风信子认证审控系统

风信子认证审控系统主要为企业用户实现所有信息系统的集中账号管理（Account）、集中授权管理（Authorization）、统一身份认证（Authentication）、统一审计管理（Audit），故亦称4A系统，为企业用户建立一套统一的安全管理平台。

本产品主要完成账号管理平台和身份认证平台的部署；同时需要深入了解用户对统一管理的要求，按需增加账号管理相应的模块，充分了解用户环境的管理或超级账号；并且根据业务认证不同需求提供“重定向统一认证”或者“密码代填”方式的身份认证部署；当用户出现一些网络业务无法部署或改造的情况，风信子认证审控系统提供的“旁路认证”方式可以完善此类问题；用户业务系统操作统一审计同样可以通过两种形式完成：一是由业务系统产生操作日志可被风信子认证审控系统中日志分析平台统一收集归类审计；二是由风信子认证审控系统中安全控制平台从TCP/IP网络层中对业务操作进行协议解析审计。

根据【风信子认证审控系统用户指南】中向导使用指示，分配“风信子认证审控系统”用户在应用系统中的使用权限及认证方式，统一将授权策略下发到身份认证平台生效，当用户在从事多种业务操作时，只需要进行一次统一的身份认证即可访问被授权的所有业务操作。

支持主机及网络设备账号/口令集中管理

风风信子认证审控系统能够满足大多数常见服务器系统和网络设备的账号及口令的集中管理，其管理功能包括：同步账号、集中口令更改、新增账号、修改账号、删除账号和账号授权（分配角色）等。

所支持的服务器系统有：HP-UNIX，IBM-AIX，SUN-Solaris，RH-Linux

所支持的网络设备有：防火墙CISCO PIX Firewall；Netscreen Firewall；Checkpoint Firewall；ISONE Linktrust Firewall

路由器  Huawei Quidway R2621, R2631；CISCO 7206, 7507, 3725, 12016, 2691, 3662, 3640；

交换机  Huawei Quidway S3526, S3026, S3050, S3552, S6506；CISCO Catalyst 2950-24, 2950T-48, 6509, 4003, 4506, 4006, 2950G-48, 2924XLv

支持数据库账号/口令集中管理

风信子认证审控系统除能完成系统级账号管理外，最具有特色的当属数据库账号/口令集中管理，通过账号管理策略可灵活扩展支持未知的数据库类型；目前支持的数据库有：
Oracle  Sysbase  DB2  SQLServer  Informix  PostgreSQL  MySQL

基于LDAP数据库存储的业务系统账号/口令集中管理

目前有很多行业的应用系统，尤其是Web应用，其业务账号、口令及角色都采用了LDAP标准的目录级方式存储；风信子认证审控系统根据LDAP的标准规范，按照用户业务管理需求，配置相应的账号管理策略，可以实时或后台方式同步账号及口令、新建、修改、删除账号、授权角色等。

基于用户角色的统一授权

风信子认证审控系统是一套企业信息系统中央管理系统，它的核心功能就在于统一为用户对各种应用系统、主机设备访问的授权，访问控制方式采用RBAC（基于角色的访问控制）。

风信子认证审控系统可以同步被管理应用系统角色信息，风信子授权管理员可以在同一个平台下根据自身级别分配应用系统角色，主要包括主机设备中的账号归属权限组、业务系统中不同的业务操作角色，以某运营商系统为例中角色分为客户经理、营业厅业务人员、维护人员、账务组长等。

管理员分角色管理

分角色管理是风信子认证审控系统安全管理的一大亮点，无论在哪个行业中，管理都具有各种不同角色，互相牵制和促进发展，因此风信子认证审控系统的分角色管理便采用了这样的原则：“账号管理”、“权限配置”、“审计查询”、“系统监控”四权分立，使得本产品在用户环境中发挥出管理无漏洞、不混乱、有理有据。

四权通过统一化身份授权（即超级管理员角色）确立其管理范围，风信子认证审控系统在创建每一种管理角色时还分别具有管理上不同的权限划分。

支持分级授权管理

一个企业的信息系统一般都是由若干主机设备、应用系统共同组成，这样可能会产生如网管、业务管理员等角色来分管整个信息系统；风信子认证审控系统设计了一套完善的分级授权管理的制度使得企业的各类管理员能够在同一个平台上管理被指派管理的用户、应用系统、角色等资源。

支持双机互备、负载均衡的统一认证

主主备认证是风信子认证审控系统中身份认证的重要特色之一，即受到本产品管理的用户身份认证具有一个必须的主要认证方式，如PKI身份认证、用户名/口令等；同时也可以根据用户的要求加强认证安全性，再通过了主身份认证后，继续采用备选认证方式，如短信动态口令、邮件口令等；最后才能够被认证系统接受，具有被授予的系统权限。

