網(wǎng)御安全管理系統(tǒng)V3.0

（4A統(tǒng)一安全管控平臺(tái)）

產(chǎn)品介紹電信產(chǎn)品事業(yè)部網(wǎng)御安全管理系統(tǒng)V3.0

（4A統(tǒng)一安全管控平臺(tái)）

產(chǎn)品介紹1目錄4A系統(tǒng)建設(shè)需求4A建設(shè)方案4A亮點(diǎn)功能介紹規(guī)范、案例、資質(zhì)目錄4A系統(tǒng)建設(shè)需求4A建設(shè)方案4A亮點(diǎn)功能介紹規(guī)范、案例、2安全隱患和風(fēng)險(xiǎn)

缺少統(tǒng)一的用戶身份標(biāo)識(shí)規(guī)范，各系統(tǒng)數(shù)據(jù)滯后，帶來(lái)安全風(fēng)險(xiǎn)。用戶信息管理分散，存在多個(gè)數(shù)據(jù)源，數(shù)據(jù)更新困難，管理成本高；用戶數(shù)據(jù)發(fā)生變化時(shí)，數(shù)據(jù)更新不及時(shí)，造成安全隱患。系統(tǒng)存在僵尸帳號(hào)、共享帳號(hào)，需要定期對(duì)超級(jí)管理員帳號(hào)、普通帳號(hào)進(jìn)行審查；帶來(lái)安全風(fēng)險(xiǎn)。公司人員維護(hù)的設(shè)備和使用的應(yīng)用系統(tǒng)數(shù)量眾多，需要記住不同設(shè)備的帳號(hào)密碼，容易遺忘。認(rèn)證問題Authentication靜態(tài)口令規(guī)則復(fù)雜，用戶記憶困難，容易遺忘，帶來(lái)很多安全隱患和管理成本。許多系統(tǒng)和業(yè)務(wù)資源認(rèn)證方式單一，并且缺少統(tǒng)一接入控制，缺少雙因認(rèn)證等強(qiáng)認(rèn)證方式。公司人員維護(hù)的設(shè)備和使用的系統(tǒng)數(shù)量眾多，導(dǎo)致需要多次獨(dú)立的認(rèn)證，帶來(lái)使用和管理的復(fù)雜。授權(quán)問題Authorization維護(hù)人員對(duì)資源擁有過大權(quán)限，并可以直接訪問系統(tǒng)資源設(shè)備，缺乏對(duì)其進(jìn)行訪問控制和行為審計(jì)的手段，存在極大的安全隱患。沒有統(tǒng)一的授權(quán)管理，很難對(duì)用戶權(quán)限進(jìn)行定期審核。審計(jì)問題Audit用戶操作日志記錄不完整，數(shù)據(jù)庫(kù)日志信息量太大，沒有技術(shù)手段分離用戶操作日志，日志分散存儲(chǔ)，日志審核員工作量巨大。沒有用戶身份和從帳號(hào)的關(guān)聯(lián)信息，審計(jì)數(shù)據(jù)難以定位。沒有技術(shù)手段情況下，很難通過日志審計(jì)發(fā)現(xiàn)異?；蜻`規(guī)行為。帳號(hào)問題Account數(shù)據(jù)問題Access忽視操作過程中生成的文件，缺乏對(duì)其進(jìn)行上傳下載的控制，存在極大的安全隱患。沒有對(duì)文件內(nèi)容進(jìn)行審計(jì)控制，很難對(duì)敏感數(shù)據(jù)泄露事件進(jìn)行控制和審核。安全隱患和風(fēng)險(xiǎn)缺少統(tǒng)一的用戶身份標(biāo)識(shí)規(guī)范，各系統(tǒng)數(shù)據(jù)滯后，3文檔集中管理建立面向系統(tǒng)資源和業(yè)務(wù)應(yīng)用的統(tǒng)一文件管理系統(tǒng)，通過對(duì)操作過程中生成的文件進(jìn)行集中管理，保障數(shù)據(jù)安全單點(diǎn)登錄與認(rèn)證通過統(tǒng)一入口進(jìn)行統(tǒng)一登錄控制集中控制內(nèi)部和外部維護(hù)人員訪問it資源通過文本或視頻方式對(duì)維護(hù)人員的訪問操作行為進(jìn)行記錄，為日志審計(jì)提供依據(jù)按照管理要求和業(yè)務(wù)審計(jì)需要輸出報(bào)表，可按照具體需求定制賬號(hào)集中管理實(shí)現(xiàn)IT資源賬號(hào)集中管理、自動(dòng)采集、創(chuàng)建、分配、同步實(shí)現(xiàn)公司統(tǒng)一用戶目錄中用戶身份信息的規(guī)范化，與公司人力資源等實(shí)現(xiàn)數(shù)據(jù)同步將資源賬號(hào)和使用人員真實(shí)身份對(duì)應(yīng)的主賬號(hào)進(jìn)行組從關(guān)聯(lián)，建立主從賬號(hào)關(guān)聯(lián)關(guān)系視圖強(qiáng)制口令修改。輸出需要的報(bào)表，可根據(jù)需求自動(dòng)化定制授權(quán)管理日志集中管理與審計(jì)實(shí)現(xiàn)系統(tǒng)資源和應(yīng)用資源實(shí)體級(jí)別的權(quán)限控制和管理，基于集中安全管控策略的實(shí)體級(jí)訪問控制和授權(quán)實(shí)現(xiàn)系統(tǒng)資源和應(yīng)用資源權(quán)限的自動(dòng)采集或手動(dòng)管理對(duì)所有系統(tǒng)資源、應(yīng)用資源，支持角色定義，支持基于角色的授權(quán)支持多種系統(tǒng)、訪問日志收集和統(tǒng)一格式標(biāo)準(zhǔn)化將系統(tǒng)側(cè)采集的日志和在同一用戶接入點(diǎn)的文本或視頻進(jìn)行日志關(guān)聯(lián)實(shí)現(xiàn)將日志關(guān)聯(lián)到用戶主賬號(hào)且對(duì)應(yīng)到自然人的登錄過程、關(guān)鍵操作進(jìn)行審計(jì)快速檢索日志，支持安全事件責(zé)任調(diào)查能夠?qū)徲?jì)發(fā)現(xiàn)繞開4A系統(tǒng)直接登錄資源的行為根據(jù)預(yù)先定義規(guī)則發(fā)現(xiàn)高危操作，及時(shí)告警?？筛鶕?jù)需要定制報(bào)表解決問題文檔集中管理建立面向系統(tǒng)資源和業(yè)務(wù)應(yīng)用的統(tǒng)一文件管理系統(tǒng)，通4目錄4A系統(tǒng)建設(shè)需求4A建設(shè)方案4A亮點(diǎn)功能介紹規(guī)范、案例、資質(zhì)目錄4A系統(tǒng)建設(shè)需求4A建設(shè)方案4A亮點(diǎn)功能介紹規(guī)范、案例、54A安全管控平臺(tái)被管系統(tǒng)1（主機(jī)、網(wǎng)絡(luò)設(shè)備）被管系統(tǒng)2（數(shù)據(jù)庫(kù)）被管系統(tǒng)3（業(yè)務(wù)系統(tǒng)如CRM）終端通過讓之前分散的登錄訪問操作行為通過4A平臺(tái)建設(shè)之后集中到一點(diǎn)，以此來(lái)實(shí)現(xiàn)對(duì)內(nèi)部人員和廠家人員對(duì)應(yīng)用資源、系統(tǒng)資源操作的集中管控。4A體系建設(shè)思路4A安全管控平臺(tái)被管系統(tǒng)1（主機(jī)、網(wǎng)絡(luò)設(shè)備）被管系統(tǒng)2被管系6運(yùn)維Portal管理員Portal展示層功能層存儲(chǔ)層接口層業(yè)務(wù)數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)資源層賬號(hào)管理認(rèn)證管理授權(quán)管理綜合審計(jì)業(yè)務(wù)管理功能平臺(tái)自管理日志采集用戶自服務(wù)組件管理分級(jí)管理日志范化關(guān)聯(lián)分析審計(jì)回放審計(jì)告警審計(jì)報(bào)表與查詢資源管理資源授權(quán)分組訪問控制命令防火墻強(qiáng)認(rèn)證服務(wù)認(rèn)證組合認(rèn)證轉(zhuǎn)發(fā)SSO登錄主從賬號(hào)管理賬號(hào)雙向同步生命周期管理賬號(hào)屬性管理賬號(hào)組管理密碼策略管理主賬號(hào)認(rèn)證二次登錄認(rèn)證角色管理帳號(hào)管理接口認(rèn)證接口審計(jì)接口外部管理接口系統(tǒng)資源應(yīng)用資源授權(quán)接口狀態(tài)監(jiān)控工單管理資源關(guān)系組4A體系建設(shè)總體框架圖運(yùn)維Portal管理員Portal展示層功能層存儲(chǔ)層接口層業(yè)74A系統(tǒng)邏輯架構(gòu)4A系統(tǒng)邏輯架構(gòu)8管控平臺(tái)VPN遠(yuǎn)程人員本地人員統(tǒng)一接入門戶應(yīng)用資源系統(tǒng)資源數(shù)據(jù)庫(kù)應(yīng)用服務(wù)器WEB服務(wù)器網(wǎng)絡(luò)設(shè)備安全設(shè)備堡壘機(jī)PL/SQL

