（1） 实现统一的帐号管理，实现对用户的唯一主帐号信息的统一管理。

AccessMatrix可以无缝集成AD、LDAP或者JDBC的关系型数据库的用户管理服务器，统一可依据LDAP服务器原有用户的自然人与其拥有的主帐号关联，统一规划用户身份信息和角色，统一系统资源控制分配。

（2） 实现主要业务应用系统以及网络设备、安全设备等各种IT资源的特权账户密码的集中控制和管理。

通过AccessMatrix平台为IT资源提供机制统一用户管理、统一认证管理、统一授权管理。结合用户使用业务系统中资源的具体需求情况进行合理权限分配和校验，实现不同用户对不同部分实体资源的访问，建立完善的资源对自然人的授权管理。

（3） 实现特权账户和操作审计管理

本期实现某商务重要系统或者网络设备的特权账户管理，针对公用账户、特权账户提供流程化管理。针对重要的系统提供操作审计功能，将管理员的每个活动记录下来，方便审计员审计工作。

（4） 方案可扩展性考虑

AccessMatrix平台本身提供一个可扩展的4A用户管理系统，所有产品模块由一个系统独立完成，具有统一的管理平台。并且随着企业信息化的发展以及对安全风险的要求，AccessMatrix平台还提细各种统一认证、单点登录等功能，完全可以满足中银商务当前建设需求，并为今后的进一步发展提供丰富的功能和无缝升级的手段。

1.1 统一用户账号管理方案设计

统一帐号管理功能是AM系统的核心功能，它实现对全体员工、能访问内部IT系统的第三方人员的主从帐号管理、用户身份信息、用户生命周期管理、用户信息同步等。用户主帐号信息是进行集中认证、用户授权和单点登录的基础。

通过AccessMatrix的集中帐号管理功能，集中维护包括主帐号（自然人）和从帐号（资源）在内的全部帐号属性。

主帐号是标识自然人的唯一ID，其初始用户基础信息可来源于现存的权威身份数据源（如HR系统）。主帐号的范围包括内部员工帐号和外部供应商、厂商代维人员帐号。

从帐号指在IT资源中可被人使用的全部帐号，资源范围包括系统资源（主机、网络设备、数据库、安全设备及其他）和应用资源（例如OA系统、Portal、ERP等）两大类。

帐号的属性管理涵盖了和用户身份相关的基本信息、组织信息、时效策略、密码策略、角色标识等内容。

AccessMatrix安全服务器支持多种用户注册表，如LDAP、Active Directory、JDBC，用户可以使用第三方的用户注册表，也可以使用自己的用户注册表。AccessMatrix安全服务器可以访问外部用户注册表以简化集成的工作，不需要更改schema，也不需要存储任何信息到外部存注册表中。

AccessMatrix构架是基于安讯奔的专利技术“分层分区安全管理和授权框架”设计的。应用这个专利技术，可以有效地解决单个企业内部，或者跨企业间，大量用户群的安全管理问题。应用AccessMatrix，企业客户便可以毫不费力地定义代表其相关操作的区段，然后便可以定义和管理相应的安全管理策略、管理员、用户和应用系统等。

AccessMatrix独特的分层分区的管理和授权的框架，在保证安全性和可控性的前提下，可以授权用户管理相应的部门或者外部客户，从而简化管理流程，节约时间和运营成本。

AccessMatrix独特的分层分区的管理和授权的框架允许组织在不同层次指定安全管理员,定义安全管理员的管理权限，提高安全性，分散的安全管理和确保高水平的问责。框架允许客户和业务伙伴等外部组织来管理自己的安全管理员ID和用户的权限。 AccessMatrix通过与现有的用户注册表集成，进一步简化了用户管理，如LDAP或Microsoft Active Directory。

系统支持两种操作模式：

1.基本选项，而无需用户注册表

此选项的目的是简化集成的努力，最大限度地减少影响现有的应用系统，这使AccessMatrix UAS不存储任何用户信息。UAS就像一个黑盒子来处理虚拟OTP和令牌生命周期管理，包括导入、验证、挂起和审计跟踪等。这将克服在不同系统中管理用户的运维的挑战，并降低集成的复杂性和依赖性。 

2.具有用户注册表选项

要利用其它AccessMatrix先进的功能，如Web单点登录、双因素认证令牌或智能卡、PKI认证，细粒度授权等，AccessMatrix UAS为组织提供了灵活的用户信息存储和管理功能。为了简化与现有应用系统的用户同步，AccessMatrix还提供了一套灵活的管理API和CSV导入实用程序，实现用户的管理功能，如创建用户、用户的更新、删除用户、用户权限等。

