BIT8-4網(wǎng)絡(luò)信息系統(tǒng)安全體系-IDM

1、網(wǎng)絡(luò)內(nèi)控之：統(tǒng)一身份管理網(wǎng)絡(luò)內(nèi)控之：統(tǒng)一身份管理孫建偉北京理工大學(xué)軟件學(xué)院提綱局域網(wǎng)應(yīng)用模型身份集中管理的需求Windows域集中認(rèn)證管理一般局域網(wǎng)系統(tǒng)的IDM技術(shù)方案主流產(chǎn)品與解決方案未來發(fā)展: Web service分布式環(huán)境下的集中訪問控制局域網(wǎng)應(yīng)用模型多個(gè)分立的系統(tǒng)和網(wǎng)絡(luò)設(shè)備多種數(shù)據(jù)庫系統(tǒng)多個(gè)Web應(yīng)用系統(tǒng)多種網(wǎng)絡(luò)設(shè)備: 防火墻,交換機(jī),路由器,其它安全設(shè)備多種服務(wù)器平臺: Windows, Unix局域網(wǎng)應(yīng)用模型多個(gè)分立的系統(tǒng)和網(wǎng)絡(luò)設(shè)備不同的系統(tǒng)平臺不同的客戶端獨(dú)立維護(hù)帳號獨(dú)立的訪問控制管理典型場景：多服務(wù)器，多用戶如果資源分布在多臺服務(wù)器上，要在每臺服務(wù)器分別為每一員工建立一個(gè)賬戶

2、（共M*N），用戶則需要在每臺服務(wù)器上（共M臺）登錄 局域網(wǎng)應(yīng)用模型從用戶、管理員、應(yīng)用系統(tǒng)（信息資源）三方面看存在的問題用戶M：帳號多，不便應(yīng)用系統(tǒng)N：自主維護(hù)訪問控制，泛泛的，難以適應(yīng)具體的網(wǎng)絡(luò)環(huán)境要求管理員：M*N較大時(shí)帳號管理，如何實(shí)施全生命周期的管理？權(quán)限管理：如何實(shí)施全局安全策略？用戶名用戶名輸入用戶名輸入用戶名/口令口令登錄口令口令局域網(wǎng)環(huán)境下管理的需求管理員管理員工作人員工作人員應(yīng)用應(yīng)用1應(yīng)用應(yīng)用2應(yīng)用應(yīng)用3棘手的問題用戶用戶是否有太多的密碼需要記憶？是否有太多的密碼需要記憶？作為系統(tǒng)管理員，是否需要花費(fèi)很多的時(shí)間去管理用戶帳號和訪問作為系統(tǒng)管理員，是否需要花費(fèi)很多的時(shí)間去管理

3、用戶帳號和訪問權(quán)限？權(quán)限？各部門管理員需要花費(fèi)多長時(shí)間才能為一個(gè)新的用戶在所有的應(yīng)用各部門管理員需要花費(fèi)多長時(shí)間才能為一個(gè)新的用戶在所有的應(yīng)用系統(tǒng)中建立賬號？是否工作重復(fù)，效率低下系統(tǒng)中建立賬號？是否工作重復(fù)，效率低下?員工離開企業(yè)時(shí)能否立即停用其在各個(gè)應(yīng)用子系統(tǒng)中的賬號？員工離開企業(yè)時(shí)能否立即停用其在各個(gè)應(yīng)用子系統(tǒng)中的賬號？用戶的詳細(xì)信息在各個(gè)系統(tǒng)中是否一致？用戶的詳細(xì)信息在各個(gè)系統(tǒng)中是否一致？添加新的應(yīng)用時(shí)是否有一致的認(rèn)證和授權(quán)框架可以利用？添加新的應(yīng)用時(shí)是否有一致的認(rèn)證和授權(quán)框架可以利用？如何滿足行業(yè)政策規(guī)范的要求？如何滿足行業(yè)政策規(guī)范的要求？是否可以對企業(yè)內(nèi)應(yīng)用系統(tǒng)實(shí)現(xiàn)監(jiān)控和跟蹤？是否

4、可以對企業(yè)內(nèi)應(yīng)用系統(tǒng)實(shí)現(xiàn)監(jiān)控和跟蹤？今天的企業(yè)環(huán)境其他應(yīng)用人事系統(tǒng)財(cái)務(wù)系統(tǒng)郵件局域網(wǎng)PABXCRM員工客戶IT 管理員供應(yīng)商合作伙伴移動(dòng)用戶離職員工?用戶用戶只需一個(gè)憑證只需一次登錄應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)信息資源整合信息統(tǒng)一標(biāo)識規(guī)范和接口規(guī)范管理員管理員信息的一致性集中管理安全保障體系安全保障體系用戶管理統(tǒng)一的安全策略服務(wù)集中授權(quán)集中審計(jì)解決之道 統(tǒng)一認(rèn)證管理如果如果集中身份管理：Windows域Windows域理念Windows域管理構(gòu)成要素域控制器成員服務(wù)器活動(dòng)目錄認(rèn)證協(xié)議：Kerberos目錄服務(wù)：LDAP Windows域理念服務(wù)器和用戶的計(jì)算機(jī)都在同一個(gè)域中，用戶在域中只要擁有一個(gè)賬號用戶

5、只需要在域中擁有一個(gè)域賬戶，只需要在域中登錄一次就可以訪問域中的資源了。域中的服務(wù)器域控制器（Domain Controller)啟動(dòng)Active Directory域服務(wù)身份認(rèn)證目錄服務(wù)成員服務(wù)器成員服務(wù)器都信任DC的身分驗(yàn)證。保留本機(jī)的帳戶數(shù)據(jù)庫,因此使用者仍可利用這些本機(jī)帳戶,登入該服務(wù)器。對域的安全管理而言,這些本機(jī)賬戶可能會是漏洞可加入AD域的工作站所有安裝以下操作系統(tǒng),而且加入域的計(jì)算機(jī)都算是工作站W(wǎng)indows NT WorkstationWindows 2000 ProfessionalWindows XP ProfessionalWindows 7/vista商用入門版、商用

6、進(jìn)階版和旗艦版Windows 95 / 98 / Me、Windows XP家庭版、Windows 7家庭版也都沒有加入域的功能。服務(wù)器角色轉(zhuǎn)換AD域認(rèn)證協(xié)議：Kerberos AD目錄服務(wù)微軟自Windows 2000 Server開始提供完整的目錄服務(wù),命名為AD（ActiveDirectory）目錄服務(wù)。AD目錄與AD目錄服務(wù)遵循符合X.500及LDAP規(guī)范AD對象包括加入域的服務(wù)器和客戶端帳號，及其詳細(xì)的權(quán)限屬性AD目錄的架構(gòu)AD目錄仍然是以對象組合成樹狀架構(gòu),不過卻多了域（Domain）對象。將一般對象先整合到域中,再形成所謂的域樹（Domain Tree）實(shí)現(xiàn)統(tǒng)一認(rèn)證和單點(diǎn)登錄活動(dòng)

7、目錄登錄到 Windows單一登錄到單一登錄到:Windows 文件服務(wù)器Windows Web 應(yīng)用程序Exchange emailSQL ServerBizTalk Server其他微軟應(yīng)用程序第三方集成應(yīng)用程序ExchangeWeb 服務(wù)文件共享Windows 集成應(yīng)用程序Windows域的局限性實(shí)際的局域網(wǎng)環(huán)境不是單一的Windows域應(yīng)用環(huán)境，存在大量的非Windows系統(tǒng)服務(wù)器平臺：春秋戰(zhàn)國局域網(wǎng)組成成分的多樣性：防火墻、路由器 、各類應(yīng)用系統(tǒng)DC域無法解決局域網(wǎng)的統(tǒng)一身份管理問題反而成了麻煩IDM如何集成已經(jīng)存在的Windows域？一般局域網(wǎng)系統(tǒng)的IDM技術(shù)方案需解決的問題：集中

8、認(rèn)證支持多種客戶端主帳號與從帳號的問題單點(diǎn)登錄集中授權(quán)與訪問控制帳號、認(rèn)證、授權(quán)和審計(jì)帳號、認(rèn)證、授權(quán)和審計(jì)審計(jì)管理審計(jì)管理各應(yīng)用系統(tǒng)都有一套獨(dú)立的審計(jì)管理；每個(gè)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫都要分別進(jìn)行審計(jì)缺乏集中統(tǒng)一的系統(tǒng)訪問審計(jì)無法對應(yīng)用系統(tǒng)進(jìn)行綜合分析授權(quán)管理授權(quán)管理各應(yīng)用系統(tǒng)都獨(dú)立授權(quán)管理隨著用戶數(shù)量的增加， 權(quán)限管理任務(wù)越來越重； 缺乏集中統(tǒng)一資源授權(quán)管理帳號管理帳號管理各應(yīng)用系統(tǒng)都有一套獨(dú)立的用戶管理；帳號及口令四處流傳并記錄下來 有些帳號多人共用，未授權(quán)的訪問較簡單口令或?qū)⒍嘞到y(tǒng)口令設(shè)置相同崗位變更、離職，帳號仍在；多方人員使用系統(tǒng)，管理復(fù)雜；認(rèn)證管理認(rèn)證管理各應(yīng)用系統(tǒng)都獨(dú)立認(rèn)證缺乏控制而不

9、遵循安全策略重復(fù)輸密碼，工作效率低；使用靜態(tài)口令,安全性低IDMIDM需求需求IDM建設(shè)需求n改變IT系統(tǒng)分立管理的局面，需建設(shè)集中的IDM系統(tǒng)實(shí)現(xiàn)集中的帳號管理、統(tǒng)一的登錄認(rèn)證、適度集中的訪問控制策略和全面綜合的運(yùn)營維護(hù)操作審計(jì)；n最終實(shí)現(xiàn)對IT系統(tǒng)的可知、可控、可管的集中運(yùn)維操作IDM產(chǎn)品概述概念：IDM系統(tǒng)包括自然人帳號管理、諸多被管資源接口組件、統(tǒng)一認(rèn)證組件、訪問控制組件等構(gòu)成的系統(tǒng)，它介于運(yùn)營維護(hù)人員和被管的IT系統(tǒng)之間，對運(yùn)維人員提供統(tǒng)一的登錄入口（Portal），由IDM系統(tǒng)代理對諸多網(wǎng)元的登錄、認(rèn)證、訪問控制和審計(jì)。對被管IT資源而言，納入IDM管理后，原則上即不能被自然人用戶

10、直接訪問。這個(gè)概念的要點(diǎn)是：IDM系統(tǒng)是一系列組件，協(xié)同完成集中帳號管理（account），集中認(rèn)證（Authentication， IDMPortal的登錄認(rèn)證），集中的訪問控制授權(quán)（Authorization），集中的審計(jì)（Audit）等功能。IDM系統(tǒng)對運(yùn)維人員提供統(tǒng)一的登錄Portal，通過IDMPortal的認(rèn)證，登錄IDM Portal后，用戶即獲得訪問被管資源的視圖和權(quán)限，至少從感受上用戶可以直接訪問獲得授權(quán)的資源；用戶通過IDM進(jìn)而登錄操作被管資源，整個(gè)過程由IDM系統(tǒng)和被管資源形成審計(jì)記錄；被管資源（如某路由器）納入IDM管理后，其自身的帳號管理、認(rèn)證、訪問控制、審計(jì)等功能依

11、然不變，但可以被IDM系統(tǒng)重置，進(jìn)而其帳號成為IDM系統(tǒng)的從賬號；IDM系統(tǒng)對被管資源應(yīng)具有系統(tǒng)管理員的權(quán)限；IDM系統(tǒng)架構(gòu)示意圖IDM產(chǎn)品概述作為被管資源的分立系統(tǒng)IDM要解決諸多分立IT系統(tǒng)的集中管理的問題在于，分立的IT系統(tǒng)包括主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、應(yīng)用系統(tǒng)都有自身的安全模式，包括賬號管理、登錄方式、認(rèn)證方式、訪問控制等功能的實(shí)現(xiàn)。如windows系統(tǒng)支持RDP登錄方式，支持用戶名/密碼方式的身份認(rèn)證方式和基于域控制器(DC)和Kerbrose 協(xié)議的認(rèn)證模式，系統(tǒng)自身支持DAC、MAC的訪問控制模式；Unix系統(tǒng)支持telnet/SSH等登錄方式，支持用戶名/密碼方式的本地身份認(rèn)證方

