傳統(tǒng)媒體傳播模式從思想層面上來講���,是一種預(yù)先策劃好的自上而下的線性傳播,是中國社會能夠穩(wěn)步向前發(fā)展的一塊基石���。新媒體是“所有人面向所有人進(jìn)行的傳播”����,傳統(tǒng)媒體和新媒體具有很強(qiáng)的互補(bǔ)性���,新媒體和傳統(tǒng)媒體的聯(lián)動融合�,相互依存�、相互借鑒、共同發(fā)展將引導(dǎo)輿論新格局����。傳統(tǒng)媒體與新媒體走融合發(fā)展之路,共同朝著智能媒體的方向邁進(jìn)���,這是媒體行業(yè)的共同特點(diǎn)����。
網(wǎng)絡(luò)電視臺(新媒體)網(wǎng)絡(luò)安全解決方案
網(wǎng)絡(luò)電視臺(新媒體)是在三網(wǎng)融合大趨勢下構(gòu)建的新媒體運(yùn)營平臺,其建設(shè)目標(biāo)是通過統(tǒng)一的視頻內(nèi)容整合和管理能力���,提供基于IPTV����、手機(jī)電視��、互聯(lián)網(wǎng)電視�����、門戶網(wǎng)站等多種終端的媒體傳播�,實現(xiàn)支持跨終端業(yè)務(wù)聯(lián)動和服務(wù)融合,從而建立全新的媒體產(chǎn)業(yè)化運(yùn)營模式�����。
網(wǎng)絡(luò)電視臺(新媒體)的整體業(yè)務(wù)是匯聚來自IPTV收錄����、上載�、合作伙伴專線接入、網(wǎng)絡(luò)上傳等渠道傳送的節(jié)目和素材���,經(jīng)過編輯加工��,形成適合新媒體業(yè)務(wù)的節(jié)目形態(tài)��,經(jīng)IPTV��、手機(jī)電視�����、互聯(lián)網(wǎng)電視和門戶網(wǎng)站的播出平臺對外發(fā)布�����。業(yè)務(wù)體系包括節(jié)目和素材的采����、編、播���、管���、存等基礎(chǔ)業(yè)務(wù),與傳統(tǒng)電視臺相比���,其最大的區(qū)別在于網(wǎng)絡(luò)電視臺的生產(chǎn)系統(tǒng)需要連接外網(wǎng)��,這就把網(wǎng)絡(luò)安全提高到戰(zhàn)略的層面��。
面臨的挑戰(zhàn)及安全需求
網(wǎng)絡(luò)電視臺(新媒體)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)需要滿足四大重點(diǎn)需求:
1)建立內(nèi)容生產(chǎn)服務(wù)平臺與播控區(qū)互聯(lián)互通的安全網(wǎng)絡(luò)通道��;建立與合作伙伴進(jìn)行安全高效的素材交換的網(wǎng)絡(luò)通道�;建立接入網(wǎng)絡(luò)與來自互聯(lián)網(wǎng)的合作伙伴的進(jìn)行素材交換;建立與辦公網(wǎng)絡(luò)和媒資系統(tǒng)互聯(lián)互通的安全網(wǎng)絡(luò)通道��。
2)規(guī)劃和建設(shè)網(wǎng)絡(luò)安全域����,基于基礎(chǔ)網(wǎng)絡(luò)系統(tǒng),梳理上下載��、上傳�、收錄、編輯�、內(nèi)容管理����、發(fā)布等業(yè)務(wù)邊界。
3)需要建設(shè)網(wǎng)絡(luò)安全保障與風(fēng)險防范����、綜合安全監(jiān)控管理系統(tǒng)��,實現(xiàn)基于監(jiān)控���、審計、風(fēng)險和運(yùn)維四個維度的信息系統(tǒng)安全管理功能��。
4)需要實現(xiàn)業(yè)務(wù)終端區(qū)設(shè)備的安全接入和統(tǒng)一認(rèn)證����、單點(diǎn)登錄、分散授權(quán)�����,保證節(jié)目的快編���、精編�����、上下載和運(yùn)維管理業(yè)務(wù)的順暢運(yùn)行�,同時實現(xiàn)運(yùn)維管理人員的雙因素認(rèn)證功能�����,確保人員身份唯一性。
安全解決方案
※ 劃分安全域�,梳理網(wǎng)絡(luò)邊界,加強(qiáng)域間域內(nèi)訪問控制
媒資獲取渠道眾多�,而這些渠道的安全性不能完全保障,攻擊及病毒等惡意代碼能夠通過媒資獲取渠道侵入網(wǎng)絡(luò)廣播電視臺系統(tǒng)媒資庫�����,從而造成嚴(yán)重影響��。因此��,對于這類邊界必須進(jìn)行強(qiáng)隔離���,重點(diǎn)關(guān)注兩類防護(hù):一是進(jìn)行訪問控制�����,避免非授權(quán)訪問及可能的網(wǎng)絡(luò)攻擊��;另一方面,要對獲取的媒資進(jìn)行病毒等惡意代碼的檢查���,避免病毒的侵入�。可部署UTM類產(chǎn)品(具備防火墻�����、防毒墻��、入侵防御等各類邊界防護(hù)功能)���。
1����、網(wǎng)絡(luò)外部邊界的關(guān)鍵安全措施包括:接入管理區(qū)防火墻���、接入VPN網(wǎng)關(guān)���、安全交互區(qū)的UTM、門戶網(wǎng)站去IDC機(jī)房防火墻��、IPTV播控區(qū)去運(yùn)營商機(jī)房防火墻���。
2�����、內(nèi)部區(qū)域邊界的關(guān)鍵安全措施包括:接入管理區(qū)隔離UTM�、辦公與生產(chǎn)區(qū)域的隔離UTM、移動工作區(qū)隔離的防毒墻和內(nèi)容生產(chǎn)與播控隔離的防火墻��。
※ 系統(tǒng)身份認(rèn)證和操作的合規(guī)性審計
內(nèi)容生產(chǎn)系統(tǒng)�����、播控平臺等系統(tǒng)內(nèi)有多類重要應(yīng)用����,直接影響著安全生產(chǎn)和播出,對于這些應(yīng)用系統(tǒng)的使用者必須進(jìn)行嚴(yán)格的身份鑒定�����,僅依靠用戶名/口令較為薄弱��,一旦口令泄露或者在網(wǎng)絡(luò)內(nèi)被嗅探�����,將有可能會使內(nèi)外部的非授權(quán)人員進(jìn)入核心應(yīng)用系統(tǒng)而進(jìn)行非法操作,因此����,可考慮對應(yīng)用系統(tǒng)的使用人員采用雙因素認(rèn)證等措施加強(qiáng)身份認(rèn)證���,同時��,所有的應(yīng)用系統(tǒng)應(yīng)嚴(yán)格限制每個賬號的權(quán)限��。
※ 全網(wǎng)綜合安全監(jiān)測管理平臺
1����、綜合安全監(jiān)測管理平臺:從監(jiān)控��、審計����、風(fēng)險和運(yùn)維四個維度對信息系統(tǒng)進(jìn)行可用性與性能的監(jiān)控、配置與事件的分析審計預(yù)警���、風(fēng)險與態(tài)勢的評估��、事件集中收集����、關(guān)聯(lián)分析和自動化管理,經(jīng)過平臺的處理與分析�,在海量數(shù)據(jù)中挖掘出重要的、危險的�、有用的信息;全面地監(jiān)視網(wǎng)絡(luò)設(shè)備和主機(jī)發(fā)生的各種事件��,有助于了解網(wǎng)絡(luò)安全設(shè)備的安全環(huán)境等的使用狀況�;通過對安全事件的深度分析,并快速做出智能響應(yīng)�,實現(xiàn)對安全風(fēng)險的統(tǒng)一監(jiān)控分析和預(yù)警處理;利用多項指標(biāo)計算得出安全對象所面臨風(fēng)險數(shù)值�,并根據(jù)指標(biāo)的變化得出資產(chǎn)當(dāng)前的風(fēng)險狀況;掌握各資產(chǎn)的名稱�、IP、CIA屬性機(jī)密性�、可用性、完整性及脆弱性信息���,對網(wǎng)絡(luò)中的設(shè)備�、主機(jī)��、應(yīng)用系統(tǒng)等方面的綜合管理與監(jiān)控����,利于實現(xiàn)網(wǎng)絡(luò)環(huán)境的綜合安全管理
2���、入侵檢測系統(tǒng)組件:在內(nèi)容生產(chǎn)區(qū)核心、門戶播控匯聚����、IPTV播控核心���、接入管理區(qū)核心部署入侵檢測系統(tǒng)����,與綜合安全監(jiān)測管理平臺對接��。
3�、漏洞掃描和漏洞管理:部署全網(wǎng)無IP限制漏洞掃描系統(tǒng),實現(xiàn)全網(wǎng)漏洞掃描�;部署漏洞管理系統(tǒng),實現(xiàn)漏洞的發(fā)現(xiàn)�、驗證、修復(fù)等全生命周期管理����,與綜合安全監(jiān)測管理平臺對接����。
4��、終端和服務(wù)器自身安全:對于移動終端����,由臺里統(tǒng)一安裝必備軟件,并關(guān)閉管理員帳戶��,避免用戶自由卸載��、安裝軟件��。安全軟件需要加裝:防病毒���、補(bǔ)丁管理�����、網(wǎng)絡(luò)準(zhǔn)入�����、介質(zhì)管理(固定終端)��。關(guān)鍵服務(wù)器和重要終端數(shù)據(jù)按需與綜合安全監(jiān)測管理平臺對接����。
解決方案整體安全措施部署示意圖如下所示:
有線電視前端交互系統(tǒng)安全審計解決方案
有線數(shù)字電視系統(tǒng)網(wǎng)絡(luò)的數(shù)字化、網(wǎng)絡(luò)化和雙向網(wǎng)絡(luò)改造建設(shè)快速發(fā)展���,特別是體現(xiàn)人機(jī)互動和交互功能特點(diǎn)的有線數(shù)字電視前端系統(tǒng)的發(fā)展尤為突出����。有線數(shù)字電視前端系統(tǒng)IT資產(chǎn)和業(yè)務(wù)應(yīng)用系統(tǒng)是有線數(shù)字電視網(wǎng)絡(luò)運(yùn)營商在互聯(lián)網(wǎng)浪潮和三網(wǎng)融合大背景下得以正常運(yùn)營的重要基礎(chǔ)設(shè)施�����,管理好這些IT基礎(chǔ)設(shè)施�,是各有線數(shù)字電視網(wǎng)絡(luò)運(yùn)營商必須完成的使命��。
各種安全事件呈幾何級增長����,來自外部的攻擊入侵事件頻發(fā),而且日益呈現(xiàn)出“組織性”�、“針對性”和“目的性”的特點(diǎn),安全事件的應(yīng)急響應(yīng)的經(jīng)驗告訴我們�����,一旦出現(xiàn)入侵事件后,分析日志是發(fā)現(xiàn)入侵攻擊蛛絲馬跡的關(guān)鍵手段����。內(nèi)部人員的誤操作或有意無意的泄密事件也時有發(fā)生,日志分析也是排錯的重要手段�,同時還可以協(xié)助我們進(jìn)行責(zé)任認(rèn)定。在這樣日益嚴(yán)峻的情況下����,如何確保有線數(shù)字電視前端系統(tǒng)的安全,尤其是如何更好地防范與審計內(nèi)部管理人員對前端系統(tǒng)的訪問和操作行為����,成為當(dāng)前保障數(shù)據(jù)信息安全的重要環(huán)節(jié)。
面臨的挑戰(zhàn)及安全需求
有線數(shù)字電視前端系統(tǒng)在日志管理方面的挑戰(zhàn)和需求是利用“日志留存”���、“痕跡保留”和“運(yùn)維審計”手段實現(xiàn)綜合審計��,具體包括日志全生命周期管理��,精確的管理授權(quán)���、網(wǎng)絡(luò)與數(shù)據(jù)庫管理系統(tǒng)操作審計��。
1��、日志全生命周期管理�����。日志(Log)是對IT系統(tǒng)在運(yùn)行過程中產(chǎn)生的事件的記錄�����。通過日志��,IT管理人員可以了解系統(tǒng)的運(yùn)行狀況����,獲悉信息系統(tǒng)的安全運(yùn)行狀態(tài)�,識別針對信息系統(tǒng)的攻擊和入侵�,以及來自內(nèi)部的違規(guī)和信息泄露事件,能夠為事后的問題分析和調(diào)查取證提供必要的信息���。網(wǎng)絡(luò)安全日志管理與審計系統(tǒng)能夠?qū)崟r不間斷地采集有線數(shù)字電視前端系統(tǒng)網(wǎng)絡(luò)中各種不同廠商的安全設(shè)備����、網(wǎng)絡(luò)設(shè)備、主機(jī)�、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及各種應(yīng)用系統(tǒng)產(chǎn)生的海量日志信息���,實現(xiàn)日志信息的范式化�、關(guān)聯(lián)分析和基于日志的審計功能�����,以幫助管理員有效排錯��,便于事件追查和責(zé)任認(rèn)定�����。
2���、精確的管理授權(quán)�����。首先實現(xiàn)基于對自然人身份以及資源��、資源賬號的集中管理�,建立“自然人—資源—資源賬號”對應(yīng)關(guān)系,實現(xiàn)自然人對資源的統(tǒng)一授權(quán)�����。其次����,對運(yùn)維人員根據(jù)其職責(zé)進(jìn)行權(quán)限的分配和管理,運(yùn)維人員只能在權(quán)限范圍內(nèi)�,進(jìn)行資源的訪問以及日常的運(yùn)維工作,不能訪問未經(jīng)授權(quán)的資源���。然后可根據(jù)用戶���、用戶組、訪問主機(jī)���、目標(biāo)系統(tǒng)賬號、訪問方式等設(shè)置細(xì)粒度訪問策略�����,根據(jù)訪問授權(quán)列表自動展示授權(quán)范圍內(nèi)的主機(jī)和可訪問的資源,實現(xiàn)運(yùn)維用戶與后臺資源帳號相對應(yīng)�,限制帳號的越權(quán)使用。
3��、網(wǎng)絡(luò)與數(shù)據(jù)庫管理系統(tǒng)操作審計����。需要針對有線數(shù)字電視前端系統(tǒng)環(huán)境下的基于網(wǎng)絡(luò)的操作行為進(jìn)行細(xì)粒度審計的管理,通過對運(yùn)維人員訪問網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的操作行為進(jìn)行解析���、分析�、記錄����、匯報,以加強(qiáng)內(nèi)�����、外部運(yùn)維人員對網(wǎng)絡(luò)和數(shù)據(jù)庫管理系統(tǒng)操作行為細(xì)顆粒度的監(jiān)管��。系統(tǒng)可針對網(wǎng)絡(luò)運(yùn)維協(xié)議進(jìn)行解析��,以達(dá)到對網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫管理系統(tǒng)操作訪問的全面審計�����,常用的運(yùn)維協(xié)議包括通過字符協(xié)議Telnet、Rlogin�、SSH的遠(yuǎn)程登錄,通過圖形協(xié)議RDP�、VNC、X11的操作以及PLSQL���、SQLPlus等數(shù)據(jù)庫操作協(xié)議��。
安全解決方案
有線數(shù)字電視前端系統(tǒng)一般包括CA條件接收系統(tǒng)����、EPG電子節(jié)目指南��、SMS用戶管理系統(tǒng)�����、數(shù)據(jù)廣播系統(tǒng)和VOD/NVOD等�。各業(yè)務(wù)應(yīng)用在網(wǎng)絡(luò)結(jié)構(gòu)上相對獨(dú)立,為了保證現(xiàn)有的安全區(qū)域不發(fā)生根本變化����,使得各區(qū)域之間的安全策略改變最小,日志采集器連接在各業(yè)務(wù)系統(tǒng)的匯聚交換機(jī)上��,基于以下考慮因素:
1��、日志采集器可非常方便地通過匯聚交換機(jī)到達(dá)有線數(shù)字電視前端各業(yè)務(wù)系統(tǒng)的設(shè)備����,日志采集器與設(shè)備之間經(jīng)過的防火墻或ACL策略最少,對內(nèi)部防火墻的策略改動最少��,從而保證對現(xiàn)有系統(tǒng)的影響降至最低�����。日志采集器連接到有線數(shù)字電視前端各業(yè)務(wù)系統(tǒng)匯聚的交換機(jī)上���,在網(wǎng)絡(luò)路由層面上日志采集器與各資源的的通訊路徑最短�,在采集各設(shè)備上的日志時�,可減少網(wǎng)絡(luò)上的非業(yè)務(wù)流量的傳輸,起到優(yōu)化網(wǎng)絡(luò)傳輸內(nèi)容的作用���。
2���、日志采集器與安全審計中心服務(wù)器之間通訊的業(yè)務(wù)流向非常清晰�����,運(yùn)維區(qū)的安全管理員可以清晰地設(shè)計日志采集器與審計中心之間的網(wǎng)絡(luò)訪問策略����。
如下圖所示�����,基于有線數(shù)字電視前端系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)區(qū)域的劃分情況�����,采用安全審計中心和日志采集器分離的部署模式���。前端各個業(yè)務(wù)應(yīng)用本地分別部署一臺日志采集器��,負(fù)責(zé)采集其所在區(qū)域業(yè)務(wù)應(yīng)用設(shè)備的日志數(shù)據(jù)���,同時采集運(yùn)維操作行為日志,數(shù)據(jù)傳送到安全審計中心服務(wù)器進(jìn)行集中存儲和關(guān)聯(lián)分析���,實現(xiàn)日志全生命周期管理和基于日志的安全審計功能����。安全審計中心作為綜合審計平臺的前端用戶交互界面和管控中心,實現(xiàn)運(yùn)維審計���、帳號管理、權(quán)限管理和身份認(rèn)證等核心功能�。
方案部署示意圖如下所示:
方案主要價值
在有線數(shù)字電視前端系統(tǒng)中部署綜合審計平臺,利用運(yùn)維堡壘機(jī)這一重要組件很好的解決了運(yùn)維管理賬號分散���、認(rèn)證強(qiáng)度不一����,授權(quán)管理混亂等諸多安全審計與管理問題�,實現(xiàn)了運(yùn)維安全審計和控制的目的。
同時��,有效的解決了日志全生命周期的管理問題��,實現(xiàn)系統(tǒng)日志�、網(wǎng)絡(luò)日志、安全日志����、操作行為日志的收集�、歸并�����、存儲�、關(guān)聯(lián)分析,便于完成基于日志的安全審計�、排錯與輔助責(zé)任認(rèn)定工作。
智慧廣電網(wǎng)絡(luò)4A解決方案
“寬帶中國”戰(zhàn)略的部署對于廣電行業(yè)網(wǎng)絡(luò)視聽領(lǐng)域帶來全新的發(fā)展機(jī)遇��,綜合利用有線�、無線技術(shù)推動電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)融合發(fā)展�����,加快構(gòu)建寬帶�����、融合�、安全、泛在的下一代國家信息基礎(chǔ)設(shè)施成為智慧廣電戰(zhàn)略的必由之路�。
“智慧廣電的本質(zhì)是新興信息技術(shù)與廣電產(chǎn)業(yè)有優(yōu)勢的高度融合,廣電產(chǎn)業(yè)不但是信息的生產(chǎn)者、傳播者�����,更應(yīng)該是新生活方式的發(fā)起者�、組織者和提供者?���!?br/>