可集成管理的第三方的用户管理系统如下：

Ø 支持集成的目录服务器

– Microsoft Active Directory

– Sun One Directory Server

– IBM LDAP Server

– Novel eDirectory 

– Any LDAP  compliant Directory

Ø 支持的扩展外部认证服务器

– Sun ONE Identity Server

– Netegrity SiteMinder

– IBM Tivoli Access Manager

– IBM Portal Server

– Other customized authentication systems

可根据中银商务目前使用的用户管理系统将用户的自然人与其拥有的主帐号关联，统一规划用户身份信息和角色，统一系统资源控制分配。

1.1.1 LDAP系统整合

AccessMatrix中以实名用户为操作、审计、管理的基本要素。通过建立统一的用户身份信息视图，使得管理的主题由原有的资源帐户为中心，上升到以实名用户为中心。所有实名用户的建立和维护均通过该管理功能实现。并可通过该视图由管理员直接对实名用户进行认证方法、认证流、用户账户启用/禁用的配置

LDAP已有的用户，可依据LDAP服务器同步到AccessMatrix系统，将原有用户的自然人与其拥有的主帐号关联；新的用户可以直接通过AccessMatrix系统进行创建。从而在统一身份管理和访问控制系统里统一规划用户身份信息和角色，统一系统资源控制分配。

 

图表 1设置用户使用LDAP用户认证

以下是LDAP服务器用户信息映射到AM服务器的区段信息上。

 

图表 2 LDAP服务器跟AM平台的用户区段定义做映射

通过这些支持的标准协议和各种第三方用户管理服务器，本期项目中AM对用户帐户实行统一管理，无论是原有LDAP服务器的账户，还是AD系统的账户提供了资源帐户的统一视图，方便了管理员对资源帐户的统一管理。

 

1.1.2 分层分区架构的管理

通过使用荣获专利的分层分区的安全管理手段与授权框架，使企业可以在任何一个组织架构层级指定安全管理员。本地安全管理员的管理权限可以定义粒度级别，以提高安全性，降低管理成本。这种创新的架构允许在本地一级管理用户的ID/密码和权限。这个层次化管理模型可以扩展到包括外部的组织，如客户和业务伙伴，启用他们自己的安全管理员来管理他们的用户ID和用户权限管理，在保证安全性的前提下，大大降低了管理的复杂性，简化了整个企业实施的工作。

下面是基于当前我们对中银商务已有的企业框架的理解，对中银商务企业层次结构设计的一个初始描述图:

 

 

图表 3建议给中银商务的战略性企业层次结构

我们的分层分区的管理架构可以把分行或者各个部门作为逻辑上独立的一个实体进行整体的安全管理，这样可以满足各部分或者分行实体上的管理的相对独立性，满足业务管理以及监管上的要求。

 

1.2 特权账号及共享账号管理和操作审计设计

每个企业都有许多具有特权的数据库和服务器账户，它们是访问企业重要信息资源的安全屏障。对这些账号的管理和使用往往会带来如下的问题：

l 许多系统管理员账号往往是由多名管理员或第三方合作伙伴所共享，缺乏对账号的使用的审批流程和有效管控；

l 由于账号由多人共同使用，无法进行准确有效的安全审计；

l 密码不能按照公司的安全策略进行及时的更新；

l 缺乏密码使用和更新的审计记录；

l 应用系统中及很多脚本中往往硬编码了数据库账号和密码信息，由于维护成本及业务系统运行的原因，导致数据库账号的口令很久不变，从而产生信息泄露的巨大安全隐患。

l 特权账号误操作风险

由于这些账号的敏感性，对这些账号的安全存储、有效使用管控及审计是每个企业面临的巨大挑战，我们的系统就是针对上述挑战提出的主要解决其使用的有效管控和审计的解决方案，从而有效地解决客户的技术和业务需求。

1.2.1 特权账户管理和操作审计建议解决方案

UCM特权账号管理和全程操作审计

UCM主要为了满足和解决用户在日常运维工作及紧急情况下，如何获取和管理共享及特权账户的密码，以及密码使用情况的审计要求等，例如：数据库、重要的服务器及网络设备等的账户密码信息，特别是那些具有很高特权的系统管理员账号。同时还很好的解决了应用程序中用户名及密码的硬编码问题，如数据库连接、脚本程序等，防止了信息泄露及满足外部审计的安全要求。 

PSM模块还提供操作记录及审计的功能，产品协助企业同时审计并监控多个窗口服务器，以防系统管理员滥用职权。此外，完整的审计追踪报告也可以帮助系统从操作错误中恢复。有意或无意的错误如删除文件、更改数据库、硬盘重新格式化，不但造成业务损失，更对客户信心有负面影响。记录鼠标及键盘的每一个动作，并提供每次连接时的完整审计追踪报告，确保系统管理员、操作员及数据库管理员都有明确的责任归属。

