BI網(wǎng)絡(luò)信息系統(tǒng)安全體系IDM

網(wǎng)絡(luò)內(nèi)控之：統(tǒng)一身份管理孫建偉北京理工大學(xué)軟件學(xué)院提綱局域網(wǎng)應(yīng)用模型身份集中管理的需求Windows域集中認(rèn)證管理一般局域網(wǎng)系統(tǒng)的IDM技術(shù)方案主流產(chǎn)品與解決方案未來發(fā)展:Webservice分布式環(huán)境下的集中訪問控制局域網(wǎng)應(yīng)用模型多個分立的系統(tǒng)和網(wǎng)絡(luò)設(shè)備多種數(shù)據(jù)庫系統(tǒng)多個Web應(yīng)用系統(tǒng)多種網(wǎng)絡(luò)設(shè)備:防火墻,交換機(jī),路由器,其它安全設(shè)備多種服務(wù)器平臺:Windows,Unix局域網(wǎng)應(yīng)用模型多個分立的系統(tǒng)和網(wǎng)絡(luò)設(shè)備不同的系統(tǒng)平臺不同的客戶端獨立維護(hù)帳號獨立的訪問控制管理典型場景：多服務(wù)器，多用戶如果資源分布在多臺服務(wù)器上，要在每臺服務(wù)器分別為每一員工建立一個賬戶（共M*N），用戶則需要在每臺服務(wù)器上（共M臺）登錄局域網(wǎng)應(yīng)用模型從用戶、管理員、應(yīng)用系統(tǒng)（信息資源）三方面看存在的問題用戶M：帳號多，不便應(yīng)用系統(tǒng)N：自主維護(hù)訪問控制，泛泛的，難以適應(yīng)具體的網(wǎng)絡(luò)環(huán)境要求管理員：M*N較大時帳號管理，如何實施全生命周期的管理？權(quán)限管理：如何實施全局安全策略？用戶名輸入用戶名/口令登錄口令局域網(wǎng)環(huán)境下管理的需求管理員工作人員應(yīng)用1應(yīng)用2應(yīng)用3棘手的問題用戶是否有太多的密碼需要記憶？作為系統(tǒng)管理員，是否需要花費很多的時間去管理用戶帳號和訪問權(quán)限？各部門管理員需要花費多長時間才能為一個新的用戶在所有的應(yīng)用系統(tǒng)中建立賬號？是否工作重復(fù)，效率低下?員工離開企業(yè)時能否立即停用其在各個應(yīng)用子系統(tǒng)中的賬號？用戶的詳細(xì)信息在各個系統(tǒng)中是否一致？添加新的應(yīng)用時是否有一致的認(rèn)證和授權(quán)框架可以利用？如何滿足行業(yè)政策規(guī)范的要求？是否可以對企業(yè)內(nèi)應(yīng)用系統(tǒng)實現(xiàn)監(jiān)控和跟蹤？今天的企業(yè)環(huán)境其他應(yīng)用人事系統(tǒng)財務(wù)系統(tǒng)郵件局域網(wǎng)PABXCRM員工客戶IT管理員供應(yīng)商合作伙伴移動用戶離職員工如何為企業(yè)用戶減少需要記憶的密碼？?如何讓員工及客戶安全的訪問企業(yè)系統(tǒng)??如何縮短為新用戶在各個系統(tǒng)中創(chuàng)建賬號的時間??如何防止離開的員工仍能繼續(xù)訪問企業(yè)內(nèi)系統(tǒng)??如何減少在管理用戶帳號方面的花費??如何確保員工/客戶能夠訪問到企業(yè)各個系統(tǒng)中最新的信息??如何對企業(yè)的應(yīng)用系統(tǒng)進(jìn)行審計??