1、北京國富安電子商務安全認證有限公司數(shù)字證書服務及4A產(chǎn)品介紹用戶分散缺乏監(jiān)管授權混亂數(shù)據(jù)分散重復建設多次登錄面臨的困境EC平臺發(fā)展4A產(chǎn)品的初衷賬號管理（Account）缺少帳號和自然人的邏輯關聯(lián)，一旦出現(xiàn)安全問題，很難定位到自然人各系統(tǒng)的帳號管理獨立且分散，管理員很難完成對帳號的有效管理賬號多人共用，難以實現(xiàn)帳號權限的有效監(jiān)督和審核 當有人員或崗位變動時，管理員需要頻繁地登錄到各個系統(tǒng)中為相應的用戶創(chuàng)建、刪除、修改帳號，工作量巨大用戶在各個系統(tǒng)上自主設定、修改密碼，密碼強度難以保證、定期修改的規(guī)定難以執(zhí)行 無效賬戶難以徹底刪除或者禁止帳號安全現(xiàn)狀認證管理（Authentication）多樣的

2、身份認證系統(tǒng)，每個系統(tǒng)都有一套獨立的認證管理體系，給管理員帶來了很大負擔各信息系統(tǒng)都有一套獨立的認證管理體系，無法貫徹統(tǒng)一的登錄控制策略登錄各系統(tǒng)都需要輸入用戶名和口令，用戶操作繁瑣現(xiàn)有系統(tǒng)中賬號級別與認證方式不對應安全現(xiàn)狀授權管理（Authorization）各應用系統(tǒng)都有一套獨立的授權管理，缺乏集中統(tǒng)一的資源授權管理； 各系統(tǒng)分別管理所屬的系統(tǒng)資源，無法嚴格按照最小權限原則分配權限隨著用戶數(shù)量的增加，權限管理任務越來越重用戶的權限和自己的工作職責是不一致的安全現(xiàn)狀審計管理（Audit）各應用系統(tǒng)都有一套獨立的審計管理,并且審計內容和強度不一致，無法貫徹統(tǒng)一的審計管理策略缺乏集中統(tǒng)一的設備審

3、計管理，無法有效完成對日志記錄的定期審閱。無法對日志進行綜合分析，不能及時發(fā)現(xiàn)異常，對出現(xiàn)問題立即采取有效的防護措施安全現(xiàn)狀 GFA 4A集中管理平臺的最終目標是建立一套信息安全的基礎設施，并通過它為各種應用提供包括用戶信息、身份認證、授權管理、審計與責任認定等功能在內的安全支撐服務。1安全賬號Account2身份認證Authentication3授權管理Authorization4審計責任認定AuditGFA 4A集中管理平臺目標產(chǎn)品組成GFA 4A集中安全管理平臺將包含如下產(chǎn)品：序號產(chǎn)品名稱功能描述備注1GFA-SSO國富安單點登錄系統(tǒng)2GFA-Auth國富安身份認證系統(tǒng)3GFA-ARA國

4、富安授權管理系統(tǒng)包括權限管理、查詢；屬性證書簽發(fā)4GFA-Account國富安賬號管理系統(tǒng)5GFA-Audit國富安審計系統(tǒng)包含強審計、責任認定GFA 4A安全管理平臺系統(tǒng)組成GFA AuthGFA ARAGFA SSOGFA AuditGFA AccountAuth-ServiceAuth-GinaAuth-PamARA-UserInfoARA-ServiceSSO-Login SSO-Portal SSO-FilterAudit-Service Audit-Watch Audit-Monitor Audit-Report Audit-Filter Account-Admin Account

5、-Service 國富安4A集中安全管理平臺解決方案總體邏輯架構功能介紹:主帳號創(chuàng)建、修改、刪除、鎖定/解鎖、同步（可以從現(xiàn)有的信息系統(tǒng)中導入，如OA系統(tǒng)等）；從帳號的搜集、創(chuàng)建、刪除、鎖定/解鎖；主帳號和從帳號的關聯(lián)；批量創(chuàng)建從帳號（用戶入職時）；批量刪除從帳號（用戶離職時）；主賬號/從賬號口令策略的管理，支持長度、頻度（使用多少次）、構成、周期（使用多長時間）等口令策略。賬號分布報表功能4A安全管理平臺-帳號管理最終目標:管理員在一點上即可對不同系統(tǒng)中的賬號進行管理，實現(xiàn)：賬號與人的關聯(lián)；網(wǎng)絡設備、操作系統(tǒng)、甚至應用系統(tǒng)中已有賬號的收集；新建賬號并同步到各系統(tǒng)中去；實現(xiàn)集中的密碼策略，并按

