4A统一安全管理平台解决方案.docx

4A统一安全管理平台解决方案4A包括统一用户账号（Account）管理、统一认证（Authentication）管 理、统一授权（Authorization）管理和统一安全审计（Audit）四要素。融合后的解决方案将涵盖单点登录（SSO）等安全功能，既能够为客户提供 功能完善的、高安全级别的4A管理，也能够为用户提供符合萨班斯法案（SOX） 要求的内控报表。为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展，其内部用户数量持续增加，网络规模迅 速扩大，安全问题不断出现。而每个业务网系统分别维护一套用户信息数据，管 理本系统内的账号和口令，孤立的以日志形式审计操作者在系统内的操作行为。 现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需 求，及与国际业务接轨的需求。问题主要表现在以下几方面：1. 大量的网络设备、主机系统和应用系统分属不同的部门或业务系统，认证、 授权和审计方式没有统一，当需要同时对多个系统进行操作时，工作复杂度成倍 增加；2. 一些设备和业务系统由厂商代维，因缺乏统一监管，安全状况不得而知；3. 各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统 一的访问控制平台，随着用户数增加，权限管理愈发复杂，系统安全难以得到充 分保障；4. 个别账号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际 使用者；5. 随着系统增多，用户经常需要在各系统间切换，而每次切换都需要输入该 系统的用户名和口令，为不影响工作效率，用户往往会采用简单口令或将多个系 统的口令设置成相同的，造成对系统安全性的威胁；6. 对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时 发现入侵行为。综上，由于缺乏统一的4A管理平台，加重了系统管理人员工作负担，同时， 因各业务系统安全策略不一致，实质上也大大降低了业务系统的安全系数。统一安全管理平台解决方案能够解决运营商当前在账号口令管理、访问控制 及审计措施方面所面临的主要问题。该解决方案由5个子系统组成：统一的4A管理平台、统一的认证授权子系统、统一的账号管理子系统、统一的日志审计子 系统、网络行为审计子系统。统一 4A管理平台向其它四个子系统传递配置参数，包括认证参数、账号参 数、审计策略参数等，而四个子系统则将自身的运行状态值传递给统一 4A管理 平台；统一 4A管理平台上各参数的变更，以及各告警值通过syslog的方式传递给 统一日志审计子系统；统一认证授权子系统对用户进行统一接入认证后，产生的认证记录通过 syslog的方式发送给统一日志审计子系统；统一账号管理子系统对用户账号进行维护的操作通过syslog的方式发送给 统一日志审计子系统；网络审计引擎部件将采集到的日志信息通过syslog方式发送给统一日志审 计子系统。统一日志审计子系统功能：安全日志采集安全日志多维分析安全日志实时展现报表分析审计策略配置数据存储统一认证授权子系统功能：统一身份认证集中账号口令管理统一认证和授权网络设备的身份认证及授权主机系统的身份认证及授权 远程接入或VPN接入用户的认证及授权数据库管理的身份认证及授权 基于Web的运营系统的身份认证及授权基于C/S结构的业务系统的身份认证统一账号管理子系统功能：单点登陆账号同步统一账号管理与统一认证授权协作网络行为审计子系统功能：FTP/TELNET 审计XWINDOW 审计常用数据库的操作审计（ORACLE审计、DB2审计、SQL SERVER审计、SYBASE 审计）堡垒机跳转行为审计NETBIOS 审计HTTP审计SMTP审计POP3审计非正常网络行为的审计各种协议的审计报表投资收益统一认证、授权和审计，工作复杂度大幅度降低；统一监管，安全状况尽在掌握；避免多人共用相同账号，安全事故易于追踪；单点登录(SSO)免去用户在各系统间切换时，需要再次输入用户名和口 令的繁琐；对各个系统进行统一的访问审计，利于综合分析，及时发现入侵行为；与萨班斯法案(SOX)内控需求一致。启明星辰4A管理产品在萨班斯(SOX)法案要求上市公司实现企业内控的国际形势下，启明星辰公司推出了针对国内电 信运营商市场定制的4A解决方案，该方案结合了启明星辰天玥业务审计产品的优势，引入了 Safeword 产品系列中的3A组件。4A包括统一用户账号(Account)管理、统一认证(Authentication)管理、统一授权(Authorization)管 理和统一安全审计(Audit )四要素。融合后的解决方案将涵盖单点登录(SSO)等安全功能，既能够为客户提供功能完善的、高安全级别 的4A管理，也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展，其内部用户数量持续增加，网络规模迅速扩大，安全问题不 断出现。而每个业务网系统分别维护一套用户信息数据，管理本系统内的账号和口令，孤立的以日志 形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满 足自身业务发展需求，及与国际业务接轨的需求。问题主要表现在以下几方面：1, 大量的网络设备、主机系统和应用系统分属不同的部门或业务系统，认证、授权和审计方式 没有统一，当需要同时对多个系统进行操作时，工作复杂度成倍增加；2, 一些设备和业务系统由厂商代维，因缺乏统一监管，安全状况不得而知；3, 各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统一的访问控制平台， 随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障；4, 个别账号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际使用者；5, 随着系统增多，用户经常需要在各系统间切换，而每次切换都需要输入该系统的用户名和口 令，为不影响工作效率，用户往往会采用简单口令或将多个系统的口令设置成相同的，造成对系统安 全性的威胁；6, 对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为。综上，由于缺乏统一的4A管理平台，加重了系统管理人员工作负担，同时，因各业务系统安全 策略不一致，实质上也大大降低了业务系统的安全系数。用Tivoli软件构建企业4A安全管理平台业风险与信息安全一谈到信息安全，人们往往首先想到的是防火墙、入侵检测、漏洞扫描、数据加密等安全防御产 品。这些产品主要从网络层次上防止潜在的安全威胁。然而随着各企业不断开展电子商务和将内部资 源不同程度地向客户、合作伙伴及员工开放，对于企业至关重要的信息财产安全越发得到重视。尤其 是在信息访问越发便捷的背景下，这些资产也暴露在越来越多的威胁中，毫无疑问，信息保护信息的 私密性、完整性、真实性和可靠性的需求已经成为企业急待解决的安全问题。随着企业的不断发展，各种支撑系统和各系统用户数量不断增加，网络规模迅速扩大，原有的简 单账号口令管理措施已日渐不能满足信息安全的要求，主要表现在以下方面：系统多，且分别属于不同的部门和不同的业务系统。每套应用系统都有一套独立的认证、授权 和审计系统，并且由相应的系统管理员负责维护和管理。出现同一台服务器或网络设备需要多人维护， 或同一人需要维护多台服务器和网络设备情况，系统维护成本增加。由于缺乏统一的身份管理平台，难以管理系统运维帐号，超级用户帐号共享的现象普遍存在。 账号的多人共用，不仅在发生安全事故，难于确定账号的实际使用者，在平时也难于对账号的扩散范 围进行控制，容易造成安全漏洞。每个系统分别管理所属的系统资源，为本系统的用户分配权限，缺乏集中统一的资源授权管理 平台，无法严格按照最小权限原则分配权限，系统的安全性无法得到充分保证。随着系统的增多，使用户经常需要在各个系统之间切换，每次从一个系统切换到另一支撑系统 时，都需要输入用户名和口令进行登录。给用户的工作带来不便，影响了工作效率。用户为便于记忆 口令会采用较简单的口令或将多个支撑系统的口令设置成相同的，危害到系统的安全性。由于各系统独立运行、维护和管理，所以各系统的审计也是相互独立的，缺乏集中统一的系统 访问审计。无法对支撑系统进行综合分析，不能及时发现入侵行为。因此需要系统和安全管理人员可以对企业内部的用户和各种资源进行集中管理、集中权限分配、 集中审计，从技术上保证支撑系统安全策略的实施。所以构建信息级的企业安全必须解决用户的账号 (Account)管理、认证(Authentication)管理、授权(Authorization )管理和安全审计(AudIT)方面的问题， 即4A解决方案。4A主要回答了这样几个问题，即：”谁能进来？"”他们能够做什么？"”是否能够为4A安全管理平台的价值账号管理即是将自然人与其拥有的所有系统账号关联，集中进行管理，包括按照密码策略自动更改密码，不同系统间的账号同步等。身份认证用以实现支撑系统对操作 者身份的合法性检查。对信息统中的各种服务和应用来说，身份认证是一个基本的安全考虑。授权是 指对用户使用支撑系统资源的具体情况进行合理分配的技术，实现不同用户对系统不同部分资源的访 问。审计是指收集、记录用户对支撑系统资源的使用情况，以便于统计用户对网络资源的访问情况， 并且在出现安全事故时，可以追踪原因，追究相关人员的责任，以减少由于内部计算机用户滥用网络 资源造成的安全危害。4A一起确保合法用户安全、方便使用特定资源。这样既有效地保障了合法用 户的权益，又能有效地保障支撑系统安全可靠地运行。4A框架的作用主要体现在系统管理员方面、普通用户方面、系统安全性、系统管理费用等方面。企业角度对于企业来说，由于企业内部账号、授权管理的混乱，造成私设账号、账号失效后未及时收回、 某些账号的扩散范围难于控制，从而给企业造成的安全损失是很严重的。在4A框架下，账号、授权管理将纳入统一、可控的框架和过程，账号设置、分配均有详细记录， 可以审计;账号撤消、更改后的同步工作（包括从集中账号管理系统向各主机、设备、系统下发账号， 及集中账号管理系统从各主机、设备、系统收集账号）均由系统自动完成，避免手工同步;对账号的有 效期可以用时间、地域等附加因素进行限制，防止滥用;在多人共用账号的情况下，审计也可以精确 到实际使用账号的个人;针对高价值资产、高权限账号，通过灵活支持动态口令、PKI、生物认证等强 认证技术，提高信息资产的安全性，并实现不同权限等级账号的不同安全策略。这些措施无疑将给企业信息资产的安全防护提供强有力的手段，避免安全损失，同时通过保障企 业内主机、设备、应用系统的顺畅运行，给企业增加效益。管理员角度采用4A框架，方便了系统中包括从系统用户聘用到辞职的整个生命周期的管理。如账号创建、 授权、权限更改、个人信息更改、口令更改、账号删除等，均可在一个平台上进行管理，使用户与其 账号的对应关系符合实际情况，保证用户拥有的权限是完成其工作所需的最小权限。通过4A框架，系统管理员可以方便高效地对支撑系统进行审计，及时发现未授权的信息资源访 问，权限滥用，入侵企图等等。4A框架还为安全策略的强制统一执行提供技术保证，如监测用户口令的强度，口令更改周期等减少由于用户忘记密码产生的维护成本。这些都使管理员对信息资源管理的效率大大提高。普通用户角度通过4A框架，可以保证用户权限的分配符合安全策略要求，拥有完成任务所需要的最小权限。用户可以通过4A框架提供的自助管理接口，可以方便地更改自己的口令和个人基本信息，减轻 了系统管理员的工作负担，也提高了用户的工作效率。通过4A框架提供的单点登录系统，用户一次登录即可方便地访问被授权的所有系统，省去了记 忆多个账号名和口令的麻烦，提高了工作效率。系统安全角度4A框架可以使用户的工作变动情况及时在支撑系统中得到体现，通过集中平台，一个指令，即 可以干净、彻底的清除与每个用户相关的所有账号，防止出现用户已经离职但账号还存在的情况。另外4A框架为安全策略的强制执行提供了技术手段，如单点登录系统可以为用户在不同应用系 统中自动设置足够强的口令，并且可以自动定期修改口令。这种设置和修改对用户是透明的，用户只 需记住登录到单点登录系统的口令即可，提高了用户的效率，防止弱口令的存在。通过方便高效的审计手段，可以及时发现系统中存在的安全问题和各种入侵企图，为安全管理员 采取相应的措施提供及时准确的信息，增强系统的安全性。系统管理成本角度用户自我服务使用户可以维护自己的信息，单点登录减少了用户忘记口令的情况，这都使得系统 的管理成本，尤其是在用户数目巨大的情况下大幅度降低。旧M Tivoli企业4A安全框架通过以上分析，一个全面的4A安全解决方案，应能够实现以下内容：在企业建设系统运维用户管理系统，为所有用户提供集中访问服务、单点登录服务、后台帐号 管理服务、访问日志服务等；用户凭个人的主登录帐号，登录个性化的运维访问平台，可实现多因子强认证。