大企業(yè)解決方案
企業(yè)身份認證與訪問安全解決方案
行業(yè)痛點及需求

身份與訪問管理是任何企業(yè)安全計劃的重要一(yī)環,因為(wèi)在今天的數字化經濟中,它與企業(yè)的安全和生(shēng)産力密不可分。被盜用戶憑證往往是進入企業(yè)網絡及其信息資産的入口點。企業(yè)運用身份管理來守護信息資産,使其不受日漸增多(duō)的勒索軟件(jiàn)、犯罪黑(hēi)客活動、網絡釣魚和其他惡意軟件(jiàn)攻擊的影響。Cybersecurity Ventures 曾預測,2017年(nián)全球勒索軟件(jiàn)所緻損失将超50億美元,比2016年(nián)上(shàng)升15%。很多(duō)企業(yè)裡(lǐ),用戶有時候會(huì)擁有超出工(gōng)作所需的訪問權限。而健壯的IAM系統可以貫徹用戶訪問規則和策略,為(wèi)整個(gè)企業(yè)加上(shàng)一(yī)層重要的防護。
《薩班斯-奧克斯利法案》規定了公司企業(yè)需對客戶及雇員(yuán)信息的訪問控制負責,近期出台的《通(tōng)用數據保護條例》(GDPR)對安全和用戶訪問控制要求得更加嚴格,制企業(yè)保護歐盟公民(mín)的個(gè)人數據和隐私,影響到(dào)每一(yī)家在歐盟做生(shēng)意或客戶中有歐盟公民(mín)的公司,等級保護基本要求中也有相(xiàng)應的身份鑒别要求。業(yè)務覆蓋了中國(guó)大陸、歐盟地區和在美國(guó)上(shàng)市(shì)的企業(yè),都需要遵守上(shàng)述法案和條例。

行業(yè)需求
帕拉迪将企業(yè)在身份認證和訪問安全方面的遇到(dào)的痛點問題總結如下(xià):
1. 衆多(duō)的應用系統相(xiàng)互獨立,形成信息孤島,管理複雜(zá),也不利于安全控制;
2. 多(duō)種認證方式并存,缺乏統一(yī)的認證管理平台;
3. 缺乏統一(yī)的賬号管理平台,多(duō)個(gè)應用系統的新增賬戶、權限的變更、賬戶删除等工(gōng)作靠人為(wèi)完成,不僅效率低(dī),時間成本高(gāo),而且容易出現遺漏,造成訪問隐患;
4. 需要一(yī)個(gè)統一(yī)的企業(yè)門(mén)戶,結合單點登錄完成業(yè)務資源的快速便捷訪問;
5. 員(yuán)工(gōng)需要記憶多(duō)個(gè)應用系統的賬号和口令,造成弱口令問題,生(shēng)産過程中容易被爆破和撞庫;
6. 業(yè)務系統安全等級參差不齊,代碼漏洞整改難度大,成本高(gāo);
7. 缺少員(yuán)工(gōng)訪問業(yè)務系統的審計手段。
我們的方案


帕拉迪身份認證與訪問安全管理系統(IAM)用于定義和管理數字身份,安全控制身份驗證并授權其使用特定資源,确保數字身份整個(gè)“訪問生(shēng)命周期”期間受到(dào)良好的維護、調整、控制與監視,為(wèi)客戶提供修改用戶身份角色、跟蹤角色活動、創建用戶活動報(bào)告和貫徹管理策略的工(gōng)具和技(jì)術(shù)。

IAM支持靈活的模塊化部署,企業(yè)可以根據自(zì)己的實際需求,選擇以下(xià)的子系統,打造“企業(yè)統一(yī)門(mén)戶”、“應用單點登錄”、“賬号集中管控”、“認證訪問授權管理”以及“統一(yī)審計追溯和威脅分析”的企業(yè)生(shēng)态平台。

應用安全管控系統(IAM-CASB)

IAM-CASB包含一(yī)個(gè)基礎模塊和兩個(gè)擴展模塊

單點登錄管理模塊(IAM-SSO)