UCM提供了一套安全的管理流程来帮助企业有效、安全的管理共享/特权账户的使用和密码管理，使得系统管理员、应用系统支持人员、应用开发人员、第三方合作伙伴等在申请和使用这些特权账号时可能遇到的安全隐患，能够有效地得到防范和控制。

UCM的交互式访问模式提供了一套多层的流程控制机制，强化企业管理系统管理员和技术支持人员在使用特权账号时的行为规范，允许被授权的用户可以在工作需要时安全的使用特权账户。

根据我们对中银商务需求的了解，本项目中我们建议使用UCM和PSM模块，解决金融行业特权账号及公用账号管理的难题。它是新一代操作行为安全审计系统，其主要功能为实现对运维人员操作服务器、网络设备、数据库过程的全程监控与审计，以及对违规操作行为的实时阻断。

该产品采用先进的设计理念，支持对多种远程维护方式的支持，如字符终端方式(SSH、Telnet、Rlogin)、图形方式（RDP、X11、VNC、Radmin、PCAnywhere）、文件传输（FTP、SFTP）以及多种主流数据库的访问操作。

通过UCM加PSM运维安全管理系统解决方案，我们可以实时分析和综合审计用户信息系统所有网络设备、主机、操作系统、数据库、应用系统产生的事件进行审计，同时对用户内部人员的操作行为进行全面的审计、监控，消除了传统审计系统中的盲点，使企业对运维人员的操作过程，能做到事前防范、事中控制、事后审计的能力。显著提高系统整体的安全性、可靠性和运行效率，降低信息系统的整体安全风险。

1.3 统一审计管理的建议

AccessMatrix平台提供了统一审计功能，审计用户对应用系统访问的情况，为后续发生事故时提供了一个可追查的机制。为管理员提供了一个统一的监控平台。审计内容：管理员对AccessMatrix系统的管理行为；普通用户的访问行为；AccessMatrix系统的运行情况。

AccessMatrix提供强大的查询功能，可以按异常事件查询，也可以按一般事件组合查询。并对审计信息进行分析统计，其结果以报表或图形的方式进行展现，以利于安全事件的快速、直观把握。通过对保存的审计信息数据进行签名处理，可以防止人为修改系统记录下来的审计内容。一旦发现审计内容被修改，审计信息将会出现特殊标识，以直观的方式呈现给管理人员。

AccessMatrix平台PSM模块，可以提供完整的操作过程的录像，以及命令行模式下的所有命令的检索功能，方便审计员快速定位操作过程中是否具有违规命令的操作。同时，审计员可以实时查看运维人员的操作情况，掌握运维人员的工作情况。

2 部署建议

2.1 部署方式

    基于贵公司特权账号系统安全解决方案功能需求和性能需求，为保证系统的稳定性，建议系统采用集群的部署方式：两台AccessMatrix 安全服务器同时运行。作为故障恢复和高可用性考虑，一台服务器发生故障时，另外一台AccessMatrix 安全服务器也可以正常提供服务。

以下是建议的部署架构：

 

图表4系统部署架构示意图

如上图所说明的贵公司特权账号系统配置布局已经考虑到了对故障恢复的支持，这样一来就可以避免单点故障而使系统失败。建议的这套系统不但节约费用，性能可靠，而且可以实现高效的错误恢复。该系统提供极为灵活的服务平台及数据中心级的服务器，并且具高度扩展性和允许升级，以满足未来服务器负载增加的需求。

2.2 第三方配置需求

AccessMatrix服务器软件可以部署在各种操作系统环境、应用服务器和数据库。客户可以选择特定的部署平台，部署AccessMatrix系统。

（1） 支持的服务器操作系统：

à IBM AIX

à Sun Solaris

à Linux 

à Windows服务器2003/2008

à ZOS

（2） 支持的RDBMS：

à 微软SQL Server

à Oracle 9i/10g/11i

à IBM DB2

à MySQL

（3） 支持的WebAppServer：

à Oracle WebLogic应用服务器

à IBM WebSphere应用服务器

à SUN ONE 应用服务器

à Apache Tomcat服务器

 

 

 

综上所述，使用AccessMatrix新一代企业安全解决方案，将有效改善贵公司在特权账号管理方面面临的问题，也将助您走在信息技术安全的最前沿。

信任源自沟通，愿安讯奔科技有限公司的解决方案能给中银商务公司带来更多应用价值，为资讯管理部的运维效率提升和运维安全防范带来更多的使用价值。