BI網(wǎng)絡(luò)信息系統(tǒng)安全體系IDM

網(wǎng)絡(luò)內(nèi)控之：統(tǒng)一身份管理孫建偉北京理工大學(xué)軟件學(xué)院提綱局域網(wǎng)應(yīng)用模型身份集中管理的需求Windows域集中認(rèn)證管理一般局域網(wǎng)系統(tǒng)的IDM技術(shù)方案主流產(chǎn)品與解決方案未來(lái)發(fā)展:Webservice分布式環(huán)境下的集中訪問(wèn)控制局域網(wǎng)應(yīng)用模型多個(gè)分立的系統(tǒng)和網(wǎng)絡(luò)設(shè)備多種數(shù)據(jù)庫(kù)系統(tǒng)多個(gè)Web應(yīng)用系統(tǒng)多種網(wǎng)絡(luò)設(shè)備:防火墻,交換機(jī),路由器,其它安全設(shè)備多種服務(wù)器平臺(tái):Windows,Unix局域網(wǎng)應(yīng)用模型多個(gè)分立的系統(tǒng)和網(wǎng)絡(luò)設(shè)備不同的系統(tǒng)平臺(tái)不同的客戶(hù)端獨(dú)立維護(hù)帳號(hào)獨(dú)立的訪問(wèn)控制管理典型場(chǎng)景：多服務(wù)器，多用戶(hù)如果資源分布在多臺(tái)服務(wù)器上，要在每臺(tái)服務(wù)器分別為每一員工建立一個(gè)賬戶(hù)（共M*N），用戶(hù)則需要在每臺(tái)服務(wù)器上（共M臺(tái)）登錄局域網(wǎng)應(yīng)用模型從用戶(hù)、管理員、應(yīng)用系統(tǒng)（信息資源）三方面看存在的問(wèn)題用戶(hù)M：帳號(hào)多，不便應(yīng)用系統(tǒng)N：自主維護(hù)訪問(wèn)控制，泛泛的，難以適應(yīng)具體的網(wǎng)絡(luò)環(huán)境要求管理員：M*N較大時(shí)帳號(hào)管理，如何實(shí)施全生命周期的管理？權(quán)限管理：如何實(shí)施全局安全策略？用戶(hù)名輸入用戶(hù)名/口令登錄口令局域網(wǎng)環(huán)境下管理的需求管理員工作人員應(yīng)用1應(yīng)用2應(yīng)用3棘手的問(wèn)題用戶(hù)是否有太多的密碼需要記憶？作為系統(tǒng)管理員，是否需要花費(fèi)很多的時(shí)間去管理用戶(hù)帳號(hào)和訪問(wèn)權(quán)限？各部門(mén)管理員需要花費(fèi)多長(zhǎng)時(shí)間才能為一個(gè)新的用戶(hù)在所有的應(yīng)用系統(tǒng)中建立賬號(hào)？是否工作重復(fù)，效率低下?員工離開(kāi)企業(yè)時(shí)能否立即停用其在各個(gè)應(yīng)用子系統(tǒng)中的賬號(hào)？用戶(hù)的詳細(xì)信息在各個(gè)系統(tǒng)中是否一致？添加新的應(yīng)用時(shí)是否有一致的認(rèn)證和授權(quán)框架可以利用？如何滿(mǎn)足行業(yè)政策規(guī)范的要求？是否可以對(duì)企業(yè)內(nèi)應(yīng)用系統(tǒng)實(shí)現(xiàn)監(jiān)控和跟蹤？今天的企業(yè)環(huán)境其他應(yīng)用人事系統(tǒng)財(cái)務(wù)系統(tǒng)郵件局域網(wǎng)PABXCRM員工客戶(hù)IT管理員供應(yīng)商合作伙伴移動(dòng)用戶(hù)離職員工如何為企業(yè)用戶(hù)減少需要記憶的密碼？?如何讓員工及客戶(hù)安全的訪問(wèn)企業(yè)系統(tǒng)??如何縮短為新用戶(hù)在各個(gè)系統(tǒng)中創(chuàng)建賬號(hào)的時(shí)間??如何防止離開(kāi)的員工仍能繼續(xù)訪問(wèn)企業(yè)內(nèi)系統(tǒng)??如何減少在管理用戶(hù)帳號(hào)方面的花費(fèi)??如何確保員工/客戶(hù)能夠訪問(wèn)到企業(yè)各個(gè)系統(tǒng)中最新的信息??如何對(duì)企業(yè)的應(yīng)用系統(tǒng)進(jìn)行審計(jì)??