IT安全管理的利器.doc

1、背景资料IT 安全管理的利器CA 身份与访问管理解决方案当前的企业面临着诸多挑战，而许多挑战都与用户身份管理及受保护资源的访问管理相关。这些挑战包括：如何降低安全管理的成本、怎样保护组织的关键资产、确保法规遵从性等。借助于部署一款全面完善、集成化的身份与访问管理平台，所有这些挑战都会迎刃而解。CA 作为身份与访问管理领域的市场领先厂商，能够向客户交付业界最完善的、兼具模块化、集成化等诸多特性的身份与访问管理解决方案。CA 的身份与访问管理套件可帮助客户削减成本，拓展新的商机，满足法规兼容性的要求，并降低与用户身份管理及应用、资源访问相关的安全风险。IT 安全管理面临的挑战1身份与访问管理成为业

2、务的核心用户身份及他们对于应用及数据的访问级别在企业 IT 系统的业务领域处于核心位置，因而，必须对其实施高效管理。当前，由于许多企业所部署的应用和资源日益增长，同时，企业内外部的用户数量也在与日俱增，身份管理任务倍加繁重，众多企业都在其中苦苦挣扎，不堪重负。图 1：身份与访问管理是业务的核心同时，预算紧张、威胁增大、异常繁多的管理法规，所有这些都要求当今的企业整合并简化其身份与访问管理解决方案。众多现有的、异构的用户及访问权限管理系统和流程的存在，更使这一问题显得尤为突出，这导致帮助台成本不断攀升，安全性降低，与 IT 相关的风险不断增大。2投入更少，产出更多背景资料企业业务在增长和拓展的同

3、时也在不断地变更，因此企业经常需要部署新的应用，员工、业务伙伴及客户都需要使用这些应用，因而，大量的数字身份应运而生，导致管理成本显著攀升。数据保密及数据安全法规也与日俱增，要求不断提高，过于繁重的访问及审计项目使 IT 管理员难堪重负，疲于奔命。一方面是现有资源有限，另一方面是需求持续攀升，这就要求企业的 IT 安全管理必须实现更高的效率。3用户管理的复杂性日益提高在当今复杂的业务环境下，管理用户及其访问权限不再是一项轻而易举的任务。用户角色已不再局限于传统的企业用户，现在，客户、供应商、合作伙伴已同组织形成不可分割的统一体，因而，他们也需要访问企业的应用和数据；业务伙伴需要同企业建立起信任

4、关系以便实施业务交易，企业还需通过 Web 服务来提供面向公众的 Web 网站及业务流程。因此，企业必须要具备相应的能力，以对众多异构的资产、分布式系统、应用环境（包括人力资源、企业资源规划及供应链管理系统）下的身份及安全进行管理，这进一步提高了身份管理的复杂性。4法规遵从性要求提高在满足政府及业界法规要求方面，企业面临着越来越多的挑战。在用户的真实身份，用户有权访问哪些应用和资源，用户最近实际执行了哪些操作（何时）等方面，IT 安全法规一般都有着具体要求。建立起一套自动的、健壮的内部安全控制以便有效管理用户身份及他们的访问权限，能够显著降低企业满足法规兼容要求的负担。IAM 解决方案所必须的

5、关键特性作为一个完备的身份与访问管理解决方案，应该具备以下特性：1全面。全面的解决方案可在不中断当前业务流程的情况下，完全满足企业在身份与访问管理方面的诸多需求。广泛的覆盖范围涵盖众多的平台及应用，全面的功能支持，提供有自动的工作流流程及众多的访问权限，同时支持现有系统及分布式环境，提供基于 Web 的服务等，这些对于达成企业的需求至关重要。2使用通用组件构建的模块化套件。完备的身份与访问管理解决方案应提供相应的灵活性，以保护当前投资，帮助企业满足客户、合作伙伴及所有相关方面的身份与访问管理需求。身份与访问管理套件还应同关键业务应用进行紧密集成，以允许内部信息可在其各个组件间自由流动，而无需进