12、式和基于Radius 協(xié)議的認(rèn)證模式；網(wǎng)絡(luò)設(shè)備一般支持telnet/SSH的登錄方式，支持用戶名/密碼方式的本地身份認(rèn)證方式和基于Radius/Tacas+ 協(xié)議的認(rèn)證模式；數(shù)據(jù)庫系統(tǒng)則支持標(biāo)準(zhǔn)SQL訪問語言，不同的數(shù)據(jù)庫的ODBC實(shí)現(xiàn)不同，都支持本地用戶名/密碼認(rèn)證，不同數(shù)據(jù)庫的訪問控制強(qiáng)度不同（由此劃分不同安全等級的數(shù)據(jù)庫）；C/S、B/S應(yīng)用系統(tǒng)安全模式完全獨(dú)立設(shè)計(jì)，B/S應(yīng)用隨著Web Service規(guī)范的發(fā)展，其安全模式(包括認(rèn)證)逐漸標(biāo)準(zhǔn)化，如SOAP協(xié)議和SAML規(guī)范的采用。IDM產(chǎn)品概述作為被管資源的分立系統(tǒng)IDM系統(tǒng)的實(shí)現(xiàn)首先建立在上述原有的IT組元的登錄、認(rèn)證、訪問控制模式

13、的基礎(chǔ)上，實(shí)現(xiàn)IDM功能自然人帳號的集中管理支持各種登錄方式和登錄過程中的認(rèn)證被管資源的納入（從賬號收集與重置，登錄權(quán)限授予自然人賬號，登錄過程統(tǒng)一管理）對自然人帳號的授權(quán)（被管資源的訪問權(quán)）訪問被管資源前的統(tǒng)一認(rèn)證包括單點(diǎn)登錄，以及所有環(huán)節(jié)的審計(jì)。IDM主要功能的實(shí)現(xiàn)模式自然人帳號管理IDM系統(tǒng)提供自然人帳號的集中管理功能，包括帳號的生命周期管理，對自然人帳號的授權(quán)，自然人帳號登錄IDM系統(tǒng)的認(rèn)證。引入組管理的技術(shù)，降低管理成本采用基于審批流程的管理在PKI體系下，引入數(shù)字證書的發(fā)放管理IDM主要功能的實(shí)現(xiàn)模式兩次認(rèn)證過程IDM系統(tǒng)納入被管IT組元，包括主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、C/S及B/S

14、應(yīng)用系統(tǒng)。其基本模式是采用(依賴)IT組元自身的安全模式，將遠(yuǎn)程認(rèn)證服務(wù)器集中，不支持遠(yuǎn)程認(rèn)證的采用本地認(rèn)證方式。IDM系統(tǒng)部署到IT系統(tǒng)后，用戶訪問被管資源實(shí)際上要作兩次認(rèn)證，一次是登錄IDM服務(wù)器（或SSO服務(wù)器），第二次是登錄被管資源時(shí)，被管資源本身要求的認(rèn)證。第二次認(rèn)證由IDM系統(tǒng)（SSO服務(wù)器）代理完成。如果被管資源支持外部認(rèn)證（路由器），則可以引入集中的認(rèn)證服務(wù)器，如Radius，Tacks+認(rèn)證服務(wù)器對于支持Web Service的標(biāo)準(zhǔn)協(xié)議的，采用IDM Portal/SSO生成令牌CookieHTTP POST（Token）對于被管資源本地認(rèn)證，則IDM完成密碼代添功能IDM主

15、要功能的實(shí)現(xiàn)模式授權(quán)管理IDM系統(tǒng)在自然人和被管資源之間建立訪問授權(quán)關(guān)系，一般采用基于角色的訪問控制技術(shù)（RBAC）對自然人帳號授權(quán)在RBAC框架下，IDM的授權(quán)涉及三個(gè)層次：一是角色授予自然人帳號，即自然人帳號授權(quán)；二是被管資源的從賬號授予角色即角色授權(quán)；三是被管資源內(nèi)部的從賬號的授權(quán)，這有賴于被管資源內(nèi)部的安全模式。IDM主要功能的實(shí)現(xiàn)模式訪問控制自然人通過IDM系統(tǒng)對整個(gè)IT系統(tǒng)的登錄過程理想的IDM模型，應(yīng)該提供給用戶統(tǒng)一的登錄入口（IDM登錄界面， IDM portal）用戶登錄IDM Portal后即可按照IDM設(shè)定的訪問權(quán)限登錄各IT組元，由IDM代理完成IT組元要求的登錄認(rèn)證過

16、程，包括密碼代填或令牌（Key）的發(fā)放及統(tǒng)一認(rèn)證用戶所用的客戶端可以智能的適應(yīng)不同的訪問對象的登錄方式（如通過IE瀏覽器的插件實(shí)現(xiàn)智能客戶端功能）訪問控制的兩個(gè)環(huán)節(jié)被管資源按照從賬號的授權(quán)策略實(shí)施訪問控制IDM系統(tǒng)也可實(shí)現(xiàn)訪問控制，IDM Portal可以實(shí)現(xiàn)簡單的訪問控制通過堡壘主機(jī)組件可實(shí)施細(xì)粒度訪問控制IDM主要功能的實(shí)現(xiàn)模式審計(jì)功能IDM系統(tǒng)自審計(jì)的內(nèi)涵整個(gè)IDM系統(tǒng)整個(gè)管理過程的審計(jì)，包括帳號管理，從賬號管理，授權(quán)過程，訪問控制策略等等；用戶對被管資源訪問過程的審計(jì)，堡壘主機(jī)可以記錄整個(gè)訪問過程IDM系統(tǒng)的自審計(jì)信息應(yīng)納入整個(gè)安全審計(jì)系統(tǒng)中，通過綜合的日志審計(jì)平臺實(shí)現(xiàn)對IDM審計(jì)記錄

17、、被管資源日志、網(wǎng)絡(luò)審計(jì)記錄的綜合管理和審計(jì)分析。1.被管資源的納入及納入后的管理被管資源的納入及納入后的管理n包括資源從賬號的收集、密碼重置、認(rèn)證方式重置，資源側(cè)訪問控制策略建立（從賬號授權(quán)與），孤立賬號的處理等。2.主賬號的管理主賬號的管理n主賬號整個(gè)生命周期的管理，賬號名、密碼策略、認(rèn)證方式、訪問權(quán)限等的管理。3. 授權(quán)關(guān)系的建立，訪問控制策略建立授權(quán)關(guān)系的建立，訪問控制策略建立n涉及主賬號、角色、資源從賬號三個(gè)層次的授權(quán)，及堡壘主機(jī)和被管資源自身可執(zhí)行的訪問控制策略的建立。IDM系統(tǒng)涉及的工作流程4. 系統(tǒng)審計(jì)策略的建立系統(tǒng)審計(jì)策略的建立n涉及各被管資源自身審計(jì)功能開啟和審計(jì)策略的建立、IDM各組件審計(jì)功能開啟和審計(jì)策略的建立。5. 用戶通過用戶通過IDM訪問被管資源訪問被管資源n用戶通過自然人賬號登錄IDM Portal，進(jìn)而訪問被管資源的過程，涉及兩次認(rèn)證過程，訪問過程受控于IDM系統(tǒng)的堡壘主機(jī)和被管資源自身的訪問控制功能。6. 審計(jì)信息的處理和響應(yīng)審計(jì)信息的處理和響應(yīng)n審計(jì)管理員通過集中的審計(jì)管理平臺對IT系統(tǒng)及其運(yùn)維操作進(jìn)行審計(jì)分析和相關(guān)處理，形成審計(jì)分析報(bào)告。n1-4過程是IDM系統(tǒng)基本設(shè)置（系統(tǒng)初始化）過程涉及的若干環(huán)節(jié)，