智恒聯(lián)盟醫(yī)療行業(yè)SAS運(yùn)維安全解決方案樣本

醫(yī)療行業(yè)運(yùn)維安全解決方案

概述隨著醫(yī)療行業(yè)業(yè)務(wù)和需求迅速發(fā)展，各大醫(yī)院在原有HIS應(yīng)用基本上逐漸增長(zhǎng)了PACS系統(tǒng)、遠(yuǎn)程醫(yī)療系統(tǒng)等新業(yè)務(wù)和應(yīng)用，在輔助醫(yī)院提高工作效率和服務(wù)病人同步無(wú)疑這些新應(yīng)用對(duì)網(wǎng)絡(luò)性能、可靠性、安全性、運(yùn)維能力等提出了更高規(guī)定，一方面在進(jìn)行網(wǎng)絡(luò)性能升級(jí)同步也面臨著應(yīng)用提高對(duì)網(wǎng)絡(luò)運(yùn)維壓力，另一方面各大醫(yī)院都但愿能更具備競(jìng)爭(zhēng)力并提高效率，這就必要對(duì)信息做出及時(shí)有力響應(yīng)，這樣才干進(jìn)一步提高效率進(jìn)而推動(dòng)將來(lái)增長(zhǎng)。

隨著網(wǎng)絡(luò)應(yīng)用進(jìn)一步和醫(yī)院業(yè)務(wù)對(duì)網(wǎng)絡(luò)依賴性增長(zhǎng)，網(wǎng)絡(luò)安全成為影響網(wǎng)絡(luò)進(jìn)一步應(yīng)用一種重大障礙。各醫(yī)院在注重網(wǎng)絡(luò)安全建設(shè)同步一方面引入了大量新技術(shù)、新產(chǎn)品，無(wú)可置疑這些新技術(shù)、新設(shè)備在保障醫(yī)院網(wǎng)絡(luò)安全可靠運(yùn)營(yíng)同步也對(duì)咱們老式網(wǎng)絡(luò)系統(tǒng)管理和運(yùn)維方式提出了新挑戰(zhàn)。1、醫(yī)院IT管理技術(shù)手段多停留在設(shè)備層面管理，缺少?gòu)?fù)雜系統(tǒng)多樣化管理能力；2、醫(yī)院既有網(wǎng)絡(luò)管理維護(hù)辦法不適應(yīng)復(fù)雜業(yè)務(wù)應(yīng)用開(kāi)展，技術(shù)因素不能解決所有安全問(wèn)題，需要對(duì)老式運(yùn)維方式變更；3、復(fù)雜網(wǎng)絡(luò)故障迅速定位、及時(shí)解決迫切需求；4、缺少一種具備對(duì)醫(yī)院整體應(yīng)用系統(tǒng)全面維護(hù)能力服務(wù)機(jī)構(gòu)，由于客觀存在因素軟件公司不負(fù)責(zé)系統(tǒng)維護(hù)，系統(tǒng)集成公司不負(fù)責(zé)軟件應(yīng)用維護(hù)現(xiàn)狀將長(zhǎng)期存在，是變更還是守舊？另一方面系統(tǒng)運(yùn)維是個(gè)系統(tǒng)工程，要考慮諸多因素，只偏重技術(shù)手段而忽視管理手段和方式完善是局限性，正是在這種背景下咱們推出了醫(yī)院信息系統(tǒng)運(yùn)維服務(wù)中心理論，通過(guò)它變化醫(yī)院老式系統(tǒng)維護(hù)服務(wù)方式，注重風(fēng)險(xiǎn)管理時(shí)效性原則同步，強(qiáng)調(diào)服務(wù)能力建設(shè)。正如國(guó)內(nèi)知名計(jì)算機(jī)專家沈昌祥院士指出："信息安全保障能力是21世紀(jì)綜合國(guó)力、經(jīng)濟(jì)競(jìng)爭(zhēng)實(shí)力和生存能力重要構(gòu)成部份，是世紀(jì)之交世界各國(guó)在奮力攀登制高點(diǎn)"。智恒聯(lián)盟作為國(guó)內(nèi)專業(yè)信息安全廠商，長(zhǎng)期以來(lái)始終專注于國(guó)內(nèi)醫(yī)療、金融、政府及其她企事業(yè)單位信息安建設(shè)，智恒安全團(tuán)隊(duì)依照各行業(yè)安全現(xiàn)狀提出了諸多安全理念及全面有效網(wǎng)絡(luò)信息安全解決方案。通過(guò)近年對(duì)醫(yī)療行業(yè)建設(shè)研究，智恒專門針對(duì)醫(yī)療行業(yè)提出了一套在當(dāng)前安全形勢(shì)下行之有效全面安全解決方案?？