Telnet

Ftp等應(yīng)用SSHSFTPRDPVNC等應(yīng)用B/S單點(diǎn)登錄PL/SQL

Telnet

FtpSSHSFTPRDPVNC數(shù)據(jù)管控文件上下載審批、內(nèi)容掃描權(quán)限控制認(rèn)證SAN存儲(chǔ)集中審計(jì)審計(jì)數(shù)據(jù)庫(kù)認(rèn)證請(qǐng)求認(rèn)證反饋從賬號(hào)管理帳號(hào)口令采集帳號(hào)密碼管理單點(diǎn)認(rèn)證接口，從賬號(hào)管理認(rèn)證服務(wù)器認(rèn)證：短信動(dòng)態(tài)密碼認(rèn)證CA數(shù)字證書認(rèn)證授權(quán)關(guān)系-管控平臺(tái)將授權(quán)關(guān)系同步到堡壘機(jī)審計(jì)數(shù)據(jù)-接收來(lái)自三個(gè)方向的審計(jì)信息，一個(gè)是登入登出日志；第二個(gè)是堡壘機(jī)審計(jì)數(shù)據(jù)；第三個(gè)是收集資源日志信息4A系統(tǒng)平臺(tái)組件模塊及數(shù)據(jù)流向圖管控平臺(tái)VPN遠(yuǎn)程人員本地人員統(tǒng)一接入門戶應(yīng)用資源系統(tǒng)資源數(shù)9帳號(hào)開通用戶維護(hù)帳號(hào)生命周期用戶離職刪除用戶刪除權(quán)利證書吊銷同步刪除用戶維護(hù)口令重設(shè)權(quán)限新增新建資源用戶變更升職、調(diào)動(dòng)組織變更權(quán)限變更新建主帳號(hào)身份創(chuàng)建、證書頒發(fā)、權(quán)限賦予帳號(hào)變更用戶離職主帳號(hào)創(chuàng)建，需關(guān)注相關(guān)組織機(jī)構(gòu)、崗位、角色、人員標(biāo)準(zhǔn)化信息來(lái)源、所管理資源及從帳號(hào)等信息帳號(hào)變更，主要關(guān)注權(quán)限的變化，去除冗余的授權(quán)信息、以防系統(tǒng)中留下安全隱患，同時(shí)需要對(duì)權(quán)限變更進(jìn)行記錄。用戶自身維護(hù)，4A系統(tǒng)管控平臺(tái)主要提供用戶對(duì)證書PIN碼的修改，授權(quán)委托或臨時(shí)授權(quán)申請(qǐng)、以及升級(jí)工程預(yù)約等服務(wù)。用戶離職或外部人員離場(chǎng)，重點(diǎn)關(guān)注用戶信息的邏輯刪除、登錄及操作信息的保留已備后續(xù)審核，管控平臺(tái)還可進(jìn)行主帳號(hào)證書的吊銷工作。賬號(hào)生命周期管理帳號(hào)開通用戶維護(hù)帳號(hào)用戶離職用戶維護(hù)用戶變更新建主帳號(hào)帳號(hào)變10采集修改創(chuàng)建刪除分配回收Xxxxx√×√√√Xxxxx√×√×√Xxxxx√××√√設(shè)備主機(jī)數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)從帳號(hào)管理用戶用戶管理員適配驅(qū)動(dòng)器系統(tǒng)資源賬號(hào)：堡壘主機(jī)使用特權(quán)賬號(hào)采集系統(tǒng)資源的從賬號(hào)，并且通過該特權(quán)賬號(hào)可以實(shí)現(xiàn)對(duì)系統(tǒng)資源上的從賬號(hào)的增刪改等管理；應(yīng)用資源賬號(hào)： 應(yīng)用系統(tǒng)為4A安全管控平臺(tái)開放數(shù)據(jù)庫(kù)接口，通過應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)采集資源上的從賬號(hào)；通過webservice，4A安全管控平臺(tái)將增刪改等命令推送到應(yīng)用系統(tǒng)上，實(shí)現(xiàn)對(duì)應(yīng)用資源從賬號(hào)的管理；Switch/RouteDBUnix各類資源適配器從賬號(hào)管理采集修改創(chuàng)建刪除分配回收Xxxxx√114A系統(tǒng)平臺(tái)網(wǎng)絡(luò)設(shè)備主機(jī)用戶SSO應(yīng)用系統(tǒng)系統(tǒng)資源單點(diǎn)登錄實(shí)現(xiàn)方案：對(duì)于設(shè)備（主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)安全設(shè)備）使用本地客戶端登錄，先通過強(qiáng)認(rèn)證方式登錄管控平臺(tái)門戶，然后采用單點(diǎn)登錄控件以密碼代填方式登錄設(shè)備。使用發(fā)布型客戶端登錄，需要4A平臺(tái)與應(yīng)用發(fā)布平臺(tái)整合實(shí)現(xiàn)SSO。應(yīng)用系統(tǒng)單點(diǎn)登錄實(shí)現(xiàn)方案：SSO票據(jù)方式：

