NONE 优炫统一用户管理系统 文档安全管理

一.产品需求
目前，企业或机构的运维管理有以下三个特点：
1、关键的核心业务都部署于Unix、Windows、Linux等服务器上。
2、应用的复杂度决定了多种角色交叉管理。
3、运行维护人员更多的依赖Telnet、SSH、FTP、RDP等进行远程管理。
基于这些现状，在管理中存在以下突出问题：
1.使用共享帐号的安全隐患
企业的支撑系统中有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系，用户为了方便登陆，经常出现多人共用帐号的情况。
多人同时使用一个系统帐号在带来管理方便性的同时，导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员，会使这个帐号的安全无法保证。
由于共享帐号是多人共同使用，发生问题后，无法准确定位恶意操作或误操作的具体责任人。更改密码需要通知到每一个需要使用此帐号的人员，带来了密码管理的复杂化。
2.密码策略无法有效执行
为了保证密码的安全性，安全管理员制定了严格的密码策略，比如密码要定期修改，密码要保证足够的长度和复杂度等，但是由于管理的机器数量和帐号数量太多，往往导致密码策略的实施流于形式。
3.授权不清晰
各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加，安全性无法得到充分保证。
4.访问控制策略不严格
目前的管理中，没有一个清晰的访问控制列表，无法一目了然的看到什么用户能够以何种身份访问哪些关键设备，同时缺少有效的技术手段来保证访问控制策略被有效执行。
5.用户操作无法有效审计
各系统独立运行、维护和管理，所以各系统的审计也是相互独立的。每个网络设备，每个主机系统分别进行审计，安全事故发生后需要排查各系统的日志，但是往往日志找到了，也不能最终定位到行为人。
另外各系统的日志记录能力各不相同，例如对于Unix系统来说，日志记录就存在以下问题：
a、Unix系统中，用户在服务器上的操作有一个历史命令记录的文件，但是用户可以随意更改和删除自己的记录；
b、root用户不仅仅可以修改自己的历史记录，还可以修改他人的历史记录，系统本身的的历史命令文件已经变的不可信；
c、记录的命令数量有限制；
d、无法记录操作人员、操作时间、操作结果等。
二．产品概述:

优炫统一用户管理系统，具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来；具备审计回放功能，能够模拟用户的在线操作过程，丰富和完善了网络的内控审计功能。优炫统一用户管理系统还具备图形终端操作的审计功能，能够对多平台的多种图形终端操作做审计，例如Windows平台的RDP方式图形终端操作，Linux/Unix平台的XWindow方式图形终端操作。
为了给系统管理员查看审计信息提供方便性，系统管理员可以通过多种查询条件查看审计信息。
优炫统一用户管理系统够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化和专业化。
1．单点登录
优炫统一用户管理系统提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问被授权的多种基于B/S和C/S的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高工作效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。
单点登录可以实现与用户授权管理的无缝链接，可以通过对用户、角色、行为和资源的授权，增加对资源的保护和对用户行为的监控及审计。
2．集中帐号管理
集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理，而且还降低了管理大量用户帐号的难度和工作量。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准的用户帐号安全策略。
通过建立集中帐号管理，企业可以实现将帐号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。
3．身份认证
优炫统一用户管理系统为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。
集中身份认证提供静态密码、WindowsNT域、WindowsKerberos、一次性口令等多种认证方式，而且系统具有灵活的定制接口，可以方便的与第三方认证服务器对接
4．资源管理
优炫统一用户管理系统提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机的访问进行审计和阻断。
在集中访问授权里强调的 集中 是逻辑上的集中，而不是物理上的集中。即在服务器主机系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员在优炫统一用户管理系统系统上，可以对各自的管理对象进行授权，授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作等的细粒度授权。
5．访问控制
优炫统一用户管理系统能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。
访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好的提高系
三．主要应用
1．内部网络行为管理
严重的攻击来自系统内部（80%来自内部攻击），优炫统一用户管理系统主要应用于服务器用户行为管理，对各种途径的服务器的访问方式进行监控，支持Telnet、FTP、SSH、RDP，Xwindows等，保证内部用户的操作和行为可控、可视、可管理、可跟踪、可鉴定，防止内部人员对机密资料的非法获取和使用，保护企事业单位的核心机密。
2．对黑客行为的防范
黑客常常通过各种非法手段（如：社会工程、恶意程序、系统设置漏洞、缓冲区溢出程序等）获取用户权限，然后使用该权限登录系统。优炫统一用户管理系统可以记录该黑客的操作过程，对于事后查证和数据恢复，有很好的实用价值。
3．关键技术
优炫统一用户管理系统采用先进技术，成功实现命令及图形的捕获与控制，为服务器的安全运行提供了强有力的系统工具。
四.部署说明
如图，优炫统一用户管理系统部署在被管理服务器的访问路径上，通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接访问服务器的远程维护端口。
维护人员维护被管理服务器时，首先以WEB优炫统一用户管理系统，然后通过优炫统一用户管理系统访问资源列表直接访问授权资源。
五.总结
企业内部网络安全存在诸多的问题，每种问题都不可小视，对于这些问题，企业内部应该规范管理，应该使用更为先进的IT技术手段、技术工具来帮助管理员进行规范化管理，这样才能够保证企业内部网络的安全性。优炫统一用户管理系统使得企业内部服务器系统的管理合理化、安全化、专业化和规范化，充分保障企业服务器系统资源和信息资源的安全。