本方案选用赛尼运维安全审计系统完成金融机构统一用户身份管理项目建设。
赛尼运维安全审计系统是安全管理体系的重要组成部分,部署在单位的内部网络中,用于保护单位内部资源和网络的安全性。
赛尼运维安全审计系统应用了目前先进的技术作为支持,针对内部核心服务器、网络设备和应用进行保护,对此类资产的常用访问方式进行监控和审计,例如对字符终端、图形终端等访问方式进行监控和审计,实现对用户行为的控制、追踪、判定,满足内部网络对安全性的要求。
二、设计思路
因为运维操作的风险来源于管理模式、用户、操作等各个方面,所以我们给用户提供的是一个对操作进行集中管理,对身份、访问、权限、审计进行控制,真正帮助用户降低运维操作风险的整体解决方案,而不是一个单纯的安全产品。
三、集中管理
管理模式是首要因素,管理是从一个很高的高度,综合考虑整体的情况,然后制定相应的策略,最后落实到技术实现上。管理解决的是面的问题,技术解决的是点的问题,管理的模式决定了管理的高度。
随着应用的发展,设备越来越多,维护人员也越来越多,我们必须对操作进行集中管理。只有集中才能够实现统一管理,也只有集中管理才能把复杂问题简单化。集中管理包括:集中的资源访问入口、集中帐号管理、集中授权管理、集中认证、集中审计等等。
基础建设要结合XXX金融单位的主机系统、网络设备以及数据库等资源情况,基础建设规划主要包括以下几个方面:
账号管理,账号管理包括主账号与从账号的管理。
主帐号:自然人使用的帐号,目前主要是网络准入控制系统的帐号。
从帐号:资源设备自身帐号,主要是指自然人登录设备时使用的帐号。
授权管理,主帐号和从帐号之间需要通过资源设备进行关联。授权的目的就是授权自然人可以登录那些设备,在相应的设备上使用那个从帐号。因此形成“主帐号-从帐号-设备”三位一体的对应关系。但自然人、设备、系统帐号较多时就形成了一个比较庞大的网状的交叉复杂联系。
认证管理,身份及访问管理系统自身集成PKI证书认证,身份及访问管理系统上定义主帐号时可以为主帐号生成证书,方便证书认证模式的部署和实施。身份及访问管理系统也可以和其他认证方式相结合,做组合认证,提高访问的安全性。例如:支持静态口令、证书、智能卡、各种人体特征(指纹、视网膜等)、动态令牌等等。
安全审计,身份及访问管理系统主要是审计操作人员的账号使用情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后,操作审计能更好地对帐号的完整使用过程进行追踪审计。由于身份及访问管理系统采用单点登录(SSO)方式,自然人与管理系统账号实现一一对应,审计员可以轻松的将系统操作与自然人相对应,解决了以往运维环境中仅追查到设备账号层面的问题,方便了安全事故的定责工作。
系统访问场景:
