- 产品中心
- 信息安全
- 产品概述
- 紫微星安全管理系统
1.产品概述
紫微星安全管理系统主要为企业用户实现所有信息系统的集中账号管理(Account)、集中授权管理(Authorization)、统一身份认证(Authentication)、统一审计管理(Audit),为企业用户建立一套统一的安全管理平台。
本产品主要完成账号管理平台和身份认证平台的部署;同时需要深入了解用户对统一管理的要求,按需增加账号管理相应的模块,充分了解用户环境的管理或超级账号;并且根据业务认证不同需求提供“重定向统一认证”或者“密码代填”方式的身份认证部署;当用户出现一些网络业务无法部署或改造的情况,紫微星安全管理系统提供的“旁路认证”方式可以完善此类问题;用户业务系统操作统一审计同样可以通过两种形式完成:一是由业务系统产生操作日志可被紫微星安全管理系统中日志分析平台统一收集归类审计;二是由紫微星安全管理系统中安全控制平台从TCP/IP网络层中对业务操作进行协议解析审计。
根据【紫微星安全管理系统用户指南】中向导使用指示,分配“紫微星安全管理系统”用户在应用系统中的使用权限及认证方式,统一将授权策略下发到身份认证平台生效,当用户在从事多种业务操作时,只需要进行一次统一的身份认证即可访问被授权的所有业务操作。
2.产品特色
紫微星安全管理系统是一套新型的信息化中央式管理产品,它的功能、技术及性能等方面在市场上都具有最强的竞争优势,同时该产品的开发团队具有丰富的相关开发经验和市场剖析能力。
2.1 功能特色
2.1.1 支持主机及网络设备账号/口令集中管理
紫微星安全管理系统能够满足大多数常见服务器系统和网络设备的账号及口令的集中管理,其管理功能包括:同步账号、集中口令更改、新增账号、修改账号、删除账号和账号授权(分配角色)等。
所支持的服务器系统有:
HP-UNIX
IBM-AIX
SUN-Solaris
RH-Linux
所支持的网络设备有:
防火墙CISCO PIX Firewall;Netscreen Firewall;Checkpoint Firewall;ISONE Linktrust Firewall
路由器Huawei Quidway R2621, R2631;CISCO 7206, 7507, 3725, 12016, 2691, 3662, 3640;
交换机Huawei Quidway S3526, S3026, S3050, S3552, S6506;CISCO Catalyst 2950-24, 2950T-48, 6509, 4003, 4506, 4006, 2950G-48, 2924XLv
2.1.2 支持数据库账号/口令集中管理
紫微星安全管理系统除能完成系统级账号管理外,最具有特色的当属数据库账号/口令集中管理,通过账号管理策略可灵活扩展支持未知的数据库类型;目前支持的数据库有:Oracle
Sysbase
DB2
SQLServer
Informix
PostgreSQL
MySQL
2.1.3 基于LDAP数据库存储的业务系统账号/口令集中管理
目前有很多行业的应用系统,尤其是Web应用,其业务账号、口令及角色都采用了LDAP标准的目录级方式存储;紫微星安全管理系统根据LDAP的标准规范,按照用户业务管理需求,配置相应的账号管理策略,可以实时或后台方式同步账号及口令、新建、修改、删除账号、授权角色等。
2.1.4 基于用户角色的统一授权
紫微星安全管理系统是一套企业信息系统中央管理系统,它的核心功能就在于统一为用户对各种应用系统、主机设备访问的授权,访问控制方式采用RBAC(基于角色的访问控制)。
紫微星安全管理系统可以同步被管理应用系统角色信息,紫微星授权管理员可以在同一个平台下根据自身级别分配应用系统角色,主要包括主机设备中的账号归属权限组、业务系统中不同的业务操作角色,以移动CRM系统为例中角色分为客户经理、营业厅业务人员、维护人员、账务组长等。
2.1.5 管理员分角色管理
分角色管理是紫微星安全管理系统安全管理的一大亮点,无论在哪个行业中,管理都具有各种不同角色,互相牵制和促进发展,因此紫微星安全管理系统的分角色管理便采用了这样的原则:“账号管理”、“权限配置”、“审计查询”、“系统监控”四权分立,使得本产品在用户环境中发挥出管理无漏洞、不混乱、有理有据。
四权通过统一化身份授权(即超级管理员角色)确立其管理范围,紫微星安全管理系统在创建每一种管理角色时还分别具有管理上不同的权限划分。
2.1.6 支持分级授权管理
一个企业的信息系统一般都是由若干主机设备、应用系统共同组成,这样可能会产生如网管、业务管理员等角色来分管整个信息系统;紫微星安全管理系统设计了一套完善的分级授权管理的制度使得企业的各类管理员能够在同一个平台上管理被指派管理的用户、应用系统、角色等资源。
2.1.7 支持双机互备、负载均衡的统一认证
主备认证是紫微星安全管理系统中身份认证的重要特色之一,即受到本产品管理的用户身份认证具有一个必须的主要认证方式,如PKI身份认证、用户名/口令等;同时也可以根据用户的要求加强认证安全性,再通过了主身份认证后,继续采用备选认证方式,如短信动态口令、邮件口令等;最后才能够被认证系统接受,具有被授予的系统权限。
2.1.8 支持单点登录
紫微星安全管理系统采用了客户端集成方式的单点登录,所有被纳入到紫微星安全管理系统的应用系统、系统服务、数据库系统等根据紫微星安全管理系统授权被一一列入单点登录客户端列表中,凡是进入该列表的业务只需要通过“双击”动作,无需再填写账号和口令即可直接进入业务操作客户端;
目前已集成的应用有:
FTP
Telnet
SSH
Oracle
DB2
Sybase
2.1.9 管理员操作统一审计
没有审计的信息管理产品不能算是一个完整管理系统;紫微星安全管理系统中无论是哪一类角色的管理员管理操作都经过了“集中审计”,审计管理员通过“统一审计平台”,可以获取管理员历史管理操作日志;为管理员误操作或违规操作提供了依据。
2.1.10 用户授权业务行为集中审计(包含网络审计和日志审计)
用户授权是指通过紫微星安全管理系统授权中心为紫微星用户分配相应的资源访问权限、账号绑定和角色权限等;当用户根据授权访问业务时,紫微星安全管理系统通过网络审计、日志审计等两种互补审计方式,将用户业务行为集中,通过实时解析和事后处理归并的方式可以将用户行为以多种方式查询,并且紫光顺风可以为用户提供资深的审计专家真实分析、展现审计结果。
2.2 技术特色
2.2.1 基于负载均衡及双机互备方式的统一认证平台
双认证平台方式可以通过紫微星安全管理系统授权中心均衡分配用户主认证平台,使认证达到静态负载均衡;同时双认证平台又在用户环境中可以动态负载均衡,使得用户在“首认证平台”满负荷时能够动态切换“从认证平台”;标准的统一认证平台配置相互达到了双机互备的方式,避免了一台认证平台异常工作时可能导致用户在系统中的正常访问中断的情况。
2.2.2 基于二次验证码及密码代填的统一认证
大多数系统都支持Radius的标准认证协议,紫微星安全管理系统为用户系统或网络设备提供了重定向认证机制,使得用户系统或网络设备可以将用户的访问请求定向到紫微星身份认证平台中;在身份认证平台对用户的身份进行验证后发送二次验证码到用户端,并由用户系统或网络设备将二次验证码转发到紫微星身份认证平台,由身份认证平台确认用户是否允许通过访问。
紫微星安全管理系统将账号管理平台和身份认证平台灵活应用提供了“密码代填”机制,弥补了无法采用Radius标准认证方式的应用系统的统一认证缺陷。
2.2.3 基于Portal门户的Web方式单点登录
Portal是多种Web应用的统一门户,它为用户在多个Web网站的访问提供了统一接入的功能;紫微星安全管理系统提出了Web方式的统一接入标准,以 API和Portal协议方式提供给其他第三方Web应用,使得受到紫微星安全管理系统统一管理的Web应用实现了统一认证及单点登录。
2.2.4 XML信息数据交换技术
紫微星安全管理系统的数据文件配置均采用了XML文件形式存储和表现,XML不仅提供了清晰的结构化的信息表现能力,同时作为一种流行的国际标准的信息数据交换形式,使得系统的数据及信息可以在不同平台及系统间自由交换,为与其它系统与平台进行有效整合提供了保障。
2.2.5 SSL+用户名/口令方式安全通讯
SSL(Secure SocketLayer)是网景(Netscape)公司设计的主要用于web的安全传输协议,后来该协议通过了国际电子信息委员会组织规范成了RFC标准协议,因此该协议也在各种网络应用层协议上广泛使用。紫微星安全管理系统各组件之间采用了SSL加密通讯的方式传输,同时在组件服务器端增加了用户名认证方式的传输,既防止了数据被恶意监听、篡改,又防止了外部非法接入系统;保障了整个系统的输入输出数据的安全。
2.2.6 符合CMPP2.0规范的短信报警
CMPP2.0是中国移动短信接入网关通讯规范,国内目前所有移动公司均采用了此规范建立了短信互通平台;紫微星安全管理系统具备“高危操作”告警功能,采用了邮件、短信、日志、屏显等报警处理方式;短信告警根据CMPP2.0规范制定了统一的发送接口,接口代码采用了标准的C语言编写,不受系统平台的影响。
2.2.7 符合中国移动账号口令集中管理技术规范
紫微星安全管理系统根据中国移动账号口令集中管理技术规范开发了账号管理、授权管理及身份认证三大功能,大大降低了企业用户的管理成本、提高了工作效率。
紫微星安全管理系统是企业内部中央信息管理系统,为了解决用户日益增大信息系统的复杂化管理手段,降低用户的维护成本,因此该系统被认为是信息系统的中央单元。其部署方案图如下:
