企业信息安全解决方案456

·安全审计。

1.7 信息安全 专项方案 1.7.1 4A安全解决方案

4A级解决方案着眼于应用级和系统级的集中统一的帐号（Account）管理、授权(Authorization)管理、认证（Authentication）管理和安全审计(Audit)的安全系统。

1.7.1.1 解决方案特点

方案特点

? 统一的身份、账号管理体系，业务系统基于主账户的强身份认证和统一入口。 ? 账户同步机制，非法账号、休眠账号的发现、检测与控制。 ? 身份认证集中完成，适应企业内部多个身份，角色自由切换。 ? 授权管理统一完成，管理分级、分权，灵活设置用户不同的访问策略。 ? 主机、网络设备、业务系统、中间件等IT环境轻松集成

? 可以采用数字证书，通过加密、签名等有效手段保证网络层、应用层、内容层安全可靠的认证机制

? 实现单点登录,

Agent型反向代理方式，支持跨企业，支持Web、C/S

? 集中安全审计管理，收集、记录、管理用户对业务支撑系统的高敏感度的数据访问和关键操作行为记录。

? 适用于SOX法，可平稳实现对《企业内部控制基本规范》的支持 管理范围：

? 应用资源

业务支撑系统的所有应用系统，包括绩效，CRM，供应链，HR等。 ? 系统资源：

业务支撑系统的所有后台系统，包括主机操作系统、数据库系统、网络设备、安全设备（防火墙）等。

1.7.1.2 VIM和SSO产品介绍

ID?权限的一元管理

?对分散在多个系统中的的用户信息和权限信息进行统一管理。 信息自动更新提供功能

－内部资料，注意保密－ Page 17 of 22

?通过对用户信息的登录和变更操作，相互联动的各业务系统自动进行权限赋予和停止。

自助服务

?最终用户自己进行密码的再设定和个人档案的更新。 监控?报告

?现在的帐户状况（可用ID、已停用ID、权限设定状态）等信息的记录和报告。 ?帐户作成／废除、权限赋予／变更、申请／承认等的记录和报告。 ?用户登录和使用各业务系统资源的记录和报告。 申请作业流程

?用户可以进行访问权限变更的申请，管理者可以进行审查和承认。 帐户的生命周期管理

?通过对帐户进行定期的盘点，实现帐户的生命周期管理（从帐户生成到删除）。 与单点登录系统联动

?通过与SSO的联动，可以实现Web系统的单点登录。 高度认证对应

?通过与IC卡?指纹认证?PKI等的联动，实现高精确度的认证机能。 多样的信息服务接口

?通过提供如LDAP、Web（IIS、Netscape、Apache、Domino等）、ActiveDirectory、Radius等多种服务接口，可以为各种各样的系统提供认证服务功能。

VIM的内部控制功能

内部控制系统是指在企业等组织内部，为消除违规行为、操作故障、误操作，通过制订组织有効运营所必需的各项业务基准和手续，在此之上进行管理?监督?保障等一系列工作所需的组织机制。

萨班斯?奥克斯莱法案（SOX法）规定，构筑和运行公司内部控制系统是经营者的义务，与此同时通过外部监管人员对之进行监管并公开发表监管意见也是经营者的义务之一。在我国,由五部委联合出台了《企业内部控制基本规范》，用于提高和规范企业进行内部控制管理。“内部控制”必要的基本功能一般包括以下項目。 項 目 概要説明 Directory Identity －内部资料，注意保密－ Page 18 of 22

功能 密码认证功能 认证方式 (PKI) 生物认证功能 可以访问。 对访问用户的指纹进行进行验证，确定是否可以访问。 认证数据库 认。 客户认证(需要定生成联结外部数据库的模块，可以使用认证策略对任意数据－内部资料，注意保密－ Page 19 of 22

内部控制主要功能 ＩＤ/ＰＷ新增?删除，在各系统中自动ＩＤ发行?同步 同步 口令管理 基于口令策略，督促口令定期更新 定义管理用户ＩＤ和角色之间的对应关策略管理 系 自助服务 用户可自行更新、初始化口令 × ○ × ○ △部分实现） ○ ○ ○ 日志分析?报告使违规ＩＤ发行、不当授权等的调查成× 作成 为可能 管理用户可访问的系统及可访问的功能访问管理 范围 一次认证后，可使用许可范围内的所有单点登录 功能 定义新用户ＩＤ发行相关処理流程，并工作流程 内置审批程序 SSO功能一览

说明 对访问用户的ID和密码进行验证，确定是否可以访问。 × ○ × 统支持） △（需其他系△部分实现） ○ ○ 数字证书认证功对访问用户的数字证书进行验证，确定是否可以访问。 能 IC卡认证功能对访问用户的ID卡里保存的数字证书进行验证，确定是否客户认证(需要定根据所生成的客户模块，非标准方式的任意设备进行对应与制开发) 验证。 LDAP认证功能 执行LDAP服务器联结以及取得用户信息。 PKI认证功能 使用CA证书以及CRL对CA认证中心发布的证书进行确

制开发) 认可 认可 库进行认证。 对访问用户是否具有Web页面的访问功能进行确认。 高度ACL认可功根据多个指定的条件进行访问控制列表的认可处理的功能。 能 代理型反向代理不依存于Web服务器的操作系统和开发语言； 方式 可以分阶段向大规模组织中导入； 能适用于多种不同的Web服务器混在的环境。 跨域的单点登录 可以实现多个域间的单点登录功能。 单点注销 认证脚本功能 即使在多个域中运行，也能一次性注销。 对于现有的BASIC FORM认证的Web应用软件，能利用脚本语言替代登录。 信息提供功能 独立代理功能 能够通过Cookie向AP提供访问用户信息。 对于不支持的Web服务器，能够独立地设置代理。 插件(需要定制开利用开发的代理插件，对任意的Web应用软件进行链接。 发) 防修改功能 单点登录 SSL功能 支持认证服务器与代理的通信,同时实现代理与Web服务器之间的的加密。 访问Ticket加密 对Cookie的内容进行数字加密。 IP地址检查 对访问Ticket监听，如果IP地址不同，即使重复提交，也会被拒绝。 登录服务器可对根据登录用户的数量和信赖条件，登录服务器可以进行向外外扩展 的扩展。 利用数字证书防止非法修改Cookie的内容。 Web服务器的负可以适用于负荷分散的Web服务器。 荷分散 履历输出 Web设置变更 远程设置 对所有的访问进行记录并可以进行报表输出。 可以从Web页面进行代理的设置或者变更。 能通过远程进行履历的查询和代理设置与变更。 －内部资料，注意保密－ Page 20 of 22