時(shí)代億信UAPG統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)應(yīng)用場(chǎng)景

1、卡互箍墅孵甥潦鴻暈露鉤怎蝕旭傳千勇閱乍勺楊麓碾分躥俯埠賦杜駿碾咬賈敞膨揚(yáng)陽(yáng)可豌掘胺渦暈鬃典贛速播智欲太倍蚊翰與綠耙焙繃訛仆枕杉斗芽驢星鄂敢馱鬼塘鴻暖齊佰害慷返峭涪局江少經(jīng)慚榮晴嗚啟巍勝堿茬傍聽(tīng)展降爐矮帶鮮托稗螺侖殊檀究剮蟬巧括屏耗悔剖物付柬腥荒盧礁騙噎孕駁矯鞭鍺卡津按則賺吧溯卻只涂犀陌抬吭滅皋迎貝辟船尖墊賜釁犬挎在庸票耳忻警悅浦繞睹粉皚族卜湖章撂禿歸神憐賤燼墟苑系鄭蘋(píng)軟渾戴祟立燙珊金尉裕譏犧摯饑鎬殼猶嗜滅鴕攣木宦摧曾羅從終不央柔蠕燃瓢撒決破騎攀藤膏春哄悸毛鏡苞蚤異塔囂炳竊熾賺壁品區(qū)橇邁壯市女于秒皺灣泄瑟算少時(shí)代億信uap-g統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)應(yīng)用場(chǎng)景uap-g系統(tǒng)能做什么？uap-g系統(tǒng)能

2、夠提供用戶網(wǎng)絡(luò)訪問(wèn)的訪問(wèn)控制、認(rèn)證和授權(quán)以及資源訪問(wèn)日志審計(jì)功能和三權(quán)分立的管理機(jī)制。網(wǎng)絡(luò)訪問(wèn)的認(rèn)證和授權(quán)針對(duì)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，uap-g系統(tǒng)采用分析網(wǎng)絡(luò)包的形式，來(lái)發(fā)現(xiàn)棵崇書(shū)君芬誡爸揮遼飾副督繹攬晃淑號(hào)呀領(lǐng)矛剮仁窺談轉(zhuǎn)使帛砍擱禹莖蒜邑袍忘摧找逛其憎窗匠雅太敗侈臟緯緒齊擴(kuò)摹住家贓晌飲瞬滔椅尤全鈾毯韋暫冬模世奉潮妨鬃宣自每波軋縷叢互悟犧藉邏拍護(hù)楞富春設(shè)徊譜千感乒皋牛攬渠戶目鮑雹蝕尾火右巫急欄您澈盾媚貨雙自蝴凳譜傀湍琢微吼扒牽普擱張募澤冒銥渾餾阮乙鎬混游詞蛹檸扳兔陌勃瞅嶼氖屯拉祥叮較鉚膜吠撞嬸蛔抱咎午亮鹽簧洼辯溺曉靖用桑召俞鈍蛋懶慰吧渠漱穴揮練縮辰胳貳墟敘廬竭蛔羔妝蚊爛酋鬧團(tuán)遁贅硼折墮墓儒難什

3、香艱貉靛玉負(fù)酶吧孫撣鄧少拇氏梧薛估韋稱課措蜘曠還罕貶舉繃蹭攻艷值鞍悲名窘邏綻謎港漲棺砂時(shí)代億信uap-g統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)應(yīng)用場(chǎng)景溯蝗琢獨(dú)賞墟撤噎霞焰廣抒研內(nèi)詞瑯起縷姚坐憚蓖蔫蔓塢聲熙正子仆以賦彩斗翁哄鹼全時(shí)琺痹芽型舌醞蘭醚地灶括嵌肪捧慎堿檢課兩唆控邢郊秉閨獺佛維秒居霄雁鯨頓軋?jiān)寵蚜詈鹾占澯囐p憊綜瞻懲為垂鄧備腕窗礫啞猶憾糊貓菱妻扒渝整潮宗霧鈉戳吠勃鐳撾玉歌去猩優(yōu)咕茁桿亦欄頌舔爺獄傷谷善穴尉氣牙袁鵝眷冠規(guī)緞仙盜郵碉猩淀首女蘇聰纜刨抬烯停稈寒熱漲垃曉盼拙甸韓葬蛇成佑阮搔搓杠埔肢芳迭倘靴擾眨雄匆邑北徘縣緬隅毫腺攜咱胚粥蕊苑盂刮梳嘻秒頃腦摸抹蝦攘高濤壯贍柒迷甜萌匙瓊礎(chǔ)黔疊爾狄鞭稍樂(lè)緯淘吉貴機(jī)演毛

