4A平台技术讲座--中国移动

上传人:美景 文档编号:22649 上传时间:2016-12-23 格式:PPT 页数:28 大小:1,005KB
返回 下载 相关 举报
4A平台技术讲座--中国移动_第1页
第1页 / 共28页
4A平台技术讲座--中国移动_第2页
第2页 / 共28页
4A平台技术讲座--中国移动_第3页
第3页 / 共28页
点击查看更多>>
资源描述
中国移动通信有限公司 4为什么要做 4444总结 安全的服务对象 我们的安全服务对象一般包含数据网络和 了突出重点,我们以 简而言之, 责高效采集、分析、管理、传送所有企业信息的系统工具,是支撑企业运营的 见的 公自动化、计费结算、网管监控等系统。 随着经济和社会信息化的迅猛发展,企业内部核心资料和应用可以通过计算机和网络进行访问、读取、修改,在高效便捷的同时, 测攻击、信息泄漏等诸多安全威胁,尤其是在与互联网连接以后,这种情况往往会进一步加剧。 从一般意义上讲, 件及其管理的数据,不受偶然、无意或者恶意的原因而遭到破坏、更改、泄露,是保证其连续可靠运行的技术手段和管理手段。 从组成上看, 是以安全策略和安全设备为中心的安全技术体系;二是以组织机构和规章制度为中心的安全管理体系。只有这两个部分统一协调地工作,才能够保证 大量服务器、大量终端、大量网络设备、海量应用、数据库 防火墙防病毒入侵监测漏洞扫描 本课件主要对安全技术体系中的 4 ,难于确定账号的实际使用者,账号的扩散范围难于控制 大量设备、应用系统都有一套独立的认证系统 、同时对多个系统进行维护时,工作复杂度高 审计相互独立的,各个系统单独审计,缺乏集中统一的系统访问审计。无法对支撑系统进行综合分析,不能及时发现入侵行为 随着支撑系统的迅速发展,各种支撑设备、应用和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出 缺乏集中统一的资源授权管理平台,随着用户数量的增加,权限管理任务越来越重,系统的安全性无法得到充分保证 如何解决? ,4 4内) 帐号( 理 请出示你的证件 认证( 理 对你的身份进行确认,并决定你的权限 授权 (理 把资源与你的权限对应起来 审计 ( 你做了什么我都知道 4外) 国外一般没有帐号( 个 A,而是管理( 突出强调账号管理、权限管理、资源管理是在统一范围集中解决。 无论是国内还是国外,一般业内都逐步认同两点:一是 4网络和应用安全的基础设施;二是4一为数据网络和支撑系统服务的公共设施。 4系统资源:支撑系统的所有设备,包括主机操作系统、数据库系统、网络设备、安全设备(防火墙)等 应用资源:支撑系统的所有上层应用系统 集中账号管理 集中账号管理是 4 帐号管理用于在 中维护包括自然人(主帐号)和资源(从帐号)在内的全部帐号,以及和帐号相关的、可在 4 集中账号管理首先需要做的事情是将现有设备、应用的账号收集起来,集中管理,并将这些信息与自然人对应起来。同时保证账号管理具有一致性、准确性、实效性和安全性。 有了账号管理,企业员工和外围人员就有了唯一的账号,这种唯一性保证了认证、授权、审计的可行性。 集中认证管理 认证是确认访问系统的用户身份的手段,是进入安全系统的第一道关卡。 认证的方式或者手段:需要用户提供相应的凭据 所知:口令 所有:智能卡、动态口令发生器、数字证书、生物特征 当前各系统都有自己的认证功能,方式不是太少而是太多、太杂。因此次登录)就成为认证需要重点解决的问题。 集中授权 对用户访问的各种系统的各种资源进行权限分配和访问控制,即集中实现拥有某种权限的用户,能够以什么方式,访问或者使用哪些资源。 授权公式 F( O,T,P): 决于访问者的权限; 授权的粒度 实体级(设备、应用的主体资源),实际上就是能够做到权限与资源的 络端口对应 应用级(实体内部细粒度的资源),实际上就是对实体内部各种资源的使用,例如可以控制到 记录等 授权方式 访问控制列表( 基于角色的访问控制( 其他 集中审计 对 4限分配、登录过程、资源访问等等一些环节进行记录和检查,从而发现其中存在的问题。 