BIT8-4網(wǎng)絡(luò)信息系統(tǒng)安全體系-IDMppt課件

1、網(wǎng)絡(luò)內(nèi)控之：一致身份管理孫建偉北京理工大學(xué)軟件學(xué)院.提綱局域網(wǎng)運(yùn)用模型身份集中管理的需求Windows域集中認(rèn)證管理普通局域網(wǎng)系統(tǒng)的IDM技術(shù)方案主流產(chǎn)品與處理方案未來開展: Web service分布式環(huán)境下的集中訪問控制.局域網(wǎng)運(yùn)用模型多個(gè)分立的系統(tǒng)和網(wǎng)絡(luò)設(shè)備多種數(shù)據(jù)庫系統(tǒng)多個(gè)Web運(yùn)用系統(tǒng)多種網(wǎng)絡(luò)設(shè)備: 防火墻,交換機(jī),路由器,其它平安設(shè)備多種效力器平臺(tái): Windows, Unix.局域網(wǎng)運(yùn)用模型多個(gè)分立的系統(tǒng)和網(wǎng)絡(luò)設(shè)備不同的系統(tǒng)平臺(tái)不同的客戶端獨(dú)立維護(hù)帳號(hào)獨(dú)立的訪問控制管理.典型場景：多效力器，多用戶假設(shè)資源分布在多臺(tái)效力器上，要在每臺(tái)效力器分別為每一員工建立一個(gè)賬戶共M*N，用戶那

2、么需求在每臺(tái)效力器上共M臺(tái)登錄 .局域網(wǎng)運(yùn)用模型從用戶、管理員、運(yùn)用系統(tǒng)信息資源三方面看存在的問題用戶M：帳號(hào)多，不便運(yùn)用系統(tǒng)N：自主維護(hù)訪問控制，泛泛的，難以順應(yīng)詳細(xì)的網(wǎng)絡(luò)環(huán)境要求管理員：M*N較大時(shí)帳號(hào)管理，如何實(shí)施全生命周期的管理？權(quán)限管理：如何實(shí)施全局平安戰(zhàn)略？.用戶名輸入用戶名/口令登錄口令局域網(wǎng)環(huán)境下管理的需求管理員任務(wù)人員運(yùn)用1運(yùn)用2運(yùn)用3.棘手的問題用戶能否有太多的密碼需求記憶？作為系統(tǒng)管理員，能否需求破費(fèi)很多的時(shí)間去管理用戶帳號(hào)和訪問權(quán)限？各部門管理員需求破費(fèi)多長時(shí)間才干為一個(gè)新的用戶在一切的運(yùn)用系統(tǒng)中建立賬號(hào)？能否任務(wù)反復(fù)，效率低下?員工分開企業(yè)時(shí)能否立刻停用其在各個(gè)運(yùn)用子

3、系統(tǒng)中的賬號(hào)？用戶的詳細(xì)信息在各個(gè)系統(tǒng)中能否一致？添加新的運(yùn)用時(shí)能否有一致的認(rèn)證和授權(quán)框架可以利用？如何滿足行業(yè)政策規(guī)范的要求？能否可以對(duì)企業(yè)內(nèi)運(yùn)用系統(tǒng)實(shí)現(xiàn)監(jiān)控和跟蹤？.今天的企業(yè)環(huán)境其他運(yùn)用人事系統(tǒng)財(cái)務(wù)系統(tǒng)郵件局域網(wǎng)PABXCRM員工客戶IT 管理員供應(yīng)商協(xié)作同伴挪動(dòng)用戶離任員工如何為企業(yè)用戶減少需求記憶的密碼？?如何讓員工及客戶平安的訪問企業(yè)系統(tǒng)?如何縮短為新用戶在各個(gè)系統(tǒng)中創(chuàng)建賬號(hào)的時(shí)間?如何防止分開的員工仍能繼續(xù)訪問企業(yè)內(nèi)系統(tǒng)?如何減少在管理用戶帳號(hào)方面的破費(fèi)?如何確保員工/客戶可以訪問到企業(yè)各個(gè)系統(tǒng)中最新的信息?如何對(duì)企業(yè)的運(yùn)用系統(tǒng)進(jìn)展審計(jì)?.用戶只需一個(gè)憑證只需一次登錄運(yùn)用系統(tǒng)信息

