统一用户身份管理解决方案3013.doc

XXX单位 统一用户身份管理项目 解决方案 建恒 二〇一一年八月 目 录 前言 4 1 公司介绍 4 2 风险与需求分析 5 2.1 管理员维护难度 5 2.2 帐号共用问题 5 2.3 资源使用问题 5 2.4 密码策略问题 6 2.5 审计问题 6 2.6 需求分析 6 3 解决方案 7 3.1 设计原则 7 3.2 遵循与参考的标准和规范 8 3.3 产品选型 8 3.4 设计思路 9 3.4.1 集中管理 9 3.4.2 协议代理技术 9 3.4.3 身份授权分离 10 3.5 功能实现 10 3.5.1 主帐号管理 10 3.5.2 资源管理 12 3.5.3 集中授权 13 3.5.4 统一认证 14 3.5.5 安全策略 14 3.5.6 单点登陆 15 3.5.7 操作审计 16 4 客户收益 17 4.1 实现集中帐号管理，降低管理费用 17 4.2 实现集中身份认证和访问控制，避免冒名访问，提高访问安全性 18 4.3 实现集中授权管理，简化授权流程，减轻管理压力 18 4.4 实现单点登录，规范操作过程，简化操作流程 19 4.5 实现实名运维审计，满足安全规范要求 19 5 方案特点 20 5.1.1 技术成熟性 20 5.1.2 业务需求可靠性 20 5.1.3 可扩展性 20 5.1.4 安全性 21 前言 随着计算机网络的不断发展，信息产业已经成为人类社会的支柱产业，全球信息化已成为人类社会发展的大趋势，由此带动了计算机网络的迅猛发展和普遍应用。 随着信息技术的发展和信息化建设的，信息系统在企业的中全面渗透2002年由美国总统布什签发的萨班斯法案(Sarbanes-Oxley Act)XXX单位网络的现状，本方案对风险和相应的需求进行分析汇总。 管理员维护难度 XXX单位有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。目前各IT系统都有一套独立的认证、授权和审计系统，并且由相应的系统管理员负责维护和管理。当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加，另外给系统的用户分配权限，缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限。随着用户数量的增加，权限管理任务越来越重，系统的安全性无法得到充分保证。 帐号共用问题 XXX单位网络网络设备、主机系统和应用系统众多，有些帐号多人共用，不仅在发生安全事故时，难于确定帐号的实际使用者，而且难于对帐号的扩散范围进行控制，容易造成安全漏洞。 资源使用问题 系统的增多，使用户经常需要在各个系统之间切换，每次从一个系统切换到另一系统时，都需要输入用户名和口令进行登录，给用户的工作带来不便，影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个系统的口令设置成相同的，危害到系统的安全性。 密码策略问题 根据安全规范的要求，设置IT系统账号的口令使用时间，并符合一定的复杂度，这对于IT系统众多的XXX单位来说是一件费时费力的工作，要保证按期安全的执行密码策略存在很大困难。 审计问题 由于各支撑系统独立运行、维护和管理，所以各系统的审计也是相互独立的，不但各个系统单独审计，即使同一系统中的每个网络设备，每个主机系统都要分别进行审计，缺乏集中统一的系统访问审计。无法对支撑系统进行综合分析，不能及时发现内部破坏和外部入侵行为。 需求分析 随着业务系统和支撑系统的发展及内部用户的增加，一方面系统维护和管理人员的工作负担增加，工作效率无法提高；另一方面无法对各业务系统实现统一的安全策略，从而在实质上降低了业务系统的安全性。因此需要根据XXX单位的现状，研究集中统一的安全管理技术和平台，使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证支撑系统安全策略的实施。 这个安全管理框架包括用户的账号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit)。 账号管理是将自然人与其拥有的所有系统账号关联，集中进行管理，能够按照密码策略自动要求更新密码，监督密码强度等。 身份认证是信息安全的第一道防线，用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说，身份认证是一个基本的安全考虑。身份认证的方式可以有多种，包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。 授权是指对用户使用系统资源的具体情况进行合理分配的技术，实现不同用户对系统不同部分资源的访问。 审计是指收集、记录用户对支撑系统资源的使用情况，以便于统计用户对网络资源的访问情况，并且在出现安全事故时，可以追踪原因，追究相关人员的责任，以减少由于内部计算机用户滥用网络资源造成的安全危害。 确