用戶只需一個憑證只需一次登錄應(yīng)用系統(tǒng)信息資源整合信息統(tǒng)一標(biāo)識規(guī)范和接口規(guī)范管理員信息的一致性集中管理安全保障體系用戶管理統(tǒng)一的安全策略服務(wù)集中授權(quán)集中審計解決之道——統(tǒng)一認(rèn)證管理如果…統(tǒng)一認(rèn)證管理1、集中統(tǒng)一管理用戶、機(jī)構(gòu)、角色、應(yīng)用等信息2、統(tǒng)一認(rèn)證，實現(xiàn)單點登錄3、基于角色的訪問控制4、應(yīng)用間信息同步和共享5、安全策略和安全管理集中身份管管理：Windows域Windows域理理念Windows域管管理構(gòu)成要要素域控制器成員服務(wù)器器活動目錄認(rèn)證協(xié)議：：Kerberos目錄服務(wù)：：LDAPWindows域理念服務(wù)器和用用戶的計算算機(jī)都在同同一個域中中，用戶在在域中只要要擁有一個個賬號用戶只需要要在域中擁擁有一個域域賬戶，只只需要在域域中登錄一一次就可以以訪問域中中的資源了了。域中的服務(wù)器域控制器（（DomainController)啟動ActiveDirectory域服務(wù)身份認(rèn)證目錄服務(wù)成員服務(wù)器器成員服務(wù)器器都信任DC的身分驗證證。保留本機(jī)的的帳戶數(shù)據(jù)據(jù)庫,因此使用者者仍可利用用這些本機(jī)機(jī)帳戶,登入該服務(wù)務(wù)器。對域的安全全管理而言言,這些本機(jī)賬賬戶可能會會是漏洞可加入AD域的工作站所有安裝以以下操作系系統(tǒng),而且加入域域的計算機(jī)機(jī)都算是工工作站W(wǎng)indowsNTWorkstationWindows2000ProfessionalWindowsXPProfessionalWindows7/vista商用入門版版、商用進(jìn)進(jìn)階版和旗旗艦版Windows95/98/Me、WindowsXP家庭版、Windows7家庭版也都都沒有加入入域的功能能。服務(wù)器角色轉(zhuǎn)換AD域認(rèn)證協(xié)議議：KerberosAD目錄服務(wù)微軟自Windows2000Server開始提供完完整的目錄錄服務(wù),命名為AD（ActiveDirectory）目錄服務(wù)務(wù)。AD目錄與AD目錄服務(wù)遵遵循符合X.500及LDAP規(guī)范AD對象包括加加入域的服服務(wù)器和客客戶端帳號號，及其詳詳細(xì)的權(quán)限限屬性AD目錄的架構(gòu)構(gòu)AD目錄仍然是是以對象組組合成樹狀狀架構(gòu),不過卻多了了『域』（Domain）對象。將將一般對象象先整合到到域中,再形成所謂謂的『域樹』（DomainTree）實現(xiàn)統(tǒng)一認(rèn)認(rèn)證和單點點登錄活動目錄登錄到Windows單一登錄到到:Windows文件服務(wù)器器WindowsWeb應(yīng)用程序ExchangeemailSQLServerBizTalkServer其他微軟應(yīng)應(yīng)用程序第三方集成成應(yīng)用程序序ExchangeWeb服務(wù)文件共享Windows集成應(yīng)用程序Windows域的局限性性實際的局域域網(wǎng)環(huán)境不不是單一的的Windows域域應(yīng)用環(huán)境境，存在大大量的非Windows系統(tǒng)統(tǒng)服務(wù)器平臺臺：春秋戰(zhàn)戰(zhàn)國局域網(wǎng)組成成成分的多多樣性：防火墻、路路由器、、各類應(yīng)用用系統(tǒng)………DC域無法法解決局域域網(wǎng)的統(tǒng)一一身份管理理問題反而成了麻麻煩IDM如何何集成已經(jīng)經(jīng)存在的Windows域？？