四川移動(dòng)網(wǎng)絡(luò)安全解決方案

1、Networks四川移動(dòng)網(wǎng)絡(luò)安全管理平臺(tái)解決方案N etworks 2025 Oakland Rd. San Jose CA55131 Iwww.a10ne： I200S A10 Networks, Inc. Ai nghls reserved.Copyright2006A10 Networks Inc.NetworksA10 Networks, I nc.文件版本號(hào)：草案2.0文件生成日期：06/15/2006AID2目錄第一章、概述3.一、背景介紹3二、當(dāng)前四川移動(dòng)所面臨的一些問題和風(fēng)險(xiǎn)4第二章、四川移動(dòng)網(wǎng)絡(luò)信息安全的需求描述 6一、四川移動(dòng)網(wǎng)絡(luò)安全需求整體描述 61、統(tǒng)一集中用戶的接入訪

2、問控制 62、集中賬號(hào)、口令管理 73、手機(jī)短信方式實(shí)現(xiàn)動(dòng)態(tài)口令下發(fā)、接入 84、加強(qiáng)審計(jì)分析能力，搭建統(tǒng)一審計(jì)平臺(tái) 9第三章、解決方案10一、建立集中的安全管理中心平臺(tái) 121 . IDSentrie安全管理平臺(tái)功能基本功能介紹 122、IDSentrie如何保證網(wǎng)絡(luò)安全 153、本方案涉及到的安全產(chǎn)品和服務(wù)18二、本解決方案所要解決的問題 191、集中接入與授權(quán) 202、統(tǒng)一用戶賬號(hào)管理 263、動(dòng)態(tài)口令系統(tǒng)294、集中審計(jì)平臺(tái)的建設(shè) 295、通過 WEB Portal實(shí)現(xiàn)單點(diǎn)登錄的建議 31三、網(wǎng)管中心安全管理解決方案實(shí)例 311、現(xiàn)狀和問題312、我們的解決方案實(shí)施步驟 33四、參考資

3、料和附件： 38NetworksA1B3四川移動(dòng)網(wǎng)絡(luò)安全解決方案第一章、概述一、背景介紹在經(jīng)歷了公司丑聞及對(duì)可疑會(huì)計(jì)行為的調(diào)查后，美國(guó)聯(lián)邦政府為了恢復(fù)人們對(duì)資本市場(chǎng)的信心，提高上市公司財(cái)務(wù)報(bào)告的誠(chéng)信度，于 2002年出臺(tái)了薩班斯一一奧克斯利法案。在薩班斯法案的執(zhí)行以及 滿足新的公司報(bào)告要求方面，執(zhí)行和運(yùn)作費(fèi)用是很高的，這對(duì)美國(guó)公 司在執(zhí)行此項(xiàng)法律方面提出了新的挑戰(zhàn)，因?yàn)樗_班斯法包涵了內(nèi)部控制及財(cái)務(wù)報(bào)告業(yè)務(wù)流程中的許多領(lǐng)域。第一年的對(duì)于信息（IT）行業(yè)而言，法案的第404款是最為關(guān)鍵的施費(fèi)此款之重點(diǎn)在于內(nèi)部控制的有效性，因?yàn)閮?nèi)部控制可以監(jiān) 從190萬美元 控財(cái)務(wù)報(bào)告信息的準(zhǔn)確性，它強(qiáng)調(diào)道德行為及

4、可靠信息的重要性。 在年度報(bào)告中，管理部門需對(duì)內(nèi)部控制進(jìn)行評(píng)估，重點(diǎn)放在財(cái)務(wù)報(bào) 從12000 小時(shí)告方面包括內(nèi)控報(bào)告；用于評(píng)估控制有效性的鑒定報(bào)告；上個(gè)財(cái)政到35000小時(shí)。年度內(nèi)部控制的有效性評(píng)估報(bào)告；對(duì)財(cái)務(wù)報(bào)告內(nèi)部控制所做評(píng)估的 審計(jì)報(bào)告。風(fēng)險(xiǎn)管理及IT資源控制的COBIT框架，是一個(gè)全面的N etworks 2025 Oakland Rd. San Jose CA95131 www.a 10ne：wortes com f2005 AIONctworits, Inc. Ai nghls reserved.Copyright2006A10 Networks Inc.Networks9N et

5、works 2025 Oakland Rd. San Jose CA951311 www.alOneiworts coin (2005 A10 Networks, Inc. All nghls reserved.Copyright2006A10 Networks Inc.指導(dǎo)性框架，它包括四個(gè)階段，34個(gè)IT過程和318個(gè)詳細(xì)的控制 目標(biāo)，這些都與財(cái)務(wù)報(bào)告及薩班斯規(guī)則需要有關(guān)。四川移動(dòng)在內(nèi)部網(wǎng)絡(luò)安全建設(shè)方面也是嚴(yán)格按照薩班斯法案的要求來進(jìn)行的，隨著四川省移動(dòng)網(wǎng)絡(luò)的不斷擴(kuò)展，隨之而來信息化的風(fēng)險(xiǎn)以及如何進(jìn)行風(fēng)險(xiǎn)在普華永道管理，保障全省移動(dòng)網(wǎng)絡(luò)高效、安全穩(wěn)定地運(yùn)行，已公司所調(diào)查的美經(jīng)成為公司各層領(lǐng)

6、導(dǎo)普遍關(guān)注的焦點(diǎn)。 針對(duì)目前四川國(guó)跨國(guó)企業(yè)中，有超過一半的公司移動(dòng)目前網(wǎng)絡(luò)安全的狀況，以及薩班斯法案COBIT正考慮采用新技框架的要求，當(dāng)前需要利用新的技術(shù)手段來改善加強(qiáng)術(shù)來提高報(bào)告設(shè)施以滿足薩班斯網(wǎng)絡(luò)安全的管理和控制，而美國(guó)A10網(wǎng)絡(luò)公司的法案中規(guī)定的公司報(bào)告依從法。IDSentrie智能身份管理平臺(tái)提供了一套全面的身份管理工具，以滿足COBIT實(shí)施框架中配送及支持階段的大部需要。（詳細(xì)內(nèi)容參見附件:身份管理與薩班斯法案）目前美國(guó)A10網(wǎng)絡(luò)公司的IDSentrie產(chǎn)品已經(jīng)在四川移動(dòng)網(wǎng)管中心試用，并達(dá)到了預(yù)期的效果,為四川移動(dòng)搭建全面的實(shí)名制網(wǎng)絡(luò)安全管理平臺(tái)提供了有力保障。二、當(dāng)前四川移動(dòng)所面

7、臨的一些問題和風(fēng)險(xiǎn)問題：業(yè)務(wù)系統(tǒng)本身使用公共賬戶，無法區(qū)分到具體人部分閑置賬號(hào)未及時(shí)在系統(tǒng)中刪除賬號(hào)管理、授權(quán)困難、認(rèn)證方式安全性較低、多賬號(hào)使用復(fù)雜以及賬號(hào)審計(jì)的問題認(rèn)證方法簡(jiǎn)單，無法確定登錄者的唯一真實(shí)身份對(duì)信息資源的未經(jīng)授權(quán)的訪問非法修改系統(tǒng)數(shù)據(jù)對(duì)系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時(shí)發(fā)現(xiàn)對(duì)于主機(jī)日志審計(jì)、應(yīng)用日志審計(jì)、網(wǎng)絡(luò)行為審計(jì)、數(shù)據(jù)庫(kù)安風(fēng)險(xiǎn):全審計(jì)沒有統(tǒng)一集中的審計(jì)平臺(tái)管理這些信息雖然目前有進(jìn)入機(jī)房管理制度，可以有效的控制進(jìn)入機(jī)房的人員范圍，可以通過查詢清楚得知某人某時(shí)在某機(jī)房所從事的活動(dòng)，但無法完全控制進(jìn)入機(jī)房的人員做到安全操作，因此仍然存在人為差錯(cuò)引發(fā)安全事故的可能。由于目前不

8、能對(duì)設(shè)備進(jìn)行動(dòng)態(tài)分配密碼，維護(hù)人員需定期更新所使用的密碼，在此期間可能造成密碼的意外泄漏。同時(shí)缺少安全平臺(tái)對(duì)所有用戶的登錄進(jìn)行記錄。目前由于網(wǎng)管中心所維護(hù)的系統(tǒng)眾多，對(duì)維護(hù)人員存在大量需登錄的操作頁(yè)面和客戶端程序。缺乏整合型的用戶登錄認(rèn)證手段。存在用戶超權(quán)限使用系統(tǒng)的風(fēng)險(xiǎn)。對(duì)局?jǐn)?shù)據(jù)、用戶數(shù)據(jù)、網(wǎng)絡(luò)參數(shù)和相關(guān)設(shè)備安全運(yùn)行帶來較大隱患。Nfjtworkfi12GSM交換設(shè)備、智能網(wǎng)及短信中心沒有集中采集、管理設(shè)備及 監(jiān)控主機(jī)日志信息的審計(jì)系統(tǒng)，對(duì)外來人員的操作不能進(jìn)行審 計(jì)評(píng)估，不能有效及時(shí)的避免危險(xiǎn)操作的進(jìn)行。第二章、四川移動(dòng)網(wǎng)絡(luò)信息安全的需求描述一、四川移動(dòng)網(wǎng)絡(luò)安全需求整體描述目前四川移動(dòng)希望

9、能夠在用戶管理 （包括動(dòng)態(tài)口令下發(fā)、統(tǒng)一帳 戶管理、集中接入授權(quán)等）以及審計(jì)方面搭建集中管理平臺(tái)，來滿足 薩班斯法案的要求同時(shí)解決目前網(wǎng)管中心和四川移動(dòng)所面臨的安全 上和管理上的問題。具體內(nèi)容包括：統(tǒng)一集中管理實(shí)名制用戶的接入和授權(quán)統(tǒng)一管理各個(gè)數(shù)據(jù)庫(kù)中的帳戶信息實(shí)現(xiàn)用戶利用動(dòng)態(tài)口令接入統(tǒng)一管理日志、審計(jì)信息，并能夠形成統(tǒng)計(jì)分析報(bào)表1、統(tǒng)一集中用戶的接入訪問控制進(jìn)行安全域劃分與邊界整合根據(jù)網(wǎng)管系統(tǒng)的應(yīng)用情況和網(wǎng)絡(luò)構(gòu)成特點(diǎn)，按照業(yè)務(wù)邏輯將網(wǎng)管系統(tǒng)劃分為核心生產(chǎn)域、安全維護(hù)管理域、日常維護(hù)管理域、互聯(lián)接口域、第三方接入域和對(duì)外服務(wù) DMZ域等6個(gè)安全域。對(duì)各個(gè)安全域，再根據(jù)各個(gè)服務(wù)器所涉及的業(yè)務(wù)范圍

10、，劃分子域。使得各業(yè)務(wù)系統(tǒng)間互不影響，同時(shí)能夠控制攻擊范圍、提高安全防護(hù)水平。完成安全域劃分后，在地市搭建二級(jí)安全管理中心，以便完成對(duì)地市級(jí)網(wǎng)管系統(tǒng)的安全補(bǔ)丁、 病毒更新分發(fā)、漏洞掃描等工作統(tǒng)一集中管理實(shí)名制用戶的接入訪問控制全方位、全節(jié)點(diǎn)的網(wǎng)絡(luò)設(shè)備和應(yīng)用認(rèn)證，嚴(yán)格控制對(duì)外接口設(shè)備和應(yīng)用服務(wù)（通用操作平臺(tái)、綜合網(wǎng)管系統(tǒng)、EMOS和其它主機(jī)系統(tǒng)接入等）對(duì)老舊認(rèn)證系統(tǒng)的兼容，目前網(wǎng)管系統(tǒng)已有的 RSA雙因素論證方式（不能影響老舊系統(tǒng)的認(rèn)證和數(shù)據(jù)存儲(chǔ)）2、集中賬號(hào)、口令管理實(shí)現(xiàn)用戶帳號(hào)集中管理，確保所有維護(hù)人員能夠通過一次登陸完成帳號(hào)受權(quán)。包括：將不同數(shù)據(jù)源中的用戶信息集中到一個(gè)虛擬目錄管理（例如，

11、各主機(jī)系統(tǒng)中的帳號(hào)，應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)中的帳號(hào)等）管理平臺(tái)本身也要具有強(qiáng)大的賬號(hào)管理系統(tǒng)N etworks 2025 Oakland Rd. San Jose CA951311 www.alOneiworts coin (2005 A10 Networks, Inc. All nghls reserved.Copyright2006A10 Networks Inc.實(shí)名制的集中認(rèn)證將系統(tǒng)公共賬號(hào)（例如：root,admi nistrator等）收回，并分配給每個(gè)用戶相應(yīng)的實(shí)名制身份賬號(hào)加強(qiáng)服務(wù)器主機(jī)安全管理，建設(shè)口令集中管理系統(tǒng)對(duì)現(xiàn)網(wǎng)所有系統(tǒng)主機(jī)進(jìn)行安全評(píng)估、安全加固。加強(qiáng)對(duì)新增設(shè)備安全審批和管理

12、流程，對(duì)新入網(wǎng)設(shè)備必須進(jìn)行安全評(píng)估、安全加固和安全設(shè)置后才允許入網(wǎng)；通過建設(shè)集中用戶管理平臺(tái)，梳理帳號(hào)授權(quán)審批和帳號(hào)管理流程。加強(qiáng)網(wǎng)管系統(tǒng)內(nèi)部所有服務(wù)器系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)的帳號(hào)口令管理；對(duì)網(wǎng)管業(yè)務(wù)系統(tǒng)，盡量要求廠家對(duì)程序中綁定的訪問策略進(jìn)行修改，加強(qiáng)安全性。能夠統(tǒng)一所有數(shù)據(jù)庫(kù)中用戶帳戶管理，簡(jiǎn)化操作，降低管理成本，增強(qiáng)帳號(hào)的安全和可管理性。3、手機(jī)短信方式實(shí)現(xiàn)動(dòng)態(tài)口令下發(fā)、接入 利用動(dòng)態(tài)口令接入的一些方式INTERNET PSTN ISDN ADSL令令牌外部用戶菅童控帝-呂接I迅忤:WWW防火堪路由蠱訪問入口IIII口企業(yè)限需器內(nèi)肌線嗚內(nèi)部網(wǎng)絡(luò)通過動(dòng)態(tài)口令提咼用尸密碼強(qiáng)度口令動(dòng)態(tài)變化，其算法