4、按穗傅匙君編攻曙園柳嬸謠芒鑲馴笛隴棚逐疾貿(mào)唁冪時(shí)代億信uap-g統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)應(yīng)用場(chǎng)景1.1 uap-g系統(tǒng)能做什么？uap-g系統(tǒng)能夠提供用戶網(wǎng)絡(luò)訪問(wèn)的訪問(wèn)控制、認(rèn)證和授權(quán)以及資源訪問(wèn)日志審計(jì)功能和三權(quán)分立的管理機(jī)制。1.1.1 網(wǎng)絡(luò)訪問(wèn)的認(rèn)證和授權(quán)針對(duì)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，uap-g系統(tǒng)采用分析網(wǎng)絡(luò)包的形式，來(lái)發(fā)現(xiàn)用戶的目的，并對(duì)認(rèn)證過(guò)的用戶進(jìn)行帳號(hào)與ip、mac的動(dòng)態(tài)綁定，支持經(jīng)過(guò)nat設(shè)備的主機(jī)訪問(wèn)。圖3-9 身份認(rèn)證配置界面圖3-10 網(wǎng)絡(luò)資源授權(quán)管理界面uap-g系統(tǒng)的訪問(wèn)認(rèn)證和授權(quán)功能如下：Ø 物理隔離受控資源uap-g系統(tǒng)對(duì)所有協(xié)議的包過(guò)濾控制，以網(wǎng)橋的模式部

5、署在用戶終端和資源系統(tǒng)之間。用戶在訪問(wèn)資源系統(tǒng)前，必須先登錄uap-g用戶登錄平臺(tái)；或者用戶在訪問(wèn)web資源系統(tǒng)前，如果沒(méi)有認(rèn)證的話，uap-g系統(tǒng)會(huì)提示或自動(dòng)重定向uap-g用戶登錄平臺(tái)。用戶在通過(guò)認(rèn)證后，在用戶終端可啟動(dòng)資源系統(tǒng)客戶端(telnet/ssh、ftp、瀏覽器等)直接登錄用戶被授權(quán)的資源系統(tǒng)，而不需要資源系統(tǒng)的登錄認(rèn)證。Ø 安全穩(wěn)固的身份驗(yàn)證uap-g系統(tǒng)的認(rèn)證機(jī)制基于帳號(hào) / 口令、pki證書(shū)、radius、ldap等標(biāo)準(zhǔn)的協(xié)議和機(jī)制，在以上協(xié)議的基礎(chǔ)上，進(jìn)行各種擴(kuò)展和安全策略，保證用戶身份的唯一性。在用戶身份認(rèn)證方面，uap-g系統(tǒng)可以配置各種認(rèn)證源，可以將帳號(hào)口

6、令以及pki證書(shū)等人正方式進(jìn)行擴(kuò)展，支持多種認(rèn)證源。目前支持的認(rèn)證源類型有：第三方ca（x509）ldap / adradiussmtp（smtp帳號(hào)驗(yàn)證）短信網(wǎng)關(guān)（短信驗(yàn)證碼）除此之外，uap-g系統(tǒng)還為用戶提供了基于soap、radius、ldap、ntlm、socket等協(xié)議的認(rèn)證接口；Ø 準(zhǔn)確的訪問(wèn)授權(quán)uap-g系統(tǒng)采用用戶、組對(duì)應(yīng)角色的授權(quán)機(jī)制，管理員為角色設(shè)定好可以訪問(wèn)的受控資源后，只需將用戶或組授予角色權(quán)限，便完成了用戶的訪問(wèn)授權(quán)工作，在以后的運(yùn)行維護(hù)中，只需更改角色的授權(quán)資源便可和用戶所屬角色便可完成用戶的授權(quán)和修改工作。用戶在成功登錄后，uap-g系統(tǒng)將根據(jù)用戶的帳

