BI網(wǎng)絡(luò)信息系統(tǒng)安全體系IDM

網(wǎng)絡(luò)內(nèi)控之：統(tǒng)一身份管理孫建偉北京理工大學(xué)軟件學(xué)院提綱局域網(wǎng)應(yīng)用模型身份集中管理的需求Windows域集中認(rèn)證管理一般局域網(wǎng)系統(tǒng)的IDM技術(shù)方案主流產(chǎn)品與解決方案未來發(fā)展:Webservice分布式環(huán)境下的集中訪問控制局域網(wǎng)應(yīng)用模型多個(gè)分立的系統(tǒng)和網(wǎng)絡(luò)設(shè)備多種數(shù)據(jù)庫系統(tǒng)多個(gè)Web應(yīng)用系統(tǒng)多種網(wǎng)絡(luò)設(shè)備:防火墻,交換機(jī),路由器,其它安全設(shè)備多種服務(wù)器平臺:Windows,Unix局域網(wǎng)應(yīng)用模型多個(gè)分立的系統(tǒng)和網(wǎng)絡(luò)設(shè)備不同的系統(tǒng)平臺不同的客戶端獨(dú)立維護(hù)帳號獨(dú)立的訪問控制管理典型場景：多服務(wù)器，多用戶如果資源分布在多臺服務(wù)器上，要在每臺服務(wù)器分別為每一員工建立一個(gè)賬戶（共M*N），用戶則需要在每臺服務(wù)器上（共M臺）登錄局域網(wǎng)應(yīng)用模型從用戶、管理員、應(yīng)用系統(tǒng)（信息資源）三方面看存在的問題用戶M：帳號多，不便應(yīng)用系統(tǒng)N：自主維護(hù)訪問控制，泛泛的，難以適應(yīng)具體的網(wǎng)絡(luò)環(huán)境要求管理員：M*N較大時(shí)帳號管理，如何實(shí)施全生命周期的管理？權(quán)限管理：如何實(shí)施全局安全策略？用戶名輸入用戶名/口令登錄口令局域網(wǎng)環(huán)境下管理的需求管理員工作人員應(yīng)用1應(yīng)用2應(yīng)用3棘手的問題用戶是否有太多的密碼需要記憶？作為系統(tǒng)管理員，是否需要花費(fèi)很多的時(shí)間去管理用戶帳號和訪問權(quán)限？各部門管理員需要花費(fèi)多長時(shí)間才能為一個(gè)新的用戶在所有的應(yīng)用系統(tǒng)中建立賬號？是否工作重復(fù)，效率低下?員工離開企業(yè)時(shí)能否立即停用其在各個(gè)應(yīng)用子系統(tǒng)中的賬號？用戶的詳細(xì)信息在各個(gè)系統(tǒng)中是否一致？添加新的應(yīng)用時(shí)是否有一致的認(rèn)證和授權(quán)框架可以利用？如何滿足行業(yè)政策規(guī)范的要求？是否可以對企業(yè)內(nèi)應(yīng)用系統(tǒng)實(shí)現(xiàn)監(jiān)控和跟蹤？今天的企業(yè)環(huán)境其他應(yīng)用人事系統(tǒng)財(cái)務(wù)系統(tǒng)郵件局域網(wǎng)PABXCRM員工客戶IT管理員供應(yīng)商合作伙伴移動(dòng)用戶離職員工如何為企業(yè)用戶減少需要記憶的密碼？?如何讓員工及客戶安全的訪問企業(yè)系統(tǒng)??如何縮短為新用戶在各個(gè)系統(tǒng)中創(chuàng)建賬號的時(shí)間??如何防止離開的員工仍能繼續(xù)訪問企業(yè)內(nèi)系統(tǒng)??如何減少在管理用戶帳號方面的花費(fèi)??如何確保員工/客戶能夠訪問到企業(yè)各個(gè)系統(tǒng)中最新的信息??如何對企業(yè)的應(yīng)用系統(tǒng)進(jìn)行審計(jì)??用戶只需一個(gè)憑證只需一次登錄應(yīng)用系統(tǒng)信息資源整合信息統(tǒng)一標(biāo)識規(guī)范和接口規(guī)范管理員信息的一致性集中管理安全保障體系用戶管理統(tǒng)一的安全策略服務(wù)集中授權(quán)集中審計(jì)解決之道——統(tǒng)一認(rèn)證管理如果…統(tǒng)一認(rèn)證管理1、集中統(tǒng)一管理用戶、機(jī)構(gòu)、角色、應(yīng)用等信息2、統(tǒng)一認(rèn)證，實(shí)現(xiàn)單點(diǎn)登錄3、基于角色的訪問控制4、應(yīng)用間信息同步和共享5、安全策略和安全管理集中身份管理理：Windows域Windows域理念Windows域管理構(gòu)構(gòu)成要素域控制器成員服務(wù)器活動(dòng)目錄認(rèn)證協(xié)議：Kerberos目錄服務(wù)：LDAPWindows域理念服務(wù)器和用戶戶的計(jì)算機(jī)都都在同一個(gè)域域中，用戶在在域中只要擁擁有一個(gè)賬號號用戶只需要在在域中擁有一一個(gè)域賬戶，，只需要在域域中登錄一次次就可以訪問問域中的資源源了。域中的服務(wù)器域控制器（DomainController)啟動(dòng)ActiveDirectory域服務(wù)身份認(rèn)證目錄服務(wù)成員服務(wù)器成員服務(wù)器都都信任DC的身分驗(yàn)證。。保留本機(jī)的帳帳戶數(shù)據(jù)庫,因此使用者仍仍可利用這些些本機(jī)帳戶,登入該服務(wù)器器。對域的安全管管理而言,這些本機(jī)賬戶戶可能會(huì)是漏漏洞可加入AD域的工作站所有安裝以下下操作系統(tǒng),而且加入域的的計(jì)算機(jī)都算算是工作站W(wǎng)indowsNTWorkstationWindows2000ProfessionalWindowsXPProfessionalWindows7/vista商用入門版、、商用進(jìn)階版版和旗艦版Windows95/98/Me、WindowsXP家庭版、Windows7家庭版也都沒沒有加入域的的功能。服務(wù)器角色轉(zhuǎn)換AD域認(rèn)證協(xié)議：：KerberosAD目錄服務(wù)微軟自Windows2000Server開始提供完整整的目錄服務(wù)務(wù),命名為AD（ActiveDirectory）目錄服務(wù)。AD目錄與AD目錄服務(wù)遵循循符合X.500及LDAP規(guī)范AD對象包括加入入域的服務(wù)器器和客戶端帳帳號，及其詳詳細(xì)的權(quán)限屬屬性AD目錄的架構(gòu)AD目錄仍然是以以對象組合成成樹狀架構(gòu),不過卻多了『域』（Domain）對象。將一一般對象先整整合到域中,再形成所謂的的『域樹』（DomainTree）實(shí)現(xiàn)統(tǒng)一認(rèn)證證和單點(diǎn)登錄錄活動(dòng)目錄登錄到Windows單一登錄到:Windows文件服務(wù)器WindowsWeb應(yīng)用程序ExchangeemailSQLServerBizTalkServer其他微軟應(yīng)用用程序第三方集成應(yīng)應(yīng)用程序ExchangeWeb服務(wù)文件共享Windows集成應(yīng)用程序Windows域的局限性實(shí)際的局域網(wǎng)網(wǎng)環(huán)境不是單單一的Windows域域應(yīng)用環(huán)境，，存在大量的的非Windows系統(tǒng)統(tǒng)服務(wù)器平臺：：春秋戰(zhàn)國局域網(wǎng)組成成成分的多樣性性：防火墻、路由由器、各類類應(yīng)用系統(tǒng)………DC域無法解解決局域網(wǎng)的的統(tǒng)一身份管管理問題反而成了麻煩煩IDM如何集集成已經(jīng)存在在的Windows域？？