13、抗攻擊性強(qiáng)。雙因素身份認(rèn)證技術(shù)和一次性認(rèn)證原則，保證一次一密系統(tǒng)認(rèn)證服務(wù)器獨(dú)立，與應(yīng)用系統(tǒng)無關(guān)。完整記錄用戶的操作日志和認(rèn)證日志，供審查使用。使用方便、性能穩(wěn)定。系統(tǒng)兼容性強(qiáng)，易擴(kuò)展。與應(yīng)用系統(tǒng)連接方便、簡(jiǎn)潔，配置靈活。動(dòng)態(tài)口令可通過手機(jī)短信等方式下發(fā)4、加強(qiáng)審計(jì)分析能力，搭建統(tǒng)一審計(jì)平臺(tái)加強(qiáng)事件審計(jì)、分析能力Networks 2025 Oakland Rd. San Jo&e CA951311 www.a 10nc：worts comI200S A10Networks, Inc. All nghls reserved.Copyright2006A10 Networks Inc.尸Notwor

14、k10繼續(xù)加大安全公司服務(wù)力量，對(duì)現(xiàn)有IDS和安全、日志審計(jì)系統(tǒng)采集到的日志信息進(jìn)行全面分析和提煉，使已經(jīng)部署的審計(jì)設(shè)備能夠提供滿足要求的信息，充分發(fā)揮作用。不斷完善安全報(bào)表。對(duì)06年計(jì)劃建設(shè)的集中審計(jì)平臺(tái)，加強(qiáng)開發(fā)其對(duì)操作日志的審計(jì)能力。統(tǒng)一管理日志、審計(jì)信息，并能夠形成針對(duì)管理員或操作人員在不同系統(tǒng)中的行為操作審計(jì)報(bào)告，對(duì)操作人員的操作內(nèi)容進(jìn)行審計(jì)對(duì)接收的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)日志進(jìn)行分析、綜合，可依照用戶實(shí)名生成多種操作審計(jì)報(bào)告。能夠提供較好的接口支持各種強(qiáng)審計(jì)服務(wù)平臺(tái)，包括數(shù)據(jù)庫(kù)審計(jì)、應(yīng)用系統(tǒng)審計(jì)等。平臺(tái)本身也要具備完善的審計(jì)功能。實(shí)名制統(tǒng)一集中管理日志、審計(jì)信息，加強(qiáng)整體網(wǎng)絡(luò)的可視性，滿

15、足薩班斯法案的要求，保證使用系統(tǒng)做到有據(jù)可查。第三章、解決方案從前面的分析來看，我們綜合目前四川移動(dòng)網(wǎng)管中心網(wǎng)絡(luò)面臨的所有的風(fēng)險(xiǎn)和問題，主要集中以下幾個(gè)方面：業(yè)務(wù)系統(tǒng)本身使用公共賬戶，無法區(qū)分到具體人認(rèn)證方法簡(jiǎn)單，無法確定登錄者的唯一真實(shí)身份賬號(hào)管理、授權(quán)困難、認(rèn)證方式安全性較低、多賬號(hào)使用復(fù)N etworks 2025 Oakland 艮 d” San Jose CA 951311 www.a 10n el works comA10 Networks, Inc. All nghls reserved.Copyright2006A10 Networks Inc.Njtwork21雜以及賬號(hào)審計(jì)

16、的問題對(duì)信息資源的未經(jīng)授權(quán)的訪問非法修改系統(tǒng)數(shù)據(jù)部分閑置賬號(hào)未及時(shí)在系統(tǒng)中刪除對(duì)系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時(shí)發(fā)現(xiàn)對(duì)于主機(jī)日志審計(jì)、應(yīng)用日志審計(jì)、網(wǎng)絡(luò)行為審計(jì)、數(shù)據(jù)庫(kù)安全審計(jì)沒有統(tǒng)一集中的審計(jì)平臺(tái)管理這些信息以及：雖然目前有進(jìn)入機(jī)房管理制度，可以有效的控制進(jìn)入機(jī)房的人員范圍，可以通過查詢清楚得知某人某時(shí)在某機(jī)房所從事的活動(dòng)，但無法完全控制進(jìn)入機(jī)房的人員做到安全操作，因此仍然存在人為差錯(cuò)引發(fā)安全事故的可能。由于目前不能對(duì)設(shè)備進(jìn)行動(dòng)態(tài)分配密碼，維護(hù)人員需定期更新所使用的密碼，在此期間可能造成密碼的意外泄漏。同時(shí)缺少安全平臺(tái)對(duì)所有用戶的登錄進(jìn)行記錄。目前由于網(wǎng)管中心所維護(hù)的系統(tǒng)眾多，對(duì)維護(hù)人

17、員存在大量需登錄的操作頁(yè)面和客戶端程序。缺乏整合型的用戶登錄認(rèn)證手段。存在用戶超權(quán)限使用系統(tǒng)的風(fēng)險(xiǎn)。對(duì)局?jǐn)?shù)據(jù)、用戶數(shù)據(jù)、網(wǎng)絡(luò)參數(shù)和相關(guān)設(shè)備安全運(yùn)行帶來較大隱患。GSM交換設(shè)備、智能網(wǎng)及短信中心沒有集中采集、管理設(shè)備及監(jiān)控主機(jī)日志信息的審計(jì)系統(tǒng)，對(duì)外來人員的操作不能進(jìn)行審計(jì)評(píng)估，不能有效及時(shí)的避免危險(xiǎn)操作的進(jìn)行。需求體現(xiàn)在：用戶管理平臺(tái)的建設(shè)和審計(jì)平臺(tái)的建設(shè)。表現(xiàn)為：統(tǒng)一用戶帳戶管理統(tǒng)一集中用戶的接入訪問控制動(dòng)態(tài)口令下發(fā)進(jìn)一步加強(qiáng)完善審計(jì)系統(tǒng)，并能夠統(tǒng)一管理一、建立集中的安全管理中心平臺(tái)針對(duì)目前用戶所存在的問題和需求，利用IDSentrie?設(shè)備來搭建統(tǒng)一的安全管理平臺(tái)：針對(duì)目前四川省網(wǎng)管中心的

18、網(wǎng)絡(luò)情況部署2臺(tái)IDSentrie?設(shè)備（雙機(jī)熱備）1. IDSentrie安全管理平臺(tái)功能基本功能介紹基于標(biāo)準(zhǔn)的RADIUS新一代認(rèn)證管理組件（AAA）IDSentrie?1000 的RADIUS認(rèn)證組件配合智能網(wǎng)絡(luò)交換機(jī)、路由器或防火墻等安全設(shè)備中的Radius認(rèn)證功能為企業(yè)的本地服務(wù)器以及 任何遠(yuǎn)程接入服務(wù)器（如撥號(hào)、IPSec VPN、SSL VPN等）提供安全認(rèn)證，同時(shí)它還可以提供認(rèn)證代理服務(wù)。網(wǎng)絡(luò)管理人員通過使用IDSe ntrie? 1000 提供的認(rèn)證策略，利用現(xiàn)有帳戶和數(shù)據(jù)庫(kù)的信息, 對(duì)企業(yè)內(nèi)部重要系統(tǒng)的網(wǎng)絡(luò)接入進(jìn)行有效的控制， 而且所有的安全策 略都是根據(jù)用戶身份來制定的，

19、只有具有真實(shí)身份而且口令安全策略Networks2025 Oakland Rd. San Jose CA951311 www.alD I2005 A10 Networks, Inc. All nghls reserved.Copyright2006A10 Networks Inc.尸Notwork25均都滿足的情況下才能夠接入網(wǎng)絡(luò)，安全策略清楚明了，各種設(shè)備、 用戶的相關(guān)認(rèn)證管理也是一目了然。同時(shí) IDSentrie具有和第三方強(qiáng) 身份認(rèn)證設(shè)備的接口，IDSentrie本身已經(jīng)集成了 SecurelD設(shè)備的驅(qū) 動(dòng)，對(duì)于其它動(dòng)態(tài)動(dòng)態(tài)口令系統(tǒng)，例如短信動(dòng)態(tài)口令生成也能夠提供 很好的集成。統(tǒng)一身份管

