时代亿信UAP统一认证与访问控制系统产品功能特点
- 格式:pdf
- 大小:470.79 KB
- 文档页数:5
下载文档原格式
合集下载
时代亿信UAP-G统一认证与访问控制系统应用场景
时代亿信UAP-G统一认证与访问控制系统应用场景1.1 UAP-G系统能做什么?UAP-G系统能够提供用户网络访问的访问控制、认证和授权以及资源访问日志审计功能和三权分立的管理机制。
1.1.1 网络访问的认证和授权针对用户对网络资源的访问,UAP-G系统采用分析网络包的形式,来发现用户的目的,并对认证过的用户进行帐号与IP、MAC的动态绑定,支持经过NAT设备的主机访问。
图3-9 身份认证配置界面图3-10 网络资源授权管理界面UAP-G系统的访问认证和授权功能如下:物理隔离受控资源UAP-G系统对所有协议的包过滤控制,以网桥的模式部署在用户终端和资源系统之间。
用户在访问资源系统前,必须先登录UAP-G用户登录平台;或者用户在访问WEB资源系统前,如果没有认证的话,UAP-G系统会提示或自动重定向UAP-G用户登录平台。
用户在通过认证后,在用户终端可启动资源系统客户端(Telnet/SSH、FTP、浏览器等)直接登录用户被授权的资源系统,而不需要资源系统的登录认证。
安全稳固的身份验证UAP-G系统的认证机制基于帐号/ 口令、PKI证书、Radius、LDAP等标准的协议和机制,在以上协议的基础上,进行各种扩展和安全策略,保证用户身份的唯一性。
在用户身份认证方面,UAP-G系统可以配置各种认证源,可以将帐号口令以及PKI证书等人正方式进行扩展,支持多种认证源。
目前支持的认证源类型有:第三方CA(X509)LDAP / ADRadiusSMTP(SMTP帐号验证)短信网关(短信验证码)除此之外,UAP-G系统还为用户提供了基于SOAP、RADIUS、LDAP、NTLM、SOCKET等协议的认证接口;准确的访问授权UAP-G系统采用用户、组对应角色的授权机制,管理员为角色设定好可以访问的受控资源后,只需将用户或组授予角色权限,便完成了用户的访问授权工作,在以后的运行维护中,只需更改角色的授权资源便可和用户所属角色便可完成用户的授权和修改工作。
时代亿信文件盾-SecureDOC电子文档安全管理产品
时代亿信文件盾-SecureDOC电子文档安全管理产品时代亿信文件盾-SecureDOC电子文档安全管理产品1.1 产品简介SecureDOC电子文档安全管理产品面向企业机构的电子文件防泄密需求,实现电子文件内容的加密保护、文件权限的管理和控制,文件操作的跟踪审计,既保持合法用户对电子文件的合理使用和使用习惯,又有效防止黑客、木马、竞争对手的窃取,以及内部用户有意无意的泄密,从而最大限度地保护企业机构的电子文件资源和知识产权。
SecureDOC电子文档安全管理产品主要包括:文档安全管理服务平台(SDMS)、文档安全用户服务平台(SDSC)、文档安全客户端(SDClient)、文档安全控件(SDCOM)等组件。
1.2 产品功能介绍SecureDOC电子文档安全管理产品基于驱动级透明加解密技术,对文档内容进行加密保护,并对文档的阅读、编辑、内容复制、打印、截屏、分发等权限进行实时控制和跟踪审计,实现对文档传输、存储、流转、使用过程的全方位保护,防止主动和被动泄密。
1.2.1 高强度的文件透明加解密在用户计算机操作系统的文件过滤驱动层,采用AES 128位的对称加密(算法可替换),加密密钥随机产生,并且每个文件的加密密钥均不相同。
在用户计算机操作系统的文件过滤驱动层,自动对文件的读写数据进行加解密处理,与具体的文件格式无关,不改变文件的扩展名、不改变文件的关联应用程序、不改变用户的文件操作方式,即文件的加解密对用户透明。
对于文件的加密,既可以由作者根据文件的密级属性手动加密,也可以根据需求设定某类应用程序产生的文件均自动加密。
对于文件的解密,在内存中进行并防止内存拷贝,不在用户计算机磁盘上产生明文文件。
1.2.2 精确的可信进程管理产品对访问密文文件的应用程序进程进行管理,只有被添加为可信进程,才能访问相应类型的密文文件。
产品对应用程序进程的识别采用进程名和进程特征值相结合的精确判断方式,从而阻止木马等未受信进程对文件的非法访问。
UAP统一认证与访问控制
UAP-S/UAP-G
网络访 问控制 单点登 录服务 • 支持B/S架构、 C/S架构应用系统单点登录 • 提供API插件单点登录方式 • 提供反向代理单点登录方式 • 提供客户端代理单点登录方式 统一帐 • 提供HTTP HEADER单点登录方式 号管理 • 支持应用系统零改动实现单点登录
UAP-S/UAP-G
可以配合IP地址绑定,通过 增加客户端可识别信息进一 步加强系统间交互的安全性
UAP-S/UAP-G
产品功能及 产品功能及特点
C/S架构应用单点登录支持 C/S架构应用单点登录支持
UAP-S/UAP-G产品除可使用插件方式实现单点登录外,还可使用单点登录配置助手, 实现代填方式的单点登录
没有单点登录配置 助手时,管理员无 法分析CS客户端, 很难自己配制新的 CS单点应用
UAP-S/UAP-G
介绍内容
需求分析 产品定义与组成 产品定义与组成 产品应用场景 产品功能及特点 产品功能及特点
成功案例
UAP-S/UAP-G
成功案例 – 海南电信
海南电信安全认证及身份管理体系
成功案例 – 海南电信
UAP-S/UAP-G
成功案例 – 上海电信 上海电信
成功案例 – 中免集团
安全认证
统一身份 认证中心
UAP-S/UAP-G • 主路部署、受控资源与访问者物理隔离 • 对所有访问请求进行协议分析并应用访问控制规则 单点登 • 可基于IP或IP+端口设置访问控制规则 录服务 网络访 问控制
统一帐 号管理
UAP-S/UAP-G