一般局域網(wǎng)系系統(tǒng)的IDM技術(shù)方案需解決的問題題：集中認(rèn)證支持多種客戶戶端主帳號與從帳帳號的問題單點(diǎn)登錄集中授權(quán)與訪訪問控制帳號、認(rèn)證、、授權(quán)和審計(jì)計(jì)審計(jì)管理各應(yīng)用系統(tǒng)都都有一套獨(dú)立立的審計(jì)管理理；每個(gè)業(yè)務(wù)系統(tǒng)統(tǒng)及數(shù)據(jù)庫都都要分別進(jìn)行行審計(jì)缺乏集中統(tǒng)一一的系統(tǒng)訪問問審計(jì)無法對應(yīng)用系系統(tǒng)進(jìn)行綜合合分析授權(quán)權(quán)管管理理各應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)都都獨(dú)獨(dú)立立授授權(quán)權(quán)管管理理隨著著用用戶戶數(shù)數(shù)量量的的增增加加，，權(quán)權(quán)限限管管理理任任務(wù)務(wù)越越來來越越重重；；缺乏乏集集中中統(tǒng)統(tǒng)一一資資源源授授權(quán)權(quán)管管理理帳號號管管理理各應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)都都有有一一套套獨(dú)獨(dú)立立的的用用戶戶管管理理；；帳號號及及口口令令四四處處流流傳傳并并記記錄錄下下來來有些些帳帳號號多多人人共共用用，，未未授授權(quán)權(quán)的的訪訪問問較簡簡單單口口令令或或?qū)⒍喽嘞迪到y(tǒng)統(tǒng)口口令令設(shè)設(shè)置置相相同同崗位位變變更更、、離離職職，，帳帳號號仍仍在在；；多方方人人員員使使用用系系統(tǒng)統(tǒng)，，管管理理復(fù)復(fù)雜雜；；認(rèn)證證管管理理各應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)都都獨(dú)獨(dú)立立認(rèn)認(rèn)證證缺乏乏控控制制而而不不遵遵循循安安全全策策略略重復(fù)復(fù)輸輸密密碼碼，，工工作作效效率率低低；；使用用靜靜態(tài)態(tài)口口令令,安全全性性低低IDM需求求IDM建設(shè)設(shè)需需求求改變變IT系統(tǒng)統(tǒng)分分立立管管理理的的局局面面，，需需建建設(shè)設(shè)集集中中的的IDM系統(tǒng)統(tǒng)實(shí)實(shí)現(xiàn)現(xiàn)集集中中的的帳帳號號管管理理、、統(tǒng)統(tǒng)一一的的登登錄錄認(rèn)認(rèn)證證、、適適度度集集中中的的訪訪問問控控制制策策略略和和全全面面綜綜合合的的運(yùn)運(yùn)營營維維護(hù)護(hù)操操作作審審計(jì)計(jì)；；最終終實(shí)實(shí)現(xiàn)現(xiàn)對對IT系統(tǒng)統(tǒng)的的可可知知、、可可控控、、可可管管的的集集中中運(yùn)運(yùn)維維操操作作IDM產(chǎn)品品概概述述概念念：：IDM系統(tǒng)統(tǒng)包包括括自自然然人人帳帳號號管管理理、、諸諸多多被被管管資資源源接接口口組組件件、、統(tǒng)統(tǒng)一一認(rèn)認(rèn)證證組組件件、、訪訪問問控控制制組組件件等等構(gòu)構(gòu)成成的的系系統(tǒng)統(tǒng)，，它它介介于于運(yùn)運(yùn)營營維維護(hù)護(hù)人人員員和和被被管管的的IT系統(tǒng)統(tǒng)之之間間，，對對運(yùn)運(yùn)維維人人員員提提供供統(tǒng)統(tǒng)一一的的登登錄錄入入口口（（Portal），，由由IDM系統(tǒng)統(tǒng)代代理理對對諸諸多多網(wǎng)網(wǎng)元元的的登登錄錄、、認(rèn)認(rèn)證證、、訪訪問問控控制制和和審審計(jì)計(jì)。。