通过集中访问 平台的单点登录服务，访问被授权的各个系统，无需二次登录。用户无需记住各个服务器的登录帐号 口令；用户管理服务，集中管理用户的主登录帐号与各个服务器的系统登录帐号。定期自动更改所有 后台服务器帐号口令。用户通过用户管理自助服务，可以更改个人的帐号口令；访问日志服务，集中记录所有系统运维帐号的登录访问日志，集中记录所有系统运维帐号的生 成、授权和口令更改日志；集中的用户目录，集中的日志数据库等。图1 Tivoli企业4A框架本文将从集中用户访问和单点登录、能1：集中用户管理建立集中用户管理的目标在于：通过目录服务，整合现有信息系统中现存、主流应用的用户管理数据库，使大量存在于不同数 据库中的用户数据信息，统一于以目录为核心的统一用户管理平台之中，为安全有效的实施统一认证、 授权管理平台、安全审计、单点登录等功能奠定坚实的基础；通过LDAP目录服务，建立统一用户管理平台，实现分级、委托模式的用户管理体系，强化对 用户身份的管理；通过目录服务，实现基于角色、粗粒度（基于URL）和细粒度（基于应用组件的方法调用）的访问 策略管理，为企业建立规范的统一认证和授权管理支撑环境；通过灵活、方便的委托管理机制，实现用户数据库的分级委托管理。为管理员提供统一的、基 于Web的用户、角色和策略管理界面；为用户提供自服务系统，用户通过自服务系统可以修改信息和口令。图2集中用户管理旧M Tivoli IdentITy Manager（TIM）可以集中的为一个组织创建、管理、挂起和移除所有用户的 帐号。从而降低各种用户账号管理的成本。基于角色的访问控制通过角色的定义可以将企业用户根据不同职位和职责进行分组，从而大大简化用户管理的负责度 和降低管理成本。旧M Tivoli IdentITy Manager将用户按照角色来管理。大多数情况下，一个角色代表着通用的职 责。例如，可以在组织中创建一个会计的角色，使其能够访问所有的跟会计相关的应用和资源。为用 户分配角色可以是固定的，也可以是动态的。一旦某位用户被分配了一个特定的角色，也就会获得该 角色相关的资源。自助式服务功能自助式服务的意义在于，自助服务功能使用户（和委托管理员）可以通过用户指派系统管理授权数 据。利用角色和ACI规则，用户可以对其他用户和委托管理员指派特定的权限，对个人数据执行某特 定操作，如添加或移除。通过自助式服务功能，授权用户可以自己重设密码，自助的注册以申请所要 管理资源的访问权限。从而减少服务台的运营成本。Tivoli IdentITy Manager支持用户对个人信息的 修改、个人账号密码的修改、密码提取等自助功能。用户数据和密码的同步在企业中存在众多系统，其中的用户帐号和密码的管理非常复杂，如果能够实现帐号和密码的同 步，将能够大大减少帐号和密码的维护工作。IBM Tivoli IdentITy Manager与RM Tivoli Directory Integrator结合在一起，提供对组织中所有被管理系统的用户账号双向密码同步的能力。经过密码同 步之后，用户只需要记住一个密码就行了，从而提高了生产力，保证了对各个系统无缝的访问。业务流程的自动化工作流程的审批过程是通过对用户间关系（如管理员，责任人或系统拥有者等）的分解，关联到某 特定个人;或者按规定路线发送到某特定角色相关的任何个人，自动的为业务管理的相应资源，使得 业务更具弹性。RM Tivoli Identity Manager具有工作流的功能，结合客户自身的业务流程，工作流程的粒度，简单时只需获得一个批准，复杂时必须请求多重准许，如附加信息、通知、工作单、子流程、环路和 客户通过Java Script定制的扩展步骤。图3生命周期管理和工作流程设计工具密码管理在统一身份管理平台上，密码的管理应该能够涵盖后台所有系统的密码要求。旧M Tivoli Identity Manage的解决方案允许用户为每一种所管理的资源设定密码规则。除了像长 度要求这种基本参数外，还包括通过Java Script来定制规则，以满足更为复杂的需求。如最小长度 和最大长度、最大重复字符数、最小符号字符数和/或数字字符数、定义无效和/或必需的字符等。