安全隐患
为了保证关键业务系统密码的安全性,安全管理员制定了严格的密码策略,比如密码要定期修改,密码要保证足够的长度和复杂度等,但是由于管理的机器数量和帐号数量太多,往往导致密码策略的实施流于形式。
整体架构
产品功能及特点
建恒身份及访问管理系统将主要采用基于角色对应用进行集中授权管理。 角色在系统中管理(包括创建、绑定权限、变更、删除),系统中角色会被同步到资源中,系统管理平台保存资源上的角色,用于授权管理。 多个角色在管理平台中组合成为一个角色组。
安全审计管理主要审计人员的账号分配情况、权限分配情况、账号使用(登录、资源访问)情况、资源使用情况等。在各应用系统的访问日志记录都采用统一的账号、资源进行标识后,集中审计能更好地对账号的完整使用过程进行追踪。
授权管理,包括支撑系统中全部资源的实体级授权和实体内授权。 实体级授权,即主账号代表的用户可以访问哪些资源的授权。 实体内授权,包括基于角色的授权和细粒度权限授权。
建恒身份及访问管理系统为用户提供统一的认证接口。根据访问对象由认证功能模块来提供强认证服务。用户在访问受保护的系统之前,首先经过身份认证系统识别身份,然后根据用户的身份和授权,决定用户是否能够访问某个资源。
我们进行了详细的需求调研和业务建模,使业务管理模式和业务内容(包括岗位设置、工作程序及其要求等)均符合我国现行法律、法规的规定和要求;并且,有机地融合了集中和分布两种模式的模块化。
在保证系统接口统一性和系统结构完整性的前提下,本系统提倡在总体设计的前提下,分步实施系统的每一个环节,保证了接口统一和系统结构完整性的设计,避免重复建设、重复投资、系统接口不吻合、业务关联脱节等等弊端。
身份及访问管理系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段,建立健全的系统安全机制,保证了用户的合法性和数据不被非法盗取,从而保证产品的安全性。
实现基于命令级的黑白名单控制;支持时间,地址等访问控制策略的自定义,并可以针对主从账号及授权关系进行策略控制;支持主账号的MAC地址绑定;支持以FTP策略的形式对FTP/SFTP方式文件传输进行限制