從4A平臺(tái)到應(yīng)用系統(tǒng)采用安全加密的Token票據(jù)方式實(shí)現(xiàn)單點(diǎn)登錄認(rèn)證，此種方式安全、高效，需要應(yīng)用系統(tǒng)配合調(diào)整。密碼代填方式：4A平臺(tái)通過模擬表單提交等方式代填應(yīng)用系統(tǒng)帳號(hào)密碼，從而實(shí)現(xiàn)應(yīng)用的單點(diǎn)登錄，此種方式實(shí)現(xiàn)簡(jiǎn)單、便利。應(yīng)用發(fā)布代填：通過堡壘機(jī)上發(fā)布的瀏覽器打開應(yīng)用地址，然后采用模擬代填的方式登錄應(yīng)用資源。（有優(yōu)點(diǎn)，有缺點(diǎn)）數(shù)據(jù)庫(kù)12單點(diǎn)登錄-SSO4A系統(tǒng)平臺(tái)網(wǎng)絡(luò)設(shè)備主機(jī)用戶SSO應(yīng)用系統(tǒng)系統(tǒng)資源單點(diǎn)登錄實(shí)12身份認(rèn)證審計(jì)：強(qiáng)身份認(rèn)證統(tǒng)計(jì)失敗身份認(rèn)證統(tǒng)計(jì)管控平臺(tái)主從帳號(hào)增刪改查策略配置認(rèn)證及密碼管理網(wǎng)絡(luò)設(shè)備主機(jī)管理員用戶授權(quán)審計(jì)：主從帳號(hào)授權(quán)角色及細(xì)粒度授權(quán)登錄過程審計(jì)：什么人用什么帳號(hào)登錄從什么地方登錄什么時(shí)間登錄什么系統(tǒng)什么時(shí)間退出登錄了多少次登錄后行為審計(jì)：用戶訪問了哪些資源對(duì)資源做了什么操作收集系統(tǒng)日志記錄授權(quán)管理帳號(hào)管理審計(jì)用戶登錄用戶操作本地型審計(jì)日志：自身產(chǎn)生的用戶操作，什么人用什么帳號(hào)登錄登出，訪問了哪些資源，做了哪些操作；堡壘主機(jī)型審計(jì)日志：通過堡壘機(jī)登錄資源的詳細(xì)操作記錄；日志采集型審計(jì)日志：通過日志采集方式獲取主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)自身生成的操作記錄4A平臺(tái)自身日志：管控平臺(tái)進(jìn)行帳號(hào)、授權(quán)類、參數(shù)配置類操作的審計(jì)記錄；數(shù)據(jù)庫(kù)等4A系統(tǒng)審計(jì)管理身份認(rèn)證審計(jì)：管控平臺(tái)主從帳號(hào)增刪改查網(wǎng)絡(luò)設(shè)備主機(jī)管理員用戶13目錄4A系統(tǒng)建設(shè)需求4A建設(shè)方案4A亮點(diǎn)功能介紹規(guī)范、案例、資質(zhì)目錄4A系統(tǒng)建設(shè)需求4A建設(shè)方案4A亮點(diǎn)功能介紹規(guī)范、案例、14針對(duì)維護(hù)人員需要使用敏感操作命令的情況，將啟動(dòng)金庫(kù)式指令管理模式，實(shí)現(xiàn)事中雙人控制。防繞行密碼托管4A平臺(tái)將納入管理的資源從帳號(hào)密碼進(jìn)行統(tǒng)一管理指令金庫(kù)繞行阻斷：基于4A平臺(tái)的建設(shè)原則，未按照規(guī)定繞開堡壘主機(jī)，對(duì)系統(tǒng)資源進(jìn)行直接操作的情況進(jìn)行阻斷重定向：未按照規(guī)定繞開4A平臺(tái)，對(duì)直接登錄系統(tǒng)資源的操作情況直接重定向到4A登錄平臺(tái)批量登錄運(yùn)維人員登錄Portal、選擇需要批量登錄的資源，由4A平臺(tái)實(shí)現(xiàn)批量的一次性登錄登出管理統(tǒng)一登出：為了保障業(yè)務(wù)安全性，可以選擇當(dāng)4A平臺(tái)實(shí)現(xiàn)一旦拔出Ukey，或關(guān)閉4A登錄界面等非正常注銷時(shí)，所有登錄的資源將全部自動(dòng)退出會(huì)話保持：為了保證業(yè)務(wù)持續(xù)性，可以選擇當(dāng)4A平臺(tái)實(shí)現(xiàn)一旦拔出Ukey，或關(guān)閉4A登錄界面等非正常注銷時(shí)，所有登錄的資源將保持連接產(chǎn)品亮點(diǎn)介紹針對(duì)維護(hù)人員需要使用敏感操作命令的情況，將啟動(dòng)金庫(kù)式指令管理15支持本地授權(quán)支持遠(yuǎn)程授權(quán)支持實(shí)時(shí)授權(quán)支持預(yù)授權(quán)特性lsrmlsrm高危命令，rm指令被告警、忽略、阻斷，或是需要審批員進(jìn)行二次審批金庫(kù)模式支持本地授權(quán)特性lsrmlsrm高危命令，rm指令被告警、忽16