20、理引擎(UIM)IDSentrie? 1000的統(tǒng)一身份管理引擎組件通過把不同數(shù)據(jù)源，例如Active Directory、LDAP或某個(gè)業(yè)務(wù)系統(tǒng)服務(wù)器中的用戶信息集中到 一個(gè)便于管理的虛擬目錄下，來簡(jiǎn)化企業(yè)對(duì)帳戶的管理。它滿足了企 業(yè)對(duì)帳戶信息在一個(gè)中央管理平臺(tái)上進(jìn)行集中統(tǒng)一管理的需求。這 樣，每個(gè)帳戶信息都在一個(gè)統(tǒng)一的界面上顯示出來，管理起來及其方便，帳戶信息的修改、刪除等操作就能夠很快地被同步到所有數(shù)據(jù)源 中，同時(shí)在這個(gè)統(tǒng)一的管理平臺(tái)上能夠看到這個(gè)帳戶信息的所有日志 信息，審計(jì)報(bào)表，也能夠制定統(tǒng)一的安全策略和管理策略，例如，制 定口令設(shè)置的策略，來保證口令具有一定的強(qiáng)度和時(shí)效這樣的安全管

21、 理策略。UIM還提供了用戶自服務(wù)功能，每個(gè)用戶都能夠訪問產(chǎn)品的 自服務(wù)地址，輸入用戶名、口令后修改自己的身份相關(guān)信息。統(tǒng)一身 份管理引擎不但為企業(yè)降低了網(wǎng)絡(luò)系統(tǒng)的管理開支，而且完全避免了由于網(wǎng)絡(luò)的復(fù)雜性，所導(dǎo)致網(wǎng)絡(luò)管理人員的操作失誤給企業(yè)帶來的重 大損失，同時(shí)也加強(qiáng)了企業(yè)對(duì)內(nèi)部身份信息的管理。網(wǎng)絡(luò)行為監(jiān)察及紀(jì)錄(IEM&Auditing)IDSentrie? 1000的網(wǎng)絡(luò)行為監(jiān)察及紀(jì)錄組件通過對(duì)網(wǎng)絡(luò)中防火墻等安全設(shè)備的日志進(jìn)行綜合分析，提供強(qiáng)大的基于網(wǎng)絡(luò)用戶身份的報(bào)表 組合功能。它把用戶身份和認(rèn)證信息與防火墻等安全設(shè)備的日志信息 相互關(guān)聯(lián)，能夠準(zhǔn)確地追蹤數(shù)據(jù)資源的使用情況和重要的用戶行為。

22、 可以基于用戶身份進(jìn)行實(shí)時(shí)監(jiān)控、查看以往的歷史記錄、提供報(bào)表、 日志以及預(yù)警功能，使得用戶的網(wǎng)絡(luò)行為具有較深層次的可監(jiān)察性。網(wǎng)絡(luò)行為監(jiān)察及紀(jì)錄組件能夠快速地指出某個(gè)用戶是誰、在什么時(shí) 間、通過某個(gè)指定的防火墻做了哪些事情，這樣對(duì)快速解決法律糾紛和預(yù)防網(wǎng)絡(luò)犯罪起到了積極的作用。IDSentrie? 1000的高級(jí)報(bào)表組件通過對(duì)IDSentrie? 1000的RADIUS認(rèn)證組件、統(tǒng)一身份管理引 擎組件以及防火墻日志分析組件之間的緊密集成，提供全面的日志、 報(bào)表和預(yù)警功能。高級(jí)報(bào)表組件為企業(yè)在身份認(rèn)證和基于身份的網(wǎng)絡(luò) 行為管理方面提供了一個(gè)完整的視圖。無論是網(wǎng)管人員或者企業(yè)領(lǐng)導(dǎo) 都能夠清楚的了解到

23、網(wǎng)絡(luò)中的用戶網(wǎng)絡(luò)行為，是誰、什么時(shí)間、做了 什么。網(wǎng)絡(luò)管理人員可以為他們的報(bào)表、圖形和預(yù)警功能進(jìn)行客戶化 訂制來簡(jiǎn)化管理功能。產(chǎn)品支持 100多種報(bào)表模版，并提供靈活的 定制滿足客戶對(duì)任意網(wǎng)絡(luò)行為統(tǒng)計(jì)分析的需求。IDSe ntrie? 1000 具 有安全地導(dǎo)出所有系統(tǒng)的日志和報(bào)表的功能，同時(shí)相關(guān)審計(jì)日志是不能被管理員刪除的，因此它具備審計(jì)功能來滿足企業(yè)實(shí)現(xiàn)對(duì)內(nèi)部有效 控制的需求。DHCPDHCP （動(dòng)態(tài)主機(jī)配置協(xié)議）提供了一種為登錄網(wǎng)絡(luò)的主機(jī)動(dòng)態(tài)指定 IP地址和網(wǎng)絡(luò)參數(shù)的機(jī)制，它減輕了網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)規(guī)劃、配置、維護(hù)工作，簡(jiǎn)化了主機(jī)的網(wǎng)絡(luò)配置，也就是我們利用Radius認(rèn)證與DHCP相結(jié)合的

24、手段，來先認(rèn)證后分配IP地址，從而實(shí)現(xiàn)每個(gè)分配的IP地址都和身份信息綁定。強(qiáng)大的API功能IDSentrie的身份管理XMLAPI接口是一套操作簡(jiǎn)單功能強(qiáng)大 的接口，任意第三方系統(tǒng)都能夠通過把IP地址，MAC地址或時(shí)間范圍發(fā)送給IDSentrie而得到用戶的身份信息。沒有IDSentrie就沒有身份信息，沒有身份信息就只能夠用IP地址，而單靠人工來識(shí)別身份和綁定到IP地址是非常浪費(fèi)時(shí) 間和精力的事情。同時(shí)IDSentrie還提供認(rèn)證相關(guān)的API，任意的業(yè)務(wù)系統(tǒng)，只要 在系統(tǒng)中加上了我們的 API，就都可以將它的身份認(rèn)證請(qǐng)求轉(zhuǎn) 發(fā)到IDSentrie上，從而實(shí)現(xiàn)集中用戶接入管理。2、IDSent

25、rie如何保證網(wǎng)絡(luò)安全1、需要及時(shí)確定IP使用者的ID （即：網(wǎng)絡(luò)地址實(shí)名制）。便于對(duì)網(wǎng)絡(luò)非法行為及時(shí)進(jìn)行定位或隔離。當(dāng)今的網(wǎng)絡(luò)世界，無論是用固定IP地址管理，還是用動(dòng)態(tài)網(wǎng)址管理，網(wǎng)管人員都很難及時(shí)地、準(zhǔn)確地確定IP地址的使用者。由于無法及時(shí)確定IP地址的使用者，幾乎不可能對(duì)用戶實(shí)施網(wǎng)絡(luò)行為實(shí) 名制的管理。而無法確定用戶身份的網(wǎng)絡(luò)行為記錄更是形同虛設(shè)！同時(shí)，由于用戶不斷更換IP地址，網(wǎng)管人員不能及時(shí)判斷數(shù)據(jù)源所在位置及采取相應(yīng)的隔離措施，延誤網(wǎng)絡(luò)故障的解決時(shí)間。確定了 IP使用者的ID身份后，可以在非法網(wǎng)絡(luò)行為發(fā)生的第一時(shí)間，及時(shí)進(jìn)行故障定位或隔離，最大限度減低整個(gè)網(wǎng)絡(luò)的損失。2、需要對(duì)用戶的

26、網(wǎng)絡(luò)登錄認(rèn)證及網(wǎng)絡(luò)行為進(jìn)行集中統(tǒng)一管理在傳統(tǒng)的網(wǎng)絡(luò)中，用戶對(duì)網(wǎng)絡(luò)的訪問，是由各節(jié)點(diǎn)上的網(wǎng)絡(luò)設(shè)備 單獨(dú)進(jìn)行認(rèn)證的。 每種設(shè)備都會(huì)有自己的認(rèn)證方式及用戶權(quán)限分配 策略。這就必然會(huì)造成難管理、不便于配置、輸入量大、不能及時(shí) 同步等問題。網(wǎng)管人員幾乎無法集中管理及監(jiān)控整個(gè)網(wǎng)絡(luò)的用戶訪 問。而IDSentrie?從根本上解決了這一安全問題。IDSentrie?可以對(duì)所有網(wǎng)絡(luò)接入設(shè)備進(jìn)行統(tǒng)一無縫管理。無論用戶從任何接入設(shè)備進(jìn)行登錄，IDSentrie?都可以通過接入設(shè)備對(duì)用戶接入進(jìn)行認(rèn)證，并 記錄網(wǎng)絡(luò)行為，綜合產(chǎn)生用戶網(wǎng)絡(luò)行為實(shí)名報(bào)表。IDSentrie?可以幫 助網(wǎng)管人員對(duì)網(wǎng)絡(luò)進(jìn)行全方位的監(jiān)控和管理。3

27、、需要在統(tǒng)一協(xié)調(diào)下，對(duì)各個(gè)地區(qū)的網(wǎng)段分別授權(quán)、分級(jí)管理網(wǎng)絡(luò)中，存在著不同功能的服務(wù)區(qū)。這些服務(wù)區(qū)的重要程度是不同的。沒有對(duì)訪問人員進(jìn)行基于身份的訪問限制，就會(huì)存在機(jī)密信息流失或被更改的可能。網(wǎng)絡(luò)中的不同網(wǎng)段用戶，應(yīng)該按一定劃分原則，分別獲得不同的 訪問權(quán)限。并且在管理時(shí)，也可以分別使用力度不同的管理手段。這 樣符合整個(gè)網(wǎng)絡(luò)安全的需要。4、國(guó)內(nèi)國(guó)外法律規(guī)定，需要對(duì)網(wǎng)絡(luò)用戶行為按ID進(jìn)行監(jiān)察（網(wǎng)N etworks 2025 Oakland 艮 d” San Jose CA 951311 www.a 10n el works comA10 Networks, Inc. All nghls reser

28、ved.Copyright2006A10 Networks Inc.Nolworks26絡(luò)監(jiān)察實(shí)名制）網(wǎng)絡(luò)用戶只有IP地址，沒有身份ID的情況下，更容易被人惡意仿冒或更改，用來進(jìn)行非法網(wǎng)絡(luò)操作。網(wǎng)絡(luò)中用戶產(chǎn)生網(wǎng)絡(luò)行為時(shí)，應(yīng)該以ID身份為依據(jù)進(jìn)行監(jiān)察。這也符合薩班斯法案（參見附件身份管理和薩班斯法案）和公安部第82號(hào)令一一互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定的要求。所產(chǎn)生的依據(jù)，可以作為網(wǎng)絡(luò)案件訴訟時(shí)的法律證據(jù)。5、需要對(duì)網(wǎng)管人員的行為進(jìn)行監(jiān)察及記錄網(wǎng)管人員作為網(wǎng)絡(luò)的監(jiān)管人員，有對(duì)整個(gè)網(wǎng)絡(luò)的操作權(quán)限，他們的某些錯(cuò)誤或惡意操作，對(duì)整個(gè)網(wǎng)絡(luò)的打擊是具有毀滅性的。因此，其自身的網(wǎng)絡(luò)行為應(yīng)該有嚴(yán)格的記錄，并且這種

29、記錄是不能被修改或 刪除的。6、需要嚴(yán)格網(wǎng)絡(luò)接入。支持802. 1X,EAP等最新認(rèn)證協(xié)議的硬件支持系統(tǒng)。網(wǎng)絡(luò)中存在多種不同的接入方式， 采用不同的接入認(rèn)證手段，在網(wǎng)絡(luò)設(shè)備不能夠提供全部兼容時(shí)，容易造成網(wǎng)絡(luò)設(shè)備之間的不兼容或影響網(wǎng)絡(luò)效率。并且對(duì)其認(rèn)證的強(qiáng)度不夠，會(huì)過整個(gè)網(wǎng)絡(luò)帶來威脅。在不同局域網(wǎng)絡(luò)接入整個(gè)網(wǎng)絡(luò)時(shí)，應(yīng)該嚴(yán)格控制接入者的訪問權(quán)限，避免重要數(shù)據(jù)的失密。并且，應(yīng)該能夠支持 802.1X，EAP等多種認(rèn)證協(xié)議的使用，為網(wǎng)絡(luò)應(yīng)用的復(fù)雜化提供應(yīng)用基礎(chǔ)。出于穩(wěn)定運(yùn)行的考慮，認(rèn)證系統(tǒng)應(yīng)該是基于硬件的，能夠提供比軟件系統(tǒng)更穩(wěn)定可靠的運(yùn)行環(huán)境。Networks 2025 Oakland Rd. Sa

30、n Jose CA95131 www.alOnetworks coiti |200S A10Networks, Inc. All nghls reserved.Copyright2006A1O Networks Inc.尸Notwork287、需要為網(wǎng)絡(luò)從IP網(wǎng)向ID網(wǎng)的進(jìn)化打好基礎(chǔ)隨著網(wǎng)絡(luò)應(yīng)用的復(fù)雜化，及國(guó)家電子保密法規(guī)的制定，網(wǎng)絡(luò)使用已日趨實(shí)名化?；贗P進(jìn)行管理的網(wǎng)絡(luò)，已不符合此項(xiàng)變化的趨勢(shì)。 隨著網(wǎng)絡(luò)應(yīng)用的日趨復(fù)雜，接入方式的靈活化。對(duì)網(wǎng)絡(luò)的管理仍局限 在IP地址上，已經(jīng)不能夠適應(yīng)網(wǎng)絡(luò)的變化。并且，未來的網(wǎng)絡(luò)，將 是基于身份的ID網(wǎng)絡(luò)。不但是網(wǎng)絡(luò)中的用戶，還將包括網(wǎng)絡(luò)設(shè)備， 都將采用基

31、于用戶身份ID的管理方式，現(xiàn)在使用基于用戶真實(shí)身份 ID的管理設(shè)備與管理方式，為將來網(wǎng)絡(luò)的進(jìn)化預(yù)先打好了基礎(chǔ)。3、本方案涉及到的安全產(chǎn)品和服務(wù)雖然四川移動(dòng)網(wǎng)管中心網(wǎng)絡(luò)系統(tǒng)中已經(jīng)部署了一些網(wǎng)絡(luò)安全產(chǎn) 品，但是這些產(chǎn)品沒有形成體系，尚有許多薄弱環(huán)節(jié)沒有覆蓋到。為 了實(shí)現(xiàn)全面的安全目標(biāo)，需要全面考慮對(duì)于安全產(chǎn)品和服務(wù)的部署需 求，實(shí)現(xiàn)全網(wǎng)安全的目標(biāo)。根據(jù)上面的分析，我們建議有重點(diǎn)地按照下面的策略來布署安全產(chǎn)品以大幅度提升全網(wǎng)的安全水平：部署IDSentrie?用其中的統(tǒng)一用戶管理來集中管理所有數(shù)據(jù)庫(kù)和主機(jī)系統(tǒng)中的賬號(hào)信息；部署IDSentrie?用其中的認(rèn)證部分作為集中的認(rèn)證服務(wù)器或集 中的認(rèn)證代理