6、照密碼策略的要求，自動、集中、定期修改系統(tǒng)賬號的口令；實現(xiàn)集中刪除一個自然人的所有或者部分系統(tǒng)賬號；保留賬號創(chuàng)建、分配、變更、刪除整個過程的信息，從而知道什么時間、哪些賬號給了哪些人，每個人擁有什么樣的賬號，便于審計。 4A安全管理平臺-帳號管理Agent賬號管理服務器（GFA Account）服務器主機服務器主機帳號同步服務User1 User2User nUser1 User2User nAgentAgent用戶系統(tǒng)用戶名密碼張三Portal系統(tǒng)user11234郵件系統(tǒng)User22345DOMINO系統(tǒng)User3AAAA報銷系統(tǒng)user4CCCC工資系統(tǒng)user5BBBB應用系統(tǒng)Agen

7、t網(wǎng)絡設備User1User2.User n帳號同步服務User1User2.User n帳號管理員賬號搜集4A安全管理平臺-帳號管理用戶系統(tǒng)用戶名密碼001Portal系統(tǒng)user11234郵件系統(tǒng)User22345DOMINO系統(tǒng)User3AAAA報銷系統(tǒng)user4CCCC工資系統(tǒng)user5BBBB用戶系統(tǒng)用戶名密碼001Portal系統(tǒng)user11234郵件系統(tǒng)User22345DOMINO系統(tǒng)User3AAAA報銷系統(tǒng)user4CCCC工資系統(tǒng)user5BBBB系統(tǒng)1A123456主機1A123456主機2A123456Agent賬號管理服務器（GFA Account）服務器主機服務器

8、主機帳號同步服務User1 User2User nUser1 User2User nAgentAgent應用系統(tǒng)Agent網(wǎng)絡設備User1User2.User n帳號同步服務User1User2.User n帳號管理員User1AUser2.User nUser1A User2User nUser1 A User2User nUser1AUser2.User n賬號批量增加/刪除4A安全管理平臺-帳號管理統(tǒng)一認證平臺服務器主機網(wǎng)絡設備應用系統(tǒng)數(shù)據(jù)庫用 戶SSO：用戶在登錄帳號安全管理平臺后，在登錄他/她有權限訪問的信息系統(tǒng)時不需要再輸入口令，從而實現(xiàn)一處登錄，處處通行4A安全管理平臺統(tǒng)一認證

9、模塊組成:SSO門戶（SSO Portal）Web過濾器(SSO-Filter)智能口令(SSO-Login )認證服務器（ GFA Auth ）4A安全管理平臺統(tǒng)一認證總體架構4A安全管理平臺統(tǒng)一認證支持的認證方式 用戶名/密碼 動態(tài)口令 數(shù)字證書 指紋等生物特征 智能卡 短消息身份認證方式選擇普通用戶選擇用戶名/口令關鍵用戶選擇證書等安全策略 密碼規(guī)則，長度、構成、復雜度設置 時間限制、頻次限制、次數(shù)限制 定期更改4A安全管理平臺統(tǒng)一認證集中的權限管理 采用RBAC（基于角色的訪問控制）的授權模式，對用戶能夠訪問的資源進行授權，并集中保存再權限策略庫中。權限分布報表功能 支持按照用戶、信息

10、系統(tǒng)等條件出具權限分布的報表。操作控制功能 對用戶在信息系統(tǒng)中的具體操作按照相應的授權策略進行有效控制。4A安全管理平臺集中授權實現(xiàn)功能:4A安全管理平臺集中授權邏輯模型:訪問的設備地址以管理員身份進行管理規(guī)定是特權用戶定制可用命令集 訪問的主機地址端口 應用名消息字段菜單功能模塊 粗粒度/細粒度源IP地址源IP地址段限制端口定制用戶權限限制可用Shell命令/可執(zhí)行程序 主機地址 數(shù)據(jù)庫名賬號類別網(wǎng)絡設備應用系統(tǒng)服務器主機數(shù)據(jù)庫4A安全管理平臺集中授權集中的安全審計 用戶從登錄4A平臺開始，到退出整個過程中的用戶在各個信息系統(tǒng)中的操作。審計內容展示 按照用戶、時間等條件查詢出審計記錄，每條記

11、錄對應一個會話，包括開始時間和退出時間，當點擊相應記錄時會出具在這個會話中該用戶的所有操作。審計報表 按照用戶、信息系統(tǒng)等條件出具詳盡的用戶操作審計報表。4A安全管理平臺集中審計實現(xiàn)功能:賬號管理審計主賬號與從賬號對應關系主賬號的創(chuàng)建時間創(chuàng)建人主、從賬號的有限期密碼更改規(guī)則應用系統(tǒng)網(wǎng)絡設備服務器主機數(shù)據(jù)庫管理員用戶賬號授權審計權限分配時間、分配者主、從賬號的訪問權限資源的授權訪問者登錄過程審計什么人用什么賬號登錄什么時間登錄什么系統(tǒng)什么時間退出身份認證審計身份認證統(tǒng)計失敗身份認證統(tǒng)計登錄后行為審計用戶訪問了哪些資源對資源做了什么操作收集應用系統(tǒng)日志記錄賬號管理授權管理用戶登錄用戶操作4A安全管

12、理平臺集中審計產(chǎn)品名稱簡要規(guī)格用途數(shù)量服務器Intel Xeon Processor 3.0GHz4；4G Memory；73.4G2；雙千兆網(wǎng)卡；RAID卡；DVD-ROM；雙冗余電源；支持linux系統(tǒng)認證服務器2服務器Intel Xeon Processor 3.0GHz4；8G Memory；73.4G2；雙千兆網(wǎng)卡；RAID卡；DVD-ROM；雙冗余電源；支持linux系統(tǒng)授權管理服務器2服務器Intel Xeon Processor 3.0GHz4；4G Memory；73.4G2；雙千兆網(wǎng)卡；RAID卡；DVD-ROM；雙冗余電源；支持linux系統(tǒng)賬號管理服務器2服務器Inte

13、l Xeon Processor 3.0GHz4；8G Memory；73.4G2；雙千兆網(wǎng)卡；RAID卡；DVD-ROM；雙冗余電源；支持linux系統(tǒng)目錄服務器2服務器Intel Xeon Processor 3.0GHz4；4G Memory；73.4G2；雙千兆網(wǎng)卡；RAID卡；DVD-ROM；雙冗余電源；支持linux系統(tǒng)審計服務器2服務器Intel Xeon Processor 3.0GHz4；8G Memory；73.4G2；三千兆網(wǎng)卡；光纖存儲卡*2； 40G-80G磁帶機；DVD-ROM；冗余電源；UNIX操作系統(tǒng)；集群管理軟件；支持oracle 10g RAC。 數(shù)據(jù)庫盤陣

14、需求：146G*10；雙活動2GB RAID控制器；光纖通道（FC）；存儲分區(qū)技術；支持RAID01用戶信息、權限信息數(shù)據(jù)庫24A集中管理平臺系統(tǒng)配置3國富安4A產(chǎn)品相關案例 -無錫財政局4A平臺建設項目背景 無錫市財政局擁有應用系統(tǒng)10套以上，應用形式同時包含B/S及C/S應用，C/S結構應用系統(tǒng)使用pb/delphi開發(fā)，B/S系統(tǒng)服務器采用iis /weblogic 為主，數(shù)據(jù)庫有orale 、sqlserver 。信息系統(tǒng)用戶內部數(shù)量為200人左右，外部用戶達到1000人以上。 系統(tǒng)環(huán)境系統(tǒng)名稱服務形式系統(tǒng)平臺WEB服務器類型及版本開發(fā)語言預算執(zhí)行系統(tǒng)B/SAIX 5.0Apache

15、2.0java C/SDelphi非稅收入系統(tǒng)B/SAIX 5.0weblogic 8.1J2EE契稅征管系統(tǒng)C/SAIX 5.0PB6.5建設資金管理系統(tǒng)B/SAIX 5.0IISC#票據(jù)管理系統(tǒng)C/SWindows 2000Delphi會計信息管理系統(tǒng)C/SWindows 預算級次核定系統(tǒng)C/SWindows 2000Delphi內控管理系統(tǒng)B/SWindows 2003IISC#辦公自動化系統(tǒng)B/SWindows 2003IISC#財稅庫系統(tǒng)C/SWindows 2000DelphiB/SWindows 2003IISC#部門預算系統(tǒng)C/SWindows 2000土地出讓金C/SWind

16、ows 2000系統(tǒng)架構Thank you!謝謝sso概述SSO英文全稱Single Sign On，單點登錄。SSO是在多個應用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。實現(xiàn)SSO需要實現(xiàn)功能： 所有應用系統(tǒng)共享一個身份認證系統(tǒng) 所有應用系統(tǒng)能夠識別和提取ticket信息認證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫相比較，對用戶進行登錄認證；認證成功后，認證系統(tǒng)應該生成統(tǒng)一的認證標志（ticket），返還給用戶。另外，認證系統(tǒng)還應該對ticket進行效驗，判斷其有效性要實現(xiàn)SSO的功能，讓用戶只登錄一次，就必須讓應用系統(tǒng)能夠識別已經(jīng)登錄過的用戶。應用系統(tǒng)應該能對tick