梢杂行ПＵ厢t(yī)療系統(tǒng)及核心數(shù)據(jù)安全。醫(yī)療行業(yè)業(yè)務(wù)系統(tǒng)現(xiàn)狀及需求分析醫(yī)療行業(yè)業(yè)務(wù)系統(tǒng)現(xiàn)狀隨著網(wǎng)絡(luò)迅速發(fā)展，醫(yī)療機(jī)構(gòu)業(yè)務(wù)系統(tǒng)日益復(fù)雜化，面對(duì)龐大醫(yī)療系統(tǒng)，提高系統(tǒng)運(yùn)維效率成為當(dāng)前一大難題。隨著應(yīng)用不斷增長(zhǎng)，運(yùn)維系統(tǒng)安全風(fēng)險(xiǎn)也會(huì)不斷暴露出來(lái)。由于設(shè)備和服務(wù)器眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問(wèn)、誤操作、濫用、惡意破壞等狀況時(shí)有發(fā)生，這嚴(yán)重影響業(yè)務(wù)運(yùn)營(yíng)效能，并對(duì)醫(yī)院名譽(yù)導(dǎo)致重大影響。此外黑客惡意訪問(wèn)也有也許獲取系統(tǒng)權(quán)限，闖入部門或醫(yī)院內(nèi)部網(wǎng)絡(luò)，導(dǎo)致不可預(yù)計(jì)損失。醫(yī)療機(jī)構(gòu)支撐系統(tǒng)中有大量網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)，分別屬于不同部門和不同業(yè)務(wù)系統(tǒng)。各應(yīng)用系統(tǒng)均有一套獨(dú)立帳號(hào)體系，顧客為了以便登陸，經(jīng)常浮現(xiàn)多人共用帳號(hào)狀況。多人同步使用一種系統(tǒng)帳號(hào)在帶來(lái)以便性同步，導(dǎo)致顧客身份唯一性無(wú)法擬定。如果其中任何一種人離職或者將帳號(hào)告訴其她無(wú)關(guān)人員，會(huì)使這個(gè)帳號(hào)安全無(wú)法保證。由于共享帳號(hào)是多人共同使用，發(fā)生問(wèn)題后，無(wú)法準(zhǔn)擬定位惡意操作或誤操作負(fù)責(zé)人。更改密碼需要告知到每一種需要使用此帳號(hào)人員，帶來(lái)了密碼管理復(fù)雜化。如何提高系統(tǒng)運(yùn)維管理水平，跟蹤服務(wù)器上顧客操作行為，防止黑客入侵和破壞，提供控制和審計(jì)根據(jù)，減少運(yùn)維成本，滿足有關(guān)原則規(guī)定，越來(lái)越成為企事業(yè)單位關(guān)懷問(wèn)題。醫(yī)療行業(yè)運(yùn)維安全風(fēng)險(xiǎn)分析老式運(yùn)維模式中人員和賬號(hào)管理帶來(lái)安全隱患醫(yī)院支撐系統(tǒng)中有大量網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)，分別屬于不同部門和不同業(yè)務(wù)系統(tǒng)。各應(yīng)用系統(tǒng)均有一套獨(dú)立帳號(hào)體系，顧客為了以便登陸，經(jīng)常浮現(xiàn)多人共用帳號(hào)狀況。多人同步使用一種系統(tǒng)帳號(hào)在帶來(lái)以便性同步，導(dǎo)致顧客身份唯一性無(wú)法擬定。如果其中任何一種人離職或者將帳號(hào)告訴其她無(wú)關(guān)人員，會(huì)使這個(gè)帳號(hào)安全無(wú)法保證。由于共享帳號(hào)是多人共同使用，發(fā)生問(wèn)題后，無(wú)法準(zhǔn)擬定位惡意操作或誤操作負(fù)責(zé)人。更改密碼需要告知到每一種需要使用此帳號(hào)人員，帶來(lái)了密碼管理復(fù)雜化。如下圖1.1所示，賬號(hào)共享或一人使用各種賬號(hào)會(huì)導(dǎo)致整個(gè)運(yùn)維管理過(guò)程復(fù)雜混亂。由于整個(gè)運(yùn)維過(guò)程不定因素太多，使得整個(gè)運(yùn)維過(guò)程不可控。不但僅給運(yùn)維人員帶來(lái)了巨大麻煩，并且讓管理人員也無(wú)法準(zhǔn)擬定位負(fù)責(zé)人，如果公司長(zhǎng)期在這種老式運(yùn)維模式下運(yùn)維，將會(huì)給公司帶來(lái)巨大損失，甚至還無(wú)法追究責(zé)任，因此咱們要建立新運(yùn)維模式和運(yùn)維理念。，授權(quán)不清晰引起問(wèn)題再先進(jìn)管理者也不也許做完所有事情，因而，一種先進(jìn)管理者必要學(xué)會(huì)授權(quán)，并且要避免因授權(quán)不當(dāng)而帶來(lái)管理混亂。領(lǐng)導(dǎo)者如何進(jìn)行授權(quán)，是醫(yī)院管理一種深刻命題。做過(guò)管理人都應(yīng)當(dāng)懂得，授權(quán)在醫(yī)院管理中是非常重要。但是，諸多醫(yī)院管理者在授權(quán)時(shí)，要么顧慮重重，對(duì)誰(shuí)也不放心；要么授權(quán)不當(dāng)，缺少監(jiān)督制度，導(dǎo)致醫(yī)院管理混亂。這在IT運(yùn)維中也存在著類似問(wèn)題，因此讓每個(gè)運(yùn)維人員在自己責(zé)任范疇內(nèi)對(duì)的安全使用自己每一種權(quán)限十分重要。而往往在老式運(yùn)維模式中，授權(quán)是不清晰，例如:運(yùn)維人員登錄某臺(tái)服務(wù)器或者某個(gè)核心互換機(jī)等核心性設(shè)備時(shí)候，她將擁有很大或者是超越自己權(quán)限范疇權(quán)限，同步她也可以做某些越權(quán)操作，例如是重啟或是其她敏感操作。也許她操作是惡意或是無(wú)意，但是都將引起不可預(yù)計(jì)或者無(wú)法挽回后果。面對(duì)以上老式運(yùn)維模式中授權(quán)不清晰引起問(wèn)題，咱們要足夠注重，在一種抱負(fù)運(yùn)維模式中，咱們需要對(duì)運(yùn)維人員權(quán)限或者是訪問(wèn)權(quán)限進(jìn)行精準(zhǔn)定位。運(yùn)維人員操作過(guò)程審計(jì)各系統(tǒng)獨(dú)立運(yùn)營(yíng)、維護(hù)和管理，因此各系統(tǒng)審計(jì)也是互相獨(dú)立。每個(gè)網(wǎng)絡(luò)設(shè)備，每個(gè)主機(jī)系統(tǒng)分別進(jìn)行審計(jì)，安全事故發(fā)生后需要排查各系統(tǒng)日記，但是往往日記找到了，也不能最后定位到行為人。此外各系統(tǒng)日記記錄能力各不相似，例如對(duì)于Unix系統(tǒng)來(lái)說(shuō)，日記記錄就存在如下問(wèn)題：Unix系統(tǒng)中，顧客在服務(wù)器上操作有一種歷史命令記錄文獻(xiàn)，但是root顧客不但僅可以修改自己歷史記錄，還可以修改她人歷史記錄，系統(tǒng)自身歷史記錄文獻(xiàn)已經(jīng)變不可信；無(wú)法記錄操作人員、操作時(shí)間、操作成果等。缺少身份認(rèn)證及辨認(rèn)機(jī)制諸多醫(yī)療衛(wèi)生組織為了保護(hù)重要系統(tǒng)安全，實(shí)行了雙人分段管理密碼、操作系統(tǒng)與數(shù)據(jù)庫(kù)管理人員權(quán)限分離、禁止混崗等方略，但實(shí)際工作中難免有工作或賬戶使用交叉狀況浮現(xiàn)，存在著無(wú)法對(duì)自然人身份強(qiáng)制辨認(rèn)和認(rèn)證風(fēng)險(xiǎn)。老式網(wǎng)絡(luò)安全審計(jì)系統(tǒng)無(wú)法滿足運(yùn)維審計(jì)和管理規(guī)定老式運(yùn)維審計(jì)系統(tǒng)缺陷：無(wú)法審計(jì)運(yùn)維加密合同、遠(yuǎn)程桌面內(nèi)容；為了加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)內(nèi)控管理，某些醫(yī)院已布置網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，但愿達(dá)到對(duì)運(yùn)維人員操作行為監(jiān)控目。由于老式網(wǎng)絡(luò)安全審計(jì)技術(shù)實(shí)現(xiàn)方式和系統(tǒng)架構(gòu)（重要通過(guò)旁路鏡像或分光方式，分析網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行審計(jì)）,導(dǎo)致該系統(tǒng)只能對(duì)某些非加密運(yùn)維操作合同進(jìn)行審計(jì),如telnet；卻無(wú)法對(duì)維護(hù)人員經(jīng)常使用SSH、RDP等加密合同、遠(yuǎn)程桌面等進(jìn)行內(nèi)容審計(jì)，無(wú)法有效解決對(duì)運(yùn)維人員操作行為監(jiān)管問(wèn)題；基于IP審計(jì)，難以準(zhǔn)擬定位負(fù)責(zé)人；大多數(shù)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，只能審計(jì)到IP地址，難以將IP與詳細(xì)人員身份精確關(guān)聯(lián)，導(dǎo)致發(fā)生安全事故后，如何追查負(fù)責(zé)人，反而又成為新難題。國(guó)家針對(duì)有關(guān)組織運(yùn)維模式制定了有關(guān)法規(guī)和原則公安部-《信息系統(tǒng)級(jí)別保護(hù)》《GB/T22239-信息安全技術(shù)信息系統(tǒng)安全級(jí)別保護(hù)基本規(guī)定》及《信息系統(tǒng)級(jí)別保護(hù)安全設(shè)計(jì)技術(shù)規(guī)定》財(cái)政部-《公司內(nèi)部控制基本規(guī)范》，該規(guī)范核心點(diǎn)是如何把IT內(nèi)控與公司內(nèi)控管理統(tǒng)一起來(lái)，信息安全審計(jì)則成為公司IT內(nèi)控、安全風(fēng)險(xiǎn)管理不可或缺技術(shù)手段。銀監(jiān)會(huì)《商業(yè)銀行內(nèi)部控制指引》、《商業(yè)銀行操作風(fēng)險(xiǎn)管理指引》（該指引明確規(guī)定商業(yè)銀行應(yīng)按照指引規(guī)定，建立操作風(fēng)險(xiǎn)管理體系，有效地辨認(rèn)、評(píng)估、監(jiān)測(cè)和控制/緩釋操作風(fēng)險(xiǎn)”。)上交所《上海證券交易所上市公司內(nèi)部控制指引》巴塞爾新資本合同深交所信息安全評(píng)估準(zhǔn)則中華人民共和國(guó)電信《CTG-MBOSS安全規(guī)范》中華人民共和國(guó)移動(dòng)集團(tuán)內(nèi)控手冊(cè)中華人民共和國(guó)電信內(nèi)控手冊(cè)美國(guó)上市公司須遵循薩班斯（SarbanceOxley）法案醫(yī)療行業(yè)運(yùn)維安全需求分析外網(wǎng)安全只是安全一種層面，要保障整個(gè)醫(yī)療信息系統(tǒng)安全，光有外網(wǎng)安全是不夠，依照資料記錄，在對(duì)單位導(dǎo)致嚴(yán)重?fù)p害案例中，有70％是組織里內(nèi)部人員所為。醫(yī)療行業(yè)網(wǎng)絡(luò)環(huán)境都比較復(fù)雜，網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器和各類應(yīng)用眾多，同步，管理維護(hù)這些設(shè)備和應(yīng)用人員也諸多，并且關(guān)系復(fù)雜，有單位內(nèi)部人員，外部人員，第三方運(yùn)維人員，暫時(shí)介入應(yīng)用管理員等。要以便有效統(tǒng)一管理這些設(shè)備和顧客，就需要有一種強(qiáng)大運(yùn)維審計(jì)平臺(tái)，智恒SAS運(yùn)維安全審計(jì)系統(tǒng)就能有效解決運(yùn)維安全管理問(wèn)題。

醫(yī)療行業(yè)信息系統(tǒng)運(yùn)維安全解決方案方案設(shè)計(jì)原則先進(jìn)性和成熟性采用代表當(dāng)前計(jì)算機(jī)發(fā)展趨勢(shì)先進(jìn)技術(shù)和成熟產(chǎn)品，保證該信息系統(tǒng)在2年內(nèi)不落后，保證平臺(tái)在技術(shù)上領(lǐng)先、成熟、穩(wěn)定和可靠?？煽啃栽瓌t整個(gè)網(wǎng)絡(luò)系統(tǒng)必要具備高度穩(wěn)定性和可靠性，提供充分可靠性服務(wù)。網(wǎng)絡(luò)系統(tǒng)運(yùn)營(yíng)穩(wěn)定、故障率低、容錯(cuò)性強(qiáng)，實(shí)現(xiàn)7*24小時(shí)正常工作。最小影響原則在方案設(shè)計(jì)及實(shí)行時(shí)，遵循對(duì)信息系統(tǒng)影響最小原則，盡量地采用對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用影響最小技術(shù)手段，對(duì)既有系統(tǒng)不產(chǎn)生干擾，保護(hù)既有系統(tǒng)。安全性原則在規(guī)劃設(shè)計(jì)和維護(hù)管理過(guò)程中要充分考慮網(wǎng)絡(luò)建設(shè)和信息安全相結(jié)合原則，從技術(shù)、管理等方面制定嚴(yán)格方案，形成多層次、全方位安全保密防線，保證系統(tǒng)安全性。產(chǎn)品概述智恒SAS運(yùn)維安全審計(jì)系統(tǒng)(如下簡(jiǎn)稱“SAS”)是新一代運(yùn)維審計(jì)系統(tǒng)，它采用軟硬件一體化設(shè)計(jì)，通過(guò)B/S方式(https)進(jìn)行管理，其重要功能為：可以將網(wǎng)絡(luò)中設(shè)備和數(shù)據(jù)庫(kù)等實(shí)行統(tǒng)一認(rèn)證；具備與身份認(rèn)證系統(tǒng)無(wú)縫結(jié)合接口；實(shí)現(xiàn)對(duì)操作網(wǎng)絡(luò)中設(shè)備和數(shù)據(jù)庫(kù)等過(guò)程全程監(jiān)控與審計(jì)，支持賬戶開(kāi)通申請(qǐng)與審批流程管理，以及對(duì)違規(guī)操作行為實(shí)時(shí)阻斷。該產(chǎn)品采用先進(jìn)設(shè)計(jì)理念，支持對(duì)各種遠(yuǎn)程維護(hù)方式支持，如字符終端方式(SSH、Telnet)、圖形方式（RDP）、文獻(xiàn)傳播（FTP、SFTP）以及各種主流數(shù)據(jù)庫(kù)訪問(wèn)操作，完整審計(jì)報(bào)告，可針對(duì)各種不同日記信息生成不同審計(jì)報(bào)告，還可對(duì)關(guān)聯(lián)日記信息生成關(guān)聯(lián)審計(jì)報(bào)告，綜合有效運(yùn)用日記信息為網(wǎng)管提供IT網(wǎng)絡(luò)整體運(yùn)營(yíng)現(xiàn)狀。完全可滿足電信、醫(yī)療、金融、政府、電力等行業(yè)客戶審計(jì)規(guī)定。布置示意圖運(yùn)維安全審計(jì)系統(tǒng)系統(tǒng)支持各種布置方式，可以充分滿足不同網(wǎng)絡(luò)對(duì)審計(jì)系統(tǒng)需求。運(yùn)維安全審計(jì)系統(tǒng)布置支持Active-Active雙機(jī)模式，避免產(chǎn)生單點(diǎn)故障而影響正常維護(hù)通道。SAS布置應(yīng)與網(wǎng)絡(luò)訪問(wèn)控制列表、醫(yī)院管理制度相結(jié)合，以便獲得更好審計(jì)效果。產(chǎn)品重要功能單點(diǎn)登錄SAS提供了基于B/S單點(diǎn)登錄系統(tǒng)，顧客通過(guò)一次登錄系統(tǒng)后，就可以無(wú)需認(rèn)證訪問(wèn)被授權(quán)各種基于B/S和C/S應(yīng)用系統(tǒng)。單點(diǎn)登錄為具備多帳號(hào)顧客提供了以便快捷訪問(wèn)路過(guò)，使顧客無(wú)需記憶各種登錄顧客ID和口令。它通過(guò)向顧客和客戶提供對(duì)其個(gè)性化資源快捷訪問(wèn)提高工作效率。同步，由于系統(tǒng)自身是采用強(qiáng)認(rèn)證系統(tǒng)，從而提高了顧客認(rèn)證環(huán)節(jié)安全性。