4、資源整合信息一致標(biāo)識(shí)規(guī)范和接口規(guī)范管理員信息的一致性集中管理平安保證體系用戶管理一致的平安戰(zhàn)略效力集中授權(quán)集中審計(jì)處理之道 一致認(rèn)證管理假設(shè)一致認(rèn)證管理1、集中一致管理用戶、機(jī)構(gòu)、角色、運(yùn)用等信息2、一致認(rèn)證，實(shí)現(xiàn)單點(diǎn)登錄3、基于角色的訪問控制4、運(yùn)用間信息同步和共享5、平安戰(zhàn)略和平安管理.集中身份管理：Windows域Windows域理念Windows域管理構(gòu)成要素域控制器成員效力器活動(dòng)目錄認(rèn)證協(xié)議：Kerberos目錄效力：LDAP .Windows域理念效力器和用戶的計(jì)算機(jī)都在同一個(gè)域中，用戶在域中只需擁有一個(gè)賬號(hào)用戶只需求在域中擁有一個(gè)域賬戶，只需求在域中登錄一次就可以訪問域中的資源了

5、。.域中的效力器域控制器Domain Controller)啟動(dòng)Active Directory域效力身份認(rèn)證目錄效力成員效力器成員效力器都信任DC的身分驗(yàn)證。保管本機(jī)的帳戶數(shù)據(jù)庫,因此運(yùn)用者仍可利用這些本機(jī)帳戶,登入該效力器。對(duì)域的平安管理而言,這些本機(jī)賬戶能夠會(huì)是破綻.可參與AD域的任務(wù)站一切安裝以下操作系統(tǒng),而且參與域的計(jì)算機(jī)都算是任務(wù)站W(wǎng)indows NT WorkstationWindows 2000 ProfessionalWindows XP ProfessionalWindows 7/vista商用入門版、商用進(jìn)階版和旗艦版Windows 95 / 98 / Me、Window

6、s XP家庭版、Windows 7家庭版也都沒有參與域的功能。.效力器角色轉(zhuǎn)換.AD域認(rèn)證協(xié)議：Kerberos. AD目錄效力微軟自Windows 2000 Server開場提供完好的目錄效力,命名為ADActiveDirectory目錄效力。AD目錄與AD目錄效力遵照符合X.500及LDAP規(guī)范AD對(duì)象包括參與域的效力器和客戶端帳號(hào)，及其詳細(xì)的權(quán)限屬性.AD目錄的架構(gòu)AD目錄依然是以對(duì)象組合成樹狀架構(gòu),不過卻多了域Domain對(duì)象。將普通對(duì)象先整合到域中,再構(gòu)成所謂的域樹Domain Tree.實(shí)現(xiàn)一致認(rèn)證和單點(diǎn)登錄活動(dòng)目錄登錄到 Windows單一登錄到:Windows 文件效力器Win

7、dows Web 運(yùn)用程序Exchange SQL ServerBizTalk Server其他微軟運(yùn)用程序第三方集成運(yùn)用程序ExchangeWeb 效力文件共享Windows 集成運(yùn)用程序.Windows域的局限性實(shí)踐的局域網(wǎng)環(huán)境不是單一的Windows域運(yùn)用環(huán)境，存在大量的非Windows系統(tǒng)效力器平臺(tái)：春秋戰(zhàn)國局域網(wǎng)組成成分的多樣性：防火墻、路由器 、各類運(yùn)用系統(tǒng)DC域無法處理局域網(wǎng)的一致身份管理問題反而成了費(fèi)事IDM如何集成曾經(jīng)存在的Windows域？.普通局域網(wǎng)系統(tǒng)的IDM技術(shù)方案需處理的問題：集中認(rèn)證支持多種客戶端主帳號(hào)與從帳號(hào)的問題單點(diǎn)登錄集中授權(quán)與訪問控制.帳號(hào)、認(rèn)證、授權(quán)和審