介绍内容
需求分析 产品定义与组成 产品定义与组成
UAP-S/UAP-G
产品功能及 产品功能及特点
RG-UAC6000系列统一上网行为管理与审计产品介绍V3.0
文档类型:产品介绍文档密级:公开RG-UAC6000系列统一上网行为管理与审计产品介绍V3.0星网锐捷网络有限公司版权所有侵权必究修订记录版本号更改部门更改人审核人更改日期主要更改内容于道森XX 2013-5-16 初稿完成。
V1.0 产品与解决方案市场部于道森XX 2013-6-04 xa和xi上市前修改。
V1.1 产品与解决方案市场部于道森XX 2013-6-13 增加了订购信息。
V1.2 产品与解决方案市场部张俊杰XX 2014-3-12 修订部分信息,增加产品图片V2.0 产品与解决方案市场部朱明辉2015-04-28 新品UAC产品介绍第一版V3.0 安全与应用交付产品事业部目录1 产品图片 (1)2 产品概述 (3)3 产品特性 (4)4 典型应用 (8)5 订购信息 (11)1 产品图片RG-UAC 6000-E10RG-UAC 6000-E20RG-UAC 6000-E50RG-UAC 6000-X20RG-UAC 6000-X60图1 RG-UAC 6000系列产品图片2 产品概述锐捷统一上网行为管理与审计RG-UAC系列是星网锐捷网络有限公司自主研发的业界领先的上网行为管理与审计产品,以路由、透明、旁路或混合模式部署在网络的关键节点上,对数据进行2-7层的全面检查和分析,深度识别、管控和审计数百种IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频、移动应用、网络存储等将近二十大类的常见应用,并利用智能流控、智能阻断、智能路由、智能DNS策略等技术提供强大的带宽管理特性,同时RG-UAC系列具备的上网行为日志审计功能,能够全面、准确、细致的审计并记录多种上网行为日志,包括网页、搜索、外发文件、邮件、论坛、IM等等,并对日志数据进行统计分析,形成多种多样的数据报表,将上网行为情况清晰、详细的呈现。
锐捷统一上网行为管理与审计RG-UAC系列产品线提供不同档次的多款型号,从低端、中端、高端适用于政府、教育、医疗、数据中心、大型网络边界、通用企业等全业务应用场景。
统一用户管理平台
Jar执行引擎
Uid Uname EmpID DeptName CorpName ……
数据模型管理
规范用户帐号
数据通信
数据通信接口
数据梳理工具 EDC
B源用户账号
企业目录 EDS
企业目录 EDS(EEຫໍສະໝຸດ RUST Directory Server):
企业目录的意义与作用: 1、它依照企业用户数据的存储规范建立,采用统一的数据规范 来存储用户规范数据,如用户信息、组织机构信息等。企业目 录中存储的用户数据是符合企业用户数据标准的。 2、它是一个标准的LDAP接口,所有支持LDAP协议的外部系统
UAP-S可解决的问题
部署“UAP统一认证与访问控制系统”后,可为企业办公网络中的B/S和C/S业务系统、网 络设备、主机等企业资源,提供高性能的安全认证、统一接入、访问控制、安全管理、安全 审计服务。产品能够满足不同企业集中认证、访问控制和安全管理的需求。
对比
现实世界 现实世界 网络世界
机构
高速公路收费站 公交、地铁、出租车 UAP-S接入的系统 ETC
UAP-U 产品特点
具备统一认证、单点登录、统一用户管理的一体化解决方案
针用户的需求,时代亿信丏门为企业提供了“统一用户管理、统一身份认证、统一访问授 权”的整体安全解决方案。
UAP-S统一认证及访问控制 OA
HR
UAP-U统一用户管理系统
UAP-U 产品特点
安全的体系设计
经过多年在军工、航天、金融等领域内的时间经验,UAP-U统一用户管理系统具备一 般统一认证管理系统所不具备的安全标准管理: 三员分立式管理:管理员、用户管理员、安全审计员; 详实的日志审计:用户日志、管理员日志、系统日志;
软硬件一体化解决方案的优势
软硬件一体化解决方案的优势篇一:APCf一体化机房整体解决方案医院机房基础建设APC 整体解决方案目录第一章项目基本情况描述 ................................................ ................................................... .. (2)第二章机房基础设施设计的指导思想 ................................................ ................................................... .. (3)第三章第四章机房基础设施的设计 ................................................ ................................................... ...................... 5 配置清单 ................................................ ................................................... . (11)第五章本方案系统特点 ................................................ ................................................... (14)第六章SYMMETRA PX 160KVA UPS系统简介 ................................................ ..................................................15SYMMETRA PX 模块化UPS简介 ................................................ ................................................... .. (15)SYMMETRA PX 模块化UPS结构介绍 ................................................ ................................................... (16)SY160K160H 基本性能 ................................................ ................................................... . (19)SYMMETRA PX 性能与优势 ................................................ ................................................... (21)电池系统 ................................................ ................................................... . (26)第七章智能精密配介绍 ................................................ ................................................... (27)UPS内置精密配电模块 ................................................ ................................................... . (27)精密配电主要特点 ................................................ ................................................... (27)第八章精密空调介绍 ................................................ ................................................... . (29)配置和参数 ................................................ ................................................... (29)整体性能介绍 ................................................ ................................................... .. (29)施耐德机房精密空调节能性能介绍 ................................................ ................................................... .. (31)第九章施耐德APC机柜系统介绍 ................................................ ................................................... (35)第十章机房环境监控系统 ................................................ ................................................... ............................. 37 机房环境监控的管理功能 ................................................ ................................................... (37)环境监控系统组网图 ................................................ ................................................... ........................... 38 APC环境监控主机的介绍 ................................................ ................................................... . (38)第一章项目基本情况描述为提高医院信息化系统的可用性,满足今后机房应用的长期发展需求,要求新机房的基础设施建设要具有可靠性、先进性,不仅需要满足当前医院网络的营运,同时考虑学院未来5年内IT负载扩容的需求。
UAP-F 文件共享访问控制网关
标题1 文件共享访问控制网关概述标题2 时代亿信文件共享访问控制网关概述(关键词:CA认证,统一认证,统一用户管理,统一身份认证)UAP-F是针对现有Windows文件共享访问控制方法的不足,提出的专门解决产品,不仅实现了对共享文件的访问控制,还实现了对用户身份的强身份认证、共享文件夹的细粒度授权和访问行为的详细日志记录。
UAP-F文件共享访问控制网关具有两种部署方式:结合微软AD域进行文件共享访问控制包过滤技术进行文件共享访问控制:UAP-F 文件共享访问控制网关产品功能►强身份认证:支持USB智能卡认证、支持数字证书文件认证、支持短信动态码认证、支持指纹认证等多种强身份认证方式。
►共享文件夹授权:针对共享文件夹设置只读、读写、重命名、删除等权限信息,并可设置子文件夹继承父文件夹的权限信息。
可在多级目录方式下授权(文件夹、子文件夹及子文件),可基于多级目录授权方式下对文件进行细粒度授权(只读、编辑、删除、重命名)。
►文件共享:支持域文件共享策略,基于域同步及访问控制网关技术,控制本地用户访问共享文件的通道,实现共享文件的细粒度授权(只读、编辑、删除、重命名)。
►与AD域无缝集成:通过管理功能的集成,提升了基于微软AD域文件访问控制方式的易用性。
产品支持对多个Windows域、多台共享主机进行授权管理,权限信息自动同步到文件共享主机,当用户访问共享时由文件共享主机自行验证权限。
►详尽的日志记录:用户访问共享文件时,系统将记录“谁在什么时候以什么IP地址访问了哪个共享目录或文件”等相关信息,并记录这个用户对文件进行了何种操作,如:新建文件\文件夹、读、写、重命名、删除。
UAP-F 文件共享访问控制网关产品规格并发用户数200可管理AD域数量大于10可管理共享文件夹数大于1000可管理共享文件数大于10000UAP-F 文件共享访问控制网关产品方案时代亿信认证访问控制墙认证访问控制墙是一款提供认证和访问控制的硬件设备,为企业B/S和C/S业务系统、网络设备、主机、数据库等企业资源,提供高性能的安全认证、统一接入、访问控制、安全管理、安全审计服务。
身份认证及访问管理系统产品白皮书
身份认证及访问管理系统身份认证及访问管理系统产品白皮书北京艺赛旗软件有限公司2016年3月身份认证及访问管理系统目录1.产品概述 (1)2.产品特点 (2)2.1 丰富的部署方式 (2)2.2 多元化的认证方法 (2)2.3 强大的资源管理能力 (2)2.4 全面的账号管理机制 (3)2.5 超强的授权管理功能 (3)2.6 单点登录SSO (3)2.7 增强的密码管理功能 (4)2.8 审计管理 (4)2.9 更专业的安全管理功能 (5)2.10 良好的扩展性及定制化能力 (5)3.技术优势 (6)3.1 逻辑命令自动识别技术 (6)3.2 分布式处理技术 (6)3.3 正则表达式匹配技术 (7)3.4 图形协议代理 (7)3.5 多进程/线程与同步技术 (7)3.6 数据加密功能 (7)3.7 审计查询检索功能 (8)3.8 操作还原技术 (8)4.典型应用 (8)1.产品概述身份及访问管理系统是一种被加固的可以防御进攻的计算机,具备坚强的安全防护能力。
身份及访问管理系统扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过。
因此身份及访问管理系统能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。
身份及访问管理系统具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来;具备审计回放功能,能够模拟用户的在线操作过程,丰富和完善了网络的内控审计功能。
身份及访问管理系统能够在自身记录审计信息的同时在外部某台计算机上做存储备份,可以极大增强审计信息的安全性,保证审计人员有据可查。
身份及访问管理系统还具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix 平台的XWindow方式图形终端操作。
为了给系统管理员查看审计信息提供方便性,身份及访问管理系统提供了审计查看检索功能。
亿邮邮件网关使用说明手册(管理员)
亿邮邮件网关使用说明手册(管理员)亿邮邮件网关使用说明手册(管理员)创造网络通讯新时代使用说明eYou邮件网关系统邮件网关使用说明手册2022年.03.01亿邮邮件网关使用说明手册(管理员)目录I 管理模块概述 (1)II 管理模块各功能使用说明及举例 (2)II.1 便捷的导游栏 (2)II.2 系统参数设置 (2)II.2.1 系统设置 (2)II.2.2 接收信件限制 (4)II.2.3 RBL设置 (4)II.2.4 是否使用OpenRelay主动反查 (5)II.2.5 提醒信设置 (5)II.2.6 许可证管理 (5)II.3 转发域管理 (6)II.3.1 转发域列表 (6)II.3.2 添加转发域 (7)II.3.3 查找转发域 (8)II.4 连接管理 (9)II.4.1 无连接限制IP管理 (9)II.4.2 IP白名单管理 (10)II.4.3 IP黑名单管理 (11)II.4.4 帐户白名单管理 (12)II.4.5 帐户黑名单管理 (13)II.4.6 临时黑白名单 (14)II.4.7 开放中继IP管理 (16)II.4.8 临时禁止IP (17)II.4.9 smtp连接限制 (17)II.4.10 smtp附加参数 (18)II.4.11 信件差异度设置 (19)II.4.12 预设域管理 (19)II.5 过滤规则管理 (20)II.5.1 添加规则 (21)II.5.2 规则列表 (22)II.5.3 导入规则 (23)II.6 队列查看 (23)II.6.1 网关拦截队列 (23)II.6.2 延迟发送队列 (25)II.6.3 投递失败队列 (26)II.6.4 关注队列列表 (27)II.6.4.1 增加组 (27)II.6.4.2 添加用户 (27)E000-T302-0__ 1 亿中邮信息技术有限公司亿邮邮件网关使用说明手册(管理员)II.6.4.3 删除组 (28)II.6.4.4 查看延迟发送队列 (28)II.6.4.5 查看网关拦截队列 (29)II.6.4.6 查看投递失败队列 (29)II.7 防病毒配置 (29)II.7.1 杀毒服务器配置 (29)II.8 日志管理 (30)II.8.1 系统运行信息 (30)II.8.2 连接日志信息 (33)II.8.2.1 日报表(统计报表) (34)II.8.2.2 日报表(详细日志) (36)II.8.2.3 月报表(统计报表) (37)II.8.2.4 月报表(详细日志) (37)II.8.2.5 年报表(统计报表) (38)II.8.2.6 年报表(详细日志) (38)II.8.3 邮件信息 (39)II.8.3.1 全部邮件统计报表(年) (39)II.8.3.2 全部邮件统计报表(月) (42)II.8.3.3 全部邮件统计报表(日) (43)II.8.3.4 全部邮件详细日志(年) (43)II.8.3.5 全部邮件详细日志(月) (45)II.8.3.6 全部邮件详细日志(日) (45)II.8.3.7 正常邮件统计报表(年) (46)II.8.3.8 正常邮件统计报表(月) (48)II.8.3.9 正常邮件统计报表(日) (48)II.8.3.10 正常邮件详细日志(年) (49)II.8.3.11 正常邮件详细日志(月) (51)II.8.3.12 正常邮件详细日志(日) (51)II.8.3.13 病毒邮件统计报表(年) (51)II.8.3.14 病毒邮件统计报表(月) (54)II.8.3.15 病毒邮件统计报表(日) (55)II.8.3.16 病毒邮件详细日志(年) (55)II.8.3.17 病毒邮件详细日志(月) (57)II.8.3.18 病毒邮件详细日志(日) (58)II.8.3.19 过滤邮件统计报表(年) (58)II.8.3.20 过滤邮件统计报表(月) (61)II.8.3.21 过滤邮件统计报表(日) (61)II.8.3.22 过滤邮件详细日志(年) (62)II.8.3.23 过滤邮件详细日志(月) (63)II.8.3.24 过滤邮件详细日志(日) (63)II.8.3.25 垃圾邮件统计报表(年) (64)E000-T302-0__ 2 亿中邮信息技术有限公司亿邮邮件网关使用说明手册(管理员)II.8.3.26 垃圾邮件统计报表(月) (66)II.8.3.27 垃圾邮件统计报表(日) (67)II.8.3.28 垃圾邮件详细日志(年) (67)II.8.3.29 垃圾邮件详细日志(月) (69)II.8.3.30 垃圾邮件详细日志(日) (70)II.8.3.31 病毒更新日志 (70)II.8.3.32 系统事件日志 (71)II.8.3.33 清除日志 (71)II.9 管理员配置 (72)II.9.1 修改密码 (72)II.9.2 配置管理员信箱 (72)II.10 退出 (72)E000-T302-0__ 3 亿中邮信息技术有限公司亿邮邮件网关使用说明手册(管理员)文档约定本文档中的特定信息通过特定格式表现,约定如下:以表示浏览器页面中出现的超级链接。
时代亿信文档安全产品介绍
HTTPS 通讯
策略应用接口
文档操作 日志
文档安全 客户端 SDClient
文件驱动 加解密
文档权限 控制
虚拟磁盘
文档授权
离线服务
系统通信层
底层通信
驱动通信层
底层通信
终端操作系统
USB智能卡
文档安全管理服务器
主要完成用户信息、文档密钥、文档权限及文档审计日志等存储和管理功能。
组织机构和用户的同步不管理
文档离线服务
文档日志服务
文档安全应用集成接口( SDSI )
主要用亍不第三方应用系统的集成,供应用系统调用, 实现不文档安全保护客户端(SDClient)的通信,完成 自劢登录认证和文档加密授权等操作。
终端日志报告接口
用户操作控制台(SDSC)
通讯数据加解密层 认证/单点通讯接口
文档透明 加解密
文件盾如何解决问题
(三)企业应用系统中文档可控流转
• 公司重大决策想限制在高层或中层传阅,却被其中的个别人转发给公 司无关人员 • 公司各级各部门间的往来公文在脱离OA保存到本地计算机后,可被 仸意使用和发送 • 市场部小李起草了一仹合作协议发送给领导审批后,由商务部打印备 案,幵发送给合作厂商,可合作厂商却将协议文件发给了竞争对手
企业电子文档的流转渠道
VPN/手机移劢办公 电子邮件 即时消息 办公自劢化(OA)系统 文件共享 文件服务器
流转渠道 丌可控
移劢存储
泄密风险分析
谁有可能成为泄密者?
非受信应用程序进程的窃取 缺少对可信应用程序进程的识别
木马/病毒等 黑客程序
外部人员/ 竞争对手
外部未绊认证授权人员的窃取 缺少对电子文档内容的有效保护
UAP-S统一认证与访问控制系统
标题1 统一认证与访问控制概述标题2 时代亿信统一认证与访问控制概述(关键词:统一认证、统一用户管理、统一身份认证、CA认证)认证墙UAP统一认证与访问控制产品,是新一代的应用系统认证及资源整合产品,为B/S、C/S业务系统、网络设备、主机、数据库等资源提供高性能的统一安全认证、单点登录、访问控制、用户管理、安全审计服务,并能够集中制定企业安全策略,有效降低应用系统管理维护量,提高系统安全水平。
为用户提供便捷安全的一站式访问平台,提高工作效率。
产品能解决的问题UAP统一认证与访问控制产品可以解决以下企业安全问题:•多应用系统的统一身份认证•多应用系统的安全单点登录•应用系统、主机、数据库的物理隔离与访问控制•内置一套综合企业级CA中心产品形态UAP统一认证与访问控制产品可以软件、硬件产品形态进行旁路或主路部署,其具体功能如下:功能特点►完善的单点登录机制UAP统一认证与访问控制产品具有完善的单点登录体系,可安全地在应用系统之间传递或共享用户身份认证凭证,用户不必重复输入凭证来确定身份。