單點(diǎn)登錄可以實(shí)現(xiàn)與顧客授權(quán)管理無(wú)縫鏈接，可以通過(guò)對(duì)顧客、角色、行為和資源授權(quán)，增長(zhǎng)對(duì)資源保護(hù)和對(duì)顧客行為監(jiān)控及審計(jì)。集中賬號(hào)管理集中帳號(hào)管理包括對(duì)所有服務(wù)器、網(wǎng)絡(luò)設(shè)備帳號(hào)集中管理。帳號(hào)和資源集中管理是集中授權(quán)、認(rèn)證和審計(jì)基本。集中帳號(hào)管理可以完畢對(duì)帳號(hào)整個(gè)生命周期監(jiān)控和管理，并且還減少了管理大量顧客帳號(hào)難度和工作量。同步，通過(guò)統(tǒng)一管理還可以發(fā)現(xiàn)帳號(hào)中存在安全隱患，并且制定統(tǒng)一、原則顧客帳號(hào)安全方略。通過(guò)建立集中帳號(hào)管理，醫(yī)院可以實(shí)現(xiàn)將帳號(hào)與詳細(xì)自然人有關(guān)聯(lián)。通過(guò)這種關(guān)聯(lián)，可以實(shí)現(xiàn)多級(jí)顧客管理和細(xì)粒度顧客授權(quán)。并且，還可以實(shí)現(xiàn)針對(duì)自然人行為審計(jì)，以滿足審計(jì)需要。身份認(rèn)證SAS為顧客提供統(tǒng)一認(rèn)證接口。采用統(tǒng)一認(rèn)證接口不但便于對(duì)顧客認(rèn)證管理，并且可以采用更加安全認(rèn)證模式，提高認(rèn)證安全性和可靠性。集中身份認(rèn)證提供靜態(tài)密碼、WindowsNT域、WindowsKerberos、雙因素、一次性口令和生物特性等各種認(rèn)證方式，并且系統(tǒng)具備靈活定制接口，可以以便與第三方認(rèn)證服務(wù)器對(duì)接。資質(zhì)授權(quán)SAS提供統(tǒng)一界面，對(duì)顧客、角色及行為和資源進(jìn)行授權(quán)，以達(dá)到對(duì)權(quán)限細(xì)粒度控制，最大限度保護(hù)顧客資源安全。通過(guò)集中訪問(wèn)授權(quán)和訪問(wèn)控制可以對(duì)顧客通過(guò)B/S、C/S對(duì)服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備訪問(wèn)進(jìn)行審計(jì)和阻斷。在集中訪問(wèn)授權(quán)里強(qiáng)調(diào)“集中”是邏輯上集中，而不是物理上集中。即在各網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)系統(tǒng)中也許擁有各自權(quán)限管理功能，管理員也由各自歸口管理部門委派，但是這些管理員在SAS上，可以對(duì)各自管理對(duì)象進(jìn)行授權(quán)，而不需要進(jìn)入每一種被管理對(duì)象才干授權(quán)。授權(quán)對(duì)象涉及顧客、顧客角色、資源和顧客行為。系統(tǒng)不但可以授權(quán)顧客可以通過(guò)什么角色訪問(wèn)資源這樣基于應(yīng)用邊界粗粒度授權(quán)，對(duì)某些應(yīng)用還可以限制顧客操作，以及在什么時(shí)間進(jìn)行操作等細(xì)粒度授權(quán)。訪問(wèn)控制SAS可以提供細(xì)粒度訪問(wèn)控制，最大限度保護(hù)顧客資源安全。細(xì)粒度命令方略是命令集合，可以是一組可執(zhí)行命令，也可以是一組非可執(zhí)行命令，該命令集合用來(lái)分派給詳細(xì)顧客，來(lái)限制其系統(tǒng)行為，管理員會(huì)依照其自身角色為其指定相應(yīng)控制方略來(lái)限定顧客。訪問(wèn)控制方略是保護(hù)系統(tǒng)安全性重要環(huán)節(jié)，制定良好訪問(wèn)方略可以更好提高系統(tǒng)安全性。操作審計(jì)操作審計(jì)管理重要審計(jì)操作人員帳號(hào)使用（登錄、資源訪問(wèn)）狀況、資源使用狀況等。在各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備訪問(wèn)