BIT8-4網(wǎng)絡(luò)信息系統(tǒng)安全體系-IDM

1、網(wǎng)絡(luò)內(nèi)控之：統(tǒng)一身份管理網(wǎng)絡(luò)內(nèi)控之：統(tǒng)一身份管理孫建偉北京理工大學軟件學院提綱局域網(wǎng)應(yīng)用模型身份集中管理的需求Windows域集中認證管理一般局域網(wǎng)系統(tǒng)的IDM技術(shù)方案主流產(chǎn)品與解決方案未來發(fā)展: Web service分布式環(huán)境下的集中訪問控制局域網(wǎng)應(yīng)用模型多個分立的系統(tǒng)和網(wǎng)絡(luò)設(shè)備多種數(shù)據(jù)庫系統(tǒng)多個Web應(yīng)用系統(tǒng)多種網(wǎng)絡(luò)設(shè)備: 防火墻,交換機,路由器,其它安全設(shè)備多種服務(wù)器平臺: Windows, Unix局域網(wǎng)應(yīng)用模型多個分立的系統(tǒng)和網(wǎng)絡(luò)設(shè)備不同的系統(tǒng)平臺不同的客戶端獨立維護帳號獨立的訪問控制管理典型場景：多服務(wù)器，多用戶如果資源分布在多臺服務(wù)器上，要在每臺服務(wù)器分別為每一員工建立一個賬戶

2、（共M*N），用戶則需要在每臺服務(wù)器上（共M臺）登錄 局域網(wǎng)應(yīng)用模型從用戶、管理員、應(yīng)用系統(tǒng)（信息資源）三方面看存在的問題用戶M：帳號多，不便應(yīng)用系統(tǒng)N：自主維護訪問控制，泛泛的，難以適應(yīng)具體的網(wǎng)絡(luò)環(huán)境要求管理員：M*N較大時帳號管理，如何實施全生命周期的管理？權(quán)限管理：如何實施全局安全策略？用戶名用戶名輸入用戶名輸入用戶名/口令口令登錄口令口令局域網(wǎng)環(huán)境下管理的需求管理員管理員工作人員工作人員應(yīng)用應(yīng)用1應(yīng)用應(yīng)用2應(yīng)用應(yīng)用3棘手的問題用戶用戶是否有太多的密碼需要記憶？是否有太多的密碼需要記憶？作為系統(tǒng)管理員，是否需要花費很多的時間去管理用戶帳號和訪問作為系統(tǒng)管理員，是否需要花費很多的時間去管理

3、用戶帳號和訪問權(quán)限？權(quán)限？各部門管理員需要花費多長時間才能為一個新的用戶在所有的應(yīng)用各部門管理員需要花費多長時間才能為一個新的用戶在所有的應(yīng)用系統(tǒng)中建立賬號？是否工作重復(fù)，效率低下系統(tǒng)中建立賬號？是否工作重復(fù)，效率低下?員工離開企業(yè)時能否立即停用其在各個應(yīng)用子系統(tǒng)中的賬號？員工離開企業(yè)時能否立即停用其在各個應(yīng)用子系統(tǒng)中的賬號？用戶的詳細信息在各個系統(tǒng)中是否一致？用戶的詳細信息在各個系統(tǒng)中是否一致？添加新的應(yīng)用時是否有一致的認證和授權(quán)框架可以利用？添加新的應(yīng)用時是否有一致的認證和授權(quán)框架可以利用？如何滿足行業(yè)政策規(guī)范的要求？如何滿足行業(yè)政策規(guī)范的要求？是否可以對企業(yè)內(nèi)應(yīng)用系統(tǒng)實現(xiàn)監(jiān)控和跟蹤？是否

4、可以對企業(yè)內(nèi)應(yīng)用系統(tǒng)實現(xiàn)監(jiān)控和跟蹤？今天的企業(yè)環(huán)境其他應(yīng)用人事系統(tǒng)財務(wù)系統(tǒng)郵件局域網(wǎng)PABXCRM員工客戶IT 管理員供應(yīng)商合作伙伴移動用戶離職員工?用戶用戶只需一個憑證只需一次登錄應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)信息資源整合信息統(tǒng)一標識規(guī)范和接口規(guī)范管理員管理員信息的一致性集中管理安全保障體系安全保障體系用戶管理統(tǒng)一的安全策略服務(wù)集中授權(quán)集中審計解決之道 統(tǒng)一認證管理如果如果集中身份管理：Windows域Windows域理念Windows域管理構(gòu)成要素域控制器成員服務(wù)器活動目錄認證協(xié)議：Kerberos目錄服務(wù)：LDAP Windows域理念服務(wù)器和用戶的計算機都在同一個域中，用戶在域中只要擁有一個賬號用戶

5、只需要在域中擁有一個域賬戶，只需要在域中登錄一次就可以訪問域中的資源了。域中的服務(wù)器域控制器（Domain Controller)啟動Active Directory域服務(wù)身份認證目錄服務(wù)成員服務(wù)器成員服務(wù)器都信任DC的身分驗證。保留本機的帳戶數(shù)據(jù)庫,因此使用者仍可利用這些本機帳戶,登入該服務(wù)器。對域的安全管理而言,這些本機賬戶可能會是漏洞可加入AD域的工作站所有安裝以下操作系統(tǒng),而且加入域的計算機都算是工作站W(wǎng)indows NT WorkstationWindows 2000 ProfessionalWindows XP ProfessionalWindows 7/vista商用入門版、商用

6、進階版和旗艦版Windows 95 / 98 / Me、Windows XP家庭版、Windows 7家庭版也都沒有加入域的功能。服務(wù)器角色轉(zhuǎn)換AD域認證協(xié)議：Kerberos AD目錄服務(wù)微軟自Windows 2000 Server開始提供完整的目錄服務(wù),命名為AD（ActiveDirectory）目錄服務(wù)。AD目錄與AD目錄服務(wù)遵循符合X.500及LDAP規(guī)范AD對象包括加入域的服務(wù)器和客戶端帳號，及其詳細的權(quán)限屬性AD目錄的架構(gòu)AD目錄仍然是以對象組合成樹狀架構(gòu),不過卻多了域（Domain）對象。將一般對象先整合到域中,再形成所謂的域樹（Domain Tree）實現(xiàn)統(tǒng)一認證和單點登錄活動

7、目錄登錄到 Windows單一登錄到單一登錄到:Windows 文件服務(wù)器Windows Web 應(yīng)用程序Exchange emailSQL ServerBizTalk Server其他微軟應(yīng)用程序第三方集成應(yīng)用程序ExchangeWeb 服務(wù)文件共享Windows 集成應(yīng)用程序Windows域的局限性實際的局域網(wǎng)環(huán)境不是單一的Windows域應(yīng)用環(huán)境，存在大量的非Windows系統(tǒng)服務(wù)器平臺：春秋戰(zhàn)國局域網(wǎng)組成成分的多樣性：防火墻、路由器 、各類應(yīng)用系統(tǒng)DC域無法解決局域網(wǎng)的統(tǒng)一身份管理問題反而成了麻煩IDM如何集成已經(jīng)存在的Windows域？一般局域網(wǎng)系統(tǒng)的IDM技術(shù)方案需解決的問題：集中

8、認證支持多種客戶端主帳號與從帳號的問題單點登錄集中授權(quán)與訪問控制帳號、認證、授權(quán)和審計帳號、認證、授權(quán)和審計審計管理審計管理各應(yīng)用系統(tǒng)都有一套獨立的審計管理；每個業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫都要分別進行審計缺乏集中統(tǒng)一的系統(tǒng)訪問審計無法對應(yīng)用系統(tǒng)進行綜合分析授權(quán)管理授權(quán)管理各應(yīng)用系統(tǒng)都獨立授權(quán)管理隨著用戶數(shù)量的增加， 權(quán)限管理任務(wù)越來越重； 缺乏集中統(tǒng)一資源授權(quán)管理帳號管理帳號管理各應(yīng)用系統(tǒng)都有一套獨立的用戶管理；帳號及口令四處流傳并記錄下來 有些帳號多人共用，未授權(quán)的訪問較簡單口令或?qū)⒍嘞到y(tǒng)口令設(shè)置相同崗位變更、離職，帳號仍在；多方人員使用系統(tǒng)，管理復(fù)雜；認證管理認證管理各應(yīng)用系統(tǒng)都獨立認證缺乏控制而不

9、遵循安全策略重復(fù)輸密碼，工作效率低；使用靜態(tài)口令,安全性低IDMIDM需求需求IDM建設(shè)需求n改變IT系統(tǒng)分立管理的局面，需建設(shè)集中的IDM系統(tǒng)實現(xiàn)集中的帳號管理、統(tǒng)一的登錄認證、適度集中的訪問控制策略和全面綜合的運營維護操作審計；n最終實現(xiàn)對IT系統(tǒng)的可知、可控、可管的集中運維操作IDM產(chǎn)品概述概念：IDM系統(tǒng)包括自然人帳號管理、諸多被管資源接口組件、統(tǒng)一認證組件、訪問控制組件等構(gòu)成的系統(tǒng)，它介于運營維護人員和被管的IT系統(tǒng)之間，對運維人員提供統(tǒng)一的登錄入口（Portal），由IDM系統(tǒng)代理對諸多網(wǎng)元的登錄、認證、訪問控制和審計。對被管IT資源而言，納入IDM管理后，原則上即不能被自然人用戶

10、直接訪問。這個概念的要點是：IDM系統(tǒng)是一系列組件，協(xié)同完成集中帳號管理（account），集中認證（Authentication， IDMPortal的登錄認證），集中的訪問控制授權(quán)（Authorization），集中的審計（Audit）等功能。IDM系統(tǒng)對運維人員提供統(tǒng)一的登錄Portal，通過IDMPortal的認證，登錄IDM Portal后，用戶即獲得訪問被管資源的視圖和權(quán)限，至少從感受上用戶可以直接訪問獲得授權(quán)的資源；用戶通過IDM進而登錄操作被管資源，整個過程由IDM系統(tǒng)和被管資源形成審計記錄；被管資源（如某路由器）納入IDM管理后，其自身的帳號管理、認證、訪問控制、審計等功能依

11、然不變，但可以被IDM系統(tǒng)重置，進而其帳號成為IDM系統(tǒng)的從賬號；IDM系統(tǒng)對被管資源應(yīng)具有系統(tǒng)管理員的權(quán)限；IDM系統(tǒng)架構(gòu)示意圖IDM產(chǎn)品概述作為被管資源的分立系統(tǒng)IDM要解決諸多分立IT系統(tǒng)的集中管理的問題在于，分立的IT系統(tǒng)包括主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、應(yīng)用系統(tǒng)都有自身的安全模式，包括賬號管理、登錄方式、認證方式、訪問控制等功能的實現(xiàn)。如windows系統(tǒng)支持RDP登錄方式，支持用戶名/密碼方式的身份認證方式和基于域控制器(DC)和Kerbrose 協(xié)議的認證模式，系統(tǒng)自身支持DAC、MAC的訪問控制模式；Unix系統(tǒng)支持telnet/SSH等登錄方式，支持用戶名/密碼方式的本地身份認證方

12、式和基于Radius 協(xié)議的認證模式；網(wǎng)絡(luò)設(shè)備一般支持telnet/SSH的登錄方式，支持用戶名/密碼方式的本地身份認證方式和基于Radius/Tacas+ 協(xié)議的認證模式；數(shù)據(jù)庫系統(tǒng)則支持標準SQL訪問語言，不同的數(shù)據(jù)庫的ODBC實現(xiàn)不同，都支持本地用戶名/密碼認證，不同數(shù)據(jù)庫的訪問控制強度不同（由此劃分不同安全等級的數(shù)據(jù)庫）；C/S、B/S應(yīng)用系統(tǒng)安全模式完全獨立設(shè)計，B/S應(yīng)用隨著Web Service規(guī)范的發(fā)展，其安全模式(包括認證)逐漸標準化，如SOAP協(xié)議和SAML規(guī)范的采用。IDM產(chǎn)品概述作為被管資源的分立系統(tǒng)IDM系統(tǒng)的實現(xiàn)首先建立在上述原有的IT組元的登錄、認證、訪問控制模式

13、的基礎(chǔ)上，實現(xiàn)IDM功能自然人帳號的集中管理支持各種登錄方式和登錄過程中的認證被管資源的納入（從賬號收集與重置，登錄權(quán)限授予自然人賬號，登錄過程統(tǒng)一管理）對自然人帳號的授權(quán)（被管資源的訪問權(quán)）訪問被管資源前的統(tǒng)一認證包括單點登錄，以及所有環(huán)節(jié)的審計。IDM主要功能的實現(xiàn)模式自然人帳號管理IDM系統(tǒng)提供自然人帳號的集中管理功能，包括帳號的生命周期管理，對自然人帳號的授權(quán)，自然人帳號登錄IDM系統(tǒng)的認證。引入組管理的技術(shù)，降低管理成本采用基于審批流程的管理在PKI體系下，引入數(shù)字證書的發(fā)放管理IDM主要功能的實現(xiàn)模式兩次認證過程IDM系統(tǒng)納入被管IT組元，包括主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、C/S及B/S

14、應(yīng)用系統(tǒng)。其基本模式是采用(依賴)IT組元自身的安全模式，將遠程認證服務(wù)器集中，不支持遠程認證的采用本地認證方式。IDM系統(tǒng)部署到IT系統(tǒng)后，用戶訪問被管資源實際上要作兩次認證，一次是登錄IDM服務(wù)器（或SSO服務(wù)器），第二次是登錄被管資源時，被管資源本身要求的認證。第二次認證由IDM系統(tǒng)（SSO服務(wù)器）代理完成。如果被管資源支持外部認證（路由器），則可以引入集中的認證服務(wù)器，如Radius，Tacks+認證服務(wù)器對于支持Web Service的標準協(xié)議的，采用IDM Portal/SSO生成令牌CookieHTTP POST（Token）對于被管資源本地認證，則IDM完成密碼代添功能IDM主

15、要功能的實現(xiàn)模式授權(quán)管理IDM系統(tǒng)在自然人和被管資源之間建立訪問授權(quán)關(guān)系，一般采用基于角色的訪問控制技術(shù)（RBAC）對自然人帳號授權(quán)在RBAC框架下，IDM的授權(quán)涉及三個層次：一是角色授予自然人帳號，即自然人帳號授權(quán)；二是被管資源的從賬號授予角色即角色授權(quán)；三是被管資源內(nèi)部的從賬號的授權(quán)，這有賴于被管資源內(nèi)部的安全模式。IDM主要功能的實現(xiàn)模式訪問控制自然人通過IDM系統(tǒng)對整個IT系統(tǒng)的登錄過程理想的IDM模型，應(yīng)該提供給用戶統(tǒng)一的登錄入口（IDM登錄界面， IDM portal）用戶登錄IDM Portal后即可按照IDM設(shè)定的訪問權(quán)限登錄各IT組元，由IDM代理完成IT組元要求的登錄認證過

16、程，包括密碼代填或令牌（Key）的發(fā)放及統(tǒng)一認證用戶所用的客戶端可以智能的適應(yīng)不同的訪問對象的登錄方式（如通過IE瀏覽器的插件實現(xiàn)智能客戶端功能）訪問控制的兩個環(huán)節(jié)被管資源按照從賬號的授權(quán)策略實施訪問控制IDM系統(tǒng)也可實現(xiàn)訪問控制，IDM Portal可以實現(xiàn)簡單的訪問控制通過堡壘主機組件可實施細粒度訪問控制IDM主要功能的實現(xiàn)模式審計功能IDM系統(tǒng)自審計的內(nèi)涵整個IDM系統(tǒng)整個管理過程的審計，包括帳號管理，從賬號管理，授權(quán)過程，訪問控制策略等等；用戶對被管資源訪問過程的審計，堡壘主機可以記錄整個訪問過程IDM系統(tǒng)的自審計信息應(yīng)納入整個安全審計系統(tǒng)中，通過綜合的日志審計平臺實現(xiàn)對IDM審計記錄

17、、被管資源日志、網(wǎng)絡(luò)審計記錄的綜合管理和審計分析。1.被管資源的納入及納入后的管理被管資源的納入及納入后的管理n包括資源從賬號的收集、密碼重置、認證方式重置，資源側(cè)訪問控制策略建立（從賬號授權(quán)與），孤立賬號的處理等。2.主賬號的管理主賬號的管理n主賬號整個生命周期的管理，賬號名、密碼策略、認證方式、訪問權(quán)限等的管理。3. 授權(quán)關(guān)系的建立，訪問控制策略建立授權(quán)關(guān)系的建立，訪問控制策略建立n涉及主賬號、角色、資源從賬號三個層次的授權(quán)，及堡壘主機和被管資源自身可執(zhí)行的訪問控制策略的建立。IDM系統(tǒng)涉及的工作流程4. 系統(tǒng)審計策略的建立系統(tǒng)審計策略的建立n涉及各被管資源自身審計功能開啟和審計策略的建立、IDM各組件審計功能開啟和審計策略的建立。5. 用戶通過用戶通過IDM訪問被管資源訪問被管資源n用戶通過自然人賬號登錄IDM Portal，進而訪問被管資源的過程，涉及兩次認證過程，訪問過程受控于IDM系統(tǒng)的堡壘主機和被管資源自身的訪問控制功能。6. 審計信息的處理和響應(yīng)審計信息的處理和響應(yīng)n審計管理員通過集中的審計管理平臺對IT系統(tǒng)及其運維操作進行審計分析和相關(guān)處理，形成審計分析報告。n1-4過程是IDM系統(tǒng)基本設(shè)置（系統(tǒng)初始化）過程涉及的若干環(huán)節(jié)，