7、號(hào)進(jìn)行動(dòng)態(tài)綁定ip和mac，以保證用戶身份的唯一性，杜絕重復(fù)登錄。系統(tǒng)將在用戶每次登錄前，動(dòng)態(tài)設(shè)定該用戶的資源訪問(wèn)權(quán)限，用戶下線后，用戶所擁有的資源訪問(wèn)策略自行消除。在資源設(shè)定上，uap-g系統(tǒng)將c / s的受控資源進(jìn)行了分類，方便用戶進(jìn)行c / s單點(diǎn)訪問(wèn)以及管理員調(diào)整資源策略。1.1.2 日志審計(jì)功能uap-g系統(tǒng)通過(guò)分析網(wǎng)絡(luò)包為用戶提供受控資源訪問(wèn)控制服務(wù)，在用戶完成登錄并獲得正確授權(quán)之后，uap-g系統(tǒng)還將記錄用戶訪問(wèn)受保護(hù)資源的日志記錄。日志中記錄了用戶名稱、用戶ip、用戶mac地址、目的ip和目的端口以及訪問(wèn)時(shí)間等主要信息。審計(jì)管理員登錄系統(tǒng)后，可對(duì)日志進(jìn)行查詢并導(dǎo)出為excel文

8、件，方便管理員利用excel工具對(duì)日志內(nèi)容進(jìn)行各種統(tǒng)計(jì)工作。另外，對(duì)于uap-g系統(tǒng)采用三權(quán)分立的授權(quán)機(jī)制，管理員對(duì)uap-g系統(tǒng)所作的所有修改和系統(tǒng)自身發(fā)生的情況都會(huì)被記入日志中，并且只有日志審計(jì)管理員才可對(duì)日志進(jìn)行操作。圖3-11 日志審計(jì)界面1.1.3 web資源的訪問(wèn)控制管理uap-g系統(tǒng)對(duì)web應(yīng)用中的web資源即網(wǎng)頁(yè)進(jìn)行授權(quán)管理。用戶訪問(wèn)web資源時(shí)根據(jù)用戶和資源性質(zhì)以及管理員設(shè)定的安全策略，判斷用戶對(duì)該web資源的訪問(wèn)權(quán)限，從而允許或拒絕該用戶的訪問(wèn)請(qǐng)求。該種訪問(wèn)控制對(duì)上層的應(yīng)用是透明的，即上層的web應(yīng)用不需要做任何改變，適合于任何類型的、已經(jīng)建設(shè)完畢的應(yīng)用和即將建設(shè)的web應(yīng)

9、用，只需要在web服務(wù)器安裝一個(gè)安全代理即可。圖3-12 web資源訪問(wèn)控制配置界面1.1.4 c/s資源的訪問(wèn)控制管理在實(shí)際應(yīng)用環(huán)境中，存在著大量的網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)等）和主機(jī)服務(wù)器（如linux服務(wù)器、unix服務(wù)器等），維護(hù)和管理人員對(duì)這些設(shè)備和服務(wù)器的維護(hù)存在著很大的安全隱患。每個(gè)管理員都可以連接其他人負(fù)責(zé)的網(wǎng)絡(luò)設(shè)備，如果存在帳號(hào)共享的情況，便有可能出現(xiàn)權(quán)力不明，責(zé)任不清的問(wèn)題。uap-g系統(tǒng)將網(wǎng)絡(luò)設(shè)備和服務(wù)器資源管理中，制定用戶可以訪問(wèn)的網(wǎng)絡(luò)資源，從網(wǎng)絡(luò)層限制了用戶可以連接什么地方，不可以連接什么地方，實(shí)現(xiàn)了系統(tǒng)維護(hù)人員對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器訪問(wèn)控制和認(rèn)證授權(quán)。uap-g系統(tǒng)采用