對對被被管管IT資源源而而言言，，納納入入IDM管理理后后，，原原則則上上即即不不能能被被自自然然人人用用戶戶直直接接訪訪問問。。這這個(gè)個(gè)概概念念的的要要點(diǎn)點(diǎn)是是：：IDM系統(tǒng)統(tǒng)是是一一系系列列組組件件，，協(xié)協(xié)同同完完成成集集中中帳帳號號管管理理（（account），，集集中中認(rèn)認(rèn)證證（（Authentication，IDMPortal的登登錄錄認(rèn)認(rèn)證證）），，集集中中的的訪訪問問控控制制授授權(quán)權(quán)（（Authorization），，集集中中的的審審計(jì)計(jì)（（Audit）等等功功能能。。IDM系統(tǒng)統(tǒng)對對運(yùn)運(yùn)維維人人員員提提供供統(tǒng)統(tǒng)一一的的登登錄錄Portal，通通過過IDMPortal的認(rèn)認(rèn)證證，，登登錄錄IDMPortal后，，用用戶戶即即獲獲得得訪訪問問被被管管資資源源的的視視圖圖和和權(quán)權(quán)限限，，至至少少從從感感受受上上用用戶戶可可以以直直接接訪訪問問獲獲得得授授權(quán)權(quán)的的資資源源；；用用戶戶通通過過IDM進(jìn)而而登登錄錄操操作作被被管管資資源源，，整整個(gè)個(gè)過過程程由由IDM系統(tǒng)統(tǒng)和和被被管管資資源源形形成成審審計(jì)計(jì)記記錄錄；；被管管資資源源（（如如某某路路由由器器））納納入入IDM管理理后后，，其其自自身身的的帳帳號號管管理理、、認(rèn)認(rèn)證證、、訪訪問問控控制制、、審審計(jì)計(jì)等等功功能能依依然然不不變變，，但但可可以以被被IDM系統(tǒng)統(tǒng)重重置置，，進(jìn)進(jìn)而而其其帳帳號號成成為為IDM系統(tǒng)統(tǒng)的的從從賬賬號號；；IDM系統(tǒng)統(tǒng)對對被被管管資資源源應(yīng)應(yīng)具具有有系系統(tǒng)統(tǒng)管管理理員員的的權(quán)權(quán)限限；；IDM系統(tǒng)統(tǒng)架架構(gòu)構(gòu)示示意意圖圖IDM產(chǎn)品品概概述述作作為為被被管管資資源源的的分分立立系系統(tǒng)統(tǒng)IDM要解解決決諸諸多多分分立立IT系統(tǒng)統(tǒng)的的集集中中管管理理的的問問題題在在于于，，分分立立的的IT系統(tǒng)統(tǒng)包包括括主主機(jī)機(jī)、、網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)設(shè)備備、、數(shù)數(shù)據(jù)據(jù)庫庫、、應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)都都有有自自身身的的安安全全模模式式，，包包括括賬賬號號管管理理、、登登錄錄方方式式、、認(rèn)認(rèn)證證方方式式、、訪訪問問控控制制等等功功能能的的實(shí)實(shí)現(xiàn)現(xiàn)。。如windows系統(tǒng)統(tǒng)支支持持RDP登錄錄方方式式，，支支持持用用戶戶名名/密碼碼方方式式的的身身份份認(rèn)認(rèn)證證方方式式和和基基于于域域控控制制器器(DC)和Kerbrose協(xié)議議的的認(rèn)認(rèn)證證模模式式，，系系統(tǒng)統(tǒng)自自身身支支持持DAC、MAC的訪訪問問控控制制模模式式；；Unix系統(tǒng)統(tǒng)支支持持telnet/SSH等登登錄錄方方式式，，支支持持用用戶戶名名/密碼碼方方式式的的本本地地身身份份認(rèn)認(rèn)證證方方式式和和基基于于Radius協(xié)議議的的認(rèn