32、服務(wù)器，來提高全網(wǎng)的認(rèn)證和訪問控制能力； 建立動(dòng)態(tài)口令下發(fā)系統(tǒng)，例如利用手機(jī)短信方式動(dòng)態(tài)生成口令;Networks2025 Oakland Rd., San Jose CA951311 www.a 10nolwor 1452005 A10 Networks, Inc. All oghls reserved. Copyright2006A10 Networks Inc.尸Notwork30在關(guān)鍵業(yè)務(wù)和數(shù)據(jù)網(wǎng)段部署IDSentrie?用其中的日志分析系統(tǒng)，提高對(duì)安全事件的分析、定位、追查等能力，提高全網(wǎng)的安全事件可視化水平，同時(shí)也要提供針對(duì)各種強(qiáng)審計(jì)系統(tǒng)的接口，保證審計(jì)信息的統(tǒng)一集中管理；配置VP

33、N或更多的防火墻設(shè)備，來建立健全外部用戶訪問內(nèi)網(wǎng)的加密隧道和訪問策略；部署全網(wǎng)統(tǒng)一的風(fēng)險(xiǎn)評(píng)估軟件和安全信息庫(kù)，提升全網(wǎng)的安全審計(jì)和風(fēng)險(xiǎn)管理能力；另外也建議建立完善的 反病毒體系來增強(qiáng)全網(wǎng)的抗病毒和蠕蟲攻擊能力；二、本解決方案所要解決的問題網(wǎng)絡(luò)安全的水平體現(xiàn)在：使用經(jīng)濟(jì)上合理的投資來控制網(wǎng)絡(luò)安全威脅在可以接受的水平，挫敗潛在的威脅方。建立全網(wǎng)的策略、管理、組織和安全技術(shù)體系。參照后面的描述，建立起結(jié)合實(shí)際業(yè)務(wù)情況和安全需求的策略并通過相應(yīng)的管理、組織、和技術(shù)體系進(jìn)行落實(shí)和跟進(jìn)。實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的6個(gè)重要安全屬性：機(jī)密性、完整性、可用性、可靠性、認(rèn)證性、審計(jì)性。體現(xiàn)在對(duì)內(nèi)部網(wǎng)絡(luò)用戶訪問主機(jī)和對(duì)業(yè)務(wù) 系

34、統(tǒng)的訪問等過程都通過了嚴(yán)格的加密和認(rèn)證措施， 所有關(guān)鍵訪問相 關(guān)的網(wǎng)絡(luò)活動(dòng)被記錄和審查。統(tǒng)一集中管理訪問業(yè)務(wù)系統(tǒng)主機(jī)系統(tǒng)賬戶信息，同時(shí)實(shí)現(xiàn)關(guān)鍵訪N etworks 2025 Oakland 艮 d” San Jose CA 951311 www.a 10n el works comA10 Networks, Inc. All nghls reserved.Copyright2006A10 Networks Inc.NetworksAID20問的“全程全網(wǎng)”安全事件可視化。體現(xiàn)在全網(wǎng)關(guān)鍵業(yè)務(wù)和數(shù)據(jù)相關(guān)的 網(wǎng)絡(luò)事件可以非常直觀地可視化回放， 保證安全策略沒有被違反，有 能力進(jìn)行事后的分析和追查，提

35、供可以“呈堂”的證據(jù)。全網(wǎng)的安全風(fēng)險(xiǎn)處于可管理、 可控制狀態(tài)下。對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的 不間斷的評(píng)估和控制措施調(diào)整，使得全網(wǎng)的整體安全狀況和風(fēng)險(xiǎn)情況 以定性或半定量的形式及時(shí)展現(xiàn)出來。保證全網(wǎng)相關(guān)業(yè)務(wù)活動(dòng)在網(wǎng)絡(luò)安全方面的法律法規(guī)符合性。 在整 個(gè)技術(shù)和商務(wù)活動(dòng)中，都將建立法律法規(guī)符合性審核制度， 保證四川 移動(dòng)網(wǎng)管中心的內(nèi)部網(wǎng)絡(luò)安全和利益不受傷害?；谏厦娴某霭l(fā)點(diǎn)，我們?cè)O(shè)計(jì)的整個(gè)方案完整實(shí)施后， 將保證四川移動(dòng)網(wǎng)管中心網(wǎng)絡(luò)達(dá)到以下幾個(gè)目標(biāo)：1、集中接入與授權(quán)0主機(jī)接入IDSentrie? 1000的RADIUS認(rèn)證組件配合智能網(wǎng)絡(luò)交換機(jī)、 路由器或防火墻等安全設(shè)備中的Radius認(rèn)證功能為企業(yè)的本地

36、服務(wù)器以及任何遠(yuǎn)程接入服務(wù)器（如撥號(hào)、IPSec VPN、SSL VPN等）提供安N (-stworks 2025 Oakland Rd.r San Jose CA95131 Iwww.alOnetworks com t2005 A10Networks, Inc. All nghts reserved.Copyright2006A10 Networks Inc.Networks36全認(rèn)證，同時(shí)它還可以提供認(rèn)證代理服務(wù)。網(wǎng)絡(luò)管理人員通過使用 IDSentrie 1000提供的認(rèn)證策略，利用現(xiàn)有帳戶和數(shù)據(jù)庫(kù)的信息，對(duì) 企業(yè)內(nèi)部重要系統(tǒng)的網(wǎng)絡(luò)接入進(jìn)行有效的控制，而且所有的安全策略都是根據(jù)用戶身份來制

37、定的，只有具有真實(shí)身份而且口令安全策略均 都滿足的情況下才能夠接入網(wǎng)絡(luò)，安全策略清楚明了，各種設(shè)備、用 戶的相關(guān)認(rèn)證管理也是一目了然。同時(shí)IDSentrie具有和第三方強(qiáng)身份認(rèn)證設(shè)備的接口， IDSentrie本身已經(jīng)集成了 SecurelD設(shè)備的驅(qū) 動(dòng)，對(duì)于其它動(dòng)態(tài)動(dòng)態(tài)口令系統(tǒng)，例如短信動(dòng)態(tài)口令生成也能夠提供很好的集成。1J etwerks 2025 Oakland Rd. San Jose CA95131 Iwww.alOnclworks comAIONalworks, Inc. All oghts reserved.Copyright2006A10 Networks Inc.LD呂且丄運(yùn)

38、安全管理|平臺(tái)RADIUS枷義穿過防火墻接入a -)無線接入有線接入VPN接入例如:路由器、交換機(jī) 防火墻VPN設(shè)備無線設(shè)備等網(wǎng)絡(luò)設(shè)備集中接入的控制，在應(yīng)用層之上的網(wǎng)絡(luò)層就對(duì)用戶進(jìn) 行實(shí)名制的二次鑒權(quán)接入訪問控制，保證訪問應(yīng)用系統(tǒng)的用戶具有真 實(shí)身份、合法。同樣，針對(duì)網(wǎng)絡(luò)層的訪問控制也需要有一個(gè)過程來逐步梳理，網(wǎng)絡(luò)區(qū)域劃分，用戶分組、權(quán)限的劃分等。集中接入的典型應(yīng)用場(chǎng)景:案例說明:ID，它能夠管理一千個(gè)IDSentrie內(nèi)置世界性能最高的 Radius認(rèn)證服務(wù)器，每秒能夠處理6000個(gè)認(rèn)證請(qǐng)求，同時(shí)本身具備強(qiáng)大的身份管理功能，目前的版本能夠支持一百萬用戶網(wǎng)絡(luò)設(shè)備包括路由器案例拓?fù)浣Y(jié)構(gòu)圖SW C