6、行耗时耗力的集成工作，显著减少集成开销。此外，身份与访问管理套件应提供一系列通用服务及一个基于 Web 的用户界面，以便用户随时随地尽可访问各类资源，提高易用性，减少可能需要的学习曲线。同时，套件还须提供通用的审计及报表功能。背景资料4集中的、自动的用户配置、工作流和权限管理。当今的企业要求实时访问资源。在员工加入企业时，应立即就能访问资源，执行所担负的任务，这是至关重要的。因此，身份与访问管理应具备实时性，这关系到用户的生产率。其它一些重要能力诸如自服务配置文件管理（包括密码重设、 “一次点击”用户身份、自动工作流流程、基于角色和/或策略自动分派 /取消访问权限、可定制的安全报表及告警等）也

7、有助于组织提升安全性，提高用户的易用性，降低安全管理成本。5高可伸缩性。身份与访问管理套件必须具有极佳的可伸缩性，以满足当前企业复杂、不断增长的需求。其必须支持没有数量限制的身份、实例和策略，能够为任何数量的系统、应用、文件或 Web 服务提供保护。同时，身份与访问管理套件还须易于实施全球部署。CA 身份与访问管理套件的作用在用户身份管理及控制用户访问企业关键资源和应用领域，CA 身份与访问管理套件是当前市场上最为全面完善、集成化程度最高的管理平台。CA 身份与访问管理套件为跨多个异构平台和环境、管理企业所有 IT 资产提供一款完备的、行之有效的平台，能为用户带来诸多下列主要好处：1削减管理成

8、本，提升效率。CA 身份与访问管理套件有助于企业降低安全管理成本和帮助台成本，并提升所有用户的工作效率。通过集中管理所有用户身份及其访问权限，企业就可更便捷地管理所有安全策略，减少发生错误的机率，显著降低成本。2提高法规遵从性。CA 身份与访问管理套件还为企业提供了必要工具，以支持组织更好地满足法规遵从性的要求。这套解决方案提供了诸多健壮的安全特性，可帮助企业减少违反安全规章的风险，确保严密保护信息，改善 IT 审计，便于企业满足遵从性的要求。3降低安全风险。通过实施集中式身份管理及全面访问权限控制，CA 身份与访问管理套件可确保，只有经过正确授权的用户才能访问企业的关键资源，用户的访问权限基

9、于其在组织中的角色进行定义，用户对于受保护的资源和/或非 IT 资源的访问级别同用户所从事的工作协调一致。CA 的身份与访问管理套件还可防止过期的身份在系统中仍然处于激活状态。在员工离开企业时，可立即撤消其访问权或完全将其从所有访问位置删除。此外，身份与访问管理套件还可自动检测并删除先前遗留的、现在并不使用的（“孤儿” ）大型机系统账号。4预先支持新技术，保护已有投资。CA 的身份与访问管理套件采用开放、模块化设计，提供基于标准的接口，以便在未来能够采用最新的安全技术，保护现有及未来投资。CA 身份与访问管理套件中的关键组件背景资料CA 身份与访问管理套件功能全面完善，集成化程度史无前例，为各

10、类企业提供了一款高度集成的用户身份与访问权限管理系统。CA 身份与访问管理套件还支持跨所有异构平台操作。以下的图示描述了 CA 身份与访问管理套件的各个功能模块及它们如何集成到企业的 IT 基础架构之中：CA 身份与访问管理套件包括：CA Identity Manager（身份管理器） 。提供集成的身份管理平台，可自动创建、修改、暂停使用用户身份及其对企业资源的访问权限，在提升安全性和遵从性级别的同时，降低管理成本，提高用户的易用性。此外，身份管理器还提供审计服务。内部及外部的审计人员均可使用审计服务，以帮助他们确定组织的权限授予行为是否在控制之内，从而有效保护企业的私有数据。身份管理器可充分

11、利用 EITM 集成平台的强大功能，帮助企业实现与身份管理与众多其它CA 产品及第三方解决方案的紧密集成。eTrust Access Control（访问控制） 。 跨分布式平台及操作系统执行强健的安全策略。解决方案提供了基于策略的控制能力，可对允许访问特定系统、应用和文件的用户、用户可执行的操作，用户访问资源的时间段进行控制。同时，解决方案还支持对超级用户的权限实施细颗粒度管理，以实现更高的管理安全性。eTrust SiteMinder。可简化访问通过面向内部或面向公众的 Web 网站提供的关键业务流程。同时，它还支持身份联合功能。背景资料eTrust Federation Security

