号的情况下，则标记为孤立帐号，并能够向管理员产生报告以便及时发现非法帐号或滥用帐号的存在；共享帐号：被做为角色并且分配给了多个自然人的资源从帐号，则标记为共享帐号，并提供帐号报告；直属帐号：唯一对应且仅仅从属于单一自然人的资源从帐号，则标记为直属帐号，并提供帐号报告；交叉帐号：除了XXXXX对其进行管理以外，还存在其他应用系统对其使用或管理的情况下，资源从帐号需要被保护并不能随意变更密码的，则标记为交叉帐号并提供帐号报告；播测帐号：对于交叉帐号或其他需要重点保护的资源从帐号（比如数据库帐号），需要XXXXX对其进行周期性播测以确保此类帐号能够获得持续的正常访问，则标记为播测帐号。功能说明：资源管理资源管理对从帐号进行分类定义并做为资源从帐居利思义身劳心安人强我强共同发展功能说明：统一身份管理实现了对自然人的生命周期管理和授权管理提供用户分组管理的功能，所有的账号策略、授权策略、访问控制策略等均可通过组的方式来进行批量的设定，同时也可以对单个用户进行精细的策略授权 提供流程引擎，满足账号申请、审批、分配、通知等流程管理制度的需要，并且能够与BMC Remedy、HP OSD、CA HelpDesk等主流电子运维流程进行无缝集成，便于企业建立统一的安全运维管理提供角色授权与访问控制等一系列策略管理功能，满足企业对人员访问安全的各种需求，能够实现对人员、时间、地点、被访资源、操作、频率次数等的授权、访问控制和审计能力提供用户自服务功能，使得用户可以自行登录XXXXX Portal修改个人身份信息以及获得修改授权范围内资源从账号密码的能力 功能说明：统一身份管理实现了对自然人的生命周期管理和授权管理居利思义身劳心安人强我强共同发展功能说明：用户同步能够自自动发现主机、网络设备、数据库上的已有账号 系统还可以通过帐号推送机制，通过集中帐号管理系统在被管系统中创建新的帐号 还可以通过同步机制，与用户现有的用户管理系统，例如、域用户系统等用户管理系统实现帐号的同步对各种主机、网络设备、数据库、应用系统等分别提供专门的帐号驱动机制和协议来实现帐号的管理，例如Radius协议、LDAP协议、SSH、JDBC、API等等功能说明：用户同步能够自动发现主机、网络设备、数据库上的已有居利思义身劳心安人强我强共同发展主机：主机驱动针对unix，windows主机进行帐号管理，以及包括组、目录、Shell等的建立。Unix主机：支持列表：linux、hpunix、ibm aix、scounix、freebsd、sun solaris等。同步方式：使用标准的通信接口telnet、ssh，通过发送用户操作指令的方式对主机从帐号进行相应的维护。Windows主机：同步方式：独立主机：使用标准的通信接口telnet、ssh，通过发送用户操作指令的方式对主机从帐号进行相应的维护。域服务器：使用LDAP协议，对AD进行标准的帐号管理。主机：主机驱动针对unix，windows主机进行帐号管理，居利思义身劳心安人强我强共同发展网络设备：网络设备驱动主要通过Radius协议和建立内置Radius服务器的方式进行帐号的管理，以及进行帐号的访问控制等授权管理。支持列表：cisco交换机交换机、华为路由器交换机、juniper网络设备等支持标准Radius协议的设备。同步方式：通过Radius协议，使设备的用户和主用户同步。网络设备：网络设备驱动主要通过Radius协议和建立内置Ra居利思义身劳心安人强我强共同发展数据库：数据库驱动通过JDBC协议与数据进行交换，进行数据库帐号等的权限信息的管理。支持列表：MS SQLSERVER、ORACLE、SYBASE、DB2、INFOMIX和MYSQL等主流数据库。同步方式：通过jdbc协议，通过使用各个数据库相关命令，进行数据库用户的同步。