►集成多种认证方式的统一认证UAP统一认证与访问控制产品将用户的身份认证与企业的管理技术和业务流程密切结合,保证系统中的数据资源只能被有权限的用户访问,防止伪造身份认证手段、访问者身份等非法措施,从而有效保护信息资源的安全。
►一站式安全解决方案以UAP产品为中心,并与多种安全产品整合,如结合我公司统一用户管理产品、文档安全产品、电子签章产品等,可形成更加丰富完善的安全应用体系,为企业应用系统提供一站式安全解决方案。
►快速部署能力UAP统一认证与访问控制产品可配置为硬件形态,针对应用对象和应用场景进行功能优化,并提供了大量标准接口与适配器,大幅度减少了应用系统接入工作量,缩短了企业部署时间和用户上手时间,为用户节省投资。
应用场景♦多应用统一认证单点登录UAP统一认证与访问控制产品采用旁路部署方式,用户首先访问UAP产品的认证页面,经过身份鉴别后,按照指定的权限单点登录到各个应用系统。
时代亿信UAP-S统一认证与访问控制系统应用场景
时代亿信UAP-S统一认证与访问控制系统应用场景时代亿信UAP-S统一认证与访问控制系统应用场景1. 产品应用场景1.1 UAP-S系统能做什么?1.1.1 CA中心UAP-S系统内置一套综合的企业级证书管理系统(ETCA),可用于数字证书的申请、审核、签发、注销、更新和查询,颁发的数字证书格式严格遵循X.509v3规范,具有广泛适用性和良好的扩展性。
通过使用该系统,可以搭建出符合政府、行业、第三方、企业需求的CA中心。
通过使用ETCA发行的数字证书可以为用户提供信息安全的全面服务:保密性—保证信息是秘密的完整性—能检验信息未被篡改身份鉴别—检验个人或机构的身份不可否定性—确保信息或操作不能被否认ETCA应用国际先进技术,采用高强度的加密算法、高可靠性的安全机制及完善的管理及配置策略来保障整个系统的安全、可靠的运行。
ETCA系统完全遵循PKI及相关标准,这样有利于与其它厂商的产品实现互连,增大证书的适用范围。
该系统支持的技术标注列表如下:ETCA产品支持的标准类别标准标准内容1、密码算法和标准加密SM1密码算法数字签名SM2数字签名RSA 数字签名,符合PKCS#1 V2.0DSA,符合数字签名标准、美国FIPS PUB186 和ANSIX9.30 (第一部分)散列函数SM3散列算法SHA-1,符合美国FIPS PUB 180-1 和ANSI X9.30(第二部分)MD5 报文摘要算法,符合因特网RFC1321密钥管理RSA 密钥传输符合因特网RFC 1421 和1423 (PEM) 和PKCS#1 V2.0伪随机数生成符合ANSIX9.1对称技术的完整性报文验证码(MAC),符合美国FIPSPUB 113、ANSIX9.9 和X9.19伪随机数生成符合ANSIX9.172、数据格式和协议证书和证书注销列表格式第3版证书和证书扩展,符合ITU-Trec.X.509 (1997) 和公用标准ISO/IEC 9594-8 (1997)证书注销表和证书注销表扩展,符合IETF PKIX-1概况表技术规范证书注销表和证书注销表扩展,符合IETF PKIX-1概况表技术规范RSA 算法标识符和公开密钥格式,符合PEM 和PKCS #1 V2.0文件包封格式基于因特网RFC 1421 (PEM) 的标准文件包封格式安全文件包封技术,符合PKCS#7和S/MIME目录协议轻量目录存取协议(LDAP),符合RFC1777PKI 操作协议符合PKIX-2图3-1 CA系统管理界面1.1.2 企业认证中心UAP-S系统利用其强大的身份认证功能,将用户的身份认证与企业的管理技术和业务流程密切结合,保证系统中的数据资源只能被有权限的用户访问,未经授权的用户无法访问数据;防止伪造身份认证手段、访问者身份等非法措施,从而有效保护信息资源的安全。
时代亿信认证墙-UAP统一认证与访问控制产品白皮书
时代亿信认证墙-UAP统一认证与访问控制产品3.1 产品简介UAP统一认证与访问控制产品(以下简称UAP产品)集数字证书、动态口令、指纹、短信等强身份认证方式于一身,是一个针对B/S、C/S架构应用系统的强身份认证及资源整合解决方案,对各类信息系统均可提供统一认证、单点登录、用户授权和统一身份管理功能,可统一制定企业安全策略,有效降低企业应用系统管理维护量,提高系统安全水平。
UAP统一认证与访问控制产品还可作为企业内部应用系统、服务器主机、网络设备等资源的访问控制入口,基于包过滤技术,集成强身份认证、会话审计、集中管理等功能,对企业内部用户应用访问进行访问控制和会话审计,实现网络资源分级管理,对访问机密数据库等密级较高的网络资源进行隔离保护,完全杜绝内网信息安全问题。
3.2 产品功能介绍UAP统一认证与访问控制产品提供全面的认证、授权和审计服务。
支持多种认证方式,包括:数字证书、动态口令、指纹、短信等强认证方式及临时口令、用户名口令等普通认证方式。
3.2.1 身份认证3.2.1.1. 数字证书认证基于PKI理论体系,采用CA数字证书和加密签名等技术进行身份识别,完成敏感信息以密文形式在网络中传输,企业应用可利用数字信封、数字签名等非对称密钥加密技术,实现对用户身份的认证以及网上信息传送的保密性、完整性、真实性和不可否认性;无缝集成ETCA、CTCA、CFCA,同时支持第三方CA;支持智能卡形态及软证书形态;集成了证书申请、下载、重新申请、吊销等操作。
3.2.1.2. 动态口令认证采用国际OATH联盟标准技术算法,每隔30/60秒钟或每触发一次动态生成一个随机的、单次使用的6/8位口令,与系统范围内合法用户的令牌信息作同步信任认证运算对照,构成一个安全、可靠的认证系统,保护计算机网络授权用户的合法利益,避免系统或网络受到非授权用户的非法访问;原样机令牌通过国家标准(GB/T2423)例行试验及欧盟CE认证和美国FCC认证,并通过防震、防潮、抗静电、高低温、湿热、振动、自由跌落、抗电磁干扰等型式试验;集成了令牌同步、激活、替换等操作。
时代亿信统一权限管理解决方案
统一权限管理
解决方案
北京时代亿信科技有限公司
2011年10月
1
在企业实施信息化建设的过程中,由于业务定位、用户范围的不同,存在着各类应用系统。随着系统的逐步增多,由于用户信息和权限分别在每个系统各种独自维护,往往出现了如下问题:
1、用户信息缺乏统一
用户在所有应用系统中都存在用户和组织机构信息,而由于对用户信息的管理没有统一的规划设计,造成一个用户在多个应用系统中有不同的用户信息,信息重复且不准确,造成数据冗余且不统一。
4
中央国债UAP统一用户及权限管理系统
中央国债经过严格的产品筛选和系统招标,选择了时代亿P统一用户管理平台实现了簿记、资金、发行、支付等子系统的统一用户及统一权限管理。平台由管理服务和完成不同功能的各服务器构成,平台数据库部署在AS/400主机上。
2、用户权限管理困难
在众多的应用系统中,哪些用户能够进入哪些应用系统需要管理员在每个应用系统中进行配置,既不方便、也容易出错。另外,在应用系统内部,每一个人的业务操作权限都是由相应系统管理员进行分配,每个人的职务、岗位分散在各个系统中,且叫法不一。这就造成了这些岗位、角色、部门信息的混乱、不一致,并且进行修改维护也需要在每一个系统中进行更改。造成管理员工作繁重,也带来了安全隐患。
4.实现了权限统一审计:UAP平台负责对权限分配,验证的各项操作进行记录,并能够通过管理平台进行集中审计,包括合规、违规的各项操作,并且能够导出报表。
3)用户自服务:提供用户自服务管理界面,方便用户自行完成应用系统相关关联映射、身份认证凭证(密码、用户证书)管理等操作,减少管理员负担。
4)用户信息批量导入:支持文件(.txt、.xls、.cvs等格式)批量方式导入/导出用户,支持第三方CA导入用户及证书,支持从Windows AD、LDAP导入用户,支持证书链文件导入证书用户,支持CSP密钥导入用户证书。
解决方案
北京时代亿信科技有限公司
2011年10月
1
在企业实施信息化建设的过程中,由于业务定位、用户范围的不同,存在着各类应用系统。随着系统的逐步增多,由于用户信息和权限分别在每个系统各种独自维护,往往出现了如下问题:
1、用户信息缺乏统一
用户在所有应用系统中都存在用户和组织机构信息,而由于对用户信息的管理没有统一的规划设计,造成一个用户在多个应用系统中有不同的用户信息,信息重复且不准确,造成数据冗余且不统一。
4
中央国债UAP统一用户及权限管理系统
中央国债经过严格的产品筛选和系统招标,选择了时代亿P统一用户管理平台实现了簿记、资金、发行、支付等子系统的统一用户及统一权限管理。平台由管理服务和完成不同功能的各服务器构成,平台数据库部署在AS/400主机上。
2、用户权限管理困难
在众多的应用系统中,哪些用户能够进入哪些应用系统需要管理员在每个应用系统中进行配置,既不方便、也容易出错。另外,在应用系统内部,每一个人的业务操作权限都是由相应系统管理员进行分配,每个人的职务、岗位分散在各个系统中,且叫法不一。这就造成了这些岗位、角色、部门信息的混乱、不一致,并且进行修改维护也需要在每一个系统中进行更改。造成管理员工作繁重,也带来了安全隐患。
4.实现了权限统一审计:UAP平台负责对权限分配,验证的各项操作进行记录,并能够通过管理平台进行集中审计,包括合规、违规的各项操作,并且能够导出报表。
3)用户自服务:提供用户自服务管理界面,方便用户自行完成应用系统相关关联映射、身份认证凭证(密码、用户证书)管理等操作,减少管理员负担。
4)用户信息批量导入:支持文件(.txt、.xls、.cvs等格式)批量方式导入/导出用户,支持第三方CA导入用户及证书,支持从Windows AD、LDAP导入用户,支持证书链文件导入证书用户,支持CSP密钥导入用户证书。
时代亿信统一身份认证产品
一、目标客户群
需要整合多个应用系统方便用位与公司
具有多个下属单位应用系统分级建设的大型企业或单位
需要对内部资源进行访问控制的单位与公司
二、企业应用认证现状
三、产品能解决哪些问题
多应用系统的统一身份认证(集中企业应用入口)
多应用系统的安全单点登录(方便用户使用提高工作效率)
用于增强应用系统数据传输安全(用户可使用安全链接访问应用系统)
用于提升关键操作的安全性(用户关键操作要求额外认证)
3、强身份认证功能
CA认证(数字证书/USB智能卡)
动态令牌认证
指纹认证
手机短信动态密码认证
4、单点登录功能
插件方式
代理方式
反向代理方式
多种主流产品的单点登录适配器
UAP统一身份认证及访问控制产品
访问控制审计
典型案例
中国电信安全公务平台
服务于30万电信员工日常办公
统一的数字证书身份认证
基于数字证书的单点登录
子应用系统的安全接入和访问控制
公务文件的电子签名、加密传输和存储
远程安全访问
部分案例名单:
政府
全国人大办公业务资源网统一身份认证系统
外交部OA系统安全认证
中科院数字图书馆统一身份认证系统
南京市政府统一政务平台
用户数据的集中管理(企业的基础用户信息源)
安全应用整合(以UAP为中心与多种安全产品联动)
四、统一认证及访问控制系统功能
1、单点登录功能
插件方式
代理方式
反向代理方式
多种主流产品的单点登录适配器
2、UAP主从帐号管理功能
UAP统一认证与访问控制产品支持主从账号管理,本系统内的用户信息数据独立于各应用系统,形成统一的用户唯一ID,并将其作为用户的主账号,再由其关联不同应用系统的用户账号(从账号),最后用关联后的账号访问相应的应用系统,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户账号不同的问题。单点登录过程均可通过安全通道来保证数据传输的安全。