12、 Service。eTrust Federation Security Services (FSS)是一套服务于 eTrust SiteMinder 的附加服务，可为基于浏览器的身份联合提供支持（在安全域范围内单一登录） 。FSS 附加服务可使一个受 eTrust SiteMinder保护的站点既能充当身份联合的身份提供者（认证服务） ，又能充当服务提供者（应用提供者） 。身份联合功能为用户提供了更好的易用性，使 CA 的解决方案更具竞争力，还可降低成本和提高安全性。eTrust TransactionMinder。通过查验包含在 Web 服务客户机提交的 XML 文档中的安全信息，从而为安全

13、访问 Web 客户机提供支持。借助于一系列核心Web 服务标准，eTrust TransactionMinder 可利用绑定到用户身份上的集中式安全策略来实施认证、授权、联合、会话管理和审计。eTrust Security Command Center。收集企业范围内的安全和系统审计数据，并可全面完整地显示和报告所有这些信息。通过将高度相关的、分散的审计数据转换为智能的、可为行动提供导向的、可追踪的信息（可从单点、统一位置进行管理） ，完整地显示信息并生成报告。eTrust Single Sign-On。在整个企业范围内提供具有完整特性的单一登录支持。eTrust Single Sign-On

14、 支持用户通过一次认证就可登录到大型机、中间件和Web 应用。在业务环境及特殊环境下，用户均可透明地使用现有资源及 Web 应用。eTrust Directory. eTrust Directory 是一款“主干”目录服务， 可满足大规模在线业务应用所带来的最为紧迫的需求。通过为访问提供 LDAP V3 支持，为高速发布和复制提供 X.500 支持，并为可靠性支持提供有一个关系数据库，因而，eTrust Directory 提供了最高级别的可用性、可靠性、可伸缩性和性能。eTrust CA-ACF2 Security 和 eTrust CA-Top Secret Security。为 z/OS

15、、z/VM和 VSE 业务处理环境提供业内领先的安全性 包括 z/OS UNIX 和适用于zSeries 服务器的 Linux 系统。内置的、全面的管理和报告工具，详尽的日志记录，简化了用户管理及访问权限管理。这些解决方案还提供了一些工具，在同时部署有 CA 其它解决方案时，这些工具可以帮助您监控安全策略的效率，并为企业提供端到端的安全性。eTrust Cleanup for CA-ACF2 Security 和 eTrust Cleanup for CA-Top Secret Security。通过监控安全系统活动，发现当前未使用的安全定义，从而自动、持续、无人值守地清理安全文件。特别是，这

16、些解决方案还可自动发现超过特定阀值时间未使用的账号，并生成命令来删除未使用的用户 ID、权限、配置文件及组连接（无任何用户使用） 。解决方案还可有效防止账号积累过多的或过时的访问权限（如果安全文件使用时间过长，有可能会发生这种情况） ，这也是遵从许多法规的一项重要要求。CA 身份与访问管理解决方案的优势背景资料组织面临诸多的身份与访问管理挑战，需要部署更加自动化、更加安全的身份与访问管理解决方案。当前，预算及遵从性方面的压力对组织的管理效率提出了更高的要求，组织越来越关注端到端的 IT 兼容性。CA 身份与访问管理解决方案可提供最新、最全面的管理能力，这些能力都被集成到一个统一的、全面的解决方

17、案之中，以为高效管理身份及用户访问权限提供强大支持。同时，企业还可基于自己的具体需求，逐步、渐进式地来部署这些解决方案套件。此外，CA 身份与访问管理套件构建于通用的业界标准基础之上，因而，其可与已部署的、基于现有标准的解决方案进行互操作。这样，CA 身份与访问管理解决方案有助于保护企业已有的 IT 投资，并帮助企业将基础设施整合到一个集成平台环境中，以满足当前及未来的业务需求。CA 身份与访问管理套件是业内最为全面完善、集成化程度最高的身份与访问管理解决方案，可为 Web 服务、现有系统、分布式计算环境及新的 Web服务提供强大的安全支持。CA 开放的身份与访问管理套件基于众多的业界标准，可简化集成、支持和部署等任务，提供更高的可管理性。此外，CA 身份与访问管理套件还提供了必要工具，以确保身份与访问管理为 IT 组织的竞争优势奠定基石。# # #