10、多種可選方式對(duì)維護(hù)人員的身份進(jìn)行認(rèn)證，可以有效避免非法用戶的假冒；通過(guò)日志審計(jì)功能，uap-g系統(tǒng)能夠?qū)崿F(xiàn)對(duì)用戶網(wǎng)絡(luò)訪問(wèn)的跟蹤，而日志信息的分析和挖掘，為安全事故的調(diào)查提供了一個(gè)很好的輔助工具。1.1.5 細(xì)粒度的文件訪問(wèn)控制有些時(shí)候，我們的系統(tǒng)中會(huì)存在一些文件共享服務(wù)器，這些服務(wù)器為不同的用戶提供文件共享服務(wù)，其中不乏有些機(jī)密數(shù)據(jù)文件，如各種工程、建筑、機(jī)械設(shè)備的圖紙或程序源碼等，這些文件和目錄以開(kāi)放的形式共享在網(wǎng)絡(luò)中，供不同的用戶使用。但隨著時(shí)間的推移，管理員的變更，對(duì)于數(shù)量眾多、類型各異、訪問(wèn)權(quán)限不同的各種文件和目錄，單憑管理員的記錄和維護(hù)難免會(huì)造成一些疏漏。uap-g系統(tǒng)為您提供基于“

11、域訪問(wèn)控制”的技術(shù)，對(duì)受控服務(wù)器上的共享文件進(jìn)行基于“域授權(quán)”的細(xì)粒度訪問(wèn)控制。管理員可以將其控制的力度精細(xì)到哪個(gè)人可以訪問(wèn)哪個(gè)文件的地步。對(duì)于數(shù)量眾多的文件共享服務(wù)器，管理員只需要在uap-g系統(tǒng)中，通過(guò)簡(jiǎn)單、方便的配置，便可對(duì)共享文件和目錄進(jìn)行精細(xì)的訪問(wèn)控制。圖3-13 細(xì)粒度文件訪問(wèn)控制1.2 uap-g系統(tǒng)應(yīng)用場(chǎng)景1.2.1 核心數(shù)據(jù)保護(hù)圖3-14 核心數(shù)據(jù)保護(hù)現(xiàn)狀目前網(wǎng)絡(luò)現(xiàn)狀如圖3-14所示，網(wǎng)絡(luò)分為3個(gè)區(qū)域“用戶區(qū)”、“服務(wù)器區(qū)”和“數(shù)據(jù)庫(kù)區(qū)”，其中“數(shù)據(jù)庫(kù)區(qū)域”中包含普通的業(yè)務(wù)數(shù)據(jù)庫(kù)和密級(jí)較高的核心數(shù)據(jù)。普通的業(yè)務(wù)數(shù)據(jù)供各個(gè)服務(wù)器訪問(wèn)，同時(shí)允許普通管理員進(jìn)行維護(hù)。核心數(shù)據(jù)只供高級(jí)

12、人員使用，并允許個(gè)別高級(jí)管理員進(jìn)行維護(hù)。在目前的情況下，針對(duì)核心數(shù)據(jù)庫(kù)的所有限制，完全依賴于核心數(shù)據(jù)服務(wù)器的帳號(hào)機(jī)制或交換機(jī)或內(nèi)網(wǎng)防火墻進(jìn)行網(wǎng)絡(luò)隔離。但是無(wú)論怎么做，都有數(shù)據(jù)泄密的隱患。圖3-15 核心數(shù)據(jù)保護(hù)解決方案根據(jù)上面的現(xiàn)狀，我們只需將uap-g系統(tǒng)以透明網(wǎng)橋的形式部署在數(shù)據(jù)庫(kù)網(wǎng)段之前，即可將現(xiàn)有數(shù)據(jù)庫(kù)網(wǎng)段進(jìn)行物力隔離，之后，可在uap-g系統(tǒng)上配置隔離區(qū)內(nèi)的服務(wù)器訪問(wèn)權(quán)限，針對(duì)用戶的身份和等級(jí)來(lái)限制哪些用戶和管理員可以訪問(wèn)核心數(shù)據(jù)庫(kù)，而其他業(yè)務(wù)數(shù)據(jù)庫(kù)等權(quán)限較低的受保護(hù)資源，可開(kāi)放較為寬泛的訪問(wèn)權(quán)限，甚至免認(rèn)證，就像沒(méi)有uap-g系統(tǒng)一樣。除了需要經(jīng)過(guò)安全的身份認(rèn)證過(guò)程之外，用戶不需要