近年來有線網(wǎng)絡(luò)公司用戶的業(yè)務(wù)系統(tǒng)發(fā)展十分迅速����,內(nèi)部的系統(tǒng)數(shù)和用戶數(shù)不斷增加,網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大�,應(yīng)用擴(kuò)展和融合發(fā)展迅速,同時作為廣電運(yùn)營商�、關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)運(yùn)營者對網(wǎng)絡(luò)安全的要求也與日俱增,其中賬號管理混亂����、身份認(rèn)證分散不統(tǒng)一權(quán)限分配隨意、審計信息不全缺乏關(guān)聯(lián)是急需解決的重要安全問題之一�。
面臨的挑戰(zhàn)及安全需求
廣電網(wǎng)絡(luò)公司在信息化系統(tǒng)中存在著賬號、認(rèn)證���、授權(quán)��、審計等方面的各種問題�,所面臨的網(wǎng)絡(luò)安全挑戰(zhàn)和安全需求是帳號管理系統(tǒng)、統(tǒng)一認(rèn)證系統(tǒng)����、集中授權(quán)系統(tǒng)和綜合審計系統(tǒng)。面臨的具體安全挑戰(zhàn)包括下面幾個方面:
1)帳號繁多�,管理困難,管理成本較高���,難以實現(xiàn)帳號權(quán)限的有效監(jiān)督和審核���,難以維護(hù)有效的用戶帳號列表,對于離職或者工作崗位變更的用戶����,很難干凈徹底的刪除或者禁止相應(yīng)帳號,容易產(chǎn)生無主帳號或者容易發(fā)生安全問題����,用戶自主設(shè)定、修改密碼���,密碼強(qiáng)度難以保證�、定期修改的規(guī)定難以執(zhí)行。
2)隨著業(yè)務(wù)系統(tǒng)的增多���,使用戶經(jīng)常要在各個系統(tǒng)之間切換���,每次從一個系統(tǒng)切換到另一支撐系統(tǒng)時,都需要輸入用戶名和口令進(jìn)行登錄�����,給用戶的工作帶來不便�,影響了工作效率�����。用戶為便于記憶口令會采用較簡單的口令或?qū)⒍鄠€支撐系統(tǒng)的口令設(shè)置成相同的��,危害到系統(tǒng)的安全性�。
3)各系統(tǒng)管理員分別管理所屬的系統(tǒng)資源,為本系統(tǒng)的用戶分配權(quán)限����,由此導(dǎo)致許多安全隱患,比如:缺乏集中統(tǒng)一的資源授權(quán)管理平臺,無法嚴(yán)格按照最小權(quán)限原則分配權(quán)限����。
4)由于各支撐系統(tǒng)獨(dú)立運(yùn)行、維護(hù)和管理�,所以各系統(tǒng)的審計也是相互獨(dú)立的,不但各個系統(tǒng)單獨(dú)審計����,即使同一系統(tǒng)中的每個網(wǎng)絡(luò)設(shè)備,每個主機(jī)系統(tǒng)�����,每個業(yè)務(wù)系統(tǒng)及每個數(shù)據(jù)庫系統(tǒng)都要分別進(jìn)行審計��,缺乏集中統(tǒng)一的系統(tǒng)訪問審計�����。
安全解決方案
在帳號管理方面��,需要實現(xiàn)對自然人身份��,以及系統(tǒng)帳號和應(yīng)用帳號的統(tǒng)一集中管理�����,包括按照密碼策略自動更改密碼,賬號同步等�����。
在認(rèn)證管理方面���,需要實現(xiàn)對不同業(yè)務(wù)系統(tǒng)操作者身份認(rèn)證的統(tǒng)一集中管理��,并且采用SSO方式實現(xiàn)自然人訪問資源的透明登錄����。
在集中授權(quán)方面���,需要實現(xiàn)自然人對資源的統(tǒng)一授權(quán)�,建立“自然人帳號——資源——資源帳號”的對應(yīng)關(guān)系���,實現(xiàn)不同用戶對系統(tǒng)不同資源的訪問。
在綜合審計方面����,需要完成對授權(quán)人員的業(yè)務(wù)操作行為進(jìn)行記錄����、分析�、展現(xiàn),以幫助內(nèi)控工作事前規(guī)劃預(yù)防�、事中實時監(jiān)控、違規(guī)行為響應(yīng)����、事后合規(guī)報告、事故追蹤回放����,加強(qiáng)內(nèi)部業(yè)務(wù)操作行為監(jiān)管、避免核心資產(chǎn)(數(shù)據(jù)庫�、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)損失�����、保障業(yè)務(wù)系統(tǒng)的正常運(yùn)營����。
如下圖所示,將賬號(Account)管理����、認(rèn)證(Authentication)管理�、授權(quán)(Authorization)管理和安全審計(Audit)�,4個A在內(nèi)的所有功能模塊集成在一起,以一個統(tǒng)一的風(fēng)格呈現(xiàn)給最終用戶和系統(tǒng)管理員���。
管理平臺Portal層作為平臺使用的統(tǒng)一入口�����,為普通操作人員和管理人員提供一個基于Web方式的登錄界面��。
4A平臺管理系統(tǒng)的賬號管理用于集中維護(hù)包括自然人賬號(主帳號)和資源賬號(從帳號)在內(nèi)的全部帳號以及相關(guān)的賬號屬性�����。
4A平臺管理系統(tǒng)將管轄的資源進(jìn)行了邏輯上的集中授權(quán)管理�。在資源中擁有各自獨(dú)立的權(quán)限管理功能�����,對所管理對象和主帳號進(jìn)行授權(quán)���,實現(xiàn)了實體級的授權(quán)��。對所管理對象上的從帳號可以使用角色進(jìn)行授權(quán)���,而不需要進(jìn)入每一個被管理對象才能授權(quán),完成實體內(nèi)授權(quán)���。
4A平臺管理系統(tǒng)提供對審計事件�、告警事件����、帳號管理事件和認(rèn)證授權(quán)事件進(jìn)行實時采集、監(jiān)控���、告警和查詢功能����,以便用戶實時監(jiān)控各業(yè)務(wù)系統(tǒng)的情況��,并根據(jù)預(yù)警做出相應(yīng)處理�。
4A平臺管理系統(tǒng)通過防繞行組件可以針對有線網(wǎng)絡(luò)公司用戶跳開4A管理平臺直接登錄業(yè)務(wù)資源或者登錄系統(tǒng)資源的行為進(jìn)行記錄、告警和阻斷���。主要方法是通過繞行阻斷和重定向方式來實現(xiàn)�����,保證所有的用戶都必須通過4A管理平臺來登錄所有資源��,實現(xiàn)4A的賬號��、認(rèn)證����、授權(quán)、審計管理����。
4A平臺管理系統(tǒng)向有線網(wǎng)絡(luò)公司的外部系統(tǒng)提供賬號管理接口、認(rèn)證接口�����、審計接口�、授權(quán)接口、外部管理接口等�����,可以靈活的與第三方系統(tǒng)相結(jié)合。
方案主要價值
對用戶整個系統(tǒng)的帳號進(jìn)行集中管理����、統(tǒng)一身份認(rèn)證����、集中授權(quán)和綜合審計等功能,可以為有線網(wǎng)絡(luò)公司用戶帶來較大價值���,其中包括:
1) 從賬號開通���、職務(wù)變更帶來的賬號權(quán)限變更、定期改密���、發(fā)現(xiàn)空白賬號到賬號刪除吊銷證書�����,實現(xiàn)賬號生命周期管理�����,可以減少賬號漏洞帶來的風(fēng)險����。
2) 加強(qiáng)對業(yè)務(wù)系統(tǒng)核心信息資產(chǎn)的訪問控制與審計,減少破壞和信息泄漏分先��,降低損失��。
3) 采用基于角色的訪問控制與審計機(jī)制�����,不僅能夠有效控制運(yùn)維操作風(fēng)險��,還能夠有效區(qū)分不同維護(hù)人員的身份����,同時能夠完整回放事故當(dāng)時操作場景,定位事故真正責(zé)任人�,便于事后追查原因與界定責(zé)任。
4) 實現(xiàn)獨(dú)立審計與三權(quán)分立���,利于完善有線網(wǎng)絡(luò)公司IT內(nèi)控機(jī)制�。
400-001-9776
