CA ControlMinder 如 何 在 外 延 型 企 业 中 控 制 特 权 用 户 访 问? agility made possible
TM 2
执 行 摘 要 挑 战 不 止 您 一 个 人 在 为 保 护 服 务 器 上 驻 留 的 敏 感 数 据 和 应 用 方 面 日 益 艰 巨 的 挑 战 而 忧 心 由 于 数 据 价 值 不 断 增 加 法 规 日 益 严 格 以 及 需 要 访 问 关 键 服 务 器 设 备 和 应 用 的 特 权 用 户 数 量 增 加, 保 护 敏 感 信 息 和 知 识 产 权 变 得 越 来 越 困 难 管 理 特 权 用 户 所 面 临 的 挑 战 包 括 管 理 对 与 每 个 特 权 用 户 关 联 的 关 键 数 据 和 密 码 的 安 全 访 问 这 将 迫 使 您 更 加 努 力 地 在 大 型 复 杂 分 散 的 环 境 中 控 制 特 权 用 户 同 时, 您 的 IT 组 织 必 须 保 持 对 业 务 要 求 的 响 应 速 度, 这 有 时 会 要 求 您 在 维 护 安 全 和 问 责 制 时 创 建 本 地 异 常 如 今 组 织 还 面 临 越 来 越 具 挑 战 性 越 来 越 严 格 的 审 核 和 法 规 要 求, 而 您 必 须 满 足 这 些 要 求 您 或 许 依 赖 于 操 作 系 统 内 的 本 机 安 全 功 能, 但 这 样 做 会 导 致 职 责 分 离 方 面 的 安 全 问 题 以 及 可 管 理 性 和 合 规 性 违 规 除 了 实 施 安 全 策 略 外, 您 还 必 须 维 护 并 管 理 UNIX 上 的 身 份, 这 是 另 一 个 挑 战 UNIX 通 常 以 孤 岛 的 形 式 进 行 管 理, 这 增 加 了 管 理 成 本 和 开 销 机 遇 您 需 要 单 个 独 立 的 中 央 安 全 系 统 来 管 理 外 延 型 企 业 中 的 服 务 器 设 备 和 应 用 资 源, 从 而 提 供 了 一 种 灵 活 且 可 追 踪 的 方 法, 通 过 向 授 权 管 理 员 委 派 必 要 权 限 来 包 含 超 级 用 户 帐 户 该 安 全 系 统 还 应 能 够 提 供 强 大 的 控 制, 以 管 理 特 权 用 户 集 中 管 理 身 份 验 证 并 提 供 强 大 的 审 核 和 报 告 基 础 架 构 CA ControlMinder 在 系 统 级 别 上 运 行, 以 在 各 系 统 ( 包 括 Windows UNIX Linux 和 虚 拟 化 环 境 ) 中 进 行 高 效 且 一 致 的 实 施 通 过 使 用 高 级 策 略 管 理 功 能 将 服 务 器 安 全 策 略 分 发 到 端 点 设 备 服 务 器 和 应 用, 您 可 以 控 制 特 权 用 户 此 外, 您 还 可 以 安 全 地 支 持 对 每 个 策 略 更 改 和 实 施 操 作 的 审 核, 以 遵 从 全 球 法 规 CA ControlMinder 提 供 了 一 种 全 局 性 的 访 问 管 理 方 法, 因 为 该 方 法 包 含 的 主 要 功 能 可 保 护 和 封 锁 关 键 数 据 和 应 用 管 理 特 权 身 份 集 中 管 理 使 用 Microsoft Active Directory (AD) 的 UNIX 身 份 验 证 并 提 供 安 全 审 核 和 报 告 基 础 架 构 3
优 势 CA ControlMinder 允 许 您 创 建 部 署 和 管 理 复 杂 且 细 化 的 访 问 控 制 策 略, 以 仅 允 许 授 权 的 特 权 用 户 获 取 最 敏 感 的 数 据 和 应 用 通 过 多 平 台 ( 包 括 虚 拟 平 台 ) 支 持 以 及 与 CA 身 份 和 访 问 管 理 产 品 系 列 的 其 余 产 品 的 集 成,CA ControlMinder 可 以 : 一 致 地 规 范 和 审 核 对 各 平 台 上 的 关 键 服 务 器 设 备 和 应 用 的 访 问 管 理 特 权 用 户 密 码 让 您 能 够 主 动 展 示 对 特 权 用 户 的 细 化 控 制 通 过 创 建 和 报 告 服 务 器 访 问 策 略 实 施 内 部 和 监 管 合 规 要 求 通 过 在 全 球 分 散 型 企 业 中 集 中 管 理 安 全 来 帮 助 降 低 管 理 成 本 使 您 能 够 从 单 个 Active Directory 用 户 存 储 中 验 证 UNIX 和 Linux 特 权 用 户 加 固 操 作 系 统 以 降 低 外 部 安 全 风 险 并 提 高 操 作 环 境 可 靠 性 将 OOTB 与 生 成 特 定 于 法 规 的 深 入 报 告 的 审 核 基 础 架 构 相 集 成 第 1 部 分 : 挑 战 服 务 器 : 现 今 数 据 中 心 的 复 杂 源 管 理 大 型 环 境 中 的 安 全 策 略 仍 然 是 一 个 挑 战, 尤 其 是 保 持 对 业 务 请 求 的 响 应 速 度 非 常 重 要, 这 包 括 灵 活 创 建 本 地 异 常 现 今 的 数 据 中 心 要 求 对 不 断 增 多 的 服 务 器 设 备 和 应 用 资 源 具 有 广 泛 的 可 见 性, 同 时 提 供 更 改 问 责 制 并 保 护 这 些 资 源 中 驻 留 的 敏 感 数 据 无 法 管 理 特 权 用 户 是 造 成 高 端 数 据 泄 漏 的 直 接 原 因 IT 专 业 人 员 最 重 要 的 工 作 之 一 就 是 维 护 数 据 完 整 性 采 用 所 有 这 些 新 的 数 据 中 心 扩 展 性 和 灵 活 性 技 术, 而 不 衡 量 与 这 些 新 技 术 相 关 的 安 全 和 数 据 保 护 要 求, 是 一 个 非 常 严 重 的 错 误 4
根 据 美 国 隐 私 权 信 息 交 流 中 心 提 供 的 数 据, 自 2005 年 起, 美 国 有 超 过 3.4 亿 份 包 含 敏 感 个 人 信 息 的 记 录 涉 及 安 全 违 规, 产 生 了 大 量 的 合 规 性 罚 款 方 面 的 成 本, 用 于 监 控 受 害 者 的 信 用 补 发 信 用 卡 和 银 行 卡 以 及 修 复 受 损 品 牌 的 声 誉 1 这 些 持 续 不 断 的 违 规 促 使 全 世 界 的 政 府 部 门 规 定 了 更 完 善 的 数 据 保 护 和 信 息 安 全 实 践 HIPAA GLBA 萨 班 斯 - 奥 克 斯 利 法 案 欧 盟 数 据 保 护 指 令 ISO27001 PIPEDA 和 巴 塞 尔 协 议 II 等 法 规 都 专 注 于 解 决 这 些 问 题 支 付 卡 行 业 数 据 安 全 标 准 (PCI DSS) 将 这 些 监 管 框 架 提 升 到 了 一 个 新 的 水 平 通 过 指 定 一 系 列 保 护 持 卡 人 数 据 所 必 需 的 12 项 要 求,PCI DSS 强 制 IT 组 织 实 行 另 一 种 问 责 制 级 别 此 外, 萨 班 斯 - 奥 克 斯 利 法 案 具 有 与 职 责 分 离 相 关 的 严 格 要 求, 确 保 对 分 散 于 多 个 资 源 中 的 复 杂 业 务 流 程 负 责, 以 便 检 查 并 平 衡 这 些 职 能 因 此, 必 须 实 施 完 善 的 资 源 保 护 才 能 满 足 这 些 要 求 您 还 必 须 提 供 粒 度 化 审 核 记 录 和 报 告, 以 充 实 每 个 审 核 的 控 制 策 略 状 态 和 安 全 服 务 器 访 问 日 志 这 些 法 规 指 定 了 细 化 控 制 和 跨 平 台 一 致 性 以 确 保 职 责 分 离, 特 别 是 在 混 合 操 作 系 统 环 境 下 此 外, 在 发 生 危 害 事 件 的 情 况 下, 还 规 定 能 够 以 法 庭 认 为 合 理 的 方 式 重 新 搜 索 事 件 这 样 可 推 动 中 央 日 志 存 储 库 中 审 核 数 据 的 收 集 和 整 合 最 终, 随 着 监 管 要 求 的 日 益 严 格, 合 规 性 报 告 成 为 任 何 服 务 器 安 全 解 决 方 案 的 一 个 重 要 方 面 报 告 应 该 是 准 确 的, 应 该 满 足 所 涉 及 的 特 定 要 求, 并 以 易 于 理 解 的 方 式 显 示 输 出 我 们 所 面 对 的 对 手 类 型 在 不 断 变 化, 因 为 假 定 攻 击 者 是 来 自 组 织 外 部 的 无 名 普 通 黑 客 的 做 法 不 再 有 效 如 今, 攻 击 者 极 有 可 能 是 心 存 不 满 的 员 工 破 坏 者 或 道 德 和 忠 诚 度 值 得 怀 疑 的 业 务 合 作 伙 伴 因 此, 您 需 要 保 护 服 务 器 资 源 免 遭 外 部 攻 击 者 ( 来 自 组 织 外 部 ) 和 内 部 人 员 ( 特 别 是 特 权 用 户, 他 们 对 驻 留 在 其 可 以 访 问 的 每 个 服 务 器 设 备 或 应 用 上 的 所 有 敏 感 数 据 都 具 有 访 问 权 限 ) 的 威 胁 保 护 服 务 器 并 在 这 些 特 权 用 户 中 实 施 问 责 制 的 复 杂 性 相 当 大 服 务 器 管 理 员 使 用 的 常 见 技 术 是 共 享 特 权 用 户 帐 户 并 使 用 常 规 登 录 身 份, 如 administrator 或 root 由 于 以 下 多 种 原 因, 这 种 技 术 是 有 问 题 的 : 共 享 用 户 帐 户 将 阻 止 审 核 日 志 真 正 确 定 哪 个 管 理 员 对 服 务 器 做 出 了 哪 些 更 改, 从 而 破 坏 了 对 满 足 法 规 要 求 至 关 重 要 的 问 责 制 这 些 共 享 帐 户 通 常 会 向 特 权 用 户 提 供 对 关 键 系 统 和 数 据 的 访 问 权 限, 主 要 是 因 为 很 难 使 用 细 化 访 问 规 则 在 成 千 上 万 台 服 务 器 上 管 理 策 略 特 权 用 户 访 问 加 上 管 理 员 疏 忽, 常 常 会 影 响 业 务 连 续 性 同 时, 由 于 缺 少 问 责 制, 几 乎 无 法 追 溯 到 犯 错 的 特 定 管 理 员, 从 而 导 致 安 全 和 问 责 制 问 题 1 来 源 : 美 国 隐 私 权 信 息 交 流 中 心,2010 年 1 月 5