一般局域網(wǎng)網(wǎng)系統(tǒng)的IDM技術(shù)方案需解決的問問題：集中認(rèn)證支持多種客客戶端主帳號與從從帳號的問問題單點登錄集中授權(quán)與與訪問控制制帳號、認(rèn)證證、授權(quán)和和審計審計管理各應(yīng)用系統(tǒng)統(tǒng)都有一套套獨立的審審計管理；；每個業(yè)務(wù)系系統(tǒng)及數(shù)據(jù)據(jù)庫都要分分別進(jìn)行審審計缺乏集中中統(tǒng)一的的系統(tǒng)訪訪問審計計無法對應(yīng)應(yīng)用系統(tǒng)統(tǒng)進(jìn)行綜綜合分析析授權(quán)管理理各應(yīng)用系系統(tǒng)都獨獨立授權(quán)權(quán)管理隨著用戶數(shù)量量的增加，權(quán)權(quán)限管理任任務(wù)越來越重重；缺乏集中統(tǒng)一一資源授權(quán)管管理帳號管理各應(yīng)用系統(tǒng)都都有一套獨立立的用戶管理理；帳號及口令四四處流傳并記記錄下來有些帳號多人人共用，未授授權(quán)的訪問較簡單口令或或?qū)⒍嘞到y(tǒng)口口令設(shè)置相同同崗位變更、離離職，帳號仍仍在；多方人員使用用系統(tǒng)，管理理復(fù)雜；認(rèn)證管理各應(yīng)用系統(tǒng)都都獨立認(rèn)證缺乏控制而不不遵循安全策策略重復(fù)輸密碼，，工作效率低低；使用靜態(tài)口令令,安全性低IDM需求IDM建設(shè)需求改變IT系統(tǒng)分立管理理的局面，需需建設(shè)集中的的IDM系統(tǒng)實現(xiàn)集中中的帳號管理理、統(tǒng)一的登登錄認(rèn)證、適適度集中的訪訪問控制策略略和全面綜合合的運營維護(hù)護(hù)操作審計；；最終實現(xiàn)對IT系統(tǒng)的可知、、可控、可管管的集中運維維操作IDM產(chǎn)品概述概念：IDM系統(tǒng)包括自然然人帳號管理理、諸多被管管資源接口組組件、統(tǒng)一認(rèn)認(rèn)證組件、訪訪問控制組件件等構(gòu)成的系系統(tǒng)，它介于于運營維護(hù)人人員和被管的的IT系統(tǒng)之間，對對運維人員提提供統(tǒng)一的登登錄入口（Portal），由IDM系統(tǒng)代理對諸諸多網(wǎng)元的登登錄、認(rèn)證、、訪問控制和和審計。對被被管IT資源而言，納納入IDM管理后，原則則上即不能被被自然人用戶戶直接訪問。。這個概念的的要點是：IDM系統(tǒng)是一系列列組件，協(xié)同同完成集中帳帳號管理（account），集中認(rèn)證證（Authentication，IDMPortal的登錄認(rèn)證）），集中的訪訪問控制授權(quán)權(quán)（Authorization），集中的審審計（Audit）等功能。IDM系統(tǒng)對運維人人員提供統(tǒng)一一的登錄Portal，通過IDMPortal的認(rèn)證，登錄錄IDMPortal后，用戶即獲獲得訪問被管管資源的視圖圖和權(quán)限，至至少從感受上上用戶可以直直接訪問獲得得授權(quán)的資源源；用戶通過過IDM進(jìn)而登錄操作作被管資源，，整個過程由由IDM系統(tǒng)和被管資資源形成審計計記錄；被管資源（如如某路由器））納入IDM管理后，其自自身的帳號管管理、認(rèn)證、、訪問控制、、審計等功能能依然不變，，但可以被IDM系統(tǒng)重置，進(jìn)進(jìn)而其帳號成成為IDM系統(tǒng)的從賬號號；IDM系統(tǒng)對被管資資源應(yīng)具有系系統(tǒng)管理員的的權(quán)限；IDM系統(tǒng)架構(gòu)示意意圖IDM產(chǎn)品概述作作為被管資源源的分立系統(tǒng)統(tǒng)IDM要解決諸多分分立IT系統(tǒng)的集中管管理的問題在在于，分立的的IT系統(tǒng)包括主機(jī)機(jī)、網(wǎng)絡(luò)設(shè)備備、數(shù)據(jù)庫、、應(yīng)用系統(tǒng)都都有自身的安安全模式，包包括賬號管理理、登錄方式式、認(rèn)證方式式、訪問控制制等功能的實實現(xiàn)。