39、isco 2950辦公室:SW Cisco 3750SW Cisco 2950IDSe ntri設(shè)備SW Cisco 3750協(xié)議過濾設(shè)備網(wǎng)通網(wǎng)關(guān)SW Cisco 3750Netscreen辦公室桌面SW Cisco 2950SW Cisco 3750電信ISW Cisco 3750SW Cisco 2950F5設(shè)備SW Cisco 2950Internet.勢(shì)防病毒SW Cisco 3750SW Cisco 29502600 NAT反垃圾郵件設(shè)備EMAIL服務(wù)器v*SW Cisco 2950服務(wù);SW Cisco 2950服務(wù):PPTPServgat設(shè)備Servgat設(shè)備Servgat設(shè)備家

40、庭SW35C上海廣州深圳SW Cisco 2950AD服務(wù)器2950數(shù)據(jù)庫(kù)SW Cisco 2950SW Cisco 3750SW Cisco 2950SW Cisco 2950DAP服務(wù)器o1 SW Cisco 2950丄二SW三;Servgat設(shè) 備PPTP服務(wù)器在本案例中我們利用IDSentrie管理的設(shè)備有：各樓層的核心交換機(jī)Cisco3750、到桌面管理的交換機(jī)Cisco2950、客戶信息數(shù)據(jù)庫(kù)前面的CiscoPix防火墻、ERP系統(tǒng)前面的CiscoPix防火墻、內(nèi)部訪問In ternet前面的Netscreen防火墻、內(nèi)部員工從家中利用PPTP撥入的Cisco2600路由器、與各分

41、公司相連接的ServGate設(shè)備、企業(yè)中已經(jīng)存儲(chǔ)的用戶身份信息LDAP服務(wù)器和Active Directory服務(wù)器等。Njtwork38典型的應(yīng)用場(chǎng)景一：在企業(yè)內(nèi)部辦公用戶“王強(qiáng)”在桌面終端插上網(wǎng)線接入網(wǎng)絡(luò)時(shí)，在連接到桌面的交換機(jī)Cisco2950中就已經(jīng)設(shè)置好了基于802.1X協(xié)議的控制到端口的認(rèn)證，Cisco2950中的認(rèn)證設(shè)置已經(jīng)設(shè)置為到IDSentrie上做認(rèn)證，所以Cisco2950會(huì)把認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到IDSentrie，IDSentrie來根據(jù)安全策略判定是否允許該用戶接入網(wǎng)絡(luò)。而且王強(qiáng)經(jīng)過交換機(jī)產(chǎn)生的日志 會(huì)被IDSentrie收集和分析。典型應(yīng)用場(chǎng)景二：我們也能夠?qū)τ脩暨M(jìn)行分組

42、并制訂相關(guān)的安全策略，并為這個(gè)組指定一個(gè)企業(yè)中已經(jīng)存在的數(shù)據(jù)存儲(chǔ)作為驗(yàn)證用戶身份的數(shù)據(jù)源，例如：在本場(chǎng)景中我們可以建立一個(gè)針對(duì)客戶資源管理部門的用戶組，為組制定一定安全策略并指定數(shù)據(jù)存儲(chǔ)源，例如：“只允許上班的時(shí)間屬于客戶資源管理部的用戶才能夠穿過防火墻訪問公司的客戶信息數(shù)據(jù)庫(kù)”這樣的訪問策略，如果客戶資源管理的用戶身份信息都存在一個(gè)LDAP服務(wù)器中，我們就在組的設(shè)置中把這個(gè)組的數(shù)據(jù)源設(shè)置為這個(gè)LDAP服務(wù)器。那么接入到網(wǎng)絡(luò)中的用戶“王強(qiáng)”如果想要訪問客戶信息數(shù)據(jù)庫(kù)的話，他就需要穿過防火墻才能夠訪問，而防火墻已被IDSentrie管理，防火墻上的認(rèn)證請(qǐng)求將會(huì)轉(zhuǎn)發(fā)到IDSentrie, IDSe

43、ntrie就會(huì)根據(jù)已經(jīng)設(shè)定的安全策略來判定是否能夠讓王強(qiáng)訪問客戶信息數(shù)據(jù)庫(kù)，如果王強(qiáng)滿足所有的安全策略設(shè)置的要求，同時(shí)他的身份信息又是存在于我們已經(jīng)指定的LDAP服務(wù)器上，那么他才能夠訪問該數(shù)據(jù)庫(kù)，同時(shí)他經(jīng)過防火墻在防火墻中留下的日志信息都會(huì)被IDSentrie收集和分析。典型應(yīng)用場(chǎng)景三：王強(qiáng)在內(nèi)部需要訪問In ternet，需要經(jīng)過Netscreen的防火墻，該防火墻已經(jīng)被IDSe ntrie 管理，用戶的認(rèn)證請(qǐng)求將轉(zhuǎn)發(fā)到 IDSe ntrie , IDSe ntrie會(huì)判斷是不是允許該用戶訪問 In ternet， 同時(shí)會(huì)收集分析防火墻中的日志信息，了解內(nèi)部員工訪問In ternet的情況

44、。典型應(yīng)用場(chǎng)景四：王強(qiáng)因工作需要，需要和廣州或上海分公司在網(wǎng)絡(luò)上互傳文件，ServGate VPN設(shè)備已經(jīng)被IDSentrie管理，所以用戶穿過該設(shè)備訪問分公司的認(rèn)證請(qǐng)求將轉(zhuǎn)發(fā)到IDSentrie，IDSentrie會(huì)判斷是不是允許該用戶訪問分公司網(wǎng)絡(luò)，同時(shí)會(huì)收集分析VPN設(shè)備中的日志信息，了解各分公司間員工相互訪問的情況。典型應(yīng)用場(chǎng)景五：王強(qiáng)下班回到家里，通過PPTP協(xié)議撥號(hào)到公司的 Cisco2600路由器，該路由器已經(jīng)被IDSentrie管理，認(rèn)證請(qǐng)求將會(huì)轉(zhuǎn)發(fā)到IDSentrie， IDSentrie會(huì)判斷是不是允許這個(gè)用戶接入Networks2025 Oakland Rd., San

45、Jose CA951311 www.a 10nolwor 1452005 A10 Networks, Inc. All oghls reserved. Copyright2006A10 Networks Inc.Njtwork39公司內(nèi)部網(wǎng)絡(luò)，同時(shí)會(huì)收集分析該設(shè)備的日志，監(jiān)控管理內(nèi)部員工在家訪問公司內(nèi)網(wǎng).LDAP服務(wù)器,其它說明：在案例中所涉及到的用戶的數(shù)據(jù)存儲(chǔ)源可能是很多個(gè)，包括Active Directory等等，我們可以利用IDSentrie的統(tǒng)一用戶賬戶管理引擎來管理所有數(shù)據(jù)源中的用戶身份信息，能夠制定例如用戶口令策略設(shè)置，來保證用戶口令強(qiáng)度等等這樣的管理和安全策略，并且提供用戶自服務(wù)

46、這樣的功能來簡(jiǎn)化賬戶的管理管理，降低企業(yè)管理成本.所有設(shè)備中被收集和分析的日志和IDSentrie本身的日志信息能夠被有選擇、定期的導(dǎo)出到日志存儲(chǔ)設(shè)備或服務(wù)器上，而且會(huì)在設(shè)備本身留下管理員也無法輕易擦除的記錄，為審計(jì)提供相關(guān)的電子證據(jù)。應(yīng)用系統(tǒng)接入?很多應(yīng)用系統(tǒng)本身已經(jīng)有轉(zhuǎn)發(fā)認(rèn)證請(qǐng)求功能或者可實(shí)現(xiàn)該功能的插件?沒有轉(zhuǎn)發(fā)認(rèn)證請(qǐng)求功能可以使用我們提供的API接口實(shí)現(xiàn)?使用API時(shí)只需要在應(yīng)用系統(tǒng)內(nèi)做非常簡(jiǎn)易的代碼改變首先，并不是所有的應(yīng)用系統(tǒng)都需要利用API進(jìn)行開發(fā)，很多系統(tǒng)，或者應(yīng)用程序已經(jīng)有轉(zhuǎn)發(fā)認(rèn)證請(qǐng)求的功能或者已經(jīng)開發(fā)的標(biāo)準(zhǔn)插件， 比如，安裝freeRadius提供的pam.radius插件

47、就可以把登錄 unix 主機(jī)的請(qǐng)求轉(zhuǎn)發(fā)到外部的IDSentrie之類的認(rèn)證服務(wù)器；oracle數(shù)據(jù) 庫(kù)本身就支持同樣的登錄轉(zhuǎn)發(fā)功能。針對(duì)本身缺乏轉(zhuǎn)發(fā)認(rèn)證請(qǐng)求功能的應(yīng)用系統(tǒng)我們提供了API來支持對(duì)主機(jī)應(yīng)用系統(tǒng)接入：N etworks 2025 Oakland 艮 d” San Jose CA 951311 www.a 10n el works comA10 Networks, Inc. All nghls reserved.Copyright2006A10 Networks Inc.NotworkKAid25使用IDSentrie的API集中控制接入過程：1用戶終端發(fā)出訪問服務(wù)器請(qǐng)求。2服務(wù)器通

48、過API將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到IDSentrie。3 IDSentrie檢查訪問控制策略和授權(quán)策略將認(rèn)證結(jié)果和授權(quán)內(nèi) 容返回服務(wù)器。4服務(wù)器通過API發(fā)送計(jì)費(fèi)開始請(qǐng)求將使用計(jì)費(fèi)開關(guān)打開，記錄用戶使用時(shí)間。用戶退出時(shí)，服務(wù)器通過API發(fā)送關(guān)閉計(jì)費(fèi)請(qǐng)求，記錄用戶使用結(jié)束時(shí)間。對(duì)應(yīng)用系統(tǒng)主機(jī)和業(yè)務(wù)系統(tǒng)主機(jī)的集中訪問控制 ，包括訪問控制 策略、配置文件等，目前應(yīng)用和業(yè)務(wù)系統(tǒng)中，80%是Sun Solaris，20% 是 windows NT 或 windows2003。我們提供的API是一個(gè)基于C的函數(shù)，第三方可以調(diào)用該函數(shù) 實(shí)現(xiàn)認(rèn)證的轉(zhuǎn)發(fā)；使用我們提供的API時(shí)，在原應(yīng)用系統(tǒng)中所需要的Networks20

49、25 OjkJand Rd., San Jose CA951311 www.alD (2005 A10 Nalworts, Inc. All nghls reserved. Copyright2006A10 Networks Inc.Networks修改非常有限，大多數(shù)情況下只需添加或者改動(dòng)幾行代碼即可。一般 水平的程序開發(fā)人員只需2到3小時(shí)即可完成對(duì)相關(guān)文檔的閱讀， 理 解，修改代碼直至調(diào)試成功。四川移動(dòng)網(wǎng)管中心網(wǎng)絡(luò)中需要進(jìn)行集中接入保護(hù)的對(duì)象部分主機(jī)資料見移動(dòng)提供的文檔，需逐一確認(rèn)，以下是一期準(zhǔn)備要上的內(nèi)容。所有資料見（附件2網(wǎng)絡(luò)主機(jī)設(shè)備列表）主機(jī)品牌系統(tǒng)所承載的業(yè)務(wù)系統(tǒng)連接類型賬戶所在S

50、unSolaris9自動(dòng)派單服務(wù)器C/SHPSolaris8客服命令平臺(tái)B/SIBMWin dows NT三期webB/SDELLWin dows2003資源管理WEBB/S2、統(tǒng)一用戶賬號(hào)管理IDSentrie中的UIM是一個(gè)虛擬的目錄管理平臺(tái)，現(xiàn)在可以集中 控制管理后端Solaris工作站，UNIX/Linux服務(wù)器，各種LDAP和微 軟域控制器AD上的用戶，可以實(shí)現(xiàn)跨平臺(tái)之間的用戶同步。UIM增加管理后端數(shù)據(jù)庫(kù)功能后，可以完全實(shí)現(xiàn)如下功能：應(yīng)用系統(tǒng)用戶 帳戶信息管理（15-20個(gè)數(shù)據(jù)庫(kù)，總計(jì)用戶大約10, 000個(gè)）。主機(jī)上用戶帳戶信息 管理。A1B27Oracle、Sybase、Inf

51、ormix、MS-SQL Server 四類數(shù)據(jù)庫(kù)用戶帳戶信息管理。網(wǎng)絡(luò)設(shè)備帳號(hào)管理只需要提供給IDSentrie中應(yīng)用系統(tǒng)用戶名和密碼所在的數(shù)據(jù)庫(kù) 中的表和有對(duì)該表權(quán)限的數(shù)據(jù)庫(kù)用戶和密碼，就可以拿到該表中的所有用戶列表；然后就可以把該列表作為一個(gè)虛擬的設(shè)備進(jìn)行賬號(hào)管理 和同其他設(shè)備上的用戶信息同步，包括增刪改查，查看該帳戶的日志報(bào)表，對(duì)用戶的帳戶鎖定，安全策略的制定等等。（詳細(xì)帳戶信息參見附件2網(wǎng)絡(luò)主機(jī)列表）LimnORACLEUNIX一 一MIL；h a1! WlMrgii-H0 M*i貞I1 _ j4m1lirlBdt號(hào)iurli43 4WH4lirihaiJIm, WTJ U4uria

52、iL !0 W如4口 I1b ng hiD mKtai4 Moe“附的D4啓miSQLScrv:rIufcimnSYBASESscurlDeDirertnjy同時(shí)IDSentrie能夠做認(rèn)證請(qǐng)求的透?jìng)?，到?shù)據(jù)庫(kù)中查找用戶的 身份信息。N otworks 2025 Oakland Rd. San Jose CA951311 www.a 10neiwors.corriQ200S A10Networks, Inc. A; nghls reserved.Copyright2006A10 Networks Inc.45AiMMfi KEH II ffIh”出Hbiita w4|i 曲C SINnQ：.C昨itviaiti思CMQJMLIUniillSritlhc 1iiiieMiE rilzpneHiiadHE HAEmaMHfjtSE! PHBRvinmmdC iroE B-4ft!i皿油r r叭1r mM*aFl0 m5N10； Jn16 6).6 6用戶認(rèn)證請(qǐng)求ORACLSSQL Scrr crlEiEmiKSYBASESccurlEcDircEbcry統(tǒng)一用戶