统一身份控制和审计管理在大型企业IT系统中的应用研究

摘要：在大型企业IT系统运行管理中通过建立统一身份控制和审计管理平台，实现集中账号管理、集中身份认证、集中访问授权、集中审计，有效提升了大型企业信息系统审计的合规性和系统运行的安全性。

关键词：账号；身份认证；访问授权；审计

中图分类号：F259 文献标识码：A文章编号：1007-9599 (2011) 17-0000-01

Unified Identity Control and Audit Management Application in Large Enterprises IT System

Hu Xueyong

（Beijing Capital International Airport Company Limited,Beijing100621,China）

Abstract:In large enterprises IT system run management,through establishing unified identity control and audit management platform,implementation Account Management,Authentication,Authorization and Audit,will strengthen and upgrade information system audit of-in rules sexual and system run of security.

Keywords:Account;Authentication;Authorization;Audit

大型企业的内部运营管理以及与外部的交互合作已经高度依赖IT系统，因此IT系统的运维风险已经成为大型企业风险管理体系中重要的一部分。业内统计结果表明企业信息安全风险主要来自于内部，70%是由于内部员工的疏忽或故意行为造成的，因此如何将IT系统运行控制和审计的主体落实到实名用户，便于准确和高效的监管？如何对危险操作行为进行警示，对高危操作行为进行拦截？如何对运维过程中的所有操作进行记录，在事后进行回放？已经成为IT系统主管部门不得不面对的重要课题。

一、系统概述

建立统一身份控制和审计管理平台，通过对用户进行统一的实名管理以及统一的认证来控制用户访问主机的权限并记录用户对主机的操作行为，通过回放操作日志来实现事后的审计，监控用户会话来实现事中的监督与控制。平台架构如下图所示：

二、系统实现

如上图所示，建立统一身份控制和审计管理系统，对用户在系统上的访问行为进行严格的控制，无论本地用户还是远程用户，都需要通过该系统实现对系统的登录，以进行相应的控制和审计，该系统可以对动态令牌卡，智能卡，数字证书，生物识别技术等登录方式进行认证和访问控制，同时对访问系统的行为进行审计。

（一）账户管理。集中维护的账号包括自然人（主账号）和资源（从账号）在内的全部账号以及和账号相关的可在4A账号管理模块中集中管理的账号属性。其中主账号应包括在该平台中创建用于标识唯一自然人ID；从账号为该平台所管理的系统资源的信息，资源的范围包括系统资源（服务器、网络设备、数据库、安全设备、其他）。

（二）用户身份认证：账号认证方式支持本地静态密码认证和第三方的AD域、LDAP、radius认证；支持结合多因素认证方式；可以根据工作的需要，将用户多角色划分，可以划分成超级管理员、审计管理员、密码保管员、普通用户四种角色；可以针对不同用户设置不同的登录认证方式。

（三）用户访问控制。可以基于登陆账户、源IP地址、目的IP地址、访问次数、时间段进行访问控制；可以基于用户/用户组、目标设备/设备组、系统账号、访问协议类型设定访问控制策略；支持对任一活动的图形会话（rdp、http、https、xwin、vnc、客户端）或字符会话操作（telnet、ssh）的实时监控；支持用户组对资源服务器组的组对组的权限分配。

（四）审计管理。审计分权，可以设定不同的审计管理员是只能审计指定的设备还是审计所有设备；审计内容，系统的审计除了可以记录用户的会话操作外，还可以记录管理员在堡垒机上进行的所有操作，如：配置操作、改密操作、审计操作等；针对核心设备，可设置登录告警，告警方式可以支持短信、邮件、syslog；数据库审计，记录精确到用户账号（自然人）；完整记录通过浏览器方式登录到数据库和通过后台服务器登录到数据库上进行的各种操作；完整记录sqlplus、PL/SQL Developer、Quest Toad等客户端工具的数据库访问过程；完整记录图形化操作过程，并可以对操作过程中的键盘、鼠标操作和剪贴板操作进行文本记录。

三、结论

建立统一身份控制和审计管理平台，将运维人员离散维护主机及网络设备的行为统一到该平台进行，加强对系统安全以及运维的控制力，做到对系统的4A管理；一方面通过集中运维，减少因离散操作导致的失误，提高工作效率，如新的安全策略在主机上的统一应用等；另一方面通过对所有用户在主机上的操作行为进行监控与记录，实时了解用户的操作行为，发现风险及时中止用户的操作，并记录下用户所有的操作行为，便于进行事后的审查与取证；有效提升了大型企业信息系统审计的合规性和系统运行的安全性。