需要整合多个应用系统方便用位与公司
具有多个下属单位应用系统分级建设的大型企业或单位
需要对内部资源进行访问控制的单位与公司
二、企业应用认证现状
三、产品能解决哪些问题
多应用系统的统一身份认证(集中企业应用入口)
多应用系统的安全单点登录(方便用户使用提高工作效率)
用于增强应用系统数据传输安全(用户可使用安全链接访问应用系统)
用于提升关键操作的安全性(用户关键操作要求额外认证)
3、强身份认证功能
CA认证(数字证书/USB智能卡)
动态令牌认证
指纹认证
手机短信动态密码认证
4、单点登录功能
插件方式
代理方式
反向代理方式
多种主流产品的单点登录适配器
UAP统一身份认证及访问控制产品
访问控制审计
典型案例
中国电信安全公务平台
服务于30万电信员工日常办公
统一的数字证书身份认证
基于数字证书的单点登录
子应用系统的安全接入和访问控制
公务文件的电子签名、加密传输和存储
远程安全访问
部分案例名单:
政府
全国人大办公业务资源网统一身份认证系统
外交部OA系统安全认证
中科院数字图书馆统一身份认证系统
南京市政府统一政务平台
用户数据的集中管理(企业的基础用户信息源)
安全应用整合(以UAP为中心与多种安全产品联动)
四、统一认证及访问控制系统功能
1、单点登录功能
插件方式
代理方式
反向代理方式
多种主流产品的单点登录适配器
2、UAP主从帐号管理功能
UAP统一认证与访问控制产品支持主从账号管理,本系统内的用户信息数据独立于各应用系统,形成统一的用户唯一ID,并将其作为用户的主账号,再由其关联不同应用系统的用户账号(从账号),最后用关联后的账号访问相应的应用系统,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户账号不同的问题。单点登录过程均可通过安全通道来保证数据传输的安全。
时代亿信产品介绍
主要内容
公司简介
02 03
产品线
成功案例
产品体系
• • • • • SID强身份认证产品 UAP统一认证与访问控制产品 UAP-U统一用户管理产品 UAP-F文件共享访问控制网关 SpotFront WLAN认证产品 • • • • • • SecureDOC-M文档安全管理产品 SecureDOC-A文档自动加密产品 SecureDOC-R文档权限管理产品 SecureDOC-G文档加密安全网关 SecureDOC-S文档外发控制产品 SecureDOC-T文件保险箱产品
UAP-U统一用户管理产品
•提供组织机构和用户信息统一管理
UAP-F文件共享访问控制网关
• 实现共享文件的访问控制、细粒度授权和访问 行为日志记录
SpotFront WLAN认证产品
• 提供无线网络安全准入和访客管理功能
认证墙 - SID产品
SID是为应用系统提供用户身份鉴别、安全审计等强身份认证服务的产 品,集成了动态口令、指纹、短信等其他强身份认证技术
ETCA可实现用户数字证书、服务器数字证书的签发和管理 ETCA提供数字证书生命周期管理功能,包括数字证书的申 请、审核、制作、撤销和更新等,CA认证系统支持LDAP证 书发布、证书撤销列表发布、在线数字证书状态查询等服务
密码算法:RSA 1024/2048/4096比特、SM2椭圆曲线算法 、SHA1、SHA256、SM3、SM1、DES、3DES、AES
•自动对应用系统所产生的数据进行加密保护
SecureDOC-S文档外发控制产品
• 实现对企业外部用户的集中管理和文档集中授权
SecureDOC-T文件保险箱
• 提供以用户身份认证为基础的文件保密存储空间
时代亿信UAP统一认证与访问控制系统产品功能简介
标题1 时代亿信统一认证与访问控制功能简介标题2 统一认证与访问控制功能简介(关键词:统一认证、统一用户管理、统一身份认证)1. 产品简介UAP统一认证与访问控制系统可为企业办公网络中的B/S和C/S业务系统、网络设备、主机、数据库等企业资源,提供高性能的安全认证、统一接入、访问控制、安全管理、安全审计服务。
UAP统一认证与访问控制系统分为两个型号:UAP-S和UAP-G,分别具有不同侧重:UAP-S作为应用帐号管理、统一认证、单点登录和权限管理中心,以企业用户、B/S和C/S系统为整合目标,实现统一认证、统一授权和访问控制。
UAP-G是以提供企业内部应用系统、服务器主机、网络设备等资源的访问控制为目标,集成强身份认证、会话审计、集中管理功能的一体化硬件设备。
可对企业内部用户应用访问、管理员维护等各类操作进行访问控制。
UAP-G基于包过滤及代理技术,可实现对HTTP、Telnet、SSH、FTP、RDP远程桌面、CIFS 文件共享等应用协议的访问控制及会话审计。
列表说明UAP-S与UAP-G的区别:UAP-S UAP-G部署方式旁路主路、旁路产品形态软件硬件多应用系统统一认证√√用户名口令、USB智能卡、数字证书、√√短信、动态令牌等多种认证方式基于SOAP、RADIUS、LDAP、NTLM、√√SOCKET等协议的认证接口统一帐号管理与同步√√AD域帐号集成√√基于角色的授权管理√√B/S、C/S架构应用系统单点登录√√API插件、反向代理、客户端代理、√√HTTP Header等多种单点登录机制用户、管理员等访问日志、操作日志√√应用系统级访问控制√√自带企业CA模块√√基于IP、IP+端口的访问控制╳√B/S应用URL级细粒度访问控制╳√1.1 产品可解决的问题UAP统一认证与访问控制系统能够满足不同企业集中认证、访问控制和安全管理的需求。
1、安全身份认证服务。
提供口令认证、证书认证、USB智能卡认证、动态令牌认证、指纹认证、短信认证等多种认证方式;同时支持LDAP、AD、RADIUS等外部认证源。