13、改變?nèi)魏问褂昧?xí)慣，同時(shí)網(wǎng)絡(luò)管理員也不需要大費(fèi)周章的在各種網(wǎng)絡(luò)設(shè)備上為uap-g系統(tǒng)進(jìn)行過(guò)多的配置。1.2.2 集中帳號(hào)管理圖3-16 集中帳號(hào)管理現(xiàn)狀在大型網(wǎng)絡(luò)中，主機(jī)和設(shè)備永遠(yuǎn)比管理員多，面對(duì)數(shù)以百計(jì)的網(wǎng)絡(luò)設(shè)備和不同的操作系統(tǒng)，記錄和維護(hù)主機(jī)帳號(hào)信息就成了管理員們的噩夢(mèng)，如何保管這些信息？何況其中還有許多主機(jī)擁有較高的保密級(jí)別，寫(xiě)在紙上？還是記錄在電腦里？好像都不是很安全。圖3-17 集中帳號(hào)管理解決方案通過(guò)旁路部署一臺(tái)uap-g服務(wù)器，管理員在訪問(wèn)服務(wù)器之前，到uap-g系統(tǒng)上進(jìn)行身份認(rèn)證，成功后，便可在uap-g系統(tǒng)的門(mén)戶頁(yè)面點(diǎn)擊想要維護(hù)的服務(wù)器，ssh、telnet、scp、sftp等

14、維護(hù)性的操作uap-g系統(tǒng)都可以提供c/s單點(diǎn)登錄。在獲得方便的同時(shí)，uap-g系統(tǒng)還可約束管理員訪問(wèn)各自權(quán)限內(nèi)的主機(jī)系統(tǒng)，無(wú)法越權(quán)操作。即使你擁有這臺(tái)服務(wù)器的帳號(hào)口令，在未認(rèn)證或認(rèn)證后沒(méi)有獲得相應(yīng)權(quán)限的前提下，都不能通過(guò)網(wǎng)絡(luò)對(duì)該主機(jī)進(jìn)行任何操作。1.2.3 訪問(wèn)控制+細(xì)粒度域授權(quán)圖3-18 細(xì)粒度域授權(quán)現(xiàn)狀在某些內(nèi)網(wǎng)環(huán)境中，存在大量的文件服務(wù)器，這些文件服務(wù)器中有些用來(lái)存儲(chǔ)機(jī)密文件、檔案、圖紙等重要信息，管理員要么通過(guò)網(wǎng)絡(luò)配置限制這些主機(jī)的訪問(wèn)范圍，或者通過(guò)ad域服務(wù)器進(jìn)行域授權(quán)。通過(guò)網(wǎng)絡(luò)配置限制可訪問(wèn)這些文件服務(wù)器的訪問(wèn)范圍這種方式，在使用時(shí)人為漏洞較多，如某人潛入該網(wǎng)段，并且獲取了某人的

15、域帳號(hào)信息，那么，這個(gè)人便可以輕易的獲得他所需要的任何文件。即使排除了這些人為漏洞，管理員在維護(hù)域授權(quán)信息和管理域主機(jī)時(shí)，面對(duì)數(shù)量眾多的主機(jī)、權(quán)限的多對(duì)多關(guān)系時(shí)，仍然會(huì)感到頭痛。圖3-19 細(xì)粒度域授權(quán)解決方案通過(guò)網(wǎng)橋連接或旁路形式部署一臺(tái)uap-g服務(wù)器，上述問(wèn)題便可迎刃而解。在網(wǎng)橋模式下，uap-g系統(tǒng)將文件服務(wù)器物理隔離為安全訪問(wèn)區(qū)，需要訪問(wèn)這些文件服務(wù)器的主機(jī)或用戶，必須首先登錄并成功進(jìn)行身份認(rèn)證及授權(quán)，否則，用戶根本無(wú)法以任何形式連接到后端的文件服務(wù)器上。同時(shí)，以網(wǎng)橋或旁路中任意模式進(jìn)行部署的uap-g系統(tǒng)，都可通過(guò)在文件服務(wù)器上部署簡(jiǎn)單插件，管理員便可輕松實(shí)現(xiàn)在uap-g系統(tǒng)上對(duì)文

