GLA天璿可信安全管理平台

内网安全

 随着企业中应用规模的增加，安全管理难度也随之提高。在小型应用系统中，由于系统规模、资源数量及用户数量有限，安全策略能够很快部署且不会带来管理不一致问题；但在大中型应用系统中，如何保证系统各组成部分之间安全策略的快速部署及一致性执行则成为一个非常现实和紧迫的问题，并最终决定了应用系统的安全效率及管理效果。 

安全管理中最为核心的内容是认证与权限控制。国路安公司基于目录服务系统开发出的应用认证与权限管理平台可实现对应用系统中用户身份、资源、证书、角色权限、访问控制等安全信息和安全策略的集中统一管理，并结合信息安全等级保护对高安全（三级及以上）等级系统的管理和技术要求，安全管理还包括了如安全标记管理、接入策略管理等等，以满足不同用户实际业务需求。除满足一般应用环境下的管理需求，管理平台还应能适应大型、复杂生产系统的实际管理需要，在某些行业内，有些是属于“集中指挥、分级管理”的管理体系，这就要求应用的认证与权限管理应该与用户的业务管理结构及流程一致，在体现“集中管理”的客观要求下，基于角色的安全管理能够更忠实地体现现实组织结构的管理模式，同时可以减轻因为人员变化而带来的大量繁杂的授权变更操作。可信管理平台主要功能特点如下：1）基于用户和角色的授权管理。支持基于用户和角色的授权管理机制，安全管理员可以根据用户身份分配或根据角色（业务岗位）确定对资源的访问权限。2）基于权限委托的管理机制。通过权限委托方式，将具体的与业务应用密切相关的安全管理细节委任给具体的适当人选，而高层管理人员或机构通过这种创建或取消权限委托的方式实现其管理意志。有效地实现“集中指挥、多级管理”的现实管理方式和管理要求，最大限度支持现有业务管理流程。3）支持“最小特权”安全原则。通过安全访问控制机制限制每个安全管理员对安全目录信息（包括身份、资源、角色、证书、安全标记、安全策略等）的管理权限，并通过管理权限的合理设置保证安全管理员拥有充分并且适当的管理范围和管理能力。4）可信管理。本系统建立在可信的目录服务平台上，支持基于证书的安全管理人员和管理设备的身份认证，保证管理人员和安全管理平台的身份可信；支持基于密码技术的安全目录信息传输和复制，保证安全目录服务内容的可信；通过信任传递机制保证安全管理平台的运行可信。5）实时高效。通过应用内置LDAP服务减少应用在安全机制执行过程中的性能开销，提高系统的管理实时性和高效性。 6）高可用性结构。系统内置LDAP服务机制本质上保证了应用安全策略执行实体与安全管理系统之间的松耦合性，不会因安全管理系统导致安全策略不可用。此外，GLA天璿可信安全管理平台还通过APP软件

双机热备等方式提供安全管理的高可用性。采用GLA天璿可信安全管理平台的最大优势在于：以标准化技术为基础，容易实现客户化定制；充分参考了实际的机构管理模式，管理流程更符合用户要求，同时管理平台使用简单，容易维护和优化。