8、計(jì)審計(jì)管理各運(yùn)用系統(tǒng)都有一套獨(dú)立的審計(jì)管理；每個(gè)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫都要分別進(jìn)展審計(jì)缺乏集中一致的系統(tǒng)訪問審計(jì)無法對(duì)運(yùn)用系統(tǒng)進(jìn)展綜合分析授權(quán)管理各運(yùn)用系統(tǒng)都獨(dú)立授權(quán)管理隨著用戶數(shù)量的添加， 權(quán)限管理義務(wù)越來越重； 缺乏集中一致資源授權(quán)管理帳號(hào)管理各運(yùn)用系統(tǒng)都有一套獨(dú)立的用戶管理；帳號(hào)及口令四處流傳并記錄下來 有些帳號(hào)多人共用，未授權(quán)的訪問較簡單口令或?qū)⒍嘞到y(tǒng)口令設(shè)置一樣崗位變卦、離任，帳號(hào)仍在；多方人員運(yùn)用系統(tǒng)，管理復(fù)雜；認(rèn)證管理各運(yùn)用系統(tǒng)都獨(dú)立認(rèn)證缺乏控制而不遵照平安戰(zhàn)略反復(fù)輸密碼，任務(wù)效率低；運(yùn)用靜態(tài)口令,平安性低IDM需求.IDM建立需求改動(dòng)IT系統(tǒng)分立管理的局面，需建立集中的IDM系統(tǒng)實(shí)現(xiàn)

9、集中的帳號(hào)管理、一致的登錄認(rèn)證、適度集中的訪問控制戰(zhàn)略和全面綜合的運(yùn)營維護(hù)操作審計(jì)；最終實(shí)現(xiàn)對(duì)IT系統(tǒng)的可知、可控、可管的集中運(yùn)維操作.IDM產(chǎn)品概述概念：IDM系統(tǒng)包括自然人帳號(hào)管理、諸多被管資源接口組件、一致認(rèn)證組件、訪問控制組件等構(gòu)成的系統(tǒng)，它介于運(yùn)營維護(hù)人員和被管的IT系統(tǒng)之間，對(duì)運(yùn)維人員提供一致的登錄入口Portal，由IDM系統(tǒng)代理對(duì)諸多網(wǎng)元的登錄、認(rèn)證、訪問控制和審計(jì)。對(duì)被管IT資源而言，納入IDM管理后，原那么上即不能被自然人用戶直接訪問。這個(gè)概念的要點(diǎn)是：IDM系統(tǒng)是一系列組件，協(xié)同完成集中帳號(hào)管理account，集中認(rèn)證Authentication， IDMPortal的登

10、錄認(rèn)證，集中的訪問控制授權(quán)Authorization，集中的審計(jì)Audit等功能。IDM系統(tǒng)對(duì)運(yùn)維人員提供一致的登錄Portal，經(jīng)過IDMPortal的認(rèn)證，登錄IDM Portal后，用戶即獲得訪問被管資源的視圖和權(quán)限，至少從感受上用戶可以直接訪問獲得授權(quán)的資源；用戶經(jīng)過IDM進(jìn)而登錄操作被管資源，整個(gè)過程由IDM系統(tǒng)和被管資源構(gòu)成審計(jì)記錄；被管資源如某路由器納入IDM管理后，其本身的帳號(hào)管理、認(rèn)證、訪問控制、審計(jì)等功能依然不變，但可以被IDM系統(tǒng)重置，進(jìn)而其帳號(hào)成為IDM系統(tǒng)的從賬號(hào)；IDM系統(tǒng)對(duì)被管資源應(yīng)具有系統(tǒng)管理員的權(quán)限；.IDM系統(tǒng)架構(gòu)表示圖.IDM產(chǎn)品概述作為被管資源的分立系統(tǒng)

11、IDM要處理諸多分立IT系統(tǒng)的集中管理的問題在于，分立的IT系統(tǒng)包括主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、運(yùn)用系統(tǒng)都有本身的平安方式，包括賬號(hào)管理、登錄方式、認(rèn)證方式、訪問控制等功能的實(shí)現(xiàn)。如windows系統(tǒng)支持RDP登錄方式，支持用戶名/密碼方式的身份認(rèn)證方式和基于域控制器(DC)和Kerbrose 協(xié)議的認(rèn)證方式，系統(tǒng)本身支持DAC、MAC的訪問控制方式；Unix系統(tǒng)支持telnet/SSH等登錄方式，支持用戶名/密碼方式的本地身份認(rèn)證方式和基于Radius 協(xié)議的認(rèn)證方式；網(wǎng)絡(luò)設(shè)備普通支持telnet/SSH的登錄方式，支持用戶名/密碼方式的本地身份認(rèn)證方式和基于Radius/Tacas+ 協(xié)議的認(rèn)