)認(rèn)證證模模式式；；網(wǎng)絡(luò)絡(luò)設(shè)設(shè)備備一一般般支支持持telnet/SSH的登登錄錄方方式式，，支支持持用用戶戶名名/密碼碼方方式式的的本本地地身身份份認(rèn)認(rèn)證證方方式式和和基基于于Radius/Tacas+協(xié)議議的的認(rèn)認(rèn)證證模模式式；；數(shù)據(jù)據(jù)庫庫系系統(tǒng)統(tǒng)則則支支持持標(biāo)標(biāo)準(zhǔn)準(zhǔn)SQL訪問問語語言言，，不不同同的的數(shù)數(shù)據(jù)據(jù)庫庫的的ODBC實(shí)現(xiàn)不不同，，都支支持本本地用用戶名名/密碼認(rèn)認(rèn)證，，不同同數(shù)據(jù)據(jù)庫的的訪問問控制制強(qiáng)度度不同同（由由此劃劃分不不同安安全等等級的的數(shù)據(jù)據(jù)庫））；C/S、B/S應(yīng)用系系統(tǒng)安安全模模式完完全獨(dú)獨(dú)立設(shè)設(shè)計(jì)，，B/S應(yīng)用隨隨著WebService規(guī)范的的發(fā)展展，其其安全全模式式(包括認(rèn)認(rèn)證)逐漸標(biāo)標(biāo)準(zhǔn)化化，如如SOAP協(xié)議和和SAML規(guī)范的的采用用。IDM產(chǎn)品概概述作作為為被管管資源源的分分立系系統(tǒng)IDM系統(tǒng)的的實(shí)現(xiàn)現(xiàn)首先先建立立在上上述原原有的的IT組元的的登錄錄、認(rèn)認(rèn)證、、訪問問控制制模式式的基基礎(chǔ)上上，實(shí)實(shí)現(xiàn)IDM功能自然人人帳號號的集集中管管理支持各各種登登錄方方式和和登錄錄過程程中的的認(rèn)證證被管資資源的的納入入（從從賬號號收集集與重重置，，登錄錄權(quán)限限授予予自然然人賬賬號，，登錄錄過程程統(tǒng)一一管理理）對自然然人帳帳號的的授權(quán)權(quán)（被被管資資源的的訪問問權(quán)））訪問被被管資資源前前的統(tǒng)統(tǒng)一認(rèn)認(rèn)證包包括單單點(diǎn)登登錄，，以及及所有有環(huán)節(jié)節(jié)的審審計(jì)。。IDM主要功功能的的實(shí)現(xiàn)現(xiàn)模式式自自然人人帳號號管理理IDM系統(tǒng)提提供自自然人人帳號號的集集中管管理功功能，，包括括帳號號的生生命周周期管管理，，對自自然人人帳號號的授授權(quán)，，自然然人帳帳號登登錄IDM系統(tǒng)的的認(rèn)證證。引入組組管理理的技技術(shù)，，降低低管理理成本本采用基基于審審批流流程的的管理理在PKI體系下下，引引入數(shù)數(shù)字證證書的的發(fā)放放管理理IDM主要功功能的的實(shí)現(xiàn)現(xiàn)模式式兩兩次認(rèn)認(rèn)證過過程IDM系統(tǒng)納納入被被管IT組元，，包括括主機(jī)機(jī)、網(wǎng)網(wǎng)絡(luò)設(shè)設(shè)備、、數(shù)據(jù)據(jù)庫、、C/S及B/S應(yīng)用系系統(tǒng)。。其基基本模模式是是采用用(依賴)IT組元自自身的的安全全模式式，將將遠(yuǎn)程程認(rèn)證證服務(wù)務(wù)器集集中，，不支支持遠(yuǎn)遠(yuǎn)程認(rèn)認(rèn)證的的采用用本地地認(rèn)證證方式式。IDM系統(tǒng)部部署到到IT系統(tǒng)后后，用用戶訪訪問被被管資資源實(shí)實(shí)際上上要作作兩次次認(rèn)證證，一一次是是登錄錄IDM服務(wù)器器（或或SSO服務(wù)器器），，第二二次是是登錄錄被管管資源源時(shí)，，被管管資源源本身身要求求的認(rèn)認(rèn)證。。