图4 Tivoli Identity Manager的密码策略设置审计和报表由于集中用户管理平台是企业唯一的用户管理接口，因此必须能够跟踪终端用户和管理者在系统 中进行的所有事务操作，包括用户授权的改动等，以用于对帐号信息的修改进行审计。旧M Tivoli Identity Manager 使用集中的轻量级目录访问协议(Lightweight Directory Access Protocol，LDAP)目录来保存用户身份信息，同时使用关系数据库作为集中的日志审计数据容器。两 者都作为输入来生成预定义的报表，同时还能通过第三方应用程序来创建定制的报表。IBM Tivoli Identity Manager通过Web报表界面为访问控制策略，当前的授权情况，集中各个被管理系统的审 计事件等提供报表。功能2：集中用户访问和单点登录 对于一个企业来说，建立一个强健的、基于策略的安全身 份认证和访问控制系统非常重要。一个完整的访问控制系统应该包括以下基本元素：身份验证，访问 控制权限，审计，单点登陆，高可靠性，整体结构的弹性和日志。图5用户集中访问和单点登录基于策略的访问控制访问控制即根据不同的职责为企业员工、合作伙伴、供应商和客户授予不同的访问权限。如果能 够提供基于角色或策略的访问控制，可以简化对多个系统和资源的访问管理。旧M Tivoli Access Manager提供全面的安全和管理策略定义。支持用户分组，并给每组赋予不 同的权限，同时支持动态规则的制定，如动态业务授权以及在需要的情况下使用外部数据为应用提供 授权支持。多种身份认证框架最传统也是最简单的身份认证方式，即基于用户名和密码的方式。针对某些重要数据，系统应能 够提供强的身份认证机制，为企业数据安全提供深度保护。旧M Tivoli Access Manager提供了一套使用内建共享库形式实现的缺省身份认证机制，这其中 包括基于LDAP的用户标识和密码，客户端证书，RSA SecurlD令牌，SPNEGO协议（Kerberos验 证），IP地址以及移动和无线标识。同时支持身份验证定制模块，该模块允许用户扩展那些已经存在 的身份认证机制。旧M Tivoli Access Manager还提供二次认证和定义认证加强策略（也叫递升验证）。递升验证策略 是在需要从安全级别低的应用访问安全级别高的应用时，强制要求按高级别的方式重新进行身份验证。灵活的授权准则授权准则的定义，只允许用户访问那些他们已被授权的信息。对于不同企业来说，授权准则的要 求多种多样。如，要求某些数据只能从某些特定的机器上访问，或者必须是某组织或部门的人员才能 访问等。这就要求用户授权模型能够提供多种灵活的授权准则以满足用户的不同需求。旧M Tivoli Access Manager把授权策略保存在一个集中的存储库中，并且在本地的授权增强点 处保存了它的副本。这种解决方案使用户能从三个独立的授权规范维度来定义访问控制策略。首先提 到的是传统的静态访问控制列表，在列表中描述了主体（用户和用户组）所允许访问的资源以及这些主 体所拥有的权限。第二个维度是在之前的基础上，扩展授权的能力，包括采用时间日期约束，请求者 的IP地址/子网掩码过滤器以及允许在访问特殊资源时强制要求SSL的保护级别。第二个维度同时 会重载全局的审计设置，对企业资源实现基于策略的审计。访问控制授权的最后一个维度是一个动态 规则引擎，在每次请求访问时，一个附属于特定资源的XML形式的断言将被计算，得到授权的结果。旧M Tivoli Access Manager也允许通过向后台应用程序提供身份相关信息来实现更好的授权服 务。它使得目标程序能够根据用户 在旧M Tivoli Access Manager中的身份证明来采取针对特定用户 的动作。单点登陆随着IT系统所支撑的业务系统的增加，用户和系统管理者都面对同一个日益复杂的，进行功能 操作的界面。典型情况下，用户不得不在多个系统上进行登录，这将迫使同一个登录对话框多次出现， 每个系统都调用不同的用户名和验证信息，用户需要面对多个帐号和多种用户认证方式。而系统管理 者则面对越来越复杂的用户资源的权限管理，必须为每个系统管理用户帐号。单点登录（Single Sign On，简称SSO）系统就是为了解决这样的问题，作为一个独立于平台的，支持代理功能的软件系统， 提供易于使用的单点登录方案。旧M Tivoli Access Manager的解决方案使用户能够方便的单点登录（SSO）到跨越多个站点或者 域的基于Web的应用程序，从而帮助减少企业服务帮助台的电话量以及由许多个密码所带来的其他 安全性问题。有了旧M Tivoli Access Manager的帮助，用户只需登录一次，他们的身份信息将会被 创建，同时传递给后台应用程序，这个过程对用户来说是完全透明的。然后，用户就能访问所有已经 被Tivoli Access Manager安全域认证过的基于Web的资源和Web应用程序。RM Tivoli Access Manager 同时提供"Windows Desktop Single Sign-On"功能，使得用户登录 到Windows网络以后便能无缝的访问任何 受旧M Tivoli Access Manager保护的应用程序而无需再 次进行身份验证。旧M Tivoli Access Manager的Windows桌面单点登陆支持SPNEGO协议和 Kerberos 验证。日志与审计记录访问日志，审计所有的访问企图的能力对于一个安全的企业Web来说是非常重要的。监视 所有用户的访问企图使管理员能检测安全风险。旧M Tivoli Access Manager用一种标准的格式以日 志的形式记录了所有的访问请求。审计日志包括所有影响旧M Tivoli Access Manager的授权过程的 系统事件的数据。这些数据由身份验证和授权的审计记录组成，包括成功和不成功地访问某项资源， 更改密码，管理事件。旧M Tivoli Access Manager能根据任意已定义的策略（更改密码，冻结帐号， 非法访问等的功能）来生成审计记录。只要某项策略被违反（例如：超过最大登陆失败次数阈值），审计 记录就会被创建。每一个过程都被严格设定来捕捉特定的审计事件。这些参数的设置包括对于验证事件，授权事件， 管理命令，HTTP请求处理以及每个过程审计文件的名字和位置的定义。审计日志文件会被监控以应 对诸如文件增长已超过设置的阈值，回滚以重新创建一个新文件等这样的情况。对于标准HTTP日志 的支持使用户能了解哪些IP地址提供了哪些类型的请求。旧M Tivoli Access Manager还能够将审计 记录写入一个类似XML格式的文件当中，这使得解析和获取信息更加的容易。功能3：集中日志审计为了优化资源和服务的可用性并保护客户信息，现在的信息安全团队必须能够：快速识别并解决安全问题。执行安全策略。支持审计和制度遵从计划。问题是，上述每个活动都涉及到保存在整个机构中的大量安全数据。企业和服务供应商必须能够 快速访问并高效分析这些分散数据。IBM Tivoli Security Operations Manager可帮助迎接这些挑战。 该产品是安全信息和事件管理平台，设计用于提高安全工作和信息风险管理工作的效率、效力和可视 性°Tivoli Security Operations Manager可集中保存整个技术基础设施上的安全数据，以便用户能够：自动开展日志汇聚、关联和分析工作。自动识别、调查并响应安全事故。简化事故跟踪和处理。 监控并执行策略。提供全面的报告以确保制度遵从。图6集中日志审计在多厂商环境中将日志集中汇聚在一个位置为了检测攻击、恶意软件以及存在潜在危险的错误配置和内部滥用，安全团队必须分析分布在整 个安全基础设施上的大量事件数据：入侵检测系统防火墙虚拟专网防病毒应用遗憾的是，在典型网络中，大量的数据和单独设备使手动分析安全数据成为不可能实现的任务。 因此，企业必须自动将不同设备和系统提供的事件信息汇聚到一个中央位置，通过关联数据来促进响 应和报告事故。自动将数据汇聚到中央位置对于确保制度遵从也很重要。企业常把日志数据保存很长一段时间， 以便根据需要对日志数据进行历史分析。Tivoli Security Operations Manager为用户提供平台，允许 自动汇聚主机日志、安全事件、资产数据和安全漏洞数据。可选择希望软件从哪些来源提取多少数据， Tivoli Security Operations Manager将使用标准和本机协议来收集这些数据，如可扩展的标记语言 (XML)、系统日志、简单网络管理协议(SNMP)、简单邮件传输协议(SMTP)、CheckPoint OPSEC及 Sourcefire eStreamer等。Tivoli Security Operations Manager还能使用自己的低影响通用代理来收 集信息。