通過堡壘主機(jī)對(duì)系統(tǒng)資源進(jìn)行操作時(shí)，為了加強(qiáng)安全審計(jì)，杜絕人員繞行4A平臺(tái),達(dá)到集中使用4A平臺(tái)的目的，采用具備流量采集與阻斷功能的防繞行設(shè)備，輔助并引導(dǎo)維護(hù)人員統(tǒng)一登錄4A平臺(tái)進(jìn)行日常運(yùn)維操作防繞行-繞行阻斷通過堡壘主機(jī)對(duì)系統(tǒng)資源進(jìn)行操作時(shí)，為了加強(qiáng)安全17

通過票據(jù)等方式單點(diǎn)登錄業(yè)務(wù)資源時(shí)，為了加強(qiáng)安全審計(jì)，杜絕人員繞行4A平臺(tái)，實(shí)現(xiàn)集中使用4A平臺(tái)的目的，采用重定向技術(shù)將繞開4A平臺(tái)直連業(yè)務(wù)系統(tǒng)的鏈接重新定向到4A平臺(tái)上，輔助并引導(dǎo)維護(hù)人員統(tǒng)一登錄4A平臺(tái)進(jìn)行日常運(yùn)維操作4A系統(tǒng)平臺(tái)123123業(yè)務(wù)系統(tǒng)防繞行-重定向通過票據(jù)等方式單點(diǎn)登錄業(yè)務(wù)資源時(shí)，為了加強(qiáng)安全18

4A平臺(tái)實(shí)現(xiàn)將密碼代管功能納入統(tǒng)一帳號(hào)管理范疇，其允許管控平臺(tái)統(tǒng)一管理接入設(shè)備的帳號(hào)密碼，實(shí)現(xiàn)靈活的密碼策略定期修改口令，極大提高系統(tǒng)的安全性。賬號(hào)管理

系統(tǒng)資源：堡壘主機(jī)使用特權(quán)賬號(hào)采集系統(tǒng)資源的從賬號(hào)，并且通過該特權(quán)賬號(hào)可以實(shí)現(xiàn)對(duì)系統(tǒng)資源上的從賬號(hào)的增刪改等管理；

應(yīng)用資源：應(yīng)用系統(tǒng)為4A安全管控平臺(tái)開放數(shù)據(jù)庫(kù)接口，通過應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)采集資源上的從賬號(hào)，然后通過webservice，4A安全管控平臺(tái)將增刪改等命令推送到應(yīng)用系統(tǒng)上，實(shí)現(xiàn)對(duì)應(yīng)用資源從賬號(hào)的管理；賬號(hào)改密4A平臺(tái)通過創(chuàng)建全局口令策略、資源口令策略、從帳號(hào)口令策略方式實(shí)現(xiàn)對(duì)所管資源密碼進(jìn)行管理，系統(tǒng)初始化時(shí)會(huì)創(chuàng)建全局密碼口令策略。密碼托管4A平臺(tái)實(shí)現(xiàn)將密碼代管功能納入統(tǒng)一帳號(hào)管理范疇，19

為了滿足運(yùn)維人員定期維護(hù)多個(gè)資源的需求，管控平臺(tái)支持同時(shí)選擇多臺(tái)設(shè)備進(jìn)行單點(diǎn)登錄的功能，極大的提高了人員的工作效率。

維護(hù)人員只需進(jìn)入管控平臺(tái)運(yùn)維Portal，采用勾選的形式選中需要批量登錄的資源，再點(diǎn)擊批量登錄，管控平臺(tái)將迅速的成功登錄上資源。4A平臺(tái)每個(gè)維護(hù)人員少則管理五、六個(gè)資源，多則維護(hù)上百個(gè)資源，如右圖所示，如果在進(jìn)行問題處理時(shí)，一個(gè)一個(gè)點(diǎn)擊登錄，即浪費(fèi)時(shí)間也延誤問題處理時(shí)機(jī)，因此管控平臺(tái)在此需求上提供了資源的批量登錄功能。主帳號(hào)授權(quán)數(shù)量抽樣資源同時(shí)批量登錄批量登錄為了滿足運(yùn)維人員定期維護(hù)多個(gè)資源的需求，管控平204A平臺(tái)采用Ukey數(shù)字證書的強(qiáng)身份認(rèn)證方式，為了防止運(yùn)維人員登錄管控平臺(tái)以及單點(diǎn)登錄資源之后，臨時(shí)有事或者運(yùn)維工作結(jié)束，未點(diǎn)擊退按鈕作而是直接拔出Ukey。在此類情況下，根據(jù)用戶實(shí)際業(yè)務(wù)需求，當(dāng)資源還處于連接的情況，管控平臺(tái)可識(shí)別Ukey已拔出狀態(tài),用戶可以選擇將已登錄的資源自動(dòng)統(tǒng)一退出，保障業(yè)務(wù)的安全性；或者選擇保持現(xiàn)有會(huì)話，而退出用戶終端運(yùn)維管理軟件，使其在保障業(yè)務(wù)安全的前提下實(shí)現(xiàn)了業(yè)務(wù)的持續(xù)性。檢測(cè)到已拔出Ukey維護(hù)人員拔出Ukey離開辦公終端管控平臺(tái)以及已登錄資源同時(shí)退出管控平臺(tái)同時(shí)退出

已登錄資源全部退出登出管理4A平臺(tái)采用Ukey數(shù)字證書的強(qiáng)身份認(rèn)證方式，21對(duì)于應(yīng)用系統(tǒng)分階段實(shí)施的劃分原則為：按不同廠家分類細(xì)化的統(tǒng)一接入方式按業(yè)務(wù)風(fēng)險(xiǎn)性由高到低分類統(tǒng)一接入方式按用戶數(shù)多少分類接入統(tǒng)一接入方式改造功能步驟：統(tǒng)一認(rèn)證帳號(hào)管理審計(jì)管理授權(quán)管理從資源類型角度實(shí)施步驟：系統(tǒng)資源應(yīng)用資源4A項(xiàng)目建設(shè)演進(jìn)路線對(duì)于應(yīng)用系統(tǒng)分階段實(shí)施的劃分原則為：按不同廠家分類細(xì)化的統(tǒng)一22目錄4A系統(tǒng)建設(shè)需求4A建設(shè)方案4A亮點(diǎn)功能介紹規(guī)范、案例、資質(zhì)目錄4A系統(tǒng)建設(shè)需求4A建設(shè)方案4A亮點(diǎn)功能介紹規(guī)范、案例、23