用戶(hù)只需一個(gè)憑證只需一次登錄應(yīng)用系統(tǒng)信息資源整合信息統(tǒng)一標(biāo)識(shí)規(guī)范和接口規(guī)范管理員信息的一致性集中管理安全保障體系用戶(hù)管理統(tǒng)一的安全策略服務(wù)集中授權(quán)集中審計(jì)解決之道——統(tǒng)一認(rèn)證管理如果…統(tǒng)一認(rèn)證管理1、集中統(tǒng)一管理用戶(hù)、機(jī)構(gòu)、角色、應(yīng)用等信息2、統(tǒng)一認(rèn)證，實(shí)現(xiàn)單點(diǎn)登錄3、基于角色的訪問(wèn)控制4、應(yīng)用間信息同步和共享5、安全策略和安全管理集中身份管管理：Windows域Windows域理理念Windows域管管理構(gòu)成要要素域控制器成員服務(wù)器器活動(dòng)目錄認(rèn)證協(xié)議：：Kerberos目錄服務(wù)：：LDAPWindows域理念服務(wù)器和用用戶(hù)的計(jì)算算機(jī)都在同同一個(gè)域中中，用戶(hù)在在域中只要要擁有一個(gè)個(gè)賬號(hào)用戶(hù)只需要要在域中擁?yè)碛幸粋€(gè)域域賬戶(hù)，只只需要在域域中登錄一一次就可以以訪問(wèn)域中中的資源了了。域中的服務(wù)器域控制器（（DomainController)啟動(dòng)ActiveDirectory域服務(wù)身份認(rèn)證目錄服務(wù)成員服務(wù)器器成員服務(wù)器器都信任DC的身分驗(yàn)證證。保留本機(jī)的的帳戶(hù)數(shù)據(jù)據(jù)庫(kù),因此使用者者仍可利用用這些本機(jī)機(jī)帳戶(hù),登入該服務(wù)務(wù)器。對(duì)域的安全全管理而言言,這些本機(jī)賬賬戶(hù)可能會(huì)會(huì)是漏洞可加入AD域的工作站所有安裝以以下操作系系統(tǒng),而且加入域域的計(jì)算機(jī)機(jī)都算是工工作站W(wǎng)indowsNTWorkstationWindows2000ProfessionalWindowsXPProfessionalWindows7/vista商用入門(mén)版版、商用進(jìn)進(jìn)階版和旗旗艦版Windows95/98/Me、WindowsXP家庭版、Windows7家庭版也都都沒(méi)有加入入域的功能能。服務(wù)器角色轉(zhuǎn)換AD域認(rèn)證協(xié)議議：KerberosAD目錄服務(wù)微軟自Windows2000Server開(kāi)始提供完完整的目錄錄服務(wù),命名為AD（ActiveDirectory）目錄服務(wù)務(wù)。AD目錄與AD目錄服務(wù)遵遵循符合X.500及LDAP規(guī)范AD對(duì)象包括加加入域的服服務(wù)器和客客戶(hù)端帳號(hào)號(hào)，及其詳詳細(xì)的權(quán)限限屬性AD目錄的架構(gòu)構(gòu)AD目錄仍然是是以對(duì)象組組合成樹(shù)狀狀架構(gòu),不過(guò)卻多了了『域』（Domain）對(duì)象。將將一般對(duì)象象先整合到到域中,再形成所謂謂的『域樹(shù)』（DomainTree）實(shí)現(xiàn)統(tǒng)一認(rèn)認(rèn)證和單點(diǎn)點(diǎn)登錄活動(dòng)目錄登錄到Windows單一登錄到到:Windows文件服務(wù)器器WindowsWeb應(yīng)用程序ExchangeemailSQLServerBizTalkServer其他微軟應(yīng)應(yīng)用程序第三方集成成應(yīng)用程序序ExchangeWeb服務(wù)文件共享Windows集成應(yīng)用程序Windows域的局限性性實(shí)際的局域域網(wǎng)環(huán)境不不是單一的的Windows域域應(yīng)用環(huán)境境，存在大大量的非Windows系統(tǒng)統(tǒng)服務(wù)器平臺(tái)臺(tái)：春秋戰(zhàn)戰(zhàn)國(guó)局域網(wǎng)組成成成分的多多樣性：防火墻、路路由器、、各類(lèi)應(yīng)用用系統(tǒng)………DC域無(wú)法法解決局域域網(wǎng)的統(tǒng)一一身份管理理問(wèn)題反而成了麻麻煩IDM如何何集成已經(jīng)經(jīng)存在的Windows域？？一般局域網(wǎng)網(wǎng)系統(tǒng)的IDM技術(shù)方案需解決的問(wèn)問(wèn)題：集中認(rèn)證支持多種客客戶(hù)端主帳號(hào)與從從帳號(hào)的問(wèn)問(wèn)題單點(diǎn)登錄集中授權(quán)與與訪問(wèn)控制制帳號(hào)、認(rèn)證證、授權(quán)和和審計(jì)審計(jì)管理各應(yīng)用系統(tǒng)統(tǒng)都有一套套獨(dú)立的審審計(jì)管理；；每個(gè)業(yè)務(wù)系系統(tǒng)及數(shù)據(jù)據(jù)庫(kù)都要分分別進(jìn)行審審計(jì)缺乏集中中統(tǒng)一的的系統(tǒng)訪訪問(wèn)審計(jì)計(jì)無(wú)法對(duì)應(yīng)應(yīng)用系統(tǒng)統(tǒng)進(jìn)行綜綜合分析析授權(quán)管理理各應(yīng)用系系統(tǒng)都獨(dú)獨(dú)立授權(quán)權(quán)管理隨著用戶(hù)數(shù)量量的增加，權(quán)權(quán)限管理任任務(wù)越來(lái)越重重；缺乏集中統(tǒng)一一資源授權(quán)管管理帳號(hào)管理各應(yīng)用系統(tǒng)都都有一套獨(dú)立立的用戶(hù)管理理；帳號(hào)及口令四四處流傳并記記錄下來(lái)有些帳號(hào)多人人共用，未授授權(quán)的訪問(wèn)較簡(jiǎn)單口令或或?qū)⒍嘞到y(tǒng)口口令設(shè)置相同同崗位變更、離離職，帳號(hào)仍仍在；多方人員使用用系統(tǒng)，管理理復(fù)雜；認(rèn)證管理各應(yīng)用系統(tǒng)都都獨(dú)立認(rèn)證缺乏控制而不不遵循安全策策略重復(fù)輸密碼，，工作效率低低；使用靜態(tài)口令令,安全性低IDM需求IDM建設(shè)需求改變IT系統(tǒng)分立管理理的局面，需需建設(shè)集中的的IDM系統(tǒng)實(shí)現(xiàn)集中中的帳號(hào)管理理、統(tǒng)一的登登錄認(rèn)證、適適度集中的訪訪問(wèn)控制策略略和全面綜合合的運(yùn)營(yíng)維護(hù)護(hù)操作審計(jì)；；最終實(shí)現(xiàn)對(duì)IT系統(tǒng)的可知、、可控、可管管的集中運(yùn)維維操作IDM產(chǎn)品概述概念：IDM系統(tǒng)包括自然然人帳號(hào)管理理、諸多被管管資源接口組組件、統(tǒng)一認(rèn)認(rèn)證組件、訪訪問(wèn)控制組件件等構(gòu)成的系系統(tǒng)，它介于于運(yùn)營(yíng)維護(hù)人人員和被管的的IT系統(tǒng)之間，對(duì)對(duì)運(yùn)維人員提提供統(tǒng)一的登登錄入口（Portal），由IDM系統(tǒng)代理對(duì)諸諸多網(wǎng)元的登登錄、認(rèn)證、、訪問(wèn)控制和和審計(jì)。對(duì)被被管IT資源而言，納納入IDM管理后，原則則上即不能被被自然人用戶(hù)戶(hù)直接訪問(wèn)。。這個(gè)概念的的要點(diǎn)是：IDM系統(tǒng)是一系列列組件，協(xié)同同完成集中帳帳號(hào)管理（account），集中認(rèn)證證（Authentication，IDMPortal的登錄認(rèn)證）），集中的訪訪問(wèn)控制授權(quán)權(quán)（Authorization），集中的審審計(jì)（Audit）等功能。IDM系統(tǒng)對(duì)運(yùn)維人人員提供統(tǒng)一一的登錄Portal，通過(guò)IDMPortal的認(rèn)證，登錄錄IDMPortal后，用戶(hù)即獲獲得訪問(wèn)被管管資源的視圖圖和權(quán)限，至至少?gòu)母惺苌仙嫌脩?hù)可以直直接訪問(wèn)獲得得授權(quán)的資源源；用戶(hù)通過(guò)過(guò)IDM進(jìn)而登錄操作作被管資源，，整個(gè)過(guò)程由由IDM系統(tǒng)和被管資資源形成審計(jì)計(jì)記錄；被管資源（如如某路由器））納入IDM管理后，其自自身的帳號(hào)管管理、認(rèn)證、、訪問(wèn)控制、、審計(jì)等功能能依然不變，，但可以被IDM系統(tǒng)重置，進(jìn)進(jìn)而其帳號(hào)成成為IDM系統(tǒng)的從賬號(hào)號(hào)；IDM系統(tǒng)對(duì)被管資資源應(yīng)具有系系統(tǒng)管理員的的權(quán)限；IDM系統(tǒng)架構(gòu)示意意圖IDM產(chǎn)品概述作作為被管資源源的分立系統(tǒng)統(tǒng)IDM要解決諸多分分立IT系統(tǒng)的集中管管理的問(wèn)題在在于，分立的的IT系統(tǒng)包括主機(jī)機(jī)、網(wǎng)絡(luò)設(shè)備備、數(shù)據(jù)庫(kù)、、應(yīng)用系統(tǒng)都都有自身的安安全模式，包包括賬號(hào)管理理、登錄方式式、認(rèn)證方式式、訪問(wèn)控制制等功能的實(shí)實(shí)現(xiàn)。如windows系統(tǒng)支持RDP登錄方式，支支持用戶(hù)名/密碼方式的身身份認(rèn)證方式式和基于域控控制器(DC)和Kerbrose協(xié)議的認(rèn)證模模式，系統(tǒng)自自身支持DAC、MAC的訪問(wèn)控制模模式；Unix系統(tǒng)支持telnet/SSH等登錄方式，，支持用戶(hù)名名/密碼方式的本本地身份認(rèn)證證方式和基于于Radius協(xié)議的認(rèn)證模模式；網(wǎng)絡(luò)設(shè)備一般般支持telnet/SSH的登錄方式，，支持用戶(hù)名名/密碼方式的本