Tivoli Security Operations Manager能够从现有的几百个不同设备中收集事件和日志数据。 此外，还允许用户添加对定制设备和内部应用的支持。跨设备关联可帮助提高事故检测能力Tivoli Security Operations Manager能够从整个基础设施中提取信息，从而帮助用户检测到攻击、 滥用和异常活动。这个软件可使用四项互补的关联技术来分析事件数据并分配优先级：基于规则的关联-检测已知攻击和策略违规。安全漏洞关联-将已知攻击与已知的系统安全漏洞相挂钩。统计数据关联-通过对事件和主机进行高级分析来识别异常行为。敏感度关联-帮助决定任何系统可能遭遇攻击的几率。此外，Tivoli Security Operations Manager还能在关联处理期间根据业务优先级分配来加权资产 的重要性，以便为安全活动分配优先级。当安全分析师使用控制台时，不会看到漫无止境的安全事故 清单，而是已经根据业务目标和策略分配了优先级的有意义的信息。集成事故调查和响应可帮助缩短安全风险的牵制时间为了帮助客户大幅度缩短攻击、错误配置和滥用的处理时间，Tivoli Security Operations Manager 紧密集成了调查和响应工具。此外，软件还能促进上报和跟踪流程。产品提供以下调查特性：一步点击操作即可使用的集成的调查工具。自动响应功能，用于阻断威胁并关闭环路。对可疑行为进行地理跟踪。面向安全性的故障票系统。运行集成可帮助提高效率Tivoli Security Operations Manager可促进事故管理数据在安全性、网络和系统管理运行部门之 间的流动，从而解决因IT孤岛导致的运行低效问题。例如，Tivoli Security Operations Manager与 企业网络和系统管理产品，包括事件管理器和显示板以及 旧M Tivoli Enterprise Console，以及 Remedy等IT帮助台故障票系统紧密集成。Tivoli Security Operations Manager 还能集成 IBM Tivoli Identity Manager 和 IBM Tivoli Access Manager，以便监控并监管客户身份和访问策略-执行策略、快速检测出并解决潜在的滥用 问题。全面的报告可帮助深入了解安全趋势Tivoli Security Operations Manager提供使用中的数据挖掘、历史报告以及自我审计和跟踪功能， 对用户了解安全趋势至关重要。此外，这些报告还能帮助IT部门向管理和审计部门等其它用户宣传 相关安全信息。特性包括：标准的和可定制的报告模板。自动报告调度器。所有图形和图表的HTML、PDF和XML输出。自我审计并跟踪所有的安全活动。Tivoli Security Operations Manager可利用保存在安全事故数据库中的信息来根据需要提供历 史报告和趋势报告。总结本文阐述了 4A安全管理平台在企业安全中的重要性，并介绍了旧M Tivoli软件如何实现全面的 企业数据安全管理。其中，旧M Tivoli Access Manager为企业提供了端对端的安全解决方案，为企业提供强健的、 基于策略的安全系统，并实现身份验证，访问控制权限，用户行为审计，单点登陆等功能;旧M Tivoli Identity Manager为用户提供了创建、管理、挂起和移除所有用户的帐户的平台，实现了企业帐号的 集中管理，从而降低各种用户帐号管理的成本，提供安全性；Tivoli Security Operations Manager针 对安全状态提供全面视图，并允许用户快速深入到视图内部以调查攻击，是帮助用户防止入侵并最大 限度地提高业务安全性的有力工具。基于4A技术的统一身份管理在企业门户系统中的应用摘要：通过对企业门户、4A （帐号、认证、授权、审计）在功能和原理方面的阐述，介绍了以4A技术为基础的统一 身份管理在企业门户系统中的实现方法及所起的重要作用，最后对目前两种技术融合的优缺点进行了比较和总结。关键词：4A；企业门户；统一身份管理经过多年来的信息技术建设，各企业单位IT自动化程度有了很大提高，已经建成了或者正在建设着多种应用系 统。