IAM-SSO無需用戶業(yè)務系統二次開(kāi)發,實現對HTTP/HTTPS業(yè)務系統賬号單點登錄,各業(yè)務系統可在IAM平台上(shàng)統一(yī)設置多(duō)因素強身份認證,包括Radius、AD、LDAP、OTP、數字證書、短信、微信、指紋等;

應用賬号管理模塊(IAM-ACM)

IAM-ACM模塊提供建立集中帳号管理體系,推行用戶賬号有效生(shēng)命周期管理策略,人員(yuán)變動産生(shēng)的業(yè)務系統賬号增删改隻需通(tōng)過IAM即可完成管理。在賬号集中管理的基礎之上(shàng),建立集中賬号授權體系,授權人、應用、資源的訪問關系,可支持業(yè)務賬号周期性自(zì)動修改,根治弱口令問題;

應用安全加固模塊(IAM-WVP)

IAM-WVP通(tōng)過高(gāo)細粒度的特征庫防禦及獨家研發的“白(bái)名單”動态建模技(jì)術(shù),為(wèi)所有業(yè)務文件(jiàn)路(lù)徑、及業(yè)務參數建立白(bái)名單模型,免去了需要在源代碼上(shàng)加固參數的繁瑣工(gōng)作;

運維安全管理系統(IAM-SMS)

提供對各類運維協議及工(gōng)具支持,可擴展多(duō)種多(duō)因素身份認證方式,統一(yī)權限合理劃分,集中訪問控制,支持單點登錄、賬号密碼代填、無縫應用發布,支持移動運維和分布式集群,快速滿足合規要求;

安全策略控制系統(IAM-SCM)

IAM-SCM通(tōng)過TCP五元組控制,防止業(yè)務人員(yuán)繞過IAM平台去直接訪問業(yè)務系統。可支持串聯和旁路(lù)部署兩種模式,旁路(lù)部署也能(néng)達到(dào)100%阻斷效果,且可有效控制内網主機(jī)對外網服務端口發起的連接;

審計追溯和威脅分析

IAM平台可對企業(yè)業(yè)務人員(yuán)訪問OA、ERP、CRM、HIS/BOSS等系統進行全面的審計記錄,可規範化記錄業(yè)務表單信息、訪問URL信息等等,對于觸發安全策略的日志(zhì),可生(shēng)成郵件(jiàn)、短信提醒;統一(yī)展現與分析企業(yè)運維層面和業(yè)務層面的所有交付信息,能(néng)夠追溯IAM用戶的整個(gè)業(yè)務交付過程。幫助企業(yè)保護機(jī)密信息,持續提升信息系統管理體系,滿足合規及最佳實踐需求。


部署方式

客戶收益


1. 為(wèi)客戶建立一(yī)套統一(yī)的應用安全交付平台,為(wèi)核心業(yè)務系統提供統一(yī)操作入口,實現單點登錄。所有業(yè)務及運維人員(yuán)都首先登陸IAM平台,在系統上(shàng)進行業(yè)務操作,實現統一(yī)身份管理。

2. 對用戶使用業(yè)務系統中資源的具體情況進行合理分配,實現不同用戶對不同實體資源的合法訪問,杜絕非法訪問和越權訪問。每個(gè)業(yè)務人員(yuán)的權限都實現有效控制,策略細粒到(dào)可訪問的設備和可使用的系統賬号和應用帳号。

3. 業(yè)務人員(yuán)的操作内容均被帕拉迪IAM平台完整記錄,在滿足監管部門(mén)審計要求的同時,也為(wèi)誤操作和非法操作導緻的事(shì)故提供了技(jì)術(shù)保障。

4. 為(wèi)監管部門(mén)提供有效的審計報(bào)表和原始準确的操作日志(zhì)記錄,有助于完善組織的IT内控與外審體系,使組織能(néng)夠順利通(tōng)過IT審計。

經典案例
  • 中冶重工(gōng)
  • 中國(guó)南(nán)方航空
  • 恒生(shēng)電(diàn)子
  • 奧克斯集團
  • 德邦物(wù)流
  • 北(běi)京福田戴姆勒汽車
  • 上(shàng)汽集團
  • 廣汽乘用車
  • 廣州地鐵集團
  • 世茂集團
Copyright © 2019 All Rights Reserved Designed
杭州樂桦網絡科技有限公司