数据库：数据库驱动通过JDBC协议与数据进行交换，进行数据库居利思义身劳心安人强我强共同发展应用：应用系统的驱动一般通过其自身专有协议、对外接口API的方式实现。支持列表：Lotus Domino、SAP、以及各种C/S、B/S应用等常用系统。此外，*具备强大的本地研发能力为客户提供各种需求的开发定制能力，能够最广泛的、最深入的实现客户个性化帐号管理的需求。同步方式：Domino：通过DIIOP远程操作，进行帐号管理。SAP：通过其提供的JCO接口，进行帐号管理。其他应用：通过应用提供的相应接口，进行帐号管理。应用：应用系统的驱动一般通过其自身专有协议、对外接口API的居利思义身劳心安人强我强共同发展功能说明：授权管理集中授权管理可实现完善的角色授权管理功能，从用户、角色和资源进行用户授权管理。制定到资源边界的粗粒度授权，即，用户按照角色权限和管理资源范围的不同，能够访问的资源IP和Port也不同；制定针对资源操作的细粒度授权，即，能够对用户进行登录时间、访问地点、目的资源、次数、频率、失败控制、操作命令、操作参数等等的具体行为、时间、地点、目的的精细控制功能说明：授权管理集中授权管理可实现完善的角色授权管理功能，居利思义身劳心安人强我强共同发展授权与访问控制-资源内部访问控制 对自然人账号授权资源内部角色，实现了自然人账号到资源访问的基本授权，由于资源从帐号与资源内部角色包含有资源自身访问控制的内部授权信息（例如用户组、Shell等），可以依靠资源内部实现末端的访问控制。资源主、从角色管理：通过规划资源上的角色（称为从角色）以及建立XXXXX主角色与从角色的对应关系，来集中建立企业角色自然人帐号授权管理：向自然人帐号授权资源列表及主角色批量授权引擎：根据自然人帐号、资源列表，在各个资源上批量建立从帐号及所属组，并将从账号分配给主账号 授权与访问控制-资源内部访问控制 对自然人账号授权资源内部角居利思义身劳心安人强我强共同发展授权与访问控制-访问控制网关XXXXX Portal方式的集中接入和访问控制；集成SSL VPN方式的集中接入和访问控制；集成反向代理（Access Manager）方式的集中接入和访问控制；集成堡垒主机方式的集中接入和访问控制；集成Citrix、NTA方式的集中接入和访问控制 授权与访问控制-访问控制网关XXXXX Portal方式的集居利思义身劳心安人强我强共同发展授权与访问控制-AAA的访问控制 通过将支持Radius的资源的认证指向XXXXX内置的Radius Server来保证资源访问的授权授权与访问控制-AAA的访问控制 通过将支持Radius的资居利思义身劳心安人强我强共同发展功能说明：生命周期管理功能说明：生命周期管理居利思义身劳心安人强我强共同发展功能说明：帐号策略管理*XXXXX的帐号策略管理提供了丰富的自动化帐号管理功能，能够根据帐号类型和相应的管理策略满足用户多样的管理需求。这些管理需求包括：自动发现和自动监测：满足用户对各IT资源上的帐号监控需求，周期性的采集、同步和监测被管资源上的帐号。主从帐号一致性：满足用户对授权资源内的自然人帐号的统一与同步需求，保证在授权资源范围内对每个自然人帐号维持一套独有的、一致性的资源从帐号。此功能不同于角色管理模式，在角色管理模式下，多个自然人可能共享同一套资源从帐号。特殊帐号一致性推拉：满足用户对特定用户、特定资源范围内的应用系统帐号的快速推广需求，满足其他IT管理系统对企业IT资源的自动化监管需求。例如，网管系统的自动巡检模块需要根据网管系统的值班帐号来采集主机、网络设备或系统等的配置、性能等状态数据，XXXXX的帐号策略管理模块能够为这部分特殊帐号提供值班期间的设备、系统以及网管系统自动巡检系统间的一致性临时帐号，保证安全有效的自动化访问。动态密码计划：满足对被管资源从帐号的安全保护需求，对资源从帐号进行周期性的高强度密码变更，维护账号的安全性。