随着业务的增长，市场竞争的加剧，如何将各个业务系统相对独立的用户管理和分散的应用系统内容整合于同一页 面管理下，以及提高低效的新业务系统接入能力，就成为IT部门急需解决的问题。企业门户是企业信息化前进的必然战略性方向，据美林公司的调查显示，企业对门户的需求正日益增长，在接 受调查的50家全球百强企业CIO中，有32%的人反映在开支优先权方面，2008年已让位于企业门户。Gartner发布的数 据显示，2008年门户软件市场增长了 59%，相比之下，同期企业软件投资的增长幅度仅为4.3%。Meta Group统计，200 8年把门户作为核心系统的公司将从2007年的不足10%增加到35%左右。概括地说，企业门户就是通过一个唯一入口，为企业员工、分销商、代理商、供应商、合作伙伴等同一价值链 上的相关人员提供个性化的信息、知识、服务与应用。它是一种基于Web的，将不同应用、业务过程、后端系统、服务 和信息、知识等内容集成到一个个性化窗口中的功能强大的软件系统平台1。连接多种应用系统为不同角色的用户提供快捷服务的门户系统，其核心的基础就是用户身份的管控，包括用户身份 管理、角色和权限管理、网络行为管控、统一用户信息管理这几个部分，即通常所说的4A：统一用户帐号（Account） 管理、统一认证（Authentication）管理、统一授权（Authorization）管理和统一安全审计（Audit）四要素。1企业安全门户系统设计企业安全门户系统的设计包含3个重要的步骤，即明确技术原理、定义功能和设定体系架构。1.1 技术原理门户技术原理结构图如图1所示。门户服务主要用来提供来自Web应用的内容，它允许用户可以在浏览器中查看一 张或一套页面中显示的多种信息来源（通常是Web应用）。包含内容的页面被称作桌面，在桌面的各个区域出现的各种 内容来源被称作频道2。HTMLITML.WMLg应用I 电 r#ft 应珂日陌应用图I门F技.札原理成他晚用在门户中，一个被称作提供者的部件负责将文件中的内容或Web应用的输出，转换成一种适合频道的格式。可以用 内容提供者API为门户开发内容提供者，并且门户内应带有多种预置的专门提供者，向客户端设备提供内容的标记语言 是超文本标记语言(HTML)、用于移动电话和PDA的HTML (cHTML)、无线标记语言(WML)或可扩展标记语言(XML)等语言中 的一种或多种。身份认证、授权、用户管理以及用户配置文件信息的存储，都是通过标识和策略API来完成的。这些A PI 一般都实现于目录服务之上2。门户聚合来自不同数据源的信息，这些来源可以是从企业内外或从垂直或专业门户聚合而来的，提供页面布局和创 建可定制的图形化用户界面(GUI)所需的元素。负责为聚合转换和提供内容的组件被称作提供者。1.2 定义功能对于产生于各种来源的信息，门户提供一个访问点，为最终用户和他们使用的Web应用及服务带来了多种功能，这 些功能包括聚合、展现、自定义和安全。门户必须让企业内外的最终用户和应用都能进行安全访问。为了实现这个目标，它必须带来支持企业现有身份认证 机制的灵活性，提供单点登录功能并且利用标识和策略组件，为其所有用户和应用提供单点登录、身份认证、授权、访 问控制和会话管理。此外，门户应提供以下可选功能：(1) 提供虚拟专用网(VPN)解决方案，以便在设备中除了 Web浏览器外，不再需要装有任何专用客户端软件用户下访 问企业内部网资源。(2) 带有一个重写HTML文档的反向代理，从而允许在不将企业内部网Web站点直接暴露给因特网的情况下，对所有 这些站点进行访问。1.3 体系架构一般来说，企业门户主要分为3层，即Web服务平台、统一认证平台和聚集展现平台其体系架构图如图2所示。企业门户的Web服务平台是上层服务的容器，提供基于Web服务的容器和上层应用与模块的运行环境。统一认证平台通过4A技术实现为用户提供跨系统访问的单一认证服务和管理功能。统一认证平台在系统设计中， 与企业门户系统展现层的业务逻辑相对独立，其目的是为企业建立起完整的单点登录支撑平台。将用户认证功能与企业 门户系统展现平台相分离，是充分考虑用户的使用习惯以及未来的系统扩展。用户在访问企业应用系统时，可以首先通 过企业门户系统的认证授权功能，获取访问其他应用系统的权限，实现单点登录；同时，用户也可以通过直接访问特定 应用系统，由统一认证平台对用户进行认证，授予用户跨系统访问的权限。聚集展现平台主要处理用户访问企业门户系统的访问