支持单点登录

风信子认证审控系统采用了客户端集成方式的单点登录，所有被纳入到风信子认证审控系统的应用系统、系统服务、数据库系统等根据风信子认证审控系统授权被一一列入单点登录客户端列表中，凡是进入该列表的业务只需要通过“双击”动作，无需再填写账号和口令即可直接进入业务操作客户端；

目前已集成的应用有： FTP  Telnet  SSH  RDP  Oracle  DB2  Sybase

管理员操作统一审计

没有审计的信息管理产品不能算是一个完整管理系统；风信子认证审控系统中无论是哪一类角色的管理员管理操作都经过了“集中审计”，审计管理员通过“统一审计平台”，可以获取管理员历史管理操作日志；为管理员误操作或违规操作提供了依据。

用户授权业务行为集中审计（包含网络审计和日志审计）

用户授权是指通过风信子认证审控系统授权中心为风信子用户分配相应的资源访问权限、账号绑定和角色权限等；当用户根据授权访问业务时，风信子认证审控系统通过网络审计、日志审计等两种互补审计方式，将用户业务行为集中，通过实时解析和事后处理归并的方式可以将用户行为以多种方式查询，实现全面的网络安全审计。并且尚良风信可以为用户提供资深的审计专家真实分析、展现审计结果。

基于负载均衡及双机互备方式的统一认证平台

双认证平台方式可以通过风信子认证审控系统授权中心均衡分配用户主认证平台，使认证达到静态负载均衡；同时双认证平台又在用户环境中可以动态负载均衡，使得用户在“首认证平台”满负荷时能够动态切换“从认证平台”；标准的统一认证平台配置相互达到了双机互备的方式，避免了一台认证平台异常工作时可能导致用户在系统中的正常访问中断的情况。

基于二次验证码及密码代填的统一认证

大多数系统都支持Radius的标准认证协议，风信子认证审控系统为用户系统或网络设备提供了重定向认证机制，使得用户系统或网络设备可以将用户的访问请求定向到风信子身份认证平台中；在身份认证平台对用户的身份进行验证后发送二次验证码到用户端，并由用户系统或网络设备将二次验证码转发到风信子身份认证平台，由身份认证平台确认用户是否允许通过访问。

风信子认证审控系统将账号管理平台和身份认证平台灵活应用提供了“密码代填”机制，弥补了无法采用Radius标准认证方式的应用系统的统一认证缺陷。

XML信息数据交换技术

风信子认证审控系统的数据文件配置均采用了XML文件形式存储和表现，XML不仅提供了清晰的结构化的信息表现能力，同时作为一种流行的国际标准的信息数据交换形式，使得系统的数据及信息可以在不同平台及系统间自由交换，为与其它系统与平台进行有效整合提供了保障。

SSL+用户名/口令方式安全通讯

SSL（Secure SocketLayer）是网景（Netscape）公司设计的主要用于web的安全传输协议，后来该协议通过了国际电子信息委员会组织规范成了RFC标准协议，因此该协议也在各种网络应用层协议上广泛使用。风信子认证审控系统各组件之间采用了SSL加密通讯的方式传输，同时在组件服务器端增加了用户名认证方式的传输，既防止了数据被恶意监听、篡改，又防止了外部非法接入系统；保障了整个系统的输入输出数据的安全。

风信子认证审控系统是企业内部中央信息管理系统，为了解决用户日益增大信息系统的复杂化管理手段，降低用户的维护成本，因此该系统被认为是信息系统的中央单元。其部署方案图如下：

上图为某企业内部信息系统的保护资源，包括Telnet、SSH、FTP、Oracle数据库、Web业务OA等；风信子认证审控系统审计管理平台、账号管理平台、身份认证平台均可作为企业保护资源部署在企业内部网络中；使用该系统大体流程如下：

A、  利用风信子授权管理中心控制台建立用户、创建被管理应用系统；

B、  风信子账号管理员通过账号管理平台搜集账号和口令；

C、  再由授权管理员将账号与用户进行关联授权；

D、  企业强制要求保护资源受到风信子认证审控系统的统一身份认证；需要将各种保护资源采用Radius或者应用改造重定向方式将资源访问控制权限交付“风信子身份认证平台”控制；因此企业用户必须经过风信子身份认证客户端的登录验证才能够具备访问保护资源的资格；当用户需要访问被授权的保护资源时仅能通过客户端集成工具进行操作；

E、  如果企业用户不要求保护资源进行统一身份认证，但需要简化用户的操作，同样可以通过风信子身份认证客户端登录验证后，采用“密码代填”方式进行保护资源单点登录；但是这样仅通过“风信子身份认证平台”无法对用户的权限进行控制，因此需要利用“风信子安全控制平台”HYPlus-SS增强用户的访问控制。