如windows系統(tǒng)支持RDP登錄方式，支支持用戶名/密碼方式的身身份認(rèn)證方式式和基于域控控制器(DC)和Kerbrose協(xié)議的認(rèn)證模模式，系統(tǒng)自自身支持DAC、MAC的訪問控制模模式；Unix系統(tǒng)支持telnet/SSH等登錄方式，，支持用戶名名/密碼方式的本本地身份認(rèn)證證方式和基于于Radius協(xié)議的認(rèn)證模模式；網(wǎng)絡(luò)設(shè)備一般般支持telnet/SSH的登錄方式，，支持用戶名名/密碼方式的本本地身份認(rèn)證證方式和基于于Radius/Tacas+協(xié)議的認(rèn)證模模式；數(shù)據(jù)庫系統(tǒng)則則支持標(biāo)準(zhǔn)SQL訪問語言，不不同的數(shù)據(jù)庫庫的ODBC實現(xiàn)不同，都都支持本地用用戶名/密碼認(rèn)證，不不同數(shù)據(jù)庫的的訪問控制強(qiáng)強(qiáng)度不同（由由此劃分不同同安全等級的的數(shù)據(jù)庫）；；C/S、B/S應(yīng)用系統(tǒng)安全全模式完全獨獨立設(shè)計，B/S應(yīng)用隨著WebService規(guī)范的發(fā)展，，其安全模式式(包括認(rèn)證)逐漸標(biāo)準(zhǔn)化，，如SOAP協(xié)議和SAML規(guī)范的采用。。IDM產(chǎn)品概述作作為被管資源源的分立系統(tǒng)統(tǒng)IDM系統(tǒng)的實現(xiàn)首首先建立在上上述原有的IT組元的登錄、、認(rèn)證、訪問問控制模式的的基礎(chǔ)上，實實現(xiàn)IDM功能自然人帳號的的集中管理支持各種登錄錄方式和登錄錄過程中的認(rèn)認(rèn)證被管資源的納納入（從賬號號收集與重置置，登錄權(quán)限限授予自然人人賬號，登錄錄過程統(tǒng)一管管理）對自然人帳號號的授權(quán)（被被管資源的訪訪問權(quán)）訪問被管資源源前的統(tǒng)一認(rèn)認(rèn)證包括單點點登錄，以及及所有環(huán)節(jié)的的審計。IDM主要功能的實實現(xiàn)模式自自然人帳號管管理IDM系統(tǒng)提供自然然人帳號的集集中管理功能能，包括帳號號的生命周期期管理，對自自然人帳號的的授權(quán)，自然然人帳號登錄錄IDM系統(tǒng)的認(rèn)證。。引入組管理的的技術(shù)，降低低管理成本采用基于審批批流程的管理理在PKI體系下，引入入數(shù)字證書的的發(fā)放管理IDM主要功能的實實現(xiàn)模式兩兩次認(rèn)證過程程IDM系統(tǒng)納入被管管IT組元，包括主主機(jī)、網(wǎng)絡(luò)設(shè)設(shè)備、數(shù)據(jù)庫庫、C/S及B/S應(yīng)用系統(tǒng)。其其基本模式是是采用(依賴)IT組元自身的安安全模式，將將遠(yuǎn)程認(rèn)證服服務(wù)器集中，，不支持遠(yuǎn)程程認(rèn)證的采用用本地認(rèn)證方方式。IDM系統(tǒng)部署到IT系統(tǒng)后，用戶戶訪問被管資資源實際上要要作兩次認(rèn)證證，一次是登登錄IDM服務(wù)器（或SSO服務(wù)器），第第二次是登錄錄被管資源時時，被管資源源本身要求的的認(rèn)證。第二二次認(rèn)證由IDM系統(tǒng)（SSO服務(wù)器）代理理完成。