12、證方式；數(shù)據(jù)庫系統(tǒng)那么支持規(guī)范SQL訪問言語，不同的數(shù)據(jù)庫的ODBC實(shí)現(xiàn)不同，都支持本地用戶名/密碼認(rèn)證，不同數(shù)據(jù)庫的訪問控制強(qiáng)度不同由此劃分不同平安等級(jí)的數(shù)據(jù)庫；C/S、B/S運(yùn)用系統(tǒng)平安方式完全獨(dú)立設(shè)計(jì)，B/S運(yùn)用隨著Web Service規(guī)范的開展，其平安方式(包括認(rèn)證)逐漸規(guī)范化，如SOAP協(xié)議和SAML規(guī)范的采用。.IDM產(chǎn)品概述作為被管資源的分立系統(tǒng)IDM系統(tǒng)的實(shí)現(xiàn)首先建立在上述原有的IT組元的登錄、認(rèn)證、訪問控制方式的根底上，實(shí)現(xiàn)IDM功能自然人帳號(hào)的集中管理支持各種登錄方式和登錄過程中的認(rèn)證被管資源的納入從賬號(hào)搜集與重置，登錄權(quán)限授予自然人賬號(hào)，登錄過程一致管理對(duì)自然人帳號(hào)的授

13、權(quán)被管資源的訪問權(quán)訪問被管資源前的一致認(rèn)證包括單點(diǎn)登錄，以及一切環(huán)節(jié)的審計(jì)。.IDM主要功能的實(shí)現(xiàn)方式自然人帳號(hào)管理IDM系統(tǒng)提供自然人帳號(hào)的集中管理功能，包括帳號(hào)的生命周期管理，對(duì)自然人帳號(hào)的授權(quán)，自然人帳號(hào)登錄IDM系統(tǒng)的認(rèn)證。引入組管理的技術(shù)，降低管理本錢采用基于審批流程的管理在PKI體系下，引入數(shù)字證書的發(fā)放管理.IDM主要功能的實(shí)現(xiàn)方式兩次認(rèn)證過程IDM系統(tǒng)納入被管IT組元，包括主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、C/S及B/S運(yùn)用系統(tǒng)。其根本方式是采用(依賴)IT組元本身的平安方式，將遠(yuǎn)程認(rèn)證效力器集中，不支持遠(yuǎn)程認(rèn)證的采用本地認(rèn)證方式。IDM系統(tǒng)部署到IT系統(tǒng)后，用戶訪問被管資源實(shí)踐上要作兩

14、次認(rèn)證，一次是登錄IDM效力器或SSO效力器，第二次是登錄被管資源時(shí)，被管資源本身要求的認(rèn)證。第二次認(rèn)證由IDM系統(tǒng)SSO效力器代理完成。假設(shè)被管資源支持外部認(rèn)證路由器，那么可以引入集中的認(rèn)證效力器，如Radius，Tacks+認(rèn)證效力器對(duì)于支持Web Service的規(guī)范協(xié)議的，采用IDM Portal/SSO生成令牌Cookie POSTToken對(duì)于被管資源本地認(rèn)證，那么IDM完成密碼代添功能.IDM主要功能的實(shí)現(xiàn)方式授權(quán)管理IDM系統(tǒng)在自然人和被管資源之間建立訪問授權(quán)關(guān)系，普通采用基于角色的訪問控制技術(shù)RBAC對(duì)自然人帳號(hào)授權(quán)在RBAC框架下，IDM的授權(quán)涉及三個(gè)層次：一是角色授予自然