17、et進行識別和提取，通過與認證系統(tǒng)的通訊，能自動判斷當前用戶是否登錄過，從而完成單點登錄的功能單點登錄現(xiàn)有模型基于經(jīng)紀人(Broker-based)的單點登錄模型基于代理(Agent-based)的單點登錄模型基于網(wǎng)關(Gateway-Based)的單點登錄模型基于代理與經(jīng)紀人(Agent and Broker-based)的單點登錄模型此模型有一個集中認證和用戶賬號管理的服務器，使用中央認證服務器和中央數(shù)據(jù)庫，像一個經(jīng)紀人一樣，為認證提供一個公共和獨立的第三方此模型有一個自動為不同應用程序認證用戶身份的代理程序，代理人在服務器的認證系統(tǒng)和客戶端認證方法之間充當一個“翻譯”。基于代理的單點登錄

18、模型保證了通道的安全和單點登錄，具有比較好的可實施性和靈活性。但是基于代理的單點登錄模型的用戶登錄憑證要在本地存儲，增加了口令泄露的危險在這種單點登錄模型中提供一個類似像“門”一樣的網(wǎng)關。用以安全地接入到可信的網(wǎng)絡服務，網(wǎng)關可以是防火墻或者是專門用于通訊加密的服務器。這種方案，對企業(yè)中現(xiàn)有的網(wǎng)絡環(huán)境要求比較嚴格。也需要現(xiàn)有的企業(yè)應用來適應它，所以這種方案的應用范圍并不廣泛將基于代理(Agent-Base)的單點登錄模型和基于經(jīng)紀人(Broker-Base)的單點登錄模型結合起來，充分利用了前者的靈話性、對現(xiàn)有系統(tǒng)改造小的優(yōu)點和后者的中央式管理優(yōu)勢基于經(jīng)紀人:（可實施性）對舊系統(tǒng)的改造量比較大。

19、 （可管理性）可實現(xiàn)集中式的管理。代理模型:需要為每個舊系統(tǒng)新添加一個代理，移植比較簡單。 管理比較難以控制。代理和經(jīng)紀人模型:把基于經(jīng)紀人的解決方案和基于代理的解決方案相結合?；诖砟Ｐ偷淖畲髢?yōu)點就是能減少對應用程序的改造，而基于經(jīng)紀人模型的最大優(yōu)點就是認證集中，基于以上兩點，AgentandBroker-based模型就兼具了前者集中管理和后者無需修改應用服務程序的優(yōu)點。網(wǎng)關模型。需要通過一臺專用的網(wǎng)關才能訪問各種應用。 易于管理，但不同網(wǎng)關之間的數(shù)據(jù)庫需要同步。一般來說，每個應用系統(tǒng)都擁有獨立的用戶信息管理功能，用戶信息格式、命名與存儲方式多種多樣，當用戶需要使用多個應用系統(tǒng)時就會帶來

20、用戶信息同步問題。根本解決辦法是統(tǒng)一存儲所有應用系統(tǒng)的用戶及權限信息，實現(xiàn)統(tǒng)一存儲、統(tǒng)一授權。統(tǒng)一用戶管理1用戶信息規(guī)范命名、統(tǒng)一存儲，用戶ID全局惟一。用戶ID猶如身份證，區(qū)分和標識了不同的個體。2統(tǒng)一用戶管理向各應用系統(tǒng)提供用戶屬性列表，如姓名、電話、地址、郵件等屬性，可以設置各應用系統(tǒng)對應的部分或全部操作權限。3應用系統(tǒng)對用戶基本信息的增加、修改、刪除和查詢等請求由統(tǒng)一用戶管理統(tǒng)一處理。4應用系統(tǒng)可保留用戶管理功能，如用戶分組、用戶授權等功能。統(tǒng)一用戶管理4AAgent賬號管理服務器服務器主機服務器主機帳號同步服務User1 User2User nUser1 User2User nAge

21、ntAgent用戶系統(tǒng)用戶名密碼張三Portal系統(tǒng)user11234郵件系統(tǒng)User22345DOMINO系統(tǒng)User3AAAA報銷系統(tǒng)user4CCCC工資系統(tǒng)user5BBBB應用系統(tǒng)Agent網(wǎng)絡設備User1User2.User n帳號同步服務User1User2.User n帳號管理員賬號搜集4A安全管理平臺-帳號管理用戶系統(tǒng)用戶名密碼001Portal系統(tǒng)user11234郵件系統(tǒng)User22345DOMINO系統(tǒng)User3AAAA報銷系統(tǒng)user4CCCC工資系統(tǒng)user5BBBB用戶系統(tǒng)用戶名密碼001Portal系統(tǒng)user11234郵件系統(tǒng)User22345DOMINO系統(tǒng)User3AAAA報銷系統(tǒng)user4CCCC工資系統(tǒng)user5BBBB系統(tǒng)1A123456主機1A123456主機2A123456Agent賬號管理服務器服務器主機服務器主機帳號同步服務User1 U