统一用户身份管理解决方案301

统一用户身份管理解决方案301内容摘要：

系结构出发，综合考虑信息网络的各种实体和各个环节，综合使用不同层次的不同安全手段，为信息网络和安全业务提供全方位的管理和服务。  标准化、一致性原则 XXX 单位 统一用户身份管理项目 采购项目 安全体系的设计遵循一系列国家标准，整个系统安全地互联互通。  需求、风险、成本折衷原则 任何网络和信息系统都不能做到绝对的安全，设计时在不影响原网络性能和设计要求的情况下，在安全需求、安全风险和安全成本之间进行平衡和折衷。  实用、高效、可扩展原则 安全保障系统所采用的产品，便于操作、实用高效。 同时随着技术发展，XXX 单位 信息系统也将发生各种变化，在系统实施过程中，系统的结构、配置也会 发生变化，系统的安全工程要有一定的灵活性来适应这种变化，做到层次性、体系性，既有利于系统的安全，又有利于系统的扩展。 XXX 单位 统一用户身份管理 解决方案 8  技术和管理相结合原则 各种安全技术应该与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合，从社会工程学的角度综合考虑。 遵循与参考的标准和规范 1） 国家保密标准 BMZ22020《涉及国家秘密的计算机信息系统安全保密方案设计指南》 2） 国家保密标准 BMZ12020，《涉及国家秘密的计算机信息系统保密技术要求》 3） 国家保密标准《计算机信息系统保密管理暂行规定》（国保发 {1998}1号） 4） 国 家标准 GB178591999，《计算机信息系统安全保护等级划分准则》 5） 国家标准 GB/，《信息技术 安全技术 信息技术安全性评估准则 第 2 部分 : 安全功能要求》 6） ISO27001/ISO17799:2020/BS7799,《信息安全管理技术规范》。 选型 本投标方案选用 堡垒主机系统 完成 XXX 单位 统一用户身份管理项目 建设。 堡垒主机系统 是安全管理 体系 的重要组成部分，部署在 单位 的内部网络中，用于保护 单位 内部资源和网络的安全性。 堡垒主机系统 应用了目前先进的技术作为支持，针对企业内部 核心服务器 、网络设备和 应用 进行保护，对此类资产的常用访问方式进行监控和审计，例如对字符终端、图形终端等访问方式进行监控和审计，实现 对用户行为 的 控制、追踪、判定，满足企业内部网络对安全性的要求。 XXX 单位 统一用户身份管理 解决方案 9 设计思路 因为运维操作的风险来源于管理模式、用户、操作等各个方面，所以我们给用户提供的是一个对操作进行集中管理，对身份、访问、权限、审计进行控制，真正 帮助用户降低运维操作风险的整体解决方案，而不是一个单纯的 安全 产品。 集中管理 管理模式是首要因素，管理是从一个很高的高度，综合考虑整体的情况，然后制定相应的策略，最后落实到技术实现上。 管理解决的是面的问题，技术解决的是点的问题，管理的模式决定了管理的高度。 随着应用的发展，设备越来越多，维护人员也越来越多，我们必须对操作进行集中管理。 只有集中才能够实现统一管理，也只有集中管理才能把复杂问题简单化，集中管理是运维管理思想发展的必然趋势，也是唯一的选择。 集中管理包括：集中的 资源 访问入口、集中帐号管理、集中授权管理、集中认证、集中审计等等。 协议代理技术 为了对 字符终端、 图形终端操作行为进行审计和监控， 堡垒主机系统 提供访XXX 单位 统一用户身份管理 解决方案 10 问控制模块对 各种字符终端和 图形终端使用的协议进行代理，实现多平台的 操作支持和 审计，例如 Tel、 SSH、 FTP、 SFTP， Windows 平台的 RDP 图形终端操作，Linux/Unix 平台的 XWindow 图形终端操作 等。 身份授权分离 以前管理员依靠各 IT 系统上的系统帐号完成两部分功能：身份认证和系统授权，但是因为共享帐号、弱口令帐号等问题存在，这两方面功能实际都不能达到预期的效果。 在 统一用户身份管理平台 上建立主帐号体系，用于身份认证，原各 IT 系统上的系统帐号仅用于系统授权，可以有效增强身份认证和系统授权的可靠性。 功能 实现 主帐号 管理 使用 统一用户身份 管理平台 的 用户 大致可分为普通用户 和 具有不同角色的管理员。 主帐号 管理将实现对用户的集中管理及用户的集中授权管理。 主帐号 管理功能包括 主帐号 的创建， 主帐号 基本信息维护 ， 主帐号 资源角色授权（ 主帐号XXX 单位 统一用户身份管理 解决方案 11 资源访问授权）， 主帐号 的锁定， 主帐号 删除等。 主帐号 创建 及 基本信息维护  主帐号 创建 主帐号 创建可以理解为 主帐号 的入职。 由超级管理员负责为新增用户创建主帐号 ，这些 主帐号具有不同资源的访问权限。  主帐号 的基本信息包括 主帐号 ID，名称，密码，密码策略，访问时间策略，访问锁定策略，客户端地址策略，状态，手机，电话，邮件，通信地址 等。  基本 信息维护 基本信息维护同样分为两个方面： 第一个方面是 主帐号 自维护基本信息，包括，用户的名称，口令，手机，电话，通信地址等，第二个方面是管理员负责维护 主帐号 基本信息，内容囊括了所有第一方面的内容外，还包括：密码策略的分配，访问时间策略的分配，访问锁定策略的分配，客户端地址策略的分配等。 主帐号 资源 访问授权 主帐号 资源 访问授权是 主帐号 访问 资源 的必要环节，只有经过此项授权的 主帐号 ，才能够访问 资源。 针对每个授权都可以 指定它的访问时间策略，客户端地址策略，主机命令策略 等。 主帐号 锁定 锁定状态是 主帐号 状态的一种， 主帐 号 锁定可以有两种情况发生。 第一种是由于 主帐号 分配了锁定策略，并且登录时连续输入错误口令次数超出了访问锁定策略规定的范围，导致 主帐号 处于锁定 状态 ；另一种是由管理员维护 主帐号 信息时，点击了该 主帐号 的锁定按钮，致使该 主帐号 处于锁定状态。 主帐号 删除 主帐号 删除功能是 将 主帐号 基本资料彻底从 统一用户身份 管理平台 中删除。 删除的 主帐号 应该是无用处的账号。 及时删除僵尸帐号 ，这样保证了整个业务的XXX 单位 统一用户身份管理 解决方案 12 完整性，也可防止 其他 人员使用僵尸帐号进行破坏行为。 资源管理 资源 管理 与 主帐号 管理同样是系统的核心部分。 资源管理主要负责管理不同类型 的资源，其中包括不同类型主机系统，网络设备， 安全设备 ，应用系统 等。 这些不同类型的资源组成了整个 统一用户身份 管理平台 的访问对象，也是保护对象。 资源管理主要包含两个大模块：资源管理和资源 从 账号管理。 资源管理主要 是对 不同类型的资源进行划分。 从 账号管理则依附于不同的资源。 访问资源就是访问资源的 从 账号，这里也是操作的核心部分。 资源 创建 及 基本信息维护  资源 创建 资源 创建是对设备的基本信息进行录入，内容包括： 资源 名称、 IP 地址、描述等。  基本信息维护 基本信息维护 主要针对设备的常见配置信息，例如 IP 地址，密码策略，资 源名称。