帐号处理策略：满足对各种帐号类型的处理需求，将帐号划分为交叉帐号、共享帐号、孤立帐号等：交叉帐号：交叉帐号是XXXXX管理但被其他系统内部使用的帐号，它的密码不能随意改变。因此这类帐号不能进入密码计划；共享账号：在AMS内部被授予多个用户使用的帐号，这个账号的删除不能随一个账号的删除而删除；孤立帐号：在AMS内部未被授权的用户，这类账号会一告警的方式被告知管理原；播测帐号：这类账号，系统会对其进行定期的播测，发现异常会告知管理员。功能说明：帐号策略管理*XXXXX的帐号策略管理提供居利思义身劳心安人强我强共同发展功能说明：口令策略实现集中的密码管理，并按照密码策略的要求，自动、集中、定期修改系统账号的口令，对口令强度和周期实行统一的管理。实现集中删除一个自然人的所有或者部分系统账号。系统按照SOX要求设置了严格的用户帐号安全策略，并且可以根据需要自行配置，策略包括密码强度、生存周期等，可以根据需要自动定时对从帐号口令进行修改，并且能够将结果自动同步到所有被管理系统中去。功能说明：口令策略实现集中的密码管理，并按照密码策略的要求，居利思义身劳心安人强我强共同发展密码(口令)管理策略密码制定策略用户必须按照规定涉及相关主、从账号密码（长度、字符等），系统还提供多种密码制定策略，满足不同系统对密码安全的需要；密码修改计划用户从账号密码的定期变更，提高密码的安全性密码定期检查通过系统定时任务，或相关管理员执行密码检查，找出系统中存在不满足要求的用户口令；密码失效策略系统自动使不满足要求的密码失效；密码存储策略密码的存储采用加密存储，加密方式MD5，DES等密码(口令)管理策略密码制定策略居利思义身劳心安人强我强共同发展功能说明：认证方式身份认证和访问管理系统提供静态密码、Windows NT域、Windows Kerberos、双因素、一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口，可以方便的与其它第三方认证服务器之间的结合。认证系统支持多种认证方式，系统通过统一的强身份认证，保证认证过程的安全。用户名/密码安盟双因素认证LDAP智能卡X.509证书RSA SecurID令牌RADIUS短信认证生物特征认证功能说明：认证方式身份认证和访问管理系统提供静态密码、Win居利思义身劳心安人强我强共同发展认证方式比较认证方式比较居利思义身劳心安人强我强共同发展功能说明:SSO XXXXX Portal 的B/S方式的SSO 单点登录：通过XXXXX Portal自动提交表单的方式：用户访问Web应用系统时，XXXXX Portal通过构造隐藏的登录表单并自动提交的方式进入Web应用系统。此种方式下，客户端在首次通过XXXXX Portal的强认证和单独登录认证后直接与Web应用系统交互，其访问行为需要访问控制网关来进行授权控制。通过SSL VPN、反向代理表单注入的方式：访问控制网关设备在作代理的过程中当发现有登录特征的http内容，自动注入表单内容，完成web应用登录。单点登出：通过SSL VPN、反向代理和AMS进行策略联动的方式。当用户登出XXXXX Portal时SSLVPN、反向代理设备收到XXXXX Server的联动策略后，断开用户和WEB应用的连接，实现登出。功能说明:SSO XXXXX Portal 的B/S方式的S居利思义身劳心安人强我强共同发展功能说明:SSO XXXXX Portal 的C/S方式的SSO 单点登录：通过浏览器代填控件进行代填：用户在通过XXXXX Portal的强认证后，代填控件会被自动下载到客户端浏览器中，控件会对C/S的客户端进行挂钩，分析特征事件序列，进行窗口控件级操作实现代填动作，单独登录后的访问行为需要访问控制网关来进行授权控制。此种方式需要客户端预先安装C/S的Client端。单点登出：通过SSL VPN，堡垒主机，Citrix等这些C/S访问控制设备，和AMS进行策略联动的方式。当用户登出XXXXX Portal时SSLVPN、堡垒主机，Citrix收到XXXXX Server的联动策略后断开用户和应用的连接，实现登出。功能说明:SSO XXXXX Portal 的C/S方式的S居利思义身劳心安人强我强共同发展功能说明：动态短信口令认证提供基于短信动态密码（SMS-OTP）的认证方式，能够提供符合SOX等国际标准和法规要求的高强度认证服务；自动判断登录IP网段，能够根据不同的IP网段确定是否触发短信动态密码认证；短信动态密码认证服务器在生成并向用户发送动态口令之前，必需对用户的身份进行验证，验证通过后才能向用户注册手机号码发送生成的一次性口令；触发过程中，用户的验证密码（PIN码等）不能在网络上明文传输；短信动态密码认证服务器的触发机制能够抵御恶意的动态密码触发请求，防止拒绝服务攻击；认证平台只能接受一次动态密码的登录认证请求，成功后动态密码立即失效，此后再采用该动态密码进行登录均被视为违法操作；短信动态密码具有一定的生命周期，即使用户没有使用该动态密码进行登录，超出时间范围后该动态密码仍将自动过期。功能说明：动态短信口令认证提供基于短信动态密码（SMS-OT居利思义身劳心安人强我强共同发展功能说明：集中访问控制MS ADMail ServerWEB ServerNetwork Deviceshttp/httpstelnet/ssh/ftprlogin/rshRDP/PC Anywhere VNC/X windowstelnet/ssh snmp set/ftpFireWall访问控制网关及审计XXXXX Audit ManagementXXXXX Access Control Gateway 功能说明：集中访问控制MS ADMail ServerWEB居利思义身劳心安人强我强共同发展统一身份及访问控制解决方案课件居利思义身劳心安人强我强共同发展功能说明：集中审计*XXXXX的审计管理以集中的资源管理为基础，通过各种堡垒主机、网络嗅探能够实现用户资源访问会话的还原审计。对于字符堡垒主机，可以还原完整的用户会话内容：用户对字符应用的访问是经过堡垒主机的，堡垒主机在会话层转发对对应用的各种操作命令，由于在会话层对操作命令和执行结果作相应的转发，因此可以对这些转发的内容（会话）计入日志，进行审计。对于RDP类访问控制网关，可以对用户的会话进行录像，完整记录用户的图形操作：RDP类访问控制网关通过转发用户对图形应用操作的各种动作（键盘鼠标事件）和图形应用的各种绘图操作，实现图形应用的会话级代理。由于在会话层对操作动作和绘图操作作转发，因此可以对转发的内容进行录像，并进行审计。网络嗅探、数据库嗅探：可以对用户的资源操作在网络层做相应的嗅探分析，对协议内容进行记录，经过匹配规则实现会话还原。功能说明：集中审计*XXXXX的审计管理以集中的资源居利思义身劳心安人强我强共同发展功能说明：智能告警提供丰富多样的通知方式，包括短信、邮件、电话和可执行命令行程序等。提供SNMP Trap、Syslog两种公共通讯方式发送告警。提供与第三方统一电子运维系统的无缝集成能力，派发工作单到对应的管理员或用户组。功能说明：智能告警提供丰富多样的通知方式，包括短信、邮件、电居利思义身劳心安人强我强共同发展产品部署方案产品部署方案居利思义身劳心安人强我强共同发展典型部署XXXXX部署结构典型部署XXXXX部署结构居利思义身劳心安人强我强共同发展典型部署XXXXX分级部署结构典型部署XXXXX分级部署结构居利思义身劳心安人强我强共同发展系统详细部署图系统详细部署图居利思义身劳心安人强我强共同发展典型部署XXXXX分级部署分析优点：管理结构清晰，符合用户现有组织结构。