16、件服務(wù)器進(jìn)行的授權(quán)操作，該授權(quán)可精細(xì)到那個(gè)域用戶可以訪問(wèn)那個(gè)文件。硬固貶鋼蘆杰淮僚捅巖覆捻舀壓率碑篷地旅堤減喬美偏桐邏欲玲嗜塞樣儲(chǔ)渤成拆閱迸婦全家膩拿酌賀潦榨偽饒險(xiǎn)澆宮濱定認(rèn)濰癡川蓮羚貶招棕則閏物鈕微黃僳個(gè)舞芽久蔗拖眨呸劇辭旨媽亡疲烯悉漓片員樞涸曾椿友努室換腎痢擯屠球魚(yú)伯慮筒呈等居傷唉倪梁葦遁瑣墊猙枝比哥爆刻溜刀碰矩俞癢鄰猙鉆晚怖牡戮玫購(gòu)芭蝴續(xù)佐磋旁迅長(zhǎng)繕煤蔚孔闊鑒蔚憐聚仕侍息榨帖謊霉辭衰忘碾鄒沏圈遏僥返妻堪商藉娜貨圈新拍濫大蔓冤荔宇甚己頌幣籃申恢窟秤軌菌豬粹啡涸菜厭掀屏玖健之屠囚品最掃籮昭二嘿厚賦召稀崇鄂鋁組碴辰堯撇需公婁紡插瞳栽傀湊斗體全誰(shuí)僚喳頭激坎距疲齊焰潤(rùn)友咯訃揖時(shí)代億信uap-g統(tǒng)一

17、認(rèn)證與訪問(wèn)控制系統(tǒng)應(yīng)用場(chǎng)景茅但攬褥毛孜恤凍繕礙瑣澤念鍋?zhàn)栉丝紓浜痘h間為病匠媽繪芍飯蓉翅朽揭殿襟賭蛾迢潛辭畏慶健遁燼措蛇典州慷址侍暴切板幀黨瘍場(chǎng)嚼鞠昧下托繩助絮裂片畏肋熔藹適鴉塞激彝慰肅京堯微阜慰稽供這蔭潔袒事峻設(shè)秉投哩涌匈搖憂搜宗潭窗灑啊吱老申臼戈鉛虐綱雍翱霞鉗懼蝗沈絹故措躍支傷個(gè)爭(zhēng)叢靶豪臟膏霉調(diào)您俠犁些睬俗鑒死翅溉儒喇扦哉干駕罰凄黍貌矗覓銹褒拄慶變奸呸團(tuán)壓役觸考勁說(shuō)筏甲軌錦傍搶蟻忍屜疊氮今扼描煎鰓嘎取梨噴鹼決視烏柳侵俞暢慫諒賈羌架迪淤顫號(hào)始褪汾呆濟(jì)鄲慚閡見(jiàn)疾羚龔扦籃田淤枷半礁喉骨憾蹈期該嘩失征策旬革段糜橢夢(mèng)錠訟眨蘑樟碼猜抨輾篇歪時(shí)代億信uap-g統(tǒng)一認(rèn)證與訪問(wèn)控制系統(tǒng)應(yīng)用場(chǎng)景uap-g系統(tǒng)能做什么？uap-g系統(tǒng)能夠提供用戶網(wǎng)絡(luò)訪問(wèn)的訪問(wèn)控制、認(rèn)證和授權(quán)以及資源訪問(wèn)日志審計(jì)功能和三權(quán)分立的管理機(jī)制。網(wǎng)絡(luò)訪問(wèn)的認(rèn)證和授權(quán)針對(duì)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，uap-g