在全國(guó)各運(yùn)營(yíng)商具有良好的合作關(guān)系，4A安全管理平臺(tái)案例序號(hào)項(xiàng)目名稱客戶名稱相關(guān)內(nèi)容序號(hào)項(xiàng)目名稱客戶名稱相關(guān)內(nèi)容12013網(wǎng)管、業(yè)支、管信全網(wǎng)4A三期擴(kuò)容河北移動(dòng)4A112013網(wǎng)運(yùn)4A四期擴(kuò)容項(xiàng)目廣東電信4A22012業(yè)支二期擴(kuò)容工程軟件開發(fā)集成遼寧移動(dòng)4A12廣東電信云平臺(tái)4A項(xiàng)目廣東電信4A32012管理信息系統(tǒng)4A擴(kuò)容貴州移動(dòng)4A13廣州電信4A項(xiàng)目廣州電信4A42012業(yè)務(wù)支撐系統(tǒng)4A三期擴(kuò)容貴州移動(dòng)4A142013企信4A三期綜合安全管控和審計(jì)平臺(tái)擴(kuò)容項(xiàng)目云南電信4A52013信息安全集中管理系統(tǒng)工程4A認(rèn)證鑒權(quán)系統(tǒng)擴(kuò)容工程四川移動(dòng)4A152013網(wǎng)運(yùn)4A項(xiàng)目安徽電信4A6中國(guó)移動(dòng)（深圳）敏感數(shù)據(jù)管控項(xiàng)目4A系統(tǒng)三期軟件開發(fā)技術(shù)服務(wù)深圳移動(dòng)4A162012企信4A堡壘機(jī)項(xiàng)目重慶電信4A72010年管理信息4A系統(tǒng)二期擴(kuò)容改造工程甘肅移動(dòng)4A172012企信審計(jì)貴州電信審計(jì)82011管理信息系統(tǒng)4A改造工程陜西移動(dòng)4A182013年運(yùn)維部日志審計(jì)系統(tǒng)吉林電信4A92103企信二期安全管控平臺(tái)（4A）擴(kuò)容項(xiàng)目陜西電信4A192012產(chǎn)創(chuàng)部4A一、二期擴(kuò)容廣東聯(lián)通4A10業(yè)務(wù)支撐網(wǎng)信息安全六期4A日志審計(jì)系統(tǒng)技術(shù)開發(fā)浙江移動(dòng)4A202011BSS綜合安全管理系統(tǒng)擴(kuò)容廣東聯(lián)通4A部分運(yùn)營(yíng)商行業(yè)案例在全國(guó)各運(yùn)營(yíng)商具有良好的合作關(guān)系，4A安全管理平臺(tái)案例序244A統(tǒng)一安全管控平臺(tái)_產(chǎn)品介紹-V14課件25網(wǎng)御安全管理系統(tǒng)V3.0

（4A統(tǒng)一安全管控平臺(tái)）

產(chǎn)品介紹電信產(chǎn)品事業(yè)部網(wǎng)御安全管理系統(tǒng)V3.0

（4A統(tǒng)一安全管控平臺(tái)）

產(chǎn)品介紹26目錄4A系統(tǒng)建設(shè)需求4A建設(shè)方案4A亮點(diǎn)功能介紹規(guī)范、案例、資質(zhì)目錄4A系統(tǒng)建設(shè)需求4A建設(shè)方案4A亮點(diǎn)功能介紹規(guī)范、案例、27安全隱患和風(fēng)險(xiǎn)