采用这种部署方式，各业务系统/各分支机构负责本业务系统/本分支机构的管理，总部对各业务系统/各分支机构进行监督、审核和统一管理。符合用户现有运维组织结构，易于实施和推广；可以更好的适应和满足不同业务系统安全运维管理的客户化需要和要求，比如安全策略设置、定制报表等；安全管理中心的调试周期短，能够更快适应各业务系统的安全运行管理需求；安全运行管理中心的日常维护工作量较少。缺点：建设成本较高，用户多个业务系统/分部/分支机构可能需要建设多个二级中心，相对成本较高；典型部署XXXXX分级部署分析优点：居利思义身劳心安人强我强共同发展中国移动身份及访问管理解决方案身份及访问安全管理问题及需求分析身份及访问安全管理问题及需求分析身份及访问管理系统的建设思路身份及访问管理系统的建设思路XXXXX身份及访问管理解决方案身份及访问管理解决方案身份及访问管理系统特点和优势身份及访问管理系统特点和优势XXXXX实施建议和注意事项实施建议和注意事项身份及访问管理身份及访问管理身份及访问管理身份及访问管理解决方案探讨解决方案探讨解决方案探讨解决方案探讨XXXXX身份及访问管理收益分析身份及访问管理收益分析中国移动身份及访问管理解决方案身份及访问安全管理问题及需求分居利思义身劳心安人强我强共同发展建设思路一、遵循统一的平台的整体架构、具体功能细节可灵活实现AuthenticationAuthentication认证认证 AuthorizationAuthorization授权授权AuditAudit审计审计中央管理中央管理控制台控制台强身份认证及SSO目录选择商用Portal选择扩展安全审计AccountAccount账号管理账号管理 建设思路一、遵循统一的平台的整体架构、具体功能细节可灵活实现居利思义身劳心安人强我强共同发展建设思路二：目录结构规划用户树、资源树和分级管理甲地二级用户树甲地二级资源树用户G用户E用户F用户H资源5资源6资源7资源8一级用户树一级资源树资源1资源2资源3资源4用户C用户A用户B用户D乙地二级用户树乙地二级资源树用户K用户J用户L资源9资源10资源11资源12用户I建设思路二：目录结构规划用户树、资源树和分级管理甲地二级甲地居利思义身劳心安人强我强共同发展建设思路二：目录结构规划漫游和跨域访问二级单位（乙）一级单位二级单位（甲）主账号：C主账号：D主账号：E主账号：F主账号：A主账号：B主账号：E主账号：E用户漫游跨域访问方式一跨域访问方式二建设思路二：目录结构规划漫游和跨域访问二级单位（乙）一级单位居利思义身劳心安人强我强共同发展建设思路三：部署建议建设思路三：部署建议居利思义身劳心安人强我强共同发展建设思路四：负载均衡建设思路四：负载均衡居利思义身劳心安人强我强共同发展XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求分析身份及访问安全管理问题及需求分析身份及访问管理系统的建设思路身份及访问管理系统的建设思路XXXXX身份及访问管理解决方案身份及访问管理解决方案身份及访问管理特点和优势身份及访问管理特点和优势XXXXX实施建议和注意事项实施建议和注意事项XXXXXXXXXX身份及访问管理身份及访问管理身份及访问管理身份及访问管理解决方案探讨解决方案探讨解决方案探讨解决方案探讨XXXXX身份及访问管理收益分析身份及访问管理收益分析XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求居利思义身劳心安人强我强共同发展产品特点及优势先进、完善的整体架构和灵活的功能实现方式，产品采用模块化的设计和通用接口规范，能够对异构的、复杂的IT系统进行统一身份管理；为第三方产品，如认证，审计等产品的整合提供强大的接口能力，以及便利的接入方式；强大的身份管理引擎同步驱动器，能够同步各类账户管理机制；完整的用户账号生命周期管理，实现账号的创建、维护、修改、删除的集中管理；支持多种强身份认证方式的单点登陆技术，简化登陆操作的同时却提高了登陆的安全性；严谨的授权管理，确保最小化授权原则的落实；基于堡垒主机技术的访问控制网关，为企业各类B/S和C/S应用实现了集中的接入访问控制；强大缜密的综合安全审计，为企业提供基于自然人的行为安全审计管理，配合灵活的报表报告管理，满足企业合规性的管理；支持分布式的物理分级、虚拟分级或物理/虚拟分级混合的部署模式，适应企业的IT组织管理架构，尊重企业各部门、各系统原有的账号管理习惯。产品特点及优势先进、完善的整体架构和灵活的功能实现方式，产品居利思义身劳心安人强我强共同发展方案特点及优势可订制化可扩展性高安全性高可靠性易用性4A系统除了满足标准的设备之外，由于各个用户的环境不同，主要的工作是在定制层面；*拥有一支资深的软件研发队伍，拥有强大的研发实力，对系统定制能得到迅速和有效的支持；*有很多对客户业务系统符合性修改的经验，能快速的满足客户在业务逻辑方面的需求统一身份及访问管理系统完全采用模块化的开发模式，系统各模块之间可以灵活的组合与对接，而且可以通过通用接口与第三方的产品进行对接；系统提供支持现有主流的各种主机设备、操作系统和应用系统；系统能够提供快捷的开发平台，方便用户针对一些特有系统的二次开发；硬件系统采用模块化结构，以保证系统内存、CPU及储存容量的扩展；在软件系统的开发中保持高聚合低耦合原则，模块复用率高，减少系统扩展的复杂性。自身系统设置了严格的用户帐号安全策略，防止弱口令以及修改口令策略等；用户登录采用强身份认证，而且可以进行各种组合级联认证：如，用户名/密码与RSA SecurID令牌；数据传输采用SSL加密传输,包括系统维护，用户登录和日志记录等，保证在传输过程中数据不被窃听；全面、强大的自身审计功能，并且对审计的数据进行完整性校验，保证审计数据不被篡改。系统提供硬件和软件的容错、数据存储的备份等系统可靠性措施；重要模块具有自检功能对系统内各功能模块和子系统进行监控；本系统提供热备份和负载均衡特性，可以满足大型分布式网络的需求，扩展服务器带宽和增加吞吐量，加强数据处理能力；系统提供分级，旁路等灵活的部署方式，减少对用户现有系统的影响。系统提供详细的帮助手册，并且系统还提供了在线帮助系统，用户直接在界面上可以查看帮助信息；提供通用的用户界面，操作及选择键的功能定义在全系统保持一致；本产品提供人性化的用户管理界面，支持用户自注册方式，使用户可以方便的进行对本系统的更重相关操作。方案特点及优势可订制化4A系统除了满足标准的设备之外，由于各居利思义身劳心安人强我强共同发展XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求分析身份及访问安全管理问题及需求分析身份及访问管理系统的建设思路身份及访问管理系统的建设思路XXXXX身份及访问管理解决方案身份及访问管理解决方案身份及访问管理系统方案特点和优势身份及访问管理系统方案特点和优势XXXXX实施建议和注意事项实施建议和注意事项XXXXXXXXXX身份及访问管理身份及访问管理身份及访问管理身份及访问管理解决方案探讨解决方案探讨解决方案探讨解决方案探讨XXXXX身份及访问管理收益分析身份及访问管理收益分析XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求居利思义身劳心安人强我强共同发展实施建议第一阶段：咨询、梳理、设计统一规划、试点建设试用、详细需求的挖掘和明确统一规划的完善调整技术规范、运维管理规范制定和的初步完善第二阶段：功能的完善规范的持续完善管理范围的推广演变成为必要的安全维护平台第三阶段：综合性的持续完善演变成为依赖性的企业身份安全管理平台实施建议第一阶段：居利思义身劳心安人强我强共同发展XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求分析身份及访问安全管理问题及需求分析身份及访问管理系统的建设思路身份及访问管理系统的建设思路XXXXX身份及访问管理解决方案身份及访问管理解决方案身份及访问管理系统特点和优势身份及访问管理系统特点和优势XXXXX实施建议和注意事项实施建议和注意事项XXXXXXXXXX身份及访问管理身份及访问管理身份及访问管理身份及访问管理解决方案探讨解决方案探讨解决方案探讨解决方案探讨XXXXX身份及访问管理收益分析身份及访问管理收益分析XXXXX身份及访问管理解决方案身份及访问安全管理问题及需求居利思义身劳心安人强我强共同发展用户收益简化操作流程简化操作流程提高访问安全提高访问安全降低管理成本降低管理成本符合安全规范符合安全规范减轻管理压力减轻管理压力逐个系统的认证安全建设逐个系统的认证安全建设-集中集中IAMIAM方案方案逐个系统的认证登陆逐个系统的认证登陆-单点登陆单点登陆逐个系统的设置帐号策略逐个系统的设置帐号策略-集中账号管理集中账号管理直接访问管理直接访问管理-集中访问控制网关集中访问控制网关分散审计分散审计-综合安全审计综合安全审计用户收益简化操作流程提高访问安全降低管理成本符合安全规范减轻（第14讲）考场作文开拓文路能力分解层次(网友来稿)江苏省镇江中学 陈乃香说明：本系列稿共24讲，20XX年1月6日开始在资源上连载【要义解说】文章主旨确立以后，就应该恰当地分解层次，使几个层次构成一个有机的整体，形成一篇完整的文章。如何分解层次主要取决于表现主旨的需要。【策略解读】一般说来，记人叙事的文章常按时间顺序分解层次，写景状物的文章常按时间顺序、空间顺序分解层次；说明文根据说明对象的特点，可按时间顺序、空间顺序或逻辑顺序分解层次；议论文主要根据“提出问题分析问题解决问题”顺序来分解层次。当然，分解层次不是一层不变的固定模式，而应该富于变化。文章的层次，也常常有些外在的形式：1小标题式。即围绕话题把一篇文章划分为几个相对独立的部分，再给它们加上一个简洁、恰当的小标题。如世界改变了模样四个小标题：寿命变“长”了、世界变“小”了、劳动变“轻”了、文明变“绿”了。2序号式。序号式作文与小标题作文有相同的特点。序号可以是“一、二、三”，可以是“A、B、C”，也可以是“甲、乙、丙”从全文看，序号式干净、明快；但从题目上看，却看不出文章内容，只是标明了层次与部分。有时序号式作文，也适用于叙述性文章，为故事情节的展开，提供了明晰的层次。3总分式。如高考佳作人生也是一张答卷。开头：“人生就是一张答卷。它上面有选择题、填空题、判断题和问答题，但它又不同于一般的答卷。一般的答卷用手来书写，人生的答卷却要用行动来书写。”主体部分每段首句分别为：选择题是对人生进行正确的取舍，填空题是充实自己的人生，判断题是表明自己的人生态度，问答题是考验自己解决问题的能力。这份“试卷”设计得合理而且实在，每个人的人生都是不同的，这就意味着这份人生试卷的“答案是丰富多彩的”。分解层次，应追求作文美学的三个价值取向：一要匀称美。什么材料在前，什么材料在后，要合理安排；什么材料详写，什么材料略写，要通盘考虑。自然段是构成文章的基本单位，恰当划分自然段，自然就成为分解层次的基本要求。该分段处就分段，不要老是开头、正文、结尾“三段式”，这种老套的层次显得呆板。二要波澜美。文章内容应该有张有弛，有起有伏，如波如澜。只有这样才能使文章起伏错落，一波三折，吸引读者。三要圆合美。文章的开头与结尾要遥相照应，把开头描写的事物或提出的问题，在结尾处用各种方式加以深化或回答，给人首尾圆合的感觉。【例文解剖】话题：忙忙，不亦乐乎 忙，是人生中一个个步骤，每个人所忙的事务不同，但是不能是碌碌无为地白忙，要忙就忙得精彩，忙得不亦乐乎。忙是问号。忙看似简单，但其中却大有学问。忙是人生中不可缺少的一部分，但是怎么才能忙出精彩，忙得不亦乐乎，却并不简单。人生如同一张地图，我们一直在自己的地图上行走，时不时我们眼前就出现一个十字路口，我们该向哪儿，面对那纵轴横轴相交的十字路口，我们该怎样选择?不急，静下心来分析一下，选择适合自己的坐标轴才是最重要的。忙就是如此，选择自己该忙的才能忙得有意义。忙是问号，这个问号一直提醒我们要忙得有意义，忙得不亦乐乎。忙是省略号。四季在有规律地进行着冷暖交替，大自然就一直按照这样的规律不停地忙，人们亦如此。为自己找一个目标，为目标而不停地忙，让这种忙一直忙下去。当目标已达成，那么再找一个目标，继续这样忙，就像省略号一样，毫无休止地忙下去，翻开历史的长卷，我们看到牛顿在忙着他的实验；爱迪生在忙着思考；徐霞客在忙着记载游玩；李时珍在忙着编写本草纲目。再看那位以笔为刀枪的充满着朝气与力量的文学泰斗鲁迅，他正忙着用他独有的刀和枪在不停地奋斗。忙是省略号，确定了一个目标那么就一直忙下去吧!这样的忙一定会忙出生命灵动的色彩。忙是惊叹号。世界上的人都在忙着自己的事，大自然亦如此，小蜜蜂在忙，以蜂蜜为回报。那么人呢?居里夫人的忙，以放射性元素的发现而得到了圆满的休止符；爱因斯坦在忙，以相对论的问世而画上了惊叹号；李白的忙，以那豪放的诗歌而有了很大的成功；张衡的忙，因为那地动仪的问世而让世人仰慕。每个人都应该有效率的忙，而不是整天碌碌无为地白忙。人生是有限的、短暂的，因此，每个人都应该在有限的生命里忙出属于他的惊叹号；都应在有限的生命里忙出他的人生精彩篇章。忙是万物、世界、人生中都不可缺少的一部分。作为这世上最高级动物的我们，我们在忙什么呢?我们要忙得有意义，有价值，我们要忙出属于我们的精彩。我们的忙不能永远是问号，而应是省略号和感叹号。忙就要忙得精彩，忙得不亦乐乎。解剖：本文将生活中的一句口头禅“忙得不亦乐乎”机智翻新，拟作标题，亮出一道美丽的风景。并据此展开述说，让人神清气爽。文章开篇扣题，亮出观点：忙，是人生中一个个步骤，不能碌碌无为地白忙，要忙就忙得精彩，忙得不亦乐乎。然后，作者分别用问号、省略号、惊叹号巧妙设喻，抓住这三种标点符号的特征，摆实事，讲道理，入情入理，入理入心。深刻地阐明人生忙，忙要像问号一样，经常问问自己，不能盲目，不能瞎忙，要忙得有意义；人生如四季一样是有规律的，要选准目标，像省略号一样，毫无休止地忙下去，忙出生命灵动的色彩；而人生有限，每个人都应有限的生命里忙出属于他的惊叹号，忙出人生精彩的篇章。结尾，作者用一个段落总结全文，照应开头，照应题目，有力收束。【精题解析】阅读下面的材料，根据要求作文。在一处地势十分险恶的峡谷，谷底奔腾着咆哮的急流，峡谷间有一座索桥，几根光秃秃、晃悠悠的铁索横在峡谷间，它是通过这个地方的唯一路径，这里经常有人因为失足而跌入深谷。有一天，有三个人来到了这里。一个聋子，一个瞎子，还有一个健康的人。聋子看看这座桥，很害怕，但是他听不到急流的声音，他用眼睛看着脚下步伐，很顺利地过去了。瞎子不知峡谷的险恶，他心平气和，十分稳妥地通过了。第三个人是健康人，一直犹豫不敢走这索桥，可是又没有其他路可走。于是，他十分紧张地硬着头皮走上索桥，到了桥中央，他看到脚下万丈深渊，云雾升腾，听到谷底急流咆哮，早已两腿颤颤，面如土色，一不小心跌下桥去。请就“不要把困难看得太明白”为话题写一篇文章。注意所写内容必须在话题范围之内。试题引用的材料，考生在文章中可用也可不用。立意自定。文体自选。题目自拟。不少于800字。不得抄袭。解析：有时候，把困难看得太明白，分析得太透彻，反而会被困难吓倒以至于阻拦我们前进的脚步。倒是那些未把困难完全看清楚而勇往直前的人，更容易达到终点。作者邮箱：13952865227谢谢观赏谢谢观赏（第14讲）考场作文开拓文路能力分解层次(网友来稿)谢谢观