如果被管資源源支持外部認(rèn)認(rèn)證（路由器器），則可以以引入集中的的認(rèn)證服務(wù)器器，如Radius，Tacks+認(rèn)證服務(wù)器對于支持WebService的標(biāo)準(zhǔn)協(xié)議的的，采用IDMPortal/SSO生成令牌CookieHTTPPOST（Token）對于被管資源源本地認(rèn)證，，則IDM完成密碼代添添功能IDM主要功能的實實現(xiàn)模式授授權(quán)管理IDM系統(tǒng)在自然人人和被管資源源之間建立訪訪問授權(quán)關(guān)系系，一般采用用基于角色的的訪問控制技技術(shù)（RBAC）對自然人帳帳號授權(quán)在RBAC框架下，IDM的授權(quán)涉及三三個層次：一是角色授予予自然人帳號號，即自然人人帳號授權(quán)；；二是被管資源源的從賬號授授予角色即角角色授權(quán)；三是被管資源源內(nèi)部的從賬賬號的授權(quán)，，這有賴于被被管資源內(nèi)部部的安全模式式。IDM主要功能的實實現(xiàn)模式訪訪問控制自然人通過IDM系統(tǒng)對整個IT系統(tǒng)的登錄過過程理想的IDM模型，應(yīng)該提提供給用戶統(tǒng)統(tǒng)一的登錄入入口（IDM登錄界面，IDMportal）用戶登錄IDMPortal后即可按照IDM設(shè)定的訪問權(quán)權(quán)限登錄各IT組元，由IDM代理完成IT組元要求的登登錄認(rèn)證過程程，包括密碼碼代填或令牌牌（Key）的發(fā)放及統(tǒng)統(tǒng)一認(rèn)證用戶所用的客客戶端可以智智能的適應(yīng)不不同的訪問對對象的登錄方方式（如通過過IE瀏覽器的插件件實現(xiàn)智能客客戶端功能））訪問控制的兩兩個環(huán)節(jié)被管資源按照照從賬號的授授權(quán)策略實施施訪問控制IDM系統(tǒng)也可實現(xiàn)現(xiàn)訪問控制，，IDMPortal可以實現(xiàn)簡單單的訪問控制制通過堡壘主機(jī)機(jī)組件可實施施細(xì)粒度訪問問控制IDM主要功能的實實現(xiàn)模式審審計功能IDM系統(tǒng)自審計的的內(nèi)涵整個IDM系統(tǒng)整個管理理過程的審計計，包括帳號號管理，從賬賬號管理，授授權(quán)過程，訪訪問控制策略略等等；用戶對被管資資源訪問過程程的審計，堡堡壘主機(jī)可以以記錄整個訪訪問過程IDM系統(tǒng)的自審計計信息應(yīng)納入入整個安全審審計系統(tǒng)中，，通過綜合的的日志審計平平臺實現(xiàn)對IDM審計記錄、被被管資源日志志、網(wǎng)絡(luò)審計計記錄的綜合合管理和審計計分析。1.被管資源的納納入及納入后后的管理包括資源從賬賬號的收集、、密碼重置、、認(rèn)證方式重重置，資源側(cè)側(cè)訪問控制策策略建立（從從賬號授權(quán)與與），孤立賬賬號的處理等等。2.主賬號的管理理主賬號整個生生命周期的管管理，賬號名名、密碼策略略、認(rèn)證方式式、訪問權(quán)限限等的管理。。3.授權(quán)關(guān)系的建建立，訪問控控制策略建立立涉及主賬號、、角色、資源源從賬號三個個層次的授權(quán)權(quán)，及堡壘主主機(jī)和被管資資源自身可執(zhí)執(zhí)行的訪問控控制策略的建建立。IDM系統(tǒng)涉及的工工作流程4.系統(tǒng)審計策略略的建立涉及各被管資資源自身審計計功能開啟和和審計策略的的建立、IDM各組件件審計計功能能開啟啟和審審計策策略的的建立立。5.用戶通通過IDM訪問被被管資資源用戶通通過自自然人人賬號號登錄錄IDMPortal，進(jìn)而而訪問問被管管資源源的過過程，，涉及及兩次次認(rèn)證證過程程，訪訪問過過程受受控于于IDM系統(tǒng)的的堡壘