4A平臺技術講座--中國移動
《4A平臺技術講座--中國移動》由會員分享,可在線閱讀,更多相關《4A平臺技術講座--中國移動(28頁珍藏版)》請在裝配圖網(wǎng)上搜索。
中國移動通信有限公司 4?為什么要做 4?4?4?4?總結 ?安全的服務對象 ? 我們的安全服務對象一般包含數(shù)據(jù)網(wǎng)絡和 了突出重點,我們以 ? 簡而言之, 責高效采集、分析、管理、傳送所有企業(yè)信息的系統(tǒng)工具,是支撐企業(yè)運營的 見的 公自動化、計費結算、網(wǎng)管監(jiān)控等系統(tǒng)。 ? 隨著經(jīng)濟和社會信息化的迅猛發(fā)展,企業(yè)內(nèi)部核心資料和應用可以通過計算機和網(wǎng)絡進行訪問、讀取、修改,在高效便捷的同時, 測攻擊、信息泄漏等諸多安全威脅,尤其是在與互聯(lián)網(wǎng)連接以后,這種情況往往會進一步加劇。 ? ? 從一般意義上講, 件及其管理的數(shù)據(jù),不受偶然、無意或者惡意的原因而遭到破壞、更改、泄露,是保證其連續(xù)可靠運行的技術手段和管理手段。 ? 從組成上看, 是以安全策略和安全設備為中心的安全技術體系;二是以組織機構和規(guī)章制度為中心的安全管理體系。只有這兩個部分統(tǒng)一協(xié)調(diào)地工作,才能夠保證 ? ? 大量服務器、大量終端、大量網(wǎng)絡設備、海量應用、數(shù)據(jù)庫 …… ? 防火墻+防病毒+入侵監(jiān)測+漏洞掃描 …… ? 本課件主要對安全技術體系中的 4 ,難于確定賬號的實際使用者,賬號的擴散范圍難于控制 大量設備、應用系統(tǒng)都有一套獨立的認證系統(tǒng) 、同時對多個系統(tǒng)進行維護時,工作復雜度高 審計相互獨立的,各個系統(tǒng)單獨審計,缺乏集中統(tǒng)一的系統(tǒng)訪問審計。無法對支撐系統(tǒng)進行綜合分析,不能及時發(fā)現(xiàn)入侵行為 隨著支撐系統(tǒng)的迅速發(fā)展,各種支撐設備、應用和用戶數(shù)量的不斷增加,網(wǎng)絡規(guī)模迅速擴大,信息安全問題愈見突出 缺乏集中統(tǒng)一的資源授權管理平臺,隨著用戶數(shù)量的增加,權限管理任務越來越重,系統(tǒng)的安全性無法得到充分保證 如何解決??? ,4 ? 4內(nèi)) ? 帳號( 理 —— 請出示你的證件 ? 認證( 理 —— 對你的身份進行確認,并決定你的權限 ? 授權 (理 —— 把資源與你的權限對應起來 ? 審計 (—— 你做了什么我都知道 ? 4外) ? 國外一般沒有帳號( 個 A,而是管理( 突出強調(diào)賬號管理、權限管理、資源管理是在統(tǒng)一范圍集中解決。 ? 無論是國內(nèi)還是國外,一般業(yè)內(nèi)都逐步認同兩點:一是 4網(wǎng)絡和應用安全的基礎設施;二是4一為數(shù)據(jù)網(wǎng)絡和支撐系統(tǒng)服務的公共設施。 ?4?系統(tǒng)資源:支撐系統(tǒng)的所有設備,包括主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設備、安全設備(防火墻)等 ?應用資源:支撐系統(tǒng)的所有上層應用系統(tǒng) ?集中賬號管理 ? 集中賬號管理是 4? 帳號管理用于在 中維護包括自然人(主帳號)和資源(從帳號)在內(nèi)的全部帳號,以及和帳號相關的、可在 4 ? 集中賬號管理首先需要做的事情是將現(xiàn)有設備、應用的賬號收集起來,集中管理,并將這些信息與自然人對應起來。同時保證賬號管理具有一致性、準確性、實效性和安全性。 ? 有了賬號管理,企業(yè)員工和外圍人員就有了唯一的賬號,這種唯一性保證了認證、授權、審計的可行性。 ?集中認證管理 ? 認證是確認訪問系統(tǒng)的用戶身份的手段,是進入安全系統(tǒng)的第一道關卡。 ? 認證的方式或者手段:需要用戶提供相應的憑據(jù) ?所知:口令 ?所有:智能卡、動態(tài)口令發(fā)生器、數(shù)字證書、生物特征 ? 當前各系統(tǒng)都有自己的認證功能,方式不是太少而是太多、太雜。因此次登錄)就成為認證需要重點解決的問題。 ?集中授權 ? 對用戶訪問的各種系統(tǒng)的各種資源進行權限分配和訪問控制,即集中實現(xiàn)擁有某種權限的用戶,能夠以什么方式,訪問或者使用哪些資源。 ? 授權公式= F( O,T,P): 決于訪問者的權限; ? 授權的粒度 ?實體級(設備、應用的主體資源),實際上就是能夠做到權限與資源的 絡端口對應 ?應用級(實體內(nèi)部細粒度的資源),實際上就是對實體內(nèi)部各種資源的使用,例如可以控制到 記錄等 ? 授權方式 ?訪問控制列表( ?基于角色的訪問控制( ?其他 ?集中審計 ? 對 4限分配、登錄過程、資源訪問等等一些環(huán)節(jié)進行記錄和檢查,從而發(fā)現(xiàn)其中存在的問題。 ? 審計按照階段劃分可以分為事前和事后 ?事前審計:重點檢查對 4賬號逾期沒有收回、授權過渡或者不足等 ?事后審計:重點檢查是否存在利用假冒賬號嘗試登錄,試圖使用合法賬號訪問未經(jīng)授權的資源 ? 集中審計要從賬號管理、認證管理、授權管理系統(tǒng)收集相應的日志文件,然后再進行分析、比對,最終生成可識別、可判斷的報表。 ? 從理論而言,審計是一個相對獨立的部分,即使沒有集中的賬號、認證、授權管理,審計也可以實現(xiàn)。 ,及時發(fā)現(xiàn)異常 帳號管理 對應用和系統(tǒng)內(nèi) 的帳號統(tǒng)一管理 單點登錄 一次登錄 全網(wǎng)通行 系統(tǒng)資源 應用資源 4? 4準也多種多樣,因此 4提出相應的解決辦法。 ? 4何在統(tǒng)一框架下提供各種認證方式,并且這種方式能夠與授權有機地結合起來。 ?當前國際主流標準 ? 全斷點標記語言),是一種基于 要用于在 ? 口令密碼、 ?支持 ? CA ? 擴展訪問控制標記語言 ),同樣是一種基于 一種標識訪問控制策略的語言。 ? 其他技術或者標準 ? 4? 4? 展示層:通過 ? 應用層:由身份管理、認證管理、授權權利、審計管理構成,負責用戶主從帳號管理、認證管理和調(diào)度、權限分配和控制、審計信息搜集和管理。 ? 接口層:實現(xiàn)對資源層信息收集和權限管理,以及與第三方組件的信息交互。 ? 資源層:系統(tǒng)資源和應用資源 ? 外部組件 ?認證組件: A—— 數(shù)字證書;短信隨機碼 ?審計組件:獨立的第三方產(chǎn)品 ?賬號、權限、授權、審計的現(xiàn)狀 現(xiàn)狀 1:分散的、大量的、多樣的應用和不同的系統(tǒng)管理員 現(xiàn)狀 2:分散的系統(tǒng)授權機制和授權管理 現(xiàn)狀 3:自然人身份和應用系統(tǒng)帳號重疊 現(xiàn)狀 4:多系統(tǒng)的訪問頻繁切換都基于分散的帳號管理實現(xiàn) 問題 5:分散的審計,缺乏關聯(lián)分析和責任定位 ? 4?現(xiàn)狀梳理 ?系統(tǒng)改造 ?項目協(xié)調(diào) 4 A 同 時 側 重 于 系 統(tǒng) 和 應 用 的 安 全 管 理和 審 計 , 與 傳 統(tǒng) 系 統(tǒng) 安 全 、 網(wǎng) 絡 安 全工 程 建 設 相 比 , 具 有 層 次 更 深 、 范 圍更 廣 、 難 度 更 高 的 特 點 。非 系 統(tǒng) 安 全4 A 項 目 不 僅 需 要 自 身 支 持 , 更 需 要 應用 系 統(tǒng) 進 行 接 口 定 制 開 發(fā) , 不 是 一 個獨 立 性 工 程 。非 獨 立 工 程? 44機、數(shù)據(jù)庫、網(wǎng)絡設備)和應用系統(tǒng),其發(fā)展和實現(xiàn)過程中必然有相應的改造工作,因此 4步實現(xiàn)的原則。 ?第一階段:現(xiàn)狀梳理+系統(tǒng)級授權 ?第二階段:應用改造+應用級授權 ?第三階段:自身優(yōu)化+流程簡化 ?第一階段:現(xiàn)狀梳理+系統(tǒng)級授權 ?所有系統(tǒng)資源的賬號、權限信息保存在統(tǒng)一的 ?統(tǒng)一的 ?實現(xiàn)系統(tǒng)資源的單點登錄。 ?第二階段:應用改造+應用級授權 ?應用系統(tǒng)將其賬號、權限信息按照 4植到 4 ?4現(xiàn)與應用系統(tǒng)的接口 ?實現(xiàn)應用資源的單點登錄 ?第三階段:自身優(yōu)化+流程簡化 ?各應用資源不再存貯自身的賬號和權限信息 ?簡化和完善的賬號、認證、授權、審計流程 ?具備較好的穩(wěn)定性與擴展性 ? 4?安全管理 ?4括威脅管理、身份識別、訪問管理和安全審計等。 ?有效滿足法規(guī)、標準遵從性的要求, ?集中化監(jiān)控和管理用戶,實現(xiàn)權限最小化,并通過權限管理流程,有效避免權限濫用。 ?實現(xiàn)用戶單點登錄 ?使用戶行為具備可追溯性 ?可以對所有目標用戶行為進行審計。 ? ??可以通過 ?新增用戶上線周期大大縮短, ?安全性提高;系統(tǒng)整合 ?統(tǒng)一管理平臺 - 4術語 解釋 4帳號管理,授權管理,認證管理,審計管理。 自然人 使用業(yè)務支撐網(wǎng)中資源的物理存在的人。 資源 自然人要訪問的業(yè)務支撐系統(tǒng)中實體,包括應用資源和系統(tǒng)資源。 應用 業(yè)務支撐系統(tǒng)中的一種資源類型,包括 營分析系統(tǒng)、 系統(tǒng) 業(yè)務支撐系統(tǒng)中的一種資源類型,包括主機、網(wǎng)絡設備、數(shù)據(jù)庫、安全設備等。 主帳號 自然人在 4 從帳號 資源中的帳號。 帳號組 由主帳號或從帳號構成的集合。 權限 資源訪問能力的標識。 角色 資源中若干訪問權限的集合。 角色組 角色構成的集合。 日志 資源對行為的記錄。 審計 針對各類資源操作行為進行收集、分析、預警的過程。 息驗證碼。 點登錄。- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- 平臺 技術講座 中國移動
裝配圖網(wǎng)所有資源均是用戶自行上傳分享,僅供網(wǎng)友學習交流,未經(jīng)上傳用戶書面授權,請勿作他用。
鏈接地址:http://www.hcyjhs8.com/p-22649.html