统一安全管理平台.ppt

1、统一安全管理平台,技术顾问 万光辉 G,CA公司介绍,成立于1976年 总部位于美国纽约长岛 2004财年收入比去年增长8%，达32.8亿美元 全球最大的管理软件公司 客户遍及全球95%的财富500强企业、80%的财富1000企业 在全球40余个国家拥有15,000名员工 拥有300项先进技术解决方案专利 首个通过ISO 9001:2000 全球认证的软件企业,冠群电脑（中国）有限公司,1995年进入中国 1998年成立独资公司：冠群电脑（中国）有限公司 四个办事处：北京、广州、上海、成都 现有员工超过300人 在北京设立了研发中心，现有研发人员200名 2004年7月， 被信息产业部授予“软

2、件企业”的称号,CA统一安全管理平台,业务,人,资产,事件,统一验证 Authentication 统一访控 Access 统一授权 Authorization 统一用户 Account,统一审计 Audit 安全总控中心 网络分析取证,安全风险管理 安全流程运营,弱点管理 补丁分发 内容管理 ITM HIPS,以业务为核心 符合ITIL规范,可扩展平台 模块化结构,安全问题的本质人,安全管理问题人,IT管理问题人,CA IAM,人的管理 身份&访问管理,身份&访问管理 Identity & Access Management Who has access to what resources?

3、 When did they access those resources? Who authorized that access? What really are our access policies? What did they do while they were there?,CA IAM统一安全管理平台,Internet,身份管理,访问管理,审计,Help Desk,HR System,Physical Assets,Platform,Application,Common roles, policies, reporting, workflow,Enterprise Infrast

4、ructure,Event Logs,Directory,Systems System Services Mainframes System files,SCM ERP SAP Custom,Mobile phone Badges PDA Telephone,CA IAM,身份管理,Identity Provisioning and Management Automate the creation and management of user identities And their access rights to applications and data Delegate user ad

5、ministration Manage entitlements Provide user self service capabilities,访问管理,Access management Automate business processes Protect access to critical resources Federate applications with business partners,审计,Monitoring and auditing Monitor all identity-related events Provide reports to simplify cont

6、inuous compliance,CA IAM Solution,身份管理 Identity Administration and Provisioning,访问管理 Access Management,审计 Audit and Reporting,eTrust SITEMINDER CA EMBEDDED ENTITLEMENTS MGR eTrust TRANSACTIONMINDER eTrust SINGLE SIGN-ON eTrust ACCESS CONTROL eTrust CA-ACF2 SECURITY eTrust CA-TOP SECRET SECURITY,eTru

7、st SECURITY COMMAND CENTER eTrust CA-EXAMINE AUDITING,CA IDENTITY MANAGER eTrust CLEANUP eTrust DIRECTORY,PASSWORD MANAGEMENT PROVISIONING ID ADMINISTRATION IDENTITY VIRTUALIZATION DIRECTORY,FEDERATION AND TRUST WEBSITES APPLICATIONS WEB SERVICES ENTERPRISE SSO OPERATING SYSTEMS,REPORTING ANALYSIS E

8、VENT/AUDIT/MONITORING,统一系统访问管理,系统运维4大问题,恰当授权 安全控制 风险最小 缺乏审计,系统运维4大问题CA解决方案,恰当授权安全委托 安全控制基于角色的精细粒度控制 风险最小分权分立 缺乏审计安全审计（统一、独立、详细、溯源）,专利核心技术：动态安全扩展 DSE,DSE（Dynamic Security Extension）基于内核的安全扩展的专利技术 新安全内核 双内核控制真正安全（不可旁路） 不改变原系统（安装、升级、卸载不需要reboot服务器） 双重保护：AC + OS,1安全委托：角色委托,1，不需要增、删、改系统任何原设置，只需增加普通用户 2，授

9、权用户扮演重要用户（root、应用、数据库等），不需要原用户密码 3，权限控制：角色委托sesu源用户受AC权限控制源用户审计,1安全委托：任务委托,1，不需要增、删、改系统任何原设置，只需增加普通用户 2，重要用户（root、应用、数据库等）的指定权限委托，不需原用户的密码 3，任务委托sesudo,2基于角色的精细粒度控制,eTrust Access Control Regulates: Who: can access information What: information can be accessed When: access is allowed Where: is access

10、 from From: what application may be used,基于角色的访问控制 (RBAC) 数据机密性保护 主机入侵预防 (HIP) 集中管理 安全审计,基于角色的访问控制 (RBAC),eAC 分配系统管理员的权限到特定的角色，不再需要超级用户分权分立 eAC 跨所有平台定义角色。,精细粒度控制,文件：加强的文件核心防护提供额外于 UNIX 自身限制之外的文件保护。比如，即使是有 root 权限，一个用户也不能未经授权访问一个受保护的文件。核心防护还可以控制用户以何种方式访问文件（即使用什么程序或应用）。 进程：核心防护保护进程不被任何未授权的用户终止。 userid

11、s & groupids（su）：核心防护可以控制 surrogate userid 和 groupid。 特权程序：需要特殊权限才能运行的程序，是后门与对系统资源未授权访问的主要来源。核心防护保护受信任的特权程序不被更改，并阻止新的未被识别的特权程序的运行。 网络连接：核心防护通过规范入站与出站网络连接控制对网络服务和端口的访问。 终端：核心防护通过定义谁可以在什么条件下从哪一台终端登录来控制对系统访问的进入点。 用户自定义的资源：使用核心防护的授权 API 和数据库工具，管理员可以定义网站中特定的规则来保护数据受到来自连接到核心防护服务器上的应用程序的访问。,3分权分立,1，系统管理角色（

12、组）sysrole、数据库管理角色（组）infrole、业务管理角色（组）winrole、安全管理角色（组）、安全审计角色（组）等 2，AC控制权限（文件、目录、进程、用户切换su）：分权分立,yewu,data,root,audit,acadm,4安全审计,强大的实时跟踪和安全审计功能 详尽而完善的审计日志 审计溯源性：纪录原始用户, not surrogated ID 自我保护审计日志和审计程序, 完整的审计日志可以作为法庭证据。,4安全审计,与授权有关的事件 基于资源与用户 Files, programs, 等等 Logins, surrogate requests 事件类型 管理员的活

13、动,其它特性：统一集中管理,统一图形界面（通用安全语言）跨平台管理所有NT/UNIX平台， 减少管理成本 通过“Policy Model Database (PMDB)” 跨平台管理，一次制定、自动分发。支持多级多主策略分发。,Who,What,Rules,Wizard,eTrust AC主控台和配置向导,其它特性：B1安全,CATEGORY类 超越用户和组的访问分类 存取程序和资源可以属于一个、多个或不属于任何 category 存取程序和资源的列表必须是一样的，否则访问会被拒绝 SECLEVEL 类 介于 1 和 255 的整数 只有当存取程序的级别高于或等于资源的级别时，访问才会被同意

14、为了关闭，设置现有seclevel 为 0 为了防止任何存取程序访问 seclevel 保护的资源，设置存取程序的seclevel为 0 SECLABEL 类 把安全级与0或更多的安全范畴联系起来 把授予级别和范畴的安全标签指派给存取程序和资源,其它特性： 广泛平台支持,UNIX AIX, HP-UX, Solaris Tru64, IRIX, MP-RAS, Unixware, Sinix, Including Itanium 64-bit process support Linux LinTel: Redhat, Suse, TurboLinux Linux for S/390: Suse

15、, Redhat Windows Windows NT, XP Windows 2000, 2003,统一单点登录eTrust SSO,eTrust SSO 特点,只需要记住一个密码 支持强验证或双因素验证、生物验证等多种验证方法 自动登录应用（C/S，B/S，大机应用等） 自动管理系统的密码 单点登出 零影响 系统或应用上不需要安装agent 应用不需要作任何变动,降低安全风险 一个密码，用户不再需要记忆大量的密码 强密码策略真正得到贯彻 减少成本 25% of 服务台成本和密码有关! 不需要改造系统 不需要另购买强认证产品 遵从安全法规要求 信息安全等级保护 审计登录行为 提供用户满意度和

16、工作效率,收益,eTrust SSO 架构,eTrust SSO 强密码管理,eTrust SSO 强密码管理,用户登陆SSO：可以选择与Windows深度集成,用户登陆SSO：选择SSO Server,多种SSO窗口：LaunchBar,安全设计,平台安全 SSO Server内嵌eTrust Access Control，eTrust Access Control是CA公司的强大的系统安全防护产品，可以充分保护SSO Server的平台安全。 HA，负载均衡 数据存储安全 采用MD5 和SSHA-1加密存储在目录中。 通讯安全 El-Gamal公钥结合Triple-DES加密 使用安全 会

17、话管理 单点登出,统一应用安全SiteMinder,eTrustSiteMinder,广泛的平台支持,联盟安全服务,授权管理,审计和报表,认证管理,单点登录,企业级的管理能力,开放性和可扩展性,高性能架构,SiteMinder工作示意图,Web Server with Agent,Destination Web Server,Secure Proxy Server,Employees Partners Customers,Policy Server,Single Sign-On 单点登录,M /servlet 1/,Employees,Partners,Customers,M /app1/,e

18、Trust SiteMinder Policy Server,User Authenticates Once,128 bit Session Cookie,SAML,SubsidiaryA.com,联盟服务,Partner A/B 提供安全认证 有/无 eTrust SiteMinder 均可 可以是第三方IAM系统，工具包或者兼容平台 SiteMinder提供基于SAML的授权或者SSO 灵活的合作伙伴用户到SiteMinder用户的映射 一对一 (帐号到帐号) 多对一,www. SiteM Authenticate,www. PartnerB.com,www.PartnerA.com,Us

19、er,SSO,Internet,Authenticate,Authenticate,统一用户管理Identity Manager,全面自动用户管理流程,CA Identity Manager,用户管理成为企业级的IT服务,Consumer,Call Center,B-B Customer,B-B Admin. Internal,B-B Admin. External,B-B Partner,B-B Admin. Internal,B-B Admin. External,Manager,HelpDesk,Security Admin.,Internal Auditor,External Audi

20、tor,太多用户 太多业务系统 1个用户管理平台,Contractor,Temp.,Employee,Identity Manager,统一安全审计eTrust Audit,eTrust Audit,采集异构日志 统一日志格式 日志过滤和分析 实时响应动作 集中日志存储 事件分析和报表,产品特点,集中统一审计 中央策略管理 多层模块化架构 日志采集 日志过滤 日志处理 集中处理引擎 高扩展性 New Recorder MP File SAPI Report,6层优势,丰富的策略模版,CA IAM优势,IAM市场领导地位,IDC2005年全球认证与身份识别和访问管理厂商市场份额报告，CA继续在 IAM 市场占据领先地位，市场份额达到17.2%，收入超过5.22亿美元。 连续第六年被 IDC评为用户及访问管理（Identity & Access Management IAM）软件市场领袖。,5,000+ IAM Customers Worldwide,FINANCIAL SERVICES,EDUCATION,TELECOMMUNICATIONS & TECHNOLOGY,HOSPITALITY, RETAIL & SERVICES,HEALTHCARE,GOVERNMENT,TRANSPORTATION & MA