缺少統(tǒng)一的用戶身份標(biāo)識(shí)規(guī)范，各系統(tǒng)數(shù)據(jù)滯后，帶來(lái)安全風(fēng)險(xiǎn)。用戶信息管理分散，存在多個(gè)數(shù)據(jù)源，數(shù)據(jù)更新困難，管理成本高；用戶數(shù)據(jù)發(fā)生變化時(shí)，數(shù)據(jù)更新不及時(shí)，造成安全隱患。系統(tǒng)存在僵尸帳號(hào)、共享帳號(hào)，需要定期對(duì)超級(jí)管理員帳號(hào)、普通帳號(hào)進(jìn)行審查；帶來(lái)安全風(fēng)險(xiǎn)。公司人員維護(hù)的設(shè)備和使用的應(yīng)用系統(tǒng)數(shù)量眾多，需要記住不同設(shè)備的帳號(hào)密碼，容易遺忘。認(rèn)證問題Authentication靜態(tài)口令規(guī)則復(fù)雜，用戶記憶困難，容易遺忘，帶來(lái)很多安全隱患和管理成本。許多系統(tǒng)和業(yè)務(wù)資源認(rèn)證方式單一，并且缺少統(tǒng)一接入控制，缺少雙因認(rèn)證等強(qiáng)認(rèn)證方式。公司人員維護(hù)的設(shè)備和使用的系統(tǒng)數(shù)量眾多，導(dǎo)致需要多次獨(dú)立的認(rèn)證，帶來(lái)使用和管理的復(fù)雜。授權(quán)問題Authorization維護(hù)人員對(duì)資源擁有過大權(quán)限，并可以直接訪問系統(tǒng)資源設(shè)備，缺乏對(duì)其進(jìn)行訪問控制和行為審計(jì)的手段，存在極大的安全隱患。沒有統(tǒng)一的授權(quán)管理，很難對(duì)用戶權(quán)限進(jìn)行定期審核。審計(jì)問題Audit用戶操作日志記錄不完整，數(shù)據(jù)庫(kù)日志信息量太大，沒有技術(shù)手段分離用戶操作日志，日志分散存儲(chǔ)，日志審核員工作量巨大。沒有用戶身份和從帳號(hào)的關(guān)聯(lián)信息，審計(jì)數(shù)據(jù)難以定位。沒有技術(shù)手段情況下，很難通過日志審計(jì)發(fā)現(xiàn)異常或違規(guī)行為。帳號(hào)問題Account數(shù)據(jù)問題Access忽視操作過程中生成的文件，缺乏對(duì)其進(jìn)行上傳下載的控制，存在極大的安全隱患。沒有對(duì)文件內(nèi)容進(jìn)行審計(jì)控制，很難對(duì)敏感數(shù)據(jù)泄露事件進(jìn)行控制和審核。安全隱患和風(fēng)險(xiǎn)缺少統(tǒng)一的用戶身份標(biāo)識(shí)規(guī)范，各系統(tǒng)數(shù)據(jù)滯后，28文檔集中管理建立面向系統(tǒng)資源和業(yè)務(wù)應(yīng)用的統(tǒng)一文件管理系統(tǒng)，通過對(duì)操作過程中生成的文件進(jìn)行集中管理，保障數(shù)據(jù)安全單點(diǎn)登錄與認(rèn)證通過統(tǒng)一入口進(jìn)行統(tǒng)一登錄控制集中控制內(nèi)部和外部維護(hù)人員訪問it資源通過文本或視頻方式對(duì)維護(hù)人員的訪問操作行為進(jìn)行記錄，為日志審計(jì)提供依據(jù)按照管理要求和業(yè)務(wù)審計(jì)需要輸出報(bào)表，可按照具體需求定制賬號(hào)集中管理實(shí)現(xiàn)IT資源賬號(hào)集中管理、自動(dòng)采集、創(chuàng)建、分配、同步實(shí)現(xiàn)公司統(tǒng)一用戶目錄中用戶身份信息的規(guī)范化，與公司人力資源等實(shí)現(xiàn)數(shù)據(jù)同步將資源賬號(hào)和使用人員真實(shí)身份對(duì)應(yīng)的主賬號(hào)進(jìn)行組從關(guān)聯(lián)，建立主從賬號(hào)關(guān)聯(lián)關(guān)系視圖強(qiáng)制口令修改。輸出需要的報(bào)表，可根據(jù)需求自動(dòng)化定制授權(quán)管理日志集中管理與審計(jì)實(shí)現(xiàn)系統(tǒng)資源和應(yīng)用資源實(shí)體級(jí)別的權(quán)限控制和管理，基于集中安全管控策略的實(shí)體級(jí)訪問控制和授權(quán)實(shí)現(xiàn)系統(tǒng)資源和應(yīng)用資源權(quán)限的自動(dòng)采集或手動(dòng)管理對(duì)所有系統(tǒng)資源、應(yīng)用資源，支持角色定義，支持基于角色的授權(quán)支持多種系統(tǒng)、訪問日志收集和統(tǒng)一格式標(biāo)準(zhǔn)化將系統(tǒng)側(cè)采集的日志和在同一用戶接入點(diǎn)的文本或視頻進(jìn)行日志關(guān)聯(lián)實(shí)現(xiàn)將日志關(guān)聯(lián)到用戶主賬號(hào)且對(duì)應(yīng)到自然人的登錄過程、關(guān)鍵操作進(jìn)行審計(jì)快速檢索日志，支持安全事件責(zé)任調(diào)查能夠?qū)徲?jì)發(fā)現(xiàn)繞開4A系統(tǒng)直接登錄資源的行為根據(jù)預(yù)先定義規(guī)則發(fā)現(xiàn)高危操作，及時(shí)告警?？筛鶕?jù)需要定制報(bào)表解決問題文檔集中管理建立面向系統(tǒng)資源和業(yè)務(wù)應(yīng)用的統(tǒng)一文件管理系統(tǒng)，通29目錄4A系統(tǒng)建設(shè)需求4A建設(shè)方案4A亮點(diǎn)功能介紹規(guī)范、案例、資質(zhì)目錄4A系統(tǒng)建設(shè)需求4A建設(shè)方案4A亮點(diǎn)功能介紹規(guī)范、案例、304A安全管控平臺(tái)被管系統(tǒng)1（主機(jī)、網(wǎng)絡(luò)設(shè)備）被管系統(tǒng)2（數(shù)據(jù)庫(kù)）被管系統(tǒng)3（業(yè)務(wù)系統(tǒng)如CRM）終端通過讓之前分散的登錄訪問操作行為通過4A平臺(tái)建設(shè)之后集中到一點(diǎn)，以此來(lái)實(shí)現(xiàn)對(duì)內(nèi)部人員和廠家人員對(duì)應(yīng)用資源、系統(tǒng)資源操作的集中管控。4A體系建設(shè)思路4A安全管控平臺(tái)被管系統(tǒng)1（主機(jī)、網(wǎng)絡(luò)設(shè)備）被管系統(tǒng)2被管系31運(yùn)維Portal管理員Portal展示層功能層存儲(chǔ)層接口層業(yè)務(wù)數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)資源層賬號(hào)管理認(rèn)證管理授權(quán)管理綜合審計(jì)業(yè)務(wù)管理功能平臺(tái)自管理日志采集用戶自服務(wù)組件管理分級(jí)管理日志范化關(guān)聯(lián)分析審計(jì)回放審計(jì)告警審計(jì)報(bào)表與查詢資源管理資源授權(quán)分組訪問控制命令防火墻強(qiáng)認(rèn)證服務(wù)認(rèn)證組合認(rèn)證轉(zhuǎn)發(fā)SSO登錄主從賬號(hào)管理賬號(hào)雙向同步生命周期管理賬號(hào)屬性管理賬號(hào)組管理密碼策略管理主賬號(hào)認(rèn)證二次登錄認(rèn)證角色管理帳號(hào)管理接口認(rèn)證接口審計(jì)接口外部管理接口系統(tǒng)資源應(yīng)用資源授權(quán)接口狀態(tài)監(jiān)控工單管理資源關(guān)系組4A體系建設(shè)總體框架圖運(yùn)維Portal管理員Portal展示層功能層存儲(chǔ)層接口層業(yè)324A系統(tǒng)邏輯架構(gòu)4A系統(tǒng)邏輯架構(gòu)33管控平臺(tái)VPN遠(yuǎn)程人員本地人員統(tǒng)一接入門戶應(yīng)用資源系統(tǒng)資源數(shù)據(jù)庫(kù)應(yīng)用服務(wù)器WEB服務(wù)器網(wǎng)絡(luò)設(shè)備安全設(shè)備堡壘機(jī)PL/SQL

Telnet

Ftp等應(yīng)用SSHSFTPRDPVNC等應(yīng)用B/S單點(diǎn)登錄PL/SQL

Telnet

FtpSSHSFTPRDPVNC數(shù)據(jù)管控文件上下載審批、內(nèi)容掃描權(quán)限控制認(rèn)證SAN存儲(chǔ)集中審計(jì)審計(jì)數(shù)據(jù)庫(kù)認(rèn)證請(qǐng)求認(rèn)證反饋從賬號(hào)管理帳號(hào)口令采集帳號(hào)密碼管理單點(diǎn)認(rèn)證接口，從賬號(hào)管理認(rèn)證服務(wù)器認(rèn)證：短信動(dòng)態(tài)密碼認(rèn)證CA數(shù)字證書認(rèn)證授權(quán)關(guān)系-管控平臺(tái)將授權(quán)關(guān)系同步到堡壘機(jī)審計(jì)數(shù)據(jù)-接收來(lái)自三個(gè)方向的審計(jì)信息，一個(gè)是登入登出日志；第二個(gè)是堡壘機(jī)審計(jì)數(shù)據(jù)；第三個(gè)是收集資源日志信息4A系統(tǒng)平臺(tái)組件模塊及數(shù)據(jù)流向圖管控平臺(tái)VPN遠(yuǎn)程人員本地人員統(tǒng)一接入門戶應(yīng)用資源系統(tǒng)資源數(shù)34帳號(hào)開通用戶維護(hù)帳號(hào)生命周期用戶離職刪除用戶刪除權(quán)利證書吊銷同步刪除用戶維護(hù)口令重設(shè)權(quán)限新增新建資源用戶變更升職、調(diào)動(dòng)組織變更權(quán)限變更新建主帳號(hào)身份創(chuàng)建、證書頒發(fā)、權(quán)限賦予帳號(hào)變更用戶離職主帳號(hào)創(chuàng)建，需關(guān)注相關(guān)組織機(jī)構(gòu)、崗位、角色、人員標(biāo)準(zhǔn)化信息來(lái)源、所管理資源及從帳號(hào)等信息帳號(hào)變更，主要關(guān)注權(quán)限的變化，去除冗余的授權(quán)信息、以防系統(tǒng)中留下安全隱患，同時(shí)需要對(duì)權(quán)限變更進(jìn)行記錄。用戶自身維護(hù)，4A系統(tǒng)管控平臺(tái)主要提供用戶對(duì)證書PIN碼的修改，授權(quán)委托或臨時(shí)授權(quán)申請(qǐng)、以及升級(jí)工程預(yù)約等服務(wù)。用戶離職或外部人員離場(chǎng)，重點(diǎn)關(guān)注用戶信息的邏輯刪除、登錄及操作信息的保留已備后續(xù)審核，管控平臺(tái)還可進(jìn)行主帳號(hào)證書的吊銷工作。賬號(hào)生命周期管理帳號(hào)開通用戶維護(hù)帳號(hào)用戶離職用戶維護(hù)用戶變更新建主帳號(hào)帳號(hào)變35采集修改創(chuàng)建刪除分配回收Xxxxx√×√√√Xxxxx√×√×√Xxxxx√××√√設(shè)備主機(jī)數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)從帳號(hào)管理用戶用戶管理員適配驅(qū)動(dòng)器系統(tǒng)資源賬號(hào)：堡壘主機(jī)使用特權(quán)賬號(hào)采集系統(tǒng)資源的從賬號(hào)，并且通過該特權(quán)賬號(hào)可以實(shí)現(xiàn)對(duì)系統(tǒng)資源上的從賬號(hào)的增刪改等管理；應(yīng)用資源賬號(hào)： 應(yīng)用系統(tǒng)為4A安全管控平臺(tái)開放數(shù)據(jù)庫(kù)接口，通過應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)采集資源上的從賬號(hào)；通過webservice，4A安全管控平臺(tái)將增刪改等命令推送到應(yīng)用系統(tǒng)上，實(shí)現(xiàn)對(duì)應(yīng)用資源從賬號(hào)的管理；Switch/RouteDBUnix各類資源適配器從賬號(hào)管理采集修改創(chuàng)建刪除分配回收Xxxxx√364A系統(tǒng)平臺(tái)網(wǎng)絡(luò)設(shè)備主機(jī)用戶SSO應(yīng)用系統(tǒng)系統(tǒng)資源單點(diǎn)登錄實(shí)現(xiàn)方案：對(duì)于設(shè)備（主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)安全設(shè)備）使用本地客戶端登錄，先通過強(qiáng)認(rèn)證方式登錄管控平臺(tái)門戶，然后采用單點(diǎn)登錄控件以密碼代填方式登錄設(shè)備。使用發(fā)布型客戶端登錄，需要4A平臺(tái)與應(yīng)用發(fā)布平臺(tái)整合實(shí)現(xiàn)SSO。應(yīng)用系統(tǒng)單點(diǎn)登錄實(shí)現(xiàn)方案：SSO票據(jù)方式：

從4A平臺(tái)到應(yīng)用系統(tǒng)采用安全加密的Token票據(jù)方式實(shí)現(xiàn)單點(diǎn)登錄認(rèn)證，此種方式安全、高效，需要應(yīng)用系統(tǒng)配合調(diào)整。密碼代填方式：4A平臺(tái)通過模擬表單提交等方式代填應(yīng)用系統(tǒng)帳號(hào)密碼，從而實(shí)現(xiàn)應(yīng)用的單點(diǎn)登錄，此種方式實(shí)現(xiàn)簡(jiǎn)單、便利。應(yīng)用發(fā)布代填：通過堡壘機(jī)上發(fā)布的瀏覽器打開應(yīng)用地址，然后采用模擬代填的方式登錄應(yīng)用資源。（有優(yōu)點(diǎn)，有缺點(diǎn)）數(shù)據(jù)庫(kù)12單點(diǎn)登錄-SSO4A系統(tǒng)平臺(tái)網(wǎng)絡(luò)設(shè)備主機(jī)用戶SSO應(yīng)用系統(tǒng)系統(tǒng)資源單點(diǎn)登錄實(shí)37身份認(rèn)證審計(jì)：強(qiáng)身份認(rèn)證統(tǒng)計(jì)失敗身份認(rèn)證統(tǒng)計(jì)管控平臺(tái)主從帳號(hào)增刪改查策略配置認(rèn)證及密碼管理網(wǎng)絡(luò)設(shè)備主機(jī)管理員用戶授權(quán)審計(jì)：主從帳號(hào)授權(quán)角色及細(xì)粒度授權(quán)登錄過程審計(jì)：什么人用什么帳號(hào)登錄從什么地方登錄什么時(shí)間登錄什么系統(tǒng)什么時(shí)間退出登錄了多少次登錄后行為審計(jì)：用戶訪問了哪些資源對(duì)資源做了什么操作收集系統(tǒng)日志記錄授權(quán)管理帳號(hào)管理審計(jì)用戶登錄用戶操作本地型審計(jì)日志：自身產(chǎn)生的用戶操作，什么人用什么帳號(hào)登錄登出，訪問了哪些資源，做了哪些操作；堡壘主機(jī)型審計(jì)日志：通過堡壘機(jī)登錄資源的詳細(xì)操作記錄；日志采集型審計(jì)日志：通過日志采集方式獲取主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)自身生成的操作記錄4A平臺(tái)自身日志：管控平臺(tái)進(jìn)行帳號(hào)、授權(quán)類、參數(shù)配置類操作的審計(jì)記錄；數(shù)據(jù)庫(kù)等4A系統(tǒng)審計(jì)管理身份認(rèn)證審計(jì)：管控平臺(tái)主從帳號(hào)增刪改查網(wǎng)絡(luò)設(shè)備主機(jī)管理員用戶38目錄4A系統(tǒng)建設(shè)需求4A建設(shè)方案4A亮點(diǎn)功能介紹規(guī)范、案例、資質(zhì)目錄4A系統(tǒng)建設(shè)需求4A建設(shè)方案4A亮點(diǎn)功能介紹規(guī)范、案例、39針對(duì)維護(hù)人員需要使用敏感操作命令的情況，將啟動(dòng)金庫(kù)式指令管理模式，實(shí)現(xiàn)事中雙人控制。防繞行密碼托管4A平臺(tái)將納入管理的資源從帳號(hào)密碼進(jìn)行統(tǒng)一管理指令金庫(kù)繞行阻斷：基于4A平臺(tái)的建設(shè)原則，未按照規(guī)定繞開堡壘主機(jī)，對(duì)系統(tǒng)資源進(jìn)行直接操作的情況進(jìn)行阻斷重定向：未按照規(guī)定繞開4A平臺(tái)，對(duì)直接登錄系統(tǒng)資源的操作情況直接重定向到4A登錄平臺(tái)批量登錄運(yùn)維人員登錄Portal、選擇需要批量登錄的資源，由4A平臺(tái)實(shí)現(xiàn)批量的一次性登錄登出管理統(tǒng)一登出：為了保障業(yè)務(wù)安全性，可以選擇當(dāng)4A平臺(tái)實(shí)現(xiàn)一旦拔出Ukey，或關(guān)閉4A登錄界面等非正常注銷時(shí)，所有登錄的資源將全部自動(dòng)退出會(huì)話保持：為了保證業(yè)務(wù)持續(xù)性，可以選擇當(dāng)4A平臺(tái)實(shí)現(xiàn)一旦拔出Ukey，或關(guān)閉4A登錄界面等非正常注銷時(shí)，所有登錄的資源將保持連接產(chǎn)品亮點(diǎn)介紹針對(duì)維護(hù)人員需要使用敏感操作命令的情況，將啟動(dòng)金庫(kù)式指令管理40支持本地授權(quán)支持遠(yuǎn)程授權(quán)支持實(shí)時(shí)授權(quán)支持預(yù)授權(quán)特性lsrmlsrm高危命令，rm指令被告警、忽略、阻斷，或是需要審批員進(jìn)行二次審批金庫(kù)模式支持本地授權(quán)特性lsrmlsrm高危命令，rm指令被告警、忽41

通過堡壘主機(jī)對(duì)系統(tǒng)資源進(jìn)行操作時(shí)，為了加強(qiáng)安全審計(jì)，杜絕人員繞行4A平臺(tái),達(dá)到集中使用4A平臺(tái)的目的，采用具備流量采集與阻斷功能的防繞行設(shè)備，輔助并引導(dǎo)維護(hù)人員統(tǒng)一登錄4A平臺(tái)進(jìn)行日常運(yùn)維操作防繞行-繞行阻斷通過堡壘主機(jī)對(duì)系統(tǒng)資源進(jìn)行操作時(shí)，為了加強(qiáng)安全42

通過票據(jù)等方式單點(diǎn)登錄業(yè)務(wù)資源時(shí)，為了加強(qiáng)安全審計(jì)，杜絕人員繞行4A平臺(tái)，實(shí)現(xiàn)集中使用4A平臺(tái)的目的，采用重定向技術(shù)將繞開4A平臺(tái)直連業(yè)務(wù)系統(tǒng)的鏈接重新定向到4A平臺(tái)上，輔助并引導(dǎo)維護(hù)人員統(tǒng)一登錄4A平臺(tái)進(jìn)行日常運(yùn)維操作4A系統(tǒng)平臺(tái)123123業(yè)務(wù)系統(tǒng)防繞行-重定向通過票據(jù)等方式單點(diǎn)登錄業(yè)務(wù)資源時(shí)，為了加強(qiáng)安全43

4A平臺(tái)實(shí)現(xiàn)將密碼代管功能納入統(tǒng)一帳號(hào)管理范疇，其允許管控平臺(tái)統(tǒng)一管理接入設(shè)備的帳號(hào)密碼，實(shí)現(xiàn)靈活的密碼策略定期修改口令，極大提高系統(tǒng)的安全性。賬號(hào)管理

系統(tǒng)資源：堡壘主機(jī)使用特權(quán)賬號(hào)采集系統(tǒng)資源的從賬號(hào)，并且通過該特權(quán)賬號(hào)可以實(shí)現(xiàn)對(duì)系統(tǒng)資源上的從賬號(hào)的增刪改等管理；

應(yīng)用資源：應(yīng)用系統(tǒng)為4A安全管控平臺(tái)開放數(shù)據(jù)庫(kù)接口，通過應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)采集資源上的從賬號(hào)，然后通過webservice，4A安全管控平臺(tái)將增刪改等命令推送到應(yīng)用系統(tǒng)上，實(shí)現(xiàn)對(duì)應(yīng)用資源從賬號(hào)的管理；賬號(hào)改密4A平臺(tái)通過創(chuàng)建全局口令策略、資源口令策略、從帳號(hào)口令策略方式實(shí)現(xiàn)對(duì)所管資源密碼進(jìn)行管理，系統(tǒng)初始化時(shí)會(huì)創(chuàng)建全局密碼口令策略。密碼托管4A平臺(tái)實(shí)現(xiàn)將密碼代管功能納入統(tǒng)一帳號(hào)管理范疇，44

為了滿足運(yùn)維人員定期維護(hù)多個(gè)資源的需求，管控平臺(tái)支持同時(shí)選擇多臺(tái)設(shè)備進(jìn)行單點(diǎn)登錄的功能，極大的提高了人員的工作效率。

維護(hù)人員只需進(jìn)入管控平臺(tái)運(yùn)維Portal，采用勾選的形式選中需要批量登錄的資源，再點(diǎn)擊批量登錄，管控平臺(tái)將迅速的成功登錄上資源。4A平臺(tái)每個(gè)維護(hù)人員少則管理五、六個(gè)資源，多則維護(hù)上百個(gè)資源，如右圖所示，如果在進(jìn)行問題處理時(shí)，一個(gè)一個(gè)點(diǎn)擊登錄，即浪費(fèi)時(shí)間也延誤問題處理時(shí)機(jī)，因此管控平臺(tái)在此需求上提供了資源的