除 了 维 护 特 权 用 户 访 问 的 问 责 制, 必 须 以 及 时 又 安 全 的 方 式 存 储 更 改 并 分 发 这 些 共 享 密 码, 以 便 遵 从 公 司 安 全 策 略 许 多 应 用 还 在 shell 脚 本 和 批 处 理 文 件 中 使 用 硬 编 码 密 码, 这 样 实 际 上 会 使 问 题 更 加 严 重 这 些 密 码 是 静 态 的, 任 何 有 权 访 问 脚 本 文 件 的 人 员 都 可 以 获 得, 包 括 恶 意 入 侵 者 根 据 Verizon 2010 报 告,48% 的 数 据 外 泄 是 由 内 部 人 员 导 致 的, 在 过 去 一 年 中 增 加 了 26% UNIX 如 今,UNIX 访 问 通 过 多 个 分 散 帐 户 存 储 以 孤 岛 的 形 式 进 行 管 理, 用 户 在 不 同 系 统 上 具 有 多 个 帐 户 这 增 加 了 管 理 成 本 和 开 销, 也 增 加 了 环 境 的 整 体 复 杂 性, 因 为 大 量 任 务 关 键 型 应 用 依 赖 UNIX 来 保 证 运 行 时 间 和 可 用 性 在 这 个 多 样 化 的 世 界 中, 一 切 都 是 围 绕 执 行 一 致 的 策 略 和 在 服 务 器 之 间 启 用 整 合 记 录 所 管 理 的 服 务 器 和 设 备 的 数 量 激 增 也 加 剧 了 这 些 问 题 虚 拟 机 扩 展 意 味 着 要 管 理 的 服 务 器 越 来 越 多, 由 于 Hypervisor 不 关 心 哪 个 操 作 系 统 是 来 宾 操 作 系 统, 这 将 使 异 构 性 问 题 进 一 步 恶 化 然 而, 很 大 程 度 上 忽 略 了 维 护 不 断 扩 展 的 虚 拟 数 据 中 心 的 安 全 性 虚 拟 化 还 创 建 了 新 的 Hypervisor 特 权 用 户 类 别, 这 些 特 权 用 户 可 以 创 建 复 制 移 动 或 管 理 这 些 来 宾 操 作 系 统, 这 进 一 步 强 调, 除 了 审 核 功 能 外, 还 需 要 足 够 的 职 责 分 离 以 阻 止 这 些 来 宾 操 作 系 统 中 运 行 的 数 据 和 应 用 受 到 危 害 第 2 部 分 : 机 遇 管 理 和 控 制 外 延 型 企 业 中 的 特 权 用 户 访 问 从 管 理 的 角 度 来 看, 系 统 管 理 员 负 责 固 定 数 量 的 运 行 特 定 应 用 的 服 务 器 的 旧 模 型 已 不 合 时 宜 现 在, 管 理 员 逐 渐 地 专 门 处 理 更 加 分 散 更 加 复 杂 的 应 用 的 固 有 复 杂 性 使 用 虚 拟 化 技 术 分 离 服 务 器 硬 件 操 作 系 统 和 应 用 使 得 此 专 门 化 过 程 更 加 复 杂 现 在, 电 子 邮 件 服 务 器 和 数 据 库 可 以 在 同 一 物 理 服 务 器 上 运 行, 这 大 大 增 加 了 环 境 的 复 杂 性 因 此, 这 些 管 理 员 需 要 使 用 特 权 密 码 安 全 登 录, 并 对 其 应 用 操 作 系 统 Hypervisor 以 及 设 备 ( 如 路 由 器 ) 具 有 不 同 级 别 的 访 问 权 限 6
为 所 有 这 些 管 理 员 提 供 不 受 限 制 的 功 能 是 一 个 重 大 安 全 风 险 特 权 帐 户 (Windows 中 为 administrator,unix 中 为 root) 可 以 运 行 任 何 程 序 修 改 任 何 文 件 和 / 或 停 止 任 何 进 程 如 果 无 法 将 这 些 特 权 用 户 限 制 为 只 能 执 行 其 工 作 职 责 范 围 内 的 任 务, 也 无 法 将 特 定 管 理 操 作 与 特 定 人 员 明 确 关 联, 将 导 致 安 全 和 问 责 制 空 白, 并 违 反 如 今 的 安 全 规 范 的 关 键 要 求 特 权 用 户 可 能 会 犯 错, 不 管 是 无 意 还 是 恶 意 有 效 的 特 权 用 户 管 理 提 供 以 下 功 能 : 以 自 动 化 方 式 保 护 管 理 和 分 发 特 权 用 户 凭 据 通 过 仅 在 相 应 人 员 需 要 时 向 其 委 派 必 要 权 限 来 包 含 这 些 用 户 维 护 这 些 用 户 的 问 责 制 并 能 够 报 告 其 操 作 这 些 管 理 员 可 以 在 不 泄 露 敏 感 数 据 或 业 务 关 键 型 资 源 的 情 况 下 完 成 工 作 此 外, 此 类 方 法 提 供 了 审 核 跟 踪, 并 对 管 理 员 及 其 操 作 实 施 问 责 制 并 且, 面 对 增 加 的 成 本 缩 减 压 力,IT 组 织 正 在 克 服 在 用 户 身 份 验 证 领 域 内 统 一 UNIX 和 Windows 环 境 的 内 部 障 碍 CA ControlMinder CA ControlMinder 通 过 集 中 控 制 和 管 理 对 一 组 不 同 的 服 务 器 设 备 和 应 用 的 特 权 用 户 访 问, 满 足 了 内 部 策 略 和 外 部 合 规 性 法 规 CA ControlMinder 通 过 从 单 个 管 理 控 制 台 跨 平 台 创 建 部 署 并 管 理 复 杂 细 化 的 访 问 控 制 策 略, 超 越 了 适 用 于 本 机 操 作 系 统 的 基 本 控 制, 并 满 足 最 严 格 的 公 司 策 略 和 法 规 的 需 求 整 个 解 决 方 案 称 为 CA ControlMinder, 包 含 以 下 组 件 : CA ControlMinder 提 供 安 全 存 储 和 对 特 权 用 户 密 码 的 访 问 包 含 用 于 加 固 操 作 系 统 和 实 施 基 于 角 色 的 细 化 访 问 控 制 的 CA ControlMinder 核 心 元 素 UNIX (UNAB) 允 许 UNIX 和 Linux 用 户 使 用 其 Active Directory 凭 据 进 行 身 份 验 证 CA 允 许 您 将 所 有 CA ControlMinder 审 核 日 志 集 中 收 集 并 整 合 到 可 用 于 高 级 报 告 事 件 关 联 和 报 警 的 中 央 存 储 库 7
CA ControlMinder 共 享 帐 户 管 理 A. CA ControlMinder 共 享 帐 户 管 理 > 保 护 共 享 密 码 > 确 保 共 享 帐 户 访 问 问 责 制 CA ControlMinder > 管 理 共 享 帐 户 密 码 策 略 > 从 脚 本 中 删 除 明 文 密 码 IT Web APP Windows Linux Unix 共 享 帐 户 管 理 提 供 对 特 权 帐 户 的 安 全 访 问, 这 有 助 于 通 过 发 放 临 时 的 一 次 性 密 码 或 者 根 据 需 要 发 放 密 码 来 实 行 特 权 访 问 问 责 制, 并 通 过 安 全 审 核 实 行 用 户 操 作 问 责 制 这 也 称 为 此 外,CA ControlMinder 还 旨 在 允 许 应 用 以 编 程 方 式 访 问 系 统 密 码, 与 此 同 时, 从 脚 本 批 护 理 文 件 ODBC 和 JDBC 包 中 移 除 硬 编 码 密 码 这 称 为 对 共 享 帐 户 管 理 的 支 持 适 用 于 物 理 或 虚 拟 环 境 中 的 众 多 服 务 器 应 用 ( 包 括 数 据 库 ) 和 网 络 设 备 CA ControlMinder 共 享 帐 户 管 理 将 重 要 的 应 用 和 系 统 密 码 存 储 在 安 全 且 受 保 护 的 数 据 存 储 中 需 要 访 问 这 些 敏 感 密 码 的 用 户 可 以 使 用 直 观 易 用 的 Web UI 签 出 和 签 入 这 些 密 码 共 享 帐 户 管 理 实 施 特 权 访 问 策 略, 这 些 策 略 用 于 管 理 哪 些 用 户 可 以 使 用 哪 些 共 享 帐 户 通 过 共 享 帐 户 管 理 进 行 管 理 的 每 个 密 码 都 具 有 定 义 其 唯 一 性 的 关 联 密 码 策 略 这 可 确 保 端 点 系 统 应 用 或 数 据 库 接 受 由 共 享 帐 户 管 理 生 成 的 密 码 密 码 策 略 还 确 定 了 密 码 保 险 箱 为 帐 户 自 动 创 建 新 密 码 的 时 间 间 隔 8
共 享 帐 户 管 理 将 在 连 接 到 共 享 帐 户 管 理 企 业 管 理 服 务 器 的 托 管 端 点 上 发 现 所 有 帐 户 然 后, 共 享 帐 户 管 理 管 理 员 可 以 决 定 要 使 用 哪 些 帐 户 随 后 这 些 帐 户 即 可 分 配 给 特 权 访 问 角 色, 该 角 色 可 以 作 为 共 享 帐 户 管 理 策 略 的 一 部 分 授 予 最 终 用 户 CA ControlMinder 共 享 帐 户 管 理 可 提 供 基 于 服 务 器 的 体 系 结 构, 以 最 大 限 度 地 减 少 部 署 工 作 并 降 低 风 险 CA ControlMinder 共 享 帐 户 管 理 托 管 端 点 上 不 需 要 任 何 代 理 所 有 连 接 均 从 CA ControlMinder Enterprise Management 服 务 器 使 用 本 机 功 能 来 完 成 例 如, 数 据 库 使 用 JDBC,UNIX 和 Linux 使 用 SSH,Windows 使 用 WMI 通 过 与 CA Service Desk Manager 集 成, 可 以 在 请 求 和 应 急 任 务 中 添 加 服 务 台 故 障 单, 验 证 服 务 台 故 障 单, 而 且 审 批 者 可 以 通 过 查 看 故 障 单 获 取 更 多 信 息 所 有 特 权 访 问 都 在 CA ControlMinder 共 享 帐 户 管 理 内 进 行 审 核 和 记 录 CA 用 户 活 动 报 告 可 提 供 增 强 的 记 录 和 关 联 功 能, 包 括 能 够 将 系 统 应 用 或 数 据 库 生 成 的 本 机 日 志 与 共 享 帐 户 管 理 日 志 关 联 此 外, 如 果 CA ControlMinder 安 装 在 服 务 器 端 点 (UNIX Linux 和 Windows) 上, 还 将 跟 踪 并 审 核 所 有 特 权 用 户 的 活 动 也 可 以 在 CA 用 户 活 动 报 告 中 集 中 这 些 日 志, 并 将 其 关 联 到 由 CA ControlMinder 共 享 帐 户 管 理 生 成 的 签 出 事 件 如 果 CA ControlMinder 共 享 帐 户 管 理 端 点 发 生 故 障, 该 端 点 将 从 可 能 不 是 当 前 备 份 的 一 个 备 份 中 进 行 恢 复 在 这 种 情 况 下, 共 享 帐 户 管 理 保 存 的 密 码 不 会 与 该 端 点 中 的 恢 复 密 码 匹 配 CA ControlMinder Enterprise Management 服 务 器 可 显 示 之 前 使 用 过 的 密 码 的 列 表, 并 且 可 以 将 该 端 点 恢 复 到 共 享 帐 户 管 理 的 当 前 配 置 CA ControlMinder 共 享 帐 户 管 理 有 一 个 排 他 签 出 工 具, 该 工 具 在 任 意 给 定 时 间 仅 允 许 某 个 特 定 人 员 签 出 某 个 帐 户 此 外, 共 享 帐 户 管 理 还 可 以 通 过 将 系 统 上 的 访 问 事 件 关 联 到 由 共 享 帐 户 管 理 应 用 生 成 的 签 出 事 件 来 跟 踪 原 始 用 户 操 作 此 功 能 旨 在 简 化 并 保 护 过 程, 方 法 是 通 过 允 许 用 户 请 求 密 码, 然 后 单 击 按 钮 以 使 用 该 密 码, 以 特 权 用 户 身 份 使 用 户 自 动 登 录 到 目 标 系 统, 整 个 过 程 不 会 看 到 实 际 密 码 这 将 防 止 越 肩 偷 看 密 码 并 为 密 码 请 求 者 加 快 处 理 过 程 CA ControlMinder 通 过 共 享 帐 户 管 理 /CA ControlMinder 的 高 级 集 成, 您 可 以 将 CA ControlMinder 端 点 与 共 享 帐 户 管 理 集 成 以 跟 踪 签 出 特 权 帐 户 的 用 户 的 活 动 此 功 能 仅 在 与 以 上 所 述 的 共 享 帐 户 管 理 自 动 登 录 功 能 结 合 使 用 时 才 受 支 持, 使 用 此 功 能, 您 可 以 指 定 用 户 在 登 录 到 CA ControlMinder 端 点 之 前 必 须 通 过 企 业 管 理 服 务 器 签 出 特 权 帐 户 9
通 过 与 第 三 方 软 件 集 成, 特 权 会 话 记 录 和 回 放 现 在 作 为 CA ControlMinder 共 享 帐 户 管 理 的 一 部 分 提 供 此 功 能 借 助 DVR 型 功 能 加 快 审 核, 以 对 特 权 用 户 会 话 进 行 记 录 和 回 放 CA ControlMinder 共 享 帐 户 管 理 可 提 供 完 整 的 双 重 控 制 工 作 流 功 能 以 定 期 和 紧 急 访 问 特 权 帐 户 可 以 选 择 为 特 定 最 终 用 户 和 / 或 特 定 特 权 帐 户 启 用 工 作 流 用 户 在 以 下 情 况 下 执 行 应 急 签 出 : 用 户 在 尚 未 获 得 帐 户 管 理 授 权 的 情 况 下 需 要 立 即 访 问 帐 户 应 急 帐 户 是 未 根 据 用 户 的 传 统 角 色 分 配 给 该 用 户 的 特 权 帐 户 但 是, 如 果 需 要, 用 户 可 在 无 干 扰 和 延 迟 的 情 况 下 获 取 帐 户 密 码 在 应 急 签 出 过 程 中, 将 向 管 理 员 发 送 一 条 通 知 消 息 但 是, 管 理 员 无 法 批 准, 也 无 法 停 止 该 过 程 CA ControlMinder 共 享 帐 户 管 理 可 自 动 管 理 本 应 手 工 管 理 的 服 务 帐 户 密 码 (Windows 服 务 ), 管 理 需 要 登 录 到 系 统 的 Windows 排 定 任 务 所 使 用 的 密 码 (Windows 排 定 任 务 ), 以 及 与 Windows 运 行 方 式 机 制 集 成 以 从 共 享 帐 户 管 理 中 检 索 相 关 特 权 用 户 的 密 码 CA ControlMinder 共 享 帐 户 管 理 还 可 以 自 动 重 置 应 用 ID 密 码 共 享 帐 户 管 理 可 以 通 过 阻 止 ODBC 和 JDBC 连 接 并 将 其 替 换 为 特 权 帐 户 的 当 前 凭 据, 来 管 理 IIS 或 J2EE 应 用 服 务 器 使 用 的 服 务 帐 户 以 及 由 这 些 帐 户 托 管 的 应 用 在 大 多 数 情 况 下,CA ControlMinder 共 享 帐 户 管 理 可 提 供 此 功 能, 而 无 需 对 应 用 进 行 任 何 更 改 此 功 能 需 要 共 享 帐 户 管 理 代 理 安 装 在 运 行 应 用 的 端 点 上, 或 安 装 在 J2EE 服 务 器 上 ( 如 果 是 Web 应 用 ) Shell 您 可 以 使 用 脚 本 内 的 共 享 帐 户 管 理 代 理 将 硬 编 码 的 密 码 替 换 为 可 从 CA ControlMinder 共 享 帐 户 管 理 企 业 管 理 签 出 的 密 码 这 使 您 无 需 在 脚 本 内 包 含 硬 编 码 的 密 码 有 关 共 享 帐 户 管 理 的 更 多 深 入 的 技 术 详 细 信 息, 请 参 阅 CA ControlMinder 共 享 帐 户 管 理 技 术 简 介 10
使 用 CA ControlMinder 进 行 端 点 保 护 和 服 务 器 加 固 B. CA ControlMinder 提 供 了 基 于 角 色 的 安 全 策 略 实 施 CA ControlMinder 的 核 心 元 素 是 安 全 的 经 过 加 固 的 代 理, 这 些 代 理 本 身 可 与 操 作 系 统 集 成 以 实 施 和 审 核 满 足 合 规 性 规 范 所 需 的 粒 度 化 策 略 端 点 代 理 可 用 于 所 有 主 要 操 作 系 统, 包 括 所 有 主 要 的 Linux UNIX 和 Windows 版 本 受 支 持 系 统 的 最 新 列 表 可 在 CA 支 持 网 站 上 找 到 CA ControlMinder 可 提 供 本 机 软 件 包 格 式, 以 便 在 支 持 的 操 作 系 统 上 本 机 安 装 和 管 理 CA ControlMinder 这 将 便 于 全 球 性 企 业 环 境 快 速 部 署 众 多 受 管 服 务 器 此 外,CA ControlMinder 还 可 提 供 统 一 的 用 户 友 好 型 Web 界 面, 以 便 管 理 端 点 策 略 应 用 和 设 备 CA ControlMinder 本 身 支 持 大 多 数 虚 拟 平 台 ( 包 括 VMware ESX Solaris 10 Zones 和 LDOM Microsoft Hyper-V IBM VIO 和 AIX LPAR HP-UX VPAR Linux Xen 和 Mainframe x/vm), 从 而 保 护 在 这 些 平 台 上 运 行 的 Hypervisor 层 和 来 宾 操 作 系 统 在 企 业 环 境 中, 对 用 户 管 理 和 启 用 了 目 录 的 应 用 部 署 使 用 目 录 已 司 空 见 惯 CA ControlMinder 支 持 企 业 用 户 存 储 ( 即 本 机 操 作 系 统 的 用 户 和 组 的 存 储 ) 通 过 此 本 机 集 成, 您 可 以 为 企 业 用 户 和 组 定 义 访 问 规 则, 而 无 需 将 用 户 和 组 同 步 或 导 入 到 CA ControlMinder 数 据 库 许 多 组 织 可 部 署 各 种 服 务 器 基 础 架 构 ( 包 括 Windows Linux 和 UNIX 系 统 ) 通 过 CA ControlMinder, 您 可 以 在 所 有 这 些 环 境 中 实 现 一 致 且 集 成 的 访 问 安 全 策 略 管 理 和 实 施 高 级 策 略 体 系 结 构 提 供 了 一 个 单 一 界 面, 通 过 该 界 面, 可 以 对 策 略 进 行 管 理 并 将 其 同 时 分 发 给 Windows 和 UNIX 订 购 用 户 通 过 整 合 对 Linux UNIX 和 Windows 服 务 器 的 管 理, 可 减 少 所 需 的 管 理 工 作 量 并 提 高 系 统 管 理 员 效 率, 从 而 节 省 管 理 成 本 11
CA ControlMinder 是 一 个 独 立 的 安 全 实 施 解 决 方 案, 这 意 味 着 它 不 依 赖 于 基 础 操 作 系 统 来 实 施 服 务 器 访 问 控 制 策 略 通 过 在 系 统 级 别 上 运 行,CA ControlMinder 可 监 控 并 规 范 对 系 统 资 源 的 所 有 访 问, 包 括 对 源 自 域 或 本 地 系 统 管 理 员 的 访 问 这 些 细 化 访 问 实 施 功 能 可 规 范 委 派 和 包 含 域 管 理 员 或 IT 环 境 中 的 任 何 其 他 帐 户, 并 提 供 以 下 功 能 : CA ControlMinder 可 控 制 代 理 用 户 委 派 功 能 以 降 低 出 现 使 用 增 强 权 限 运 行 应 用 的 未 授 权 用 户 的 几 率, 并 实 现 共 享 帐 户 活 动 问 责 制 例 如, 管 理 员 可 能 会 使 用 另 一 个 人 的 身 份 资 料 更 改 文 件 的 访 问 控 制 列 表 (ACL) 属 性, 而 无 需 对 其 操 作 负 责 CA ControlMinder 可 通 过 首 先 限 制 使 用 运 行 方 式 和 UNIX su 命 令 的 用 户 并 保 留 原 始 用 户 ID( 即 使 在 代 理 操 作 之 后 ) 在 多 个 级 别 上 提 供 保 护, 从 而 确 保 审 核 日 志 中 的 用 户 访 问 记 录 显 示 原 始 帐 户 的 访 问 记 录 这 将 允 许 用 户 使 用 其 自 己 的 ID 登 录 并 安 全 地 更 改 特 权 帐 户 的 资 料, 而 不 丧 失 问 责 制 (administrator/root) root 帐 户 是 漏 洞 的 重 要 来 源, 因 为 该 帐 户 允 许 应 用 或 用 户 具 有 超 出 所 需 级 别 的 权 限 CA ControlMinder 会 在 系 统 级 别 上 检 查 所 有 相 关 传 入 请 求, 并 基 于 定 义 的 规 则 和 策 略 实 施 授 权 甚 至 root 特 权 帐 户 也 不 能 绕 过 此 级 别 的 控 制 因 此, 所 有 特 权 用 户 都 将 成 为 受 管 用 户 并 对 自 己 在 系 统 上 的 活 动 负 责 最 佳 实 践 规 定 每 个 管 理 员 拥 有 执 行 其 工 作 职 能 所 需 的 足 够 权 限, 而 不 能 拥 有 更 多 权 限 通 过 提 供 复 杂 的 基 于 角 色 的 访 问 控 制 环 境, 管 理 员 无 法 共 享 管 理 员 密 码, 并 且 可 能 会 利 用 其 关 联 的 权 限 默 认 情 况 下,CA ControlMinder 提 供 了 常 见 的 管 理 和 审 核 角 色, 可 以 对 这 些 角 色 进 行 自 定 义 和 扩 展 以 满 足 IT 组 织 的 需 求 本 机 操 作 系 统 (Linux UNIX 和 Windows) 提 供 了 有 限 功 能, 以 便 向 不 够 强 大 的 用 户 帐 户 以 粒 度 化 且 有 效 的 方 式 委 派 特 定 系 统 管 理 权 限 CA ControlMinder 基 于 许 多 条 件 ( 包 括 网 络 属 性 时 间 日 历 或 访 问 程 序 ) 提 供 细 化 实 施 并 规 范 访 问 功 能 包 括 : 其 他 粒 度 化 控 制 为 文 件 服 务 以 及 其 他 操 作 系 统 级 别 ( 重 命 名 复 制 停 止 启 动 ) 的 功 能 提 供 特 定 权 限 的 控 制 可 以 分 配 给 特 定 管 理 员 或 管 理 员 组 不 同 级 别 的 实 施 CA ControlMinder 警 告 模 式 通 常 由 组 织 用 来 确 定 建 议 的 安 全 策 略 是 太 严 格 还 是 太 宽 松, 以 便 对 这 些 策 略 进 行 相 应 地 修 改 此 外,CA ControlMinder 还 提 供 了 立 即 验 证 安 全 策 略 的 效 果 而 不 通 过 验 证 模 式 设 置 实 施 限 制 的 功 能 增 强 的 ACL CA ControlMinder 提 供 了 许 多 增 强 的 ACL 功 能 来 增 强 安 全 管 理 员 的 能 力, 以 便 将 访 问 权 限 适 当 地 分 配 给 授 权 用 户 ( 包 括 程 序 访 问 控 制 列 表 (PACL)), 这 些 用 户 仅 允 许 从 特 定 程 序 或 二 进 制 文 件 访 问 资 源 基 于 网 络 的 访 问 控 制 当 今 的 开 放 环 境 需 要 对 通 过 网 络 流 动 的 用 户 访 问 和 信 息 进 行 强 有 力 的 控 制 基 于 网 络 的 访 问 控 制 可 添 加 另 外 一 层 的 保 护 以 规 范 对 网 络 的 访 问 CA ControlMinder 可 以 管 理 对 网 络 端 口 或 网 络 访 问 程 序 的 访 问, 网 络 安 全 策 略 可 以 按 终 端 ID 主 机 名 网 络 地 址 分 段 或 其 他 属 性 管 理 双 向 访 问 登 录 控 制 CA ControlMinder 可 以 通 过 按 原 始 IP 地 址 终 端 ID 登 录 程 序 的 类 型 或 一 天 中 的 时 间 来 限 制 用 户 登 录, 从 而 增 强 登 录 安 全 CA ControlMinder 还 可 以 限 制 用 户 的 并 发 登 录 会 话 数 以 对 服 务 器 实 施 严 格 的 用 户 访 问 用 户 可 以 在 多 次 登 录 尝 试 失 败 后 自 动 挂 起, 从 而 保 护 系 统 免 受 暴 力 破 解 攻 击 此 外,CA ControlMinder 还 可 以 在 分 布 式 环 境 中 安 全 挂 起 和 吊 销 用 户 帐 户 12
虚 拟 化 可 在 一 台 物 理 计 算 机 上 整 合 多 个 服 务 器 实 例, 从 而 降 低 总 体 拥 有 成 本 并 提 高 计 算 机 利 用 率 遗 憾 的 是, 虚 拟 化 会 创 建 一 类 新 的 Hypervisor 特 权 用 户, 这 些 用 户 可 以 创 建 复 制 移 动 或 以 其 他 方 式 管 理 这 些 来 宾 操 作 系 统 这 会 导 致 额 外 需 要 充 分 的 职 责 分 离 和 整 合 的 服 务 器 资 源 保 护, 以 便 审 核 所 有 数 据 以 及 在 这 些 来 宾 操 作 系 统 上 运 行 的 所 有 应 用 并 保 护 这 些 数 据 和 应 用 免 受 危 害 使 用 CA ControlMinder, 可 以 控 制 这 些 Hypervisor 管 理 员, 也 可 以 实 施 适 当 的 职 责 分 离 此 功 能 提 供 了 关 键 的 保 护 层 以 降 低 虚 拟 化 风 险 端 点 代 理 支 持 许 多 作 为 来 宾 操 作 系 统 运 行 的 操 作 系 统 版 本, 以 及 所 有 主 要 操 作 系 统 虚 拟 化 主 机 ( 包 括 VMware ESX Solaris 10 Zones 和 LDOM Microsoft Hyper-V IBM VIO 和 AIX LPAR HP-UX VPAR Linux Xen 和 Mainframe x/vm) 深 度 防 御 战 略 的 一 个 关 键 层 可 保 护 操 作 系 统 免 受 未 经 授 权 的 外 部 访 问 或 渗 透 CA ControlMinder 提 供 了 几 项 外 部 安 全 措 施, 为 服 务 器 添 加 额 外 的 一 层 安 全 文 件 和 目 录 构 成 了 操 作 系 统 的 主 干, 泄 露 任 何 信 息 都 会 导 致 拒 绝 服 务 和 意 外 停 机 CA ControlMinder 提 供 强 大 的 通 配 符 和 程 序 访 问 选 项, 可 简 化 文 件 级 策 略 管 理 CA ControlMinder 可 以 对 关 键 文 件 和 目 录 系 统 实 施 更 改 控 制, 从 而 提 高 数 据 完 整 性 和 保 密 性 文 件 级 保 护 适 用 于 所 有 类 型 的 文 件, 包 括 文 本 文 件 目 录 程 序 文 件 设 备 文 件 符 号 链 接 NFS 挂 接 的 文 件 和 Windows 共 享 文 件 为 了 防 止 操 作 环 境 受 到 恶 意 软 件 ( 尤 其 是 木 马 ) 的 感 染,CA ControlMinder 提 供 了 一 线 可 信 程 序 保 护 可 以 将 敏 感 资 源 标 记 为 可 信, 这 些 文 件 和 程 序 随 后 将 受 到 监 控, CA ControlMinder 将 阻 止 恶 意 软 件 修 改 程 序 可 以 将 对 可 信 资 源 进 行 更 改 的 权 限 限 制 为 特 定 用 户 或 用 户 组, 以 进 一 步 减 少 意 外 更 改 的 可 能 性 Windows Windows 注 册 表 是 黑 客 和 恶 意 用 户 的 重 点 目 标, 因 为 这 个 集 中 的 数 据 库 包 含 操 作 系 统 参 数, 包 括 控 制 设 备 驱 动 程 序 配 置 详 细 信 息 和 硬 件 环 境 和 安 全 设 置 的 参 数 CA ControlMinder 通 过 支 持 一 系 列 规 则 来 提 供 注 册 表 保 护, 这 些 规 则 可 以 阻 止 管 理 员 更 改 或 篡 改 注 册 表 设 置 CA ControlMinder 可 以 防 止 删 除 注 册 表 项 并 防 止 修 改 其 对 应 值 Windows CA ControlMinder 提 供 增 强 的 保 护 来 限 制 可 以 启 动 修 改 或 停 止 关 键 Windows 服 务 的 授 权 管 理 员 这 可 以 防 止 数 据 库 Web 文 件 和 打 印 等 生 产 应 用 发 生 拒 绝 服 务, 这 些 应 用 在 Windows 上 均 作 为 服 务 进 行 控 制 保 护 这 些 服 务 免 遭 未 经 授 权 的 访 问 至 关 重 要 CA ControlMinder 允 许 针 对 高 风 险 的 应 用 定 义 接 受 的 操 作 任 何 超 出 这 些 界 限 的 行 为 都 将 受 到 应 用 监 禁 功 能 的 限 制 例 如, 可 以 根 据 逻 辑 ID 建 立 ACL, 该 逻 辑 ID 拥 有 Oracle 进 程 和 服 务, 因 此 其 受 监 禁 的 行 为 会 阻 止 它 执 行 除 启 动 Oracle DBMS 服 务 之 外 的 任 何 操 作 UNIX/Linux (KBL) CA ControlMinder 可 以 限 制 常 规 和 敏 感 用 户 操 作, 甚 至 可 以 跟 踪 选 定 用 户 的 会 话, 但 是 如 果 您 想 要 记 录 敏 感 用 户 会 话 中 的 所 有 内 容, 该 怎 么 办? 通 过 CA ControlMinder KBL 功 能, 您 可 以 实 现 此 目 的 KBL 位 于 shell 和 终 端 / 键 盘 之 间, 可 以 捕 获 键 盘 上 键 入 的 所 有 内 容 ( 输 入 ) 以 及 终 端 上 显 示 的 所 有 内 容 ( 输 出 ) 通 过 针 对 想 要 捕 获 其 键 盘 活 动 的 用 户 更 改 管 理 员 / 用 户 的 审 核 模 式, 您 可 以 轻 松 启 用 KBL 13
C. CA ControlMinder 端 点 管 理 中 的 UNIX/Linux KBL 交 互 式 模 式 选 择 KBL 重 放 会 话 ( 仅 限 CA ControlMinder 端 点 上 的 本 地 模 式 ) 打 印 会 话 输 出 / 输 入 打 印 会 话 命 令 与 用 户 的 CA ControlMinder 跟 踪 关 联 包 含 CA 用 户 活 动 报 告 的 报 告 的 集 中 存 储 D. CA ControlMinder KBL 会 话 输 出 KBL 目 前 显 示 在 CA 用 户 活 动 报 告 中, 并 且 具 有 下 钻 视 图, 其 中 显 示 在 命 令 提 示 中 键 入 的 所 有 命 令 及 其 各 自 的 输 出 14
E. 通 过 CA 用 户 活 动 报 告 提 供 的 KBL 报 告 示 例 从 Active Directory 集 中 管 理 UNIX 身 份 - UNAB CA ControlMinder 中 的 UNIX 身 份 验 证 代 理 (UNAB) 功 能 允 许 您 从 Microsoft AD 管 理 UNIX 用 户 这 允 许 在 AD 中 整 合 身 份 验 证 和 帐 户 信 息, 而 不 是 在 每 个 系 统 上 本 地 管 理 UNIX 凭 据 UNAB UNIX UNAB 针 对 AD 验 证 本 地 UNIX 用 户 的 身 份 验 证 凭 据, 从 而 简 化 了 对 这 些 用 户 的 管 理 用 户 和 组 不 需 要 在 NIS 中 定 义, 也 不 需 要 在 /etc/passwd 文 件 中 本 地 定 义 用 户 属 性 ( 如 主 目 录 shell UID GECOS 和 密 码 策 略 ) 从 AD 进 行 检 索 PAM UNAB 在 已 经 添 加 到 端 点 PAM 堆 栈 的 UNIX 中 提 供 了 一 个 小 型 轻 量 级 PAM 模 块 UNAB 提 供 本 地 打 包 功 能, 以 实 现 轻 松 安 装 和 部 署 Windows 所 有 UNAB 日 志 均 路 由 到 本 机 Windows 事 件 日 志 这 可 以 整 合 并 简 化 审 核, 并 允 许 与 第 三 方 SIM 工 具 集 成 可 以 将 UNAB 配 置 为 在 部 分 集 成 模 式 或 完 全 集 成 模 式 下 工 作, 从 而 加 快 迁 移 过 程 在 此 模 式 下, 用 户 密 码 存 储 在 AD 中 在 进 行 身 份 验 证 时, 仅 针 对 AD 执 行 密 码 验 证 用 户 属 性 ( 如 UID 主 目 录 和 主 组 ) 从 本 地 UNIX 主 机 或 NIS 获 取, 而 不 是 从 AD 获 取 向 组 织 添 加 新 用 户 时, 管 理 员 应 在 AD 和 本 地 /etc/passwd 文 件 或 NIS 中 创 建 用 户 在 部 分 集 成 模 式 下, 无 需 对 AD 进 行 架 构 更 改,UNAB 也 可 以 运 行 在 该 模 式 下, 用 户 信 息 仅 存 储 在 AD 中 local/etc/passwd 文 件 或 NIS 中 不 存 在 用 户 条 目 用 户 属 性 ( 如 UID 主 目 录 和 主 组 ) 存 储 在 Active Directory 中, 而 不 是 在 本 地 UNIX 主 机 或 NIS 中 向 组 织 添 加 新 用 户 时, 管 理 员 仅 在 AD 中 创 建 用 户, 并 提 供 所 需 的 UNIX 属 性 完 全 集 成 模 式 需 要 Windows 2003 R2, 它 支 持 UNIX 属 性 15
LDAP 如 果 您 的 组 织 不 支 持 Windows 2003 R2, 而 完 全 集 成 模 式 需 要 Windows 2003 R2,UNAB 会 提 供 一 个 功 能, 允 许 您 将 UNIX 属 性 动 态 映 射 到 非 标 准 AD 属 性 中 这 可 以 避 免 扩 展 或 更 改 AD 架 构 所 带 来 的 麻 烦 每 次 成 功 登 录 到 本 地 SQLite 数 据 库 时,UNAB 都 会 进 行 缓 存 缓 存 的 信 息 包 括 用 户 名 用 户 属 性 组 成 员 关 系 以 及 密 码 哈 希 值 如 果 UNAB 无 法 连 接 到 AD, 将 尝 试 针 对 本 地 缓 存 验 证 用 户 凭 据 这 称 为 脱 机 登 录 支 持 用 户 记 录 将 在 本 地 缓 存 中 保 留 一 定 的 天 数 ( 可 配 置 ) 不 管 AD 的 连 接 性 如 何, 本 地 用 户 ( 如 root ) 以 及 其 他 系 统 和 应 用 帐 户 都 可 以 登 录 UNAB SSO 允 许 您 在 环 境 中 所 有 Kerberos 化 的 UNAB 主 机 之 间 执 行 SSO 如 果 您 登 录 到 一 台 启 用 了 Kerberos 的 UNAB 主 机, 则 可 以 使 用 Kerberos 凭 据 自 动 登 录 到 任 何 其 他 UNAB 主 机, 这 实 际 上 在 环 境 中 提 供 了 一 种 SSO 类 型 的 解 决 方 案 在 UNIX 端 点 上 激 活 UNAB 之 后, 中 央 登 录 策 略 将 控 制 哪 些 用 户 可 以 登 录 哪 些 UNIX 主 机 或 UNIX 主 机 组 这 些 登 录 策 略 通 过 CA ControlMinder Enterprise Management UI 进 行 管 理 和 分 发, 并 本 地 存 储 在 SQLite 数 据 库 中 的 每 个 端 点 上 登 录 策 略 可 以 应 用 于 单 个 UNIX 主 机 或 一 个 逻 辑 服 务 器 主 机 组 范 围 规 则 可 以 基 于 AD 用 户 和 组, 从 而 减 少 管 理 开 销 F. UNIX 身 份 验 证 代 理 CA ControlMinder CA ControlMinder 16
使 用 CA 用 户 活 动 报 告 进 行 特 权 用 户 访 问 审 核 和 报 告 合 规 性 是 指, 您 具 有 正 确 策 略, 这 些 策 略 已 部 署 妥 当, 但 最 重 要 的 是 在 您 解 释 与 策 略 的 偏 差 时 可 以 提 供 符 合 公 司 策 略 和 法 规 标 准 的 证 明 为 了 证 明 合 规 性, 服 务 器 资 源 保 护 解 决 方 案 必 须 生 成 报 告 以 证 实 密 码 策 略 权 力 级 别 和 职 责 分 离 通 过 CA ControlMinder 随 附 的 CA 用 户 活 动 报 告 许 可, 您 可 以 通 过 以 下 步 骤 查 看 用 户 组 和 资 源 的 安 全 状 态 : 从 企 业 上 的 每 个 端 点 中 收 集 数 据, 将 数 据 汇 总 到 一 个 中 心 位 置, 对 照 公 司 策 略 分 析 结 果, 最 终 生 成 报 告 此 CA 用 户 活 动 报 告 许 可 仅 限 于 收 集 并 报 告 CA ControlMinder 事 件 ; 如 果 需 要 更 广 泛 的 报 告 功 能, 必 须 获 取 完 整 的 用 户 活 动 报 告 模 块 许 可 报 告 服 务 独 立 运 行, 按 计 划 收 集 每 个 端 点 上 的 有 效 策 略 适 应 性 已 内 置 到 系 统 中, 因 为 在 无 需 人 工 干 预 且 不 论 收 集 服 务 器 是 打 开 还 是 关 闭 的 情 况 下, 都 会 报 告 端 点 状 态 此 外, 报 告 服 务 组 件 位 于 CA ControlMinder 实 施 系 统 外 部, 而 且 不 要 求 在 重 新 配 置 或 自 定 义 任 何 报 告 时 中 断 端 点 实 施 功 能 报 告 服 务 已 结 构 化, 以 允 许 报 告 每 个 端 点 实 施 的 策 略 的 状 态 您 可 以 构 建 用 于 各 种 用 途 的 自 定 义 报 告, 或 使 用 CA ControlMinder 提 供 的 超 过 60 种 的 开 箱 即 用 式 现 有 报 告 要 想 进 行 合 规 性 报 告, 生 成 有 关 过 去 所 发 生 操 作 的 基 于 事 件 的 报 告 已 远 远 不 够 相 反, 如 今 实 现 合 规 性 还 需 要 可 以 突 出 任 意 时 间 点 上 策 略 状 态 的 主 动 报 告 为 提 供 帮 助,CA ControlMinder 提 供 了 有 关 用 户 访 问 权 限 的 主 动 报 告 以 及 现 有 访 问 控 制 的 证 明 开 箱 即 用 的 CA ControlMinder 报 告 服 务 随 附 了 超 过 60 个 有 关 权 利 和 作 为 默 认 产 品 安 装 一 部 分 的 已 部 署 策 略 的 当 前 状 态 ( 以 及 与 已 部 署 策 略 的 偏 差 ) 的 标 准 报 告 详 细 信 息 这 些 报 告 可 补 充 基 于 事 件 的 现 有 审 核 来 监 控 合 规 性 要 求 并 突 出 显 示 现 有 差 异, 价 值 立 即 得 以 体 现 标 准 报 告 包 括 : 允 许 您 查 看 策 略 部 署 的 状 态 以 及 与 标 准 策 略 的 偏 差 允 许 您 查 看 系 统 资 源 上 具 有 的 权 利 用 户 和 组, 或 显 示 谁 可 以 访 问 特 定 资 源 常 见 用 途 是 查 看 谁 对 系 统 具 有 root 访 问 权 限 使 您 能 够 查 看 不 活 动 的 帐 户 用 户 和 组 成 员 关 系 以 及 管 理 帐 户, 并 管 理 职 责 分 离 17
提 供 有 关 密 码 老 化 密 码 策 略 合 规 性 等 的 信 息 详 细 介 绍 有 关 所 有 特 权 用 户 活 动 的 信 息, 包 括 签 入 签 出 工 作 流 审 批 和 其 他 操 作 G. 按 端 点 类 型 显 示 特 权 帐 户 的 CA ControlMinder 共 享 帐 户 管 理 报 告 UNIX 提 供 所 有 权 利 以 及 与 CA ControlMinder 的 UNAB 组 件 相 关 的 报 告 数 据 H. 显 示 具 有 UNIX 属 性 的 全 局 AD 用 户 的 详 细 UNAB 报 告 ( 用 户 完 成 的 向 导 ) 将 在 整 个 组 织 中 搜 索 特 权 用 户 并 自 动 生 成 报 告 18
CA ControlMinder 提 供 的 开 放 策 略 报 告 依 赖 于 标 准 RDBMS 与 外 部 系 统 的 互 操 作 性 允 许 管 理 员 通 过 其 选 择 的 报 告 工 具 运 行 策 略 报 告 并 自 定 义 报 告 布 局 以 满 足 内 部 标 准 或 审 核 员 要 求 I. 显 示 符 合 特 定 策 略 的 主 机 的 时 间 快 照 中 某 个 点 的 报 告 示 例 CA ControlMinder Enterprise Management 鉴 于 如 今 服 务 器 资 源 所 需 的 复 杂 性 和 扩 展 性, 必 须 能 够 在 适 应 本 地 异 常 和 业 务 需 求 的 同 时, 针 对 全 球 性 外 延 型 企 业 中 的 访 问 控 制 实 施 并 执 行 集 中 的 策 略 CA ControlMinder 具 有 多 种 复 杂 功 能, 可 便 利 并 简 化 访 问 管 理 并 以 可 追 溯 且 可 见 的 方 式 允 许 异 常 您 可 以 将 端 点 归 入 不 同 的 逻 辑 主 机 组 中, 然 后 根 据 此 主 机 组 成 员 关 系 分 配 策 略, 而 不 考 虑 端 点 的 物 理 组 织 情 况 主 机 可 以 是 多 个 逻 辑 主 机 组 的 成 员, 具 体 取 决 于 其 属 性 和 策 略 要 求 例 如, 如 果 您 具 有 运 行 Red Hat 操 作 系 统 和 Oracle 的 主 机, 这 些 主 机 既 可 以 是 Red Hat 逻 辑 主 机 组 的 成 员, 以 获 得 基 准 Red Hat 访 问 控 制 策 略, 也 可 以 是 Oracle 逻 辑 主 机 组 的 成 员, 以 获 得 Oracle 访 问 控 制 策 略 逻 辑 主 机 组 可 以 在 CA ControlMinder 的 共 享 帐 户 管 理 和 UNAB 组 件 中 使 用 在 共 享 帐 户 管 理 中, 逻 辑 主 机 组 ( 如 数 据 库 服 务 器 ) 可 以 拥 有 一 个 通 用 策 略, 允 许 访 问 这 些 服 务 器 上 的 特 权 帐 户 在 UNAB 中, 可 以 将 一 组 通 用 逻 辑 策 略 应 用 于 逻 辑 主 机 组, 允 许 用 户 根 据 其 Active Directory 凭 据 选 择 性 地 登 录 19
J. 安 全 管 理 员 可 以 定 义 逻 辑 主 机 组 为 其 分 配 策 略, 并 对 这 些 主 机 是 否 符 合 策 略 拥 有 完 全 的 可 见 性 CA ControlMinder 允 许 您 通 过 将 每 个 策 略 表 示 为 具 有 多 个 版 本 的 单 个 实 体 来 跟 踪 策 略 更 改 在 创 建 新 的 策 略 版 本 时, 上 一 版 本 仍 会 保 留 且 包 含 有 关 策 略 版 本 部 署 和 非 部 署 规 则 版 本 创 建 者 ( 用 于 审 核 和 问 责 制 目 的 ) 以 及 创 建 时 间 的 信 息 此 外, 升 级 过 程 允 许 您 将 所 有 分 配 的 主 机 上 的 策 略 部 署 升 级 到 最 新 策 略 版 本 Enterprise Management Web Enterprise Management 的 Web 用 户 界 面 简 单 直 观, 允 许 您 执 行 高 级 策 略 管 理, 同 时 提 供 整 个 CA ControlMinder 服 务 器 环 境 的 集 成 视 图 基 于 Web 的 界 面 还 会 帮 助 您 管 理 各 个 端 点 或 策 略 模 型, 并 允 许 您 执 行 以 下 操 作 : 创 建 主 机 向 主 机 组 分 配 主 机 创 建 和 更 新 策 略 向 主 机 或 主 机 组 分 配 策 略 和 从 主 机 或 主 机 组 中 删 除 策 略 直 接 从 主 机 或 主 机 组 中 部 署 和 删 除 策 略 将 分 配 的 策 略 升 级 为 最 新 版 本 审 核 企 业 中 的 策 略 部 署 按 主 机 主 机 组 或 策 略 浏 览 企 业 通 过 端 点 管 理 功 能 管 理 分 散 的 CA ControlMinder 端 点 发 现 托 管 共 享 帐 户 管 理 端 点 上 的 特 权 用 户 帐 户 管 理 共 享 帐 户 管 理 端 点 上 的 特 权 用 户 密 码 创 建 和 管 理 用 于 控 制 对 UNAB 端 点 的 访 问 的 登 录 策 略 20
用 户 界 面 在 所 有 CA 身 份 和 访 问 管 理 产 品 中 都 是 一 致 的, 针 对 外 观 以 及 管 理 范 围 和 任 务 委 派 使 用 通 用 的 CA Technologies 框 架 CA ControlMinder Enterprise Management K. 企 业 管 理 世 界 视 图 从 端 点 视 角 主 机 组 视 角 或 策 略 视 角 提 供 环 境 视 图, 从 而 根 据 需 要 允 许 您 浏 览 层 次 结 构, 直 到 端 点 管 理 级 别 LDAP CA ControlMinder Enterprise Management 可 利 用 Microsoft Active Directory 和 Sun-One LDAP 作 为 后 端 用 户 存 储 有 关 配 置 以 上 任 一 目 录 的 详 细 步 骤 可 在 CA ControlMinder 产 品 文 档 中 找 到 L. 配 置 CA Enterprise Management 控 制 台 以 将 LDAP (Sun One) 用 作 用 户 存 储 21
RSA SecurID CA ControlMinder Enterprise Management Web UI 现 在 可 以 利 用 RSA SecurID 令 牌 实 现 强 大 的 身 份 验 证 下 面 是 此 项 集 成 所 需 的 组 件 : 与 JBoss 一 起 运 行 的 Access Control 12.5 SP4 Enterprise Management 使 用 代 理 模 块 编 译 的 Apache Web Server RSA Authentication Manager RSA Authentication Web Agent RSA Token Generator 一 旦 经 过 RSA Authentication Manager 验 证, 用 户 便 可 在 RSA cookie 超 时 期 间 内 自 动 登 录 到 CA ControlMinder Enterprise Management, 而 无 需 提 供 用 户 ID 或 密 码 一 旦 达 到 超 时 期 间, 用 户 将 需 要 重 新 向 RSA 进 行 身 份 验 证, 才 能 访 问 CA ControlMinder Enterprise Management CA ControlMinder Enterprise Management 可 同 时 支 持 RSA SecurID 和 常 规 的 用 户 ID/ 密 码 身 份 验 证 方 法 如 果 用 户 不 向 RSA 进 行 身 份 验 证, 依 然 可 以 通 过 提 供 用 户 ID/ 密 码 来 访 问 CA ControlMinder Enterprise Management 合 规 性 通 常 要 求 系 统 内 的 重 要 用 户 操 作 通 过 审 核 跟 踪 受 到 控 制 并 可 进 行 验 证 为 了 高 效 处 理 常 规 合 规 性 审 核, 还 应 集 中 收 集 并 安 全 地 管 理 此 数 据 CA ControlMinder 提 供 了 独 立 的 审 核 日 志, 未 经 授 权 的 用 户 ( 包 括 域 或 系 统 管 理 员 ) 不 能 修 改 这 些 日 志 CA ControlMinder 会 生 成 安 全 可 靠 的 审 核 日 志, 这 些 日 志 将 真 实 的 用 户 ID 与 所 有 受 保 护 的 资 源 操 作 相 关 联 ( 即 使 在 代 理 操 作 之 后 ) 用 户 尝 试 执 行 的 任 何 与 访 问 策 略 相 关 的 操 作 都 会 进 行 记 录, 包 括 是 否 允 许 用 户 成 功 完 成 此 请 求 如 果 需 要 进 行 调 查, 这 些 详 细 又 准 确 的 审 核 数 据 可 加 速 攻 击 源 和 活 动 的 识 别 过 程 CA ControlMinder 提 供 了 以 下 三 种 审 核 设 置 : 成 功, 该 模 式 将 在 成 功 访 问 所 审 核 的 资 源 时 生 成 事 件 失 败, 该 模 式 将 跟 踪 并 记 录 所 有 访 问 拒 绝 警 告, 该 模 式 将 在 违 反 访 问 策 略 时 生 成 审 核 记 录, 即 使 CA ControlMinder 未 拒 绝 访 问 您 可 以 定 义 应 为 每 个 用 户 组 或 资 源 实 施 的 审 核 模 式 或 模 式 组 合 例 如, 针 对 安 全 管 理 员 组 的 审 核 以 及 针 对 文 件 的 常 规 审 核 级 别 可 设 置 为 失 败, 但 对 于 系 统 配 置 文 件, 将 同 时 为 成 功 模 式 和 失 败 模 式 生 成 审 核 事 件 将 所 有 相 关 访 问 事 件 路 由 到 一 个 安 全 位 置, 是 高 效 管 理 合 规 性 的 一 项 关 键 要 求 CA ControlMinder 提 供 了 路 由 和 集 中 所 有 访 问 控 制 日 志 的 功 能 该 功 能 的 优 势 不 仅 是 日 志 整 合, 还 可 以 在 出 现 网 络 违 规 或 系 统 危 害 时 保 证 这 些 日 志 的 可 用 性 和 完 整 性 22
CA ControlMinder 支 持 针 对 可 路 由 至 用 于 解 决 问 题 的 呼 叫 器 或 外 部 控 制 台 或 者 其 他 安 全 信 息 管 理 系 统 的 安 全 问 题 立 即 发 送 通 知 审 核 后 台 进 程 和 日 志 本 身 就 需 要 防 御 潜 在 的 攻 击 关 闭 或 篡 改 CA ControlMinder 审 核 服 务 和 日 志 会 自 我 保 护, 不 会 被 关 闭 或 修 改 这 样 可 保 证 日 志 完 整 性 和 信 息 可 用 性, 以 备 将 来 调 查 之 用 CA CA ControlMinder 与 CA 用 户 活 动 报 告 相 集 成 ;CA ControlMinder 包 括 一 个 CA 用 户 活 动 报 告 许 可, 仅 用 于 收 集 CA ControlMinder 事 件 因 此,CA ControlMinder 中 的 事 件 将 发 送 到 CA 用 户 活 动 报 告 进 行 进 一 步 处 理, 从 而 汇 集 日 志 文 件 与 整 个 企 业 IT 环 境 中 的 其 他 事 件 相 关 联 以 及 创 建 特 定 于 策 略 的 报 告 这 将 促 进 审 核 流 程, 并 支 持 详 细 的 调 查 和 对 关 键 合 规 性 审 核 和 监 控 度 量 标 准 的 验 证 CA 用 户 活 动 报 告 的 功 能 还 包 括 : 可 从 各 个 来 源 汇 集 事 件 数 据, 这 些 来 源 包 括 : 操 作 系 统 业 务 应 用 网 络 设 备 安 全 设 备 大 型 机 访 问 控 制 系 统 和 Web 服 务 可 相 对 于 特 定 用 户 角 色 提 供 可 自 定 义 视 图 和 报 告 可 筛 选 和 监 控 重 要 事 件, 并 基 于 制 定 的 策 略 执 行 报 警 和 其 他 操 作 可 在 一 个 中 央 存 储 库 ( 围 绕 可 扩 展 的 关 系 数 据 库 进 行 构 建, 以 便 轻 松 访 问 ) 中 存 储 审 核 数 据, 并 提 供 报 告 以 进 行 历 史 分 析 适 用 于 虚 拟 环 境 的 ControlMinder 适 用 于 虚 拟 环 境 的 CA ControlMinder 是 单 个 解 决 方 案, 用 于 管 理 特 权 用 户 对 虚 拟 机 和 Hypervisor 的 访 问, 从 而 帮 助 组 织 控 制 特 权 用 户 操 作 保 护 对 虚 拟 环 境 的 访 问 以 及 遵 循 行 业 规 定 它 提 供 了 可 管 理 特 权 用 户 密 码 强 化 Hypervisor 以 及 审 核 特 权 用 户 活 动 的 重 要 功 能 通 过 将 主 机 访 问 控 制 与 特 权 用 户 管 理 相 结 合, 适 用 于 虚 拟 环 境 的 CA ControlMinder 能 够 降 低 在 虚 拟 环 境 中 管 理 特 权 用 户 的 风 险 和 成 本 适 用 于 虚 拟 环 境 的 CA ControlMinder 旨 在 帮 助 组 织 : 实 现 虚 拟 数 据 中 心 的 合 规 性 实 现 对 虚 拟 环 境 的 可 见 性 和 控 制 能 力 自 动 化 安 全 操 作, 降 低 安 全 成 本 加 快 关 键 应 用 对 虚 拟 化 技 术 的 采 用 创 建 安 全 的 多 重 租 赁 环 境 23
第 3 部 分 : 优 势 CA ControlMinder - 一 个 可 靠 的 特 权 用 户 管 理 解 决 方 案 CA ControlMinder 提 供 了 一 个 帮 助 管 理 和 控 制 特 权 用 户 访 问 的 解 决 方 案 如 上 所 述,CA ControlMinder 的 三 个 关 键 组 件 包 括 : CA ControlMinder 共 享 帐 户 管 理, 用 于 控 制 特 权 用 户 端 点 服 务 器 加 固, 用 于 加 强 保 护 UNIX 身 份 验 证 代 理 (UNAB), 用 于 从 单 一 用 户 存 储 对 用 户 进 行 身 份 验 证 所 有 这 些 组 件 既 可 以 单 独 部 署, 也 可 以 作 为 整 个 解 决 方 案 的 组 成 部 分 一 起 部 署 CA ControlMinder 端 点 服 务 器 加 固 UNAB 和 共 享 帐 户 管 理 共 享 同 一 个 企 业 管 理 和 报 告 基 础 架 构 嵌 入 式 策 略 存 储 身 份 和 访 问 管 理 框 架 委 派 和 范 围 模 型 以 及 Web UI 这 有 助 于 快 速 实 施, 并 缩 短 了 价 值 实 现 时 间 CA ControlMinder 在 管 理 和 控 制 特 权 用 户 访 问 的 同 时, 提 供 了 以 可 审 核 和 可 追 踪 的 方 式 支 持 本 地 异 常 的 灵 活 性, 从 而 解 决 了 您 有 关 应 用 数 据 库 和 服 务 器 可 用 性 的 疑 虑 CA ControlMinder 可 帮 助 您 : 降 低 风 险 规 范 和 审 核 特 权 用 户 访 问 实 施 基 于 服 务 器 的 合 规 性 和 报 告 降 低 管 理 成 本 和 复 杂 性 消 除 脚 本 批 处 理 文 件 ODBC 和 JDBC 应 用 中 的 硬 编 码 密 码 CA ControlMinder 可 通 过 保 护 特 权 用 户 密 码 并 使 用 户 对 其 操 作 负 责 来 降 低 风 险 这 可 降 低 使 用 密 码 破 解 程 序 非 法 访 问 服 务 器 或 应 用 的 风 险, 从 而 降 低 风 险, 提 高 数 据 完 整 性 CA ControlMinder 可 通 过 实 施 与 组 织 中 用 户 角 色 相 符 的 细 化 访 问 策 略 来 保 护 重 要 服 务 器 ( 物 理 服 务 器 和 虚 拟 服 务 器 ), 从 而 防 止 敏 感 数 据 丢 失 所 有 管 理 活 动 都 可 以 追 溯 到 具 体 用 户, 以 便 在 系 统 级 别 实 现 真 正 的 职 责 分 离, 并 通 过 审 核 跟 踪 提 供 问 责 制 CA ControlMinder 能 够 在 整 个 企 业 内 创 建 和 部 署 符 合 组 织 内 部 和 监 管 合 规 要 求 的 特 定 访 问 策 略, 从 而 帮 助 您 保 护 重 要 服 务 器 60 多 个 开 箱 即 用 的 报 告 覆 盖 了 关 键 合 规 性 元 素, 例 如 职 责 分 离 权 利 和 密 码 策 略, 并 允 许 组 织 主 动 报 告 关 键 合 规 性 策 略 的 状 态 这 在 提 供 IT 管 理 灵 活 性 的 同 时, 提 供 了 合 规 性 和 安 全 策 略 的 可 见 性 和 问 责 制 24
集 中 管 理 的 服 务 器 访 问 策 略 用 户 帐 户 UNIX 身 份 验 证 和 特 权 用 户 密 码 自 动 管 理 减 轻 了 在 全 球 分 散 的 多 平 台 企 业 内 管 理 安 全 性 的 负 担 - 这 在 虚 拟 数 据 中 心 中 更 为 复 杂 CA ControlMinder 提 供 了 高 级 策 略 管 理 功 能, 用 于 一 次 性 设 置 策 略 并 通 过 按 一 下 按 钮 将 其 推 出 到 您 在 全 球 任 意 位 置 的 服 务 器 CA ControlMinder 的 共 享 帐 户 管 理 功 能 可 简 化 实 时 管 理 和 分 发 特 权 用 户 密 码 的 过 程 CA ControlMinder 的 UNAB 功 能 可 通 过 整 合 用 户 存 储 并 为 所 有 UNIX 用 户 维 护 单 个 帐 户, 来 降 低 管 理 成 本 和 强 化 安 全 性 ODBC/JDBC CA ControlMinder 的 共 享 帐 户 管 理 功 能 消 除 了 在 脚 本 中 对 应 用 密 码 进 行 硬 编 码 的 需 要 共 享 帐 户 管 理 的 编 程 签 出 功 能 可 实 时 地 从 CA ControlMinder 共 享 帐 户 管 理 服 务 器 中 动 态 检 索 密 码, 从 而 提 高 效 率 和 应 用 及 其 对 应 数 据 的 整 体 安 全 性 此 功 能 可 帮 助 释 放 有 价 值 的 系 统 或 应 用 管 理 周 期, 从 而 用 于 维 护 更 改 和 分 发 这 些 密 码 更 改 第 4 部 分 : 结 束 语 CA ControlMinder 可 以 强 有 力 地 控 制 特 权 用 户, 并 加 强 安 全 合 规 性 CA ControlMinder 提 供 了 高 级 别 的 服 务 器 设 备 和 应 用 保 护, 减 轻 了 管 理 分 布 于 全 球 性 企 业 中 的 各 种 系 统 的 安 全 性 的 管 理 负 担 您 不 再 需 要 逐 个 用 户 逐 个 服 务 器 来 定 义 和 管 理 特 权 用 户 权 限 通 过 高 级 策 略 管 理 逻 辑 主 机 分 组 和 用 于 部 署 公 司 策 略 的 集 中 点 击 式 界 面, 您 ( 以 及 您 的 审 核 员 ) 可 以 确 保 每 个 特 权 用 户 仅 对 其 工 作 职 责 所 需 的 数 据 和 系 统 拥 有 权 限 您 可 以 通 过 使 用 户 帐 户 密 码 和 安 全 策 略 在 所 有 受 管 服 务 器 设 备 和 应 用 中 共 享, 在 各 种 服 务 器 环 境 中 实 施 一 致 的 安 全 策 略 作 为 补 充,CA 用 户 活 动 报 告 可 收 集 安 全 可 扩 展 且 可 靠 的 审 核 信 息, 以 便 记 录 每 个 用 户 与 特 定 系 统 之 间 的 交 互 通 过 提 供 这 一 套 广 泛 的 受 支 持 平 台 企 业 可 扩 展 性 高 度 可 用 的 体 系 结 构 以 及 灵 活 的 策 略 管 理 环 境, 组 织 可 以 确 信 CA ControlMinder 在 当 前 和 将 来 都 会 支 持 其 合 规 性 和 服 务 器 保 护 需 求 CA ControlMinder 可 以 独 立 安 装, 并 在 不 依 赖 于 其 他 CA Technologies 或 第 三 方 产 品 的 情 况 下 提 供 全 面 的 保 护 但 是,CA 身 份 和 访 问 管 理 解 决 方 案 中 的 所 有 产 品 共 享 共 同 的 Web 用 户 界 面 方 法 和 组 件 管 理 概 念 职 责 委 派 和 报 告, 从 而 确 保 一 致 的 管 理 体 验 假 定 操 作 系 统 访 问 保 护 是 纵 深 防 御 战 略 的 单 个 组 件,CA ControlMinder 提 供 了 与 CA Technologies 的 安 全 产 品 ( 包 括 CA IdentityMinder CA SiteMinder 和 CA GovernanceMinder ) 的 集 成 25
CA IdentityMinder 提 供 了 身 份 生 命 周 期 管 理 以 在 整 个 企 业 中 管 理 身 份 CA IdentityMinder 的 功 能 包 括 : 开 通 用 户 帐 户 权 限 管 理 变 更 请 求 和 工 作 流 审 批 密 码 和 注 册 自 助 服 务 CA SiteMinder 为 外 联 网 应 用 提 供 了 安 全 的 Web 访 问 控 制 CA SiteMinder 的 功 能 包 括 : Web SSO 身 份 验 证 管 理 基 于 策 略 的 授 权 广 泛 的 Web 应 用 和 服 务 器 支 持 CA GovernanceMinder 可 评 估 审 核 和 清 除 对 有 助 于 定 义 和 认 证 组 织 中 使 用 的 角 色 模 型 的 系 统 和 应 用 的 访 问 权 限 CA GovernanceMinder 的 功 能 包 括 : 构 建 集 中 式 身 份 仓 库 审 核 定 义 / 验 证 策 略 认 证 权 利 和 补 救 合 规 性 报 告 和 显 示 板 要 了 解 有 关 CA ControlMinder 体 系 结 构 和 技 术 方 法 的 更 多 信 息, 请 访 问 ca.com/controlminder CA Technologies 是 一 家 IT 管 理 软 件 和 解 决 方 案 公 司, 专 业 技 术 涵 盖 所 有 IT 环 境 - 从 大 型 机 和 分 布 式 到 虚 拟 化 和 云 均 囊 括 在 内 CA Technologies 管 理 并 保 护 IT 环 境, 让 客 户 能 够 交 付 更 灵 活 的 IT 服 务 CA Technologies 的 创 新 产 品 和 服 务 为 IT 组 织 提 供 提 升 业 务 敏 捷 性 所 必 需 的 洞 察 力 和 掌 控 力 大 多 数 全 球 财 富 500 强 公 司 都 借 助 于 CA Technologies 管 理 不 断 演 进 的 IT 生 态 系 统 有 关 更 多 信 息, 请 访 问 CA Technologies 网 站 ca.com 版 权 所 有 2012 CA 保 留 所 有 权 利 UNIX 是 AT&T 的 注 册 商 标 此 处 涉 及 的 所 有 商 标 商 品 名 称 服 务 标 记 和 徽 标 均 归 其 各 自 公 司 所 有 本 文 档 仅 供 参 考 在 适 用 法 律 允 许 的 范 围 内,CA 按 原 样 提 供 本 文 档, 不 附 带 任 何 保 证, 包 括 但 不 限 于 商 品 适 销 性 适 用 于 特 定 用 途 或 不 侵 权 的 默 示 保 证 在 任 何 情 况 下,CA 对 由 于 使 用 本 文 档 所 造 成 的 直 接 或 间 接 损 失 或 损 害 均 不 负 任 何 责 任, 包 括 但 不 限 于 损 失 利 润 业 务 中 断 信 誉 损 失 或 数 据 丢 失, 即 使 CA 已 经 被 提 前 明 确 告 知 这 种 损 害 的 可 能 性 CA 不 提 供 法 律 意 见 使 用 在 此 涉 及 的 软 件 产 品 不 能 替 代 您 遵 守 在 此 涉 及 的 任 何 法 律 ( 包 括 但 不 限 于 任 何 法 案 法 令 法 规 规 则 指 令 标 准 策 略 管 理 命 令 行 政 命 令 等 等 ( 统 称 法 律 )) 或 任 何 与 第 三 方 的 合 同 条 款 就 任 何 此 类 法 律 或 合 同 条 款, 您 应 该 向 有 资 质 的 律 师 咨 询 CS2078_0212