--.z..z.未有的運(yùn)維挑戰(zhàn)隨著信息技術(shù)的不斷開展和信息化建立的不斷進(jìn)步，業(yè)務(wù)應(yīng)用、辦公系統(tǒng)、商務(wù)平臺不斷推出和投入運(yùn)行，信息系統(tǒng)在企業(yè)的運(yùn)營中全面滲透。電信行業(yè)、財(cái)政、稅務(wù)、公安、金融、電力、石油、大中型企業(yè)和門戶，使用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備、效勞器主機(jī)來提供根底網(wǎng)絡(luò)效勞、運(yùn)行關(guān)鍵業(yè)務(wù)，提供電子商務(wù)、數(shù)據(jù)ERP和協(xié)同工作群件等效勞。由于設(shè)備和效勞器眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問、誤操作、濫用、惡意破壞等情況時(shí)有發(fā)生，這嚴(yán)重影響企業(yè)的經(jīng)濟(jì)運(yùn)行效能，并對企業(yè)聲譽(yù)造成重大影響。另外黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限，闖入部門或企業(yè)部網(wǎng)絡(luò)，造成不可估量的損失。如何提高系統(tǒng)運(yùn)維管理水平，跟蹤效勞器上用戶的操作行為，防止黑客的入侵和破壞，提供控目前，面對日趨復(fù)雜的IT系統(tǒng)，不同背景的運(yùn)維人員已給企業(yè)信息系統(tǒng)平安運(yùn)行帶來較大潛在風(fēng)險(xiǎn)，主要表現(xiàn)在：賬號缺乏統(tǒng)一管理，隱藏著巨大的風(fēng)險(xiǎn)多個(gè)用戶混用同一個(gè)賬號這種情況主要出現(xiàn)在同一工作組中，由于工作需要，同時(shí)系統(tǒng)管理賬號唯一，因此只能多用戶共享同一賬號。不僅在發(fā)生平安事故時(shí)難以定位賬號的實(shí)際使用者和責(zé)任人，而且無法對賬號的使用圍進(jìn)展有效控制，存在較大平安隱患。一個(gè)用戶使用多個(gè)賬號目前，一個(gè)維護(hù)人員使用多個(gè)賬號是較為普遍的情況，用戶需要記憶多套口令同時(shí)在多套主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備之間切換。如果設(shè)備數(shù)量到達(dá)幾十甚至上百臺時(shí)，維護(hù)人員進(jìn)展一項(xiàng)簡單的配置需要分別逐一登錄相關(guān)設(shè)備，其工作量和復(fù)雜度成倍增加，直接導(dǎo)致的后果是工作效率低下、管理繁瑣甚至出現(xiàn)誤操作，影響系統(tǒng)正常運(yùn)行。粗放式權(quán)限管理，平安性難以保證大多數(shù)企事業(yè)單位的IT授權(quán)功能分散在各設(shè)備和系統(tǒng)中。管理人員的權(quán)限大多是粗放式管理，由于缺少統(tǒng)一的運(yùn)維操作授權(quán)策略，授權(quán)粒度粗，無法基于最小權(quán)限分配原則管理用戶權(quán)限，難以與業(yè)務(wù)管理要求相協(xié)調(diào)。因此，出現(xiàn)運(yùn)維人員權(quán)限過大、部操作權(quán)限濫用等諸多問題，如果不及時(shí)解決，信息系統(tǒng)的平安性難以充分保證。設(shè)備自身日志粒度粗，難以有效定位平安事件在運(yùn)維工作中，大多是通過各網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)的系統(tǒng)日志進(jìn)展監(jiān)控審計(jì)，但是由于各系統(tǒng)自身審計(jì)日志分散、容深淺不一，且無法根據(jù)業(yè)務(wù)要求制定統(tǒng)一審計(jì)謀略；因此，難以通過系統(tǒng)自身審計(jì)及時(shí)發(fā)現(xiàn)違規(guī)操作行為和追查取證。第三方代維人員帶來平安隱患目前，很多大型企業(yè)，包括一些政府機(jī)構(gòu)選擇將非核心業(yè)務(wù)外包給設(shè)備商或代維公司，在享受便利的同時(shí)，由于代維人員流動(dòng)性大、對操作行為缺少監(jiān)控帶來的風(fēng)險(xiǎn)日益凸顯。因此，需要通過嚴(yán)格的權(quán)限控制和操作行為審計(jì)，加強(qiáng)對代維人員的行為管理，從而到達(dá)消隱患、避風(fēng)險(xiǎn)的目的。面臨法規(guī)遵從的壓力為加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)管理，政府、金融、運(yùn)營商等陸續(xù)發(fā)布信息系統(tǒng)管理規(guī)和要求，如“信息系統(tǒng)等級保護(hù)〞但其缺乏有效的技術(shù)手段。上述風(fēng)險(xiǎn)帶來的運(yùn)維平安風(fēng)險(xiǎn)和審計(jì)監(jiān)管問題，已經(jīng)成為企業(yè)信息系統(tǒng)平安運(yùn)行的嚴(yán)重隱患。企業(yè)IT運(yùn)維平安管理的變革已刻不容緩！產(chǎn)品概述建恒身份及訪問管理系統(tǒng)是集用戶〔Account〕管理、授權(quán)〔Authorization〕管理、認(rèn)證〔Authentication〕管理和綜合審計(jì)〔Audit〕于一體的集中運(yùn)維管理系統(tǒng)。該系統(tǒng)能夠?yàn)槠髽I(yè)提供集中的管理平臺，減少系統(tǒng)維護(hù)工作；能夠?yàn)槠髽I(yè)提供全面的用戶和資源管理，減少企業(yè)的維護(hù)本錢；能夠幫助企業(yè)制定嚴(yán)格的資源訪問策略，并且采用強(qiáng)身份認(rèn)證手段，全面保障系統(tǒng)資源的平安；能夠詳細(xì)記錄用戶對資源的訪問及操作，到達(dá)對用戶行為審計(jì)的需要。建恒身份及訪問管理系統(tǒng)采用層次化、模塊化的設(shè)計(jì)，產(chǎn)品整體架構(gòu)包括：資源層、接口管理層、核心效勞層和統(tǒng)一展示層。資源層：負(fù)責(zé)提供各種類型資源的資源管理交互。接口管理層：主要功能是實(shí)現(xiàn)核心層與外部產(chǎn)品、用戶資源系統(tǒng)之間的數(shù)據(jù)交互，包括賬號類、認(rèn)證類、授權(quán)類和審計(jì)類四個(gè)方面的接口。其中賬號/角色管理接口實(shí)現(xiàn)資源從賬號的收集和同步管理，認(rèn)證接口實(shí)現(xiàn)與第三方強(qiáng)身份認(rèn)證產(chǎn)品的聯(lián)動(dòng)和主賬號認(rèn)證，訪問控制策略接口實(shí)現(xiàn)訪問控制策略的下發(fā)，審計(jì)接口能接收外部系統(tǒng)產(chǎn)生的各類日志。通過數(shù)據(jù)接口層完成與各種應(yīng)用系統(tǒng)的相關(guān)接口通信。核心效勞層：完成系統(tǒng)各功能模塊的業(yè)務(wù)處理，包括身份管理，行為管理，審計(jì)管理以及協(xié)議代理等效勞，每個(gè)模塊再細(xì)分假設(shè)干子模塊完成各自的管理功能。核心層具體的功能模塊如下：賬號管理授權(quán)管理認(rèn)證管理審計(jì)管理統(tǒng)一展示層：負(fù)責(zé)用戶交互局部的展現(xiàn)，一方面對用戶身份的認(rèn)證，同時(shí)顯示信息給系統(tǒng)操作人員，包括操作人員的可訪問資源展現(xiàn)及自效勞展現(xiàn)；另一方面承受管理人員的管理配置和審計(jì)查看，將管理人員的輸入傳遞到核心效勞層處理。產(chǎn)品特點(diǎn)豐富的部署方式HA雙機(jī)部署：一般HA雙機(jī)基于監(jiān)測網(wǎng)絡(luò)存活狀態(tài)進(jìn)展切換，無法做到根據(jù)系統(tǒng)效勞狀態(tài)進(jìn)展切換，建恒身份及訪問管理系統(tǒng)真正實(shí)現(xiàn)基于硬件和應(yīng)用效勞狀態(tài)進(jìn)展監(jiān)控切換，從而為客戶提供不連續(xù)的效勞，確保高可靠性。中管理的問題。多元化的認(rèn)證方法自身提供證書認(rèn)證效勞，也可與第三方CA式進(jìn)展結(jié)合。支持組合認(rèn)證，提高訪問的平安性。平臺在網(wǎng)絡(luò)設(shè)備的認(rèn)證協(xié)議上支持RADIUS和TACACS+協(xié)議。強(qiáng)大的資源管理能力資源數(shù)量統(tǒng)計(jì)：支持柱形圖方式查看系統(tǒng)中不同資源所占比例。資源類型：支持資源類型豐富，uni*資源、網(wǎng)絡(luò)資源、windows資源、數(shù)C/SB/S登錄功能實(shí)現(xiàn)登錄訪問，訪問過程被完整的審計(jì)下來。大型機(jī)：支持金融行業(yè)大型機(jī)的管理。全面的賬號管理機(jī)制完整的用戶賬號中管理；生命周期管理，實(shí)現(xiàn)賬號的創(chuàng)立、維護(hù)、修改、刪除的集用戶類型：自定義用戶類型，基于用戶類型進(jìn)展用戶地址策略。AD域同步：平臺與AD域數(shù)據(jù)同步，將AD域中OU或域用戶數(shù)據(jù)作為據(jù)。將資源上的賬號進(jìn)展自動(dòng)收集、推、拉、同步及屬性的變更等。超強(qiáng)的授權(quán)管理功能定義，從而實(shí)現(xiàn)分層分級管理模式。關(guān)平安策略。單點(diǎn)登錄SSO批量單點(diǎn)登錄資源，表達(dá)平臺運(yùn)維便捷性，易用性。鍵快速登錄目標(biāo)資源。支持ensu、super增強(qiáng)的密碼管理功能碼策略的要求進(jìn)展變更，變更的密碼符合密碼策略中關(guān)于密碼強(qiáng)度的要求。象發(fā)生。審計(jì)管理審計(jì)回放時(shí)，可以從*個(gè)鍵盤、剪切板、文件傳輸記錄的指定位置開場回放。WebLogic〕配置操作的管理和審計(jì)能力。更專業(yè)的平安管理功能問的平安性。平臺支持FTP、telnet、ssh、遠(yuǎn)程桌面等協(xié)議效勞端口變更。進(jìn)展防病毒檢測，并阻止帶病毒文件的傳輸，有限防護(hù)效勞器的平安。產(chǎn)品自身集成VPNVPN的訪問。良好的擴(kuò)展性及定制化能力支持第三方應(yīng)用程序獲取密碼接口證充分滿足市場及用戶需求。產(chǎn)品主要功能模塊部署方式部署方式建恒身份及訪問管理系統(tǒng)采用物理旁路單臂部署；不改變現(xiàn)有網(wǎng)絡(luò)構(gòu)造，不改變運(yùn)維人員的運(yùn)維習(xí)慣；組織構(gòu)造基于用戶、資源、綜合方式進(jìn)展分層分級管理；用戶管理資源管理提供用戶的創(chuàng)立、維護(hù)、修改、刪除的集中管理，用戶的樹形分組展示及導(dǎo)入導(dǎo)出。提供基于用戶的配置口令、訪問鎖定、訪問時(shí)間等平安策略。資源即我們的IT資產(chǎn)，比方效勞器，網(wǎng)絡(luò)設(shè)備，應(yīng)用系統(tǒng)，該功能模塊提供了資源的統(tǒng)計(jì)、分組管理、樹形展現(xiàn)，支持主流的大局部資源類型和資源協(xié)議。從賬號管理〔設(shè)備賬號〕授權(quán)管理單點(diǎn)登錄SS0從賬號即資源設(shè)備賬號，建恒身份及訪問管理系統(tǒng)提供了賬號管理，自動(dòng)改密，密碼撥測，賬號導(dǎo)出等一系列從賬號管理功能。認(rèn)證管理資源授權(quán)模式基于崗位授權(quán)，崗位上綁定資源賬號，并可針對崗位設(shè)置相關(guān)平安策略。的運(yùn)維管理。建恒身份及訪問管理系統(tǒng)自身提供證書認(rèn)證效勞，也可與第三方CA、動(dòng)態(tài)令牌、生物識別等方式進(jìn)展結(jié)合。支持組合認(rèn)證，提高訪問的平安性。同時(shí)能夠支持網(wǎng)絡(luò)設(shè)備的RADIUS和TACACS+協(xié)議。平安管理平安管理審計(jì)管理系統(tǒng)參數(shù)管理高可用性建恒身份及訪問管理系統(tǒng)提供了豐富的平安策略功能，如訪問時(shí)間策略、地址策略、RDP策略、字符命令、FTP、口令策略、鎖定策略等；提供審計(jì)謀略如字符、圖形、FTP等相關(guān)審計(jì)謀略。建恒身份及訪問管理系統(tǒng)支持VPNVPN過遠(yuǎn)程接入身份及訪問管理系統(tǒng)。建恒身份及訪問管理系統(tǒng)支持圖形審計(jì)、字符審計(jì)、實(shí)時(shí)監(jiān)控、管理審計(jì)及審計(jì)報(bào)表。該模塊提供了系統(tǒng)自身的管理功能，如數(shù)據(jù)備份、復(fù)原，系統(tǒng)運(yùn)行狀態(tài)的監(jiān)控，系統(tǒng)效勞配置去除、審計(jì)日志清理、復(fù)原出廠設(shè)置，關(guān)機(jī)重啟等。建恒身份及訪問管理系統(tǒng)針對不同的業(yè)務(wù)場景及可靠性要求，提供了HA、集群、分布式部署方式。產(chǎn)品價(jià)值有效減少信息資產(chǎn)的破壞和泄漏隨著各行各業(yè)信息化建立的完善，越來越多的企業(yè)單位將核心信息資產(chǎn)存放在少數(shù)幾個(gè)關(guān)鍵業(yè)務(wù)系統(tǒng)上，通過使用建恒身份及管理系統(tǒng)，能夠加強(qiáng)對這些關(guān)鍵系統(tǒng)的訪問控制與審計(jì)，從而有效地減少核心信息資產(chǎn)的破壞和泄漏。滿足合規(guī)性要求，順利通過IT審計(jì)目前，越來越多的單位面臨一種或者幾種合規(guī)性要求。比方，在美上市的中國移動(dòng)集團(tuán)公司及其下屬分子公司就面臨SO*法案的合規(guī)性要求；而商業(yè)銀行則面臨Basel協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國有企業(yè)則有遵循等級保護(hù)的合規(guī)性要求。建恒身份及訪問管理系統(tǒng)起源于國最早