15、人帳號(hào)，即自然人帳號(hào)授權(quán)；二是被管資源的從賬號(hào)授予角色即角色授權(quán)；三是被管資源內(nèi)部的從賬號(hào)的授權(quán)，這有賴于被管資源內(nèi)部的平安方式。.IDM主要功能的實(shí)現(xiàn)方式訪問控制自然人經(jīng)過IDM系統(tǒng)對(duì)整個(gè)IT系統(tǒng)的登錄過程理想的IDM模型，應(yīng)該提供應(yīng)用戶一致的登錄入口IDM登錄界面， IDM portal用戶登錄IDM Portal后即可按照IDM設(shè)定的訪問權(quán)限登錄各IT組元，由IDM代理完成IT組元要求的登錄認(rèn)證過程，包括密碼代填或令牌Key的發(fā)放及一致認(rèn)證用戶所用的客戶端可以智能的順應(yīng)不同的訪問對(duì)象的登錄方式如經(jīng)過IE閱讀器的插件實(shí)現(xiàn)智能客戶端功能訪問控制的兩個(gè)環(huán)節(jié)被管資源按照從賬號(hào)的授權(quán)戰(zhàn)略實(shí)施訪問控

16、制IDM系統(tǒng)也可實(shí)現(xiàn)訪問控制，IDM Portal可以實(shí)現(xiàn)簡單的訪問控制經(jīng)過堡壘主機(jī)組件可實(shí)施細(xì)粒度訪問控制.IDM主要功能的實(shí)現(xiàn)方式審計(jì)功能IDM系統(tǒng)自審計(jì)的內(nèi)涵整個(gè)IDM系統(tǒng)整個(gè)管理過程的審計(jì)，包括帳號(hào)管理，從賬號(hào)管理，授權(quán)過程，訪問控制戰(zhàn)略等等；用戶對(duì)被管資源訪問過程的審計(jì)，堡壘主機(jī)可以記錄整個(gè)訪問過程IDM系統(tǒng)的自審計(jì)信息應(yīng)納入整個(gè)平安審計(jì)系統(tǒng)中，經(jīng)過綜合的日志審計(jì)平臺(tái)實(shí)現(xiàn)對(duì)IDM審計(jì)記錄、被管資源日志、網(wǎng)絡(luò)審計(jì)記錄的綜合管理和審計(jì)分析。.1.被管資源的納入及納入后的管理包括資源從賬號(hào)的搜集、密碼重置、認(rèn)證方式重置，資源側(cè)訪問控制戰(zhàn)略建立從賬號(hào)授權(quán)與，孤立賬號(hào)的處置等。2.主賬號(hào)的管理

17、主賬號(hào)整個(gè)生命周期的管理，賬號(hào)名、密碼戰(zhàn)略、認(rèn)證方式、訪問權(quán)限等的管理。3. 授權(quán)關(guān)系的建立，訪問控制戰(zhàn)略建立涉及主賬號(hào)、角色、資源從賬號(hào)三個(gè)層次的授權(quán)，及堡壘主機(jī)和被管資源本身可執(zhí)行的訪問控制戰(zhàn)略的建立。IDM系統(tǒng)涉及的任務(wù)流程.4. 系統(tǒng)審計(jì)戰(zhàn)略的建立涉及各被管資源本身審計(jì)功能開啟和審計(jì)戰(zhàn)略的建立、IDM各組件審計(jì)功能開啟和審計(jì)戰(zhàn)略的建立。5. 用戶經(jīng)過IDM訪問被管資源用戶經(jīng)過自然人賬號(hào)登錄IDM Portal，進(jìn)而訪問被管資源的過程，涉及兩次認(rèn)證過程，訪問過程受控于IDM系統(tǒng)的堡壘主機(jī)和被管資源本身的訪問控制功能。6. 審計(jì)信息的處置和呼應(yīng)審計(jì)管理員經(jīng)過集中的審計(jì)管理平臺(tái)對(duì)IT系統(tǒng)及其運(yùn)維操作進(jìn)展審計(jì)分析和相關(guān)處置，構(gòu)成審計(jì)分析報(bào)告。1-4過程是IDM系統(tǒng)根本設(shè)置系統(tǒng)初始化過程涉及的假設(shè)干環(huán)節(jié)，由系統(tǒng)管理員完成；第5