第二二次認(rèn)認(rèn)證由由IDM系統(tǒng)（（SSO服務(wù)器器）代代理完完成。。如果被被管資資源支支持外外部認(rèn)認(rèn)證（（路由由器）），則則可以以引入入集中中的認(rèn)認(rèn)證服服務(wù)器器，如如Radius，Tacks+認(rèn)證服服務(wù)器器對于支支持WebService的標(biāo)準(zhǔn)準(zhǔn)協(xié)議議的，，采用用IDMPortal/SSO生成令令牌CookieHTTPPOST（Token）對于被被管資資源本本地認(rèn)認(rèn)證，，則IDM完成密密碼代代添功功能IDM主要功功能的的實(shí)現(xiàn)現(xiàn)模式式授授權(quán)管管理IDM系統(tǒng)在自自然人和和被管資資源之間間建立訪訪問授權(quán)權(quán)關(guān)系，，一般采采用基于于角色的的訪問控控制技術(shù)術(shù)（RBAC）對自然然人帳號號授權(quán)在RBAC框架下，，IDM的授權(quán)涉涉及三個(gè)個(gè)層次：：一是角色色授予自自然人帳帳號，即即自然人人帳號授授權(quán)；二是被管管資源的的從賬號號授予角角色即角角色授權(quán)權(quán)；三是被管管資源內(nèi)內(nèi)部的從從賬號的的授權(quán)，，這有賴賴于被管管資源內(nèi)內(nèi)部的安安全模式式。IDM主要功能能的實(shí)現(xiàn)現(xiàn)模式訪訪問控控制自然人通通過IDM系統(tǒng)對整整個(gè)IT系統(tǒng)的登登錄過程程理想的IDM模型，應(yīng)應(yīng)該提供供給用戶戶統(tǒng)一的的登錄入入口（IDM登錄界面面，IDMportal）用戶登錄錄IDMPortal后即可按按照IDM設(shè)定的訪訪問權(quán)限限登錄各各IT組元，由由IDM代理完成成IT組元要求求的登錄錄認(rèn)證過過程，包包括密碼碼代填或或令牌（（Key）的發(fā)放放及統(tǒng)一一認(rèn)證用戶所用用的客戶戶端可以以智能的的適應(yīng)不不同的訪訪問對象象的登錄錄方式（（如通過過IE瀏覽器的的插件實(shí)實(shí)現(xiàn)智能能客戶端端功能））訪問控制制的兩個(gè)個(gè)環(huán)節(jié)被管資源源按照從從賬號的的授權(quán)策策略實(shí)施施訪問控控制IDM系統(tǒng)也可可實(shí)現(xiàn)訪訪問控制制，IDMPortal可以實(shí)現(xiàn)現(xiàn)簡單的的訪問控控制通過堡壘壘主機(jī)組組件可實(shí)實(shí)施細(xì)粒粒度訪問問控制IDM主要功能能的實(shí)現(xiàn)現(xiàn)模式審審計(jì)功功能IDM系統(tǒng)自審審計(jì)的內(nèi)內(nèi)涵整個(gè)IDM系統(tǒng)整個(gè)個(gè)管理過過程的審審計(jì)，包包括帳號號管理，，從賬號號管理，，授權(quán)過過程，訪訪問控制制策略等等等；用戶對被被管資源源訪問過過程的審審計(jì)，堡堡壘主機(jī)機(jī)可以記記錄整個(gè)個(gè)訪問過過程IDM系統(tǒng)的自自審計(jì)信信息應(yīng)納納入整個(gè)個(gè)安全審審計(jì)系統(tǒng)統(tǒng)中，通通過綜合合的日志志審計(jì)平平臺實(shí)現(xiàn)現(xiàn)對IDM審計(jì)記錄錄、被管管資源日日志、網(wǎng)網(wǎng)絡(luò)審計(jì)計(jì)記錄的的綜合管管理和審審計(jì)分析析。1.被管資源源的納入入及納入入后的管管理包括資源源從賬號號的收集集、密碼碼重置、、認(rèn)證方方式重置置，資源源側(cè)訪問問控制策策略建立立（從賬賬號授權(quán)權(quán)與），，孤立賬賬號的處處理等。。2.主賬號