审计按照阶段划分可以分为事前和事后 事前审计:重点检查对 4账号逾期没有收回、授权过渡或者不足等 事后审计:重点检查是否存在利用假冒账号尝试登录,试图使用合法账号访问未经授权的资源 集中审计要从账号管理、认证管理、授权管理系统收集相应的日志文件,然后再进行分析、比对,最终生成可识别、可判断的报表。 从理论而言,审计是一个相对独立的部分,即使没有集中的账号、认证、授权管理,审计也可以实现。 ,及时发现异常 帐号管理 对应用和系统内 的帐号统一管理 单点登录 一次登录 全网通行 系统资源 应用资源 4 4准也多种多样,因此 4提出相应的解决办法。 4何在统一框架下提供各种认证方式,并且这种方式能够与授权有机地结合起来。 当前国际主流标准 全断点标记语言),是一种基于 要用于在 口令密码、 支持 CA 扩展访问控制标记语言 ),同样是一种基于 一种标识访问控制策略的语言。 其他技术或者标准 4 4 展示层:通过 应用层:由身份管理、认证管理、授权权利、审计管理构成,负责用户主从帐号管理、认证管理和调度、权限分配和控制、审计信息搜集和管理。 接口层:实现对资源层信息收集和权限管理,以及与第三方组件的信息交互。 资源层:系统资源和应用资源 外部组件 认证组件: A 数字证书;短信随机码 审计组件:独立的第三方产品 账号、权限、授权、审计的现状 现状 1:分散的、大量的、多样的应用和不同的系统管理员 现状 2:分散的系统授权机制和授权管理 现状 3:自然人身份和应用系统帐号重叠 现状 4:多系统的访问频繁切换都基于分散的帐号管理实现 问题 5:分散的审计,缺乏关联分析和责任定位 4现状梳理 系统改造 项目协调 4 A 同 时 侧 重 于 系 统 和 应 用 的 安 全 管 理和 审 计 , 与 传 统 系 统 安 全 、 网 络 安 全工 程 建 设 相 比 , 具 有 层 次 更 深 、 范 围更 广 、 难 度 更 高 的 特 点 。非 系 统 安 全4 A 项 目 不 仅 需 要 自 身 支 持 , 更 需 要 应用 系 统 进 行 接 口 定 制 开 发 , 不 是 一 个独 立 性 工 程 。非 独 立 工 程 44机、数据库、网络设备)和应用系统,其发展和实现过程中必然有相应的改造工作,因此 4步实现的原则。 第一阶段:现状梳理系统级授权 第二阶段:应用改造应用级授权 第三阶段:自身优化流程简化 第一阶段:现状梳理系统级授权 所有系统资源的账号、权限信息保存在统一的 统一的 实现系统资源的单点登录。 第二阶段:应用改造应用级授权 应用系统将其账号、权限信息按照 4植到 4 4现与应用系统的接口 实现应用资源的单点登录 第三阶段:自身优化流程简化 各应用资源不再存贮自身的账号和权限信息 简化和完善的账号、认证、授权、审计流程 具备较好的稳定性与扩展性 4安全管理 4括威胁管理、身份识别、访问管理和安全审计等。 有效满足法规、标准遵从性的要求, 集中化监控和管理用户,实现权限最小化,并通过权限管理流程,有效避免权限滥用。 实现用户单点登录 使用户行为具备可追溯性 可以对所有目标用户行为进行审计。 可以通过 新增用户上线周期大大缩短, 安全性提高;系统整合 统一管理平台 4术语 解释 4帐号管理,授权管理,认证管理,审计管理。 自然人 使用业务支撑网中资源的物理存在的人。 资源 自然人要访问的业务支撑系统中实体,包括应用资源和系统资源。 应用 业务支撑系统中的一种资源类型,包括 营分析系统、 系统 业务支撑系统中的一种资源类型,包括主机、网络设备、数据库、安全设备等。 主帐号 自然人在 4 从帐号 资源中的帐号。 帐号组 由主帐号或从帐号构成的集合。 权限 资源访问能力的标识。 角色 资源中若干访问权限的集合。 角色组 角色构成的集合。 日志 资源对行为的记录。 审计 针对各类资源操作行为进行收集、分析、预警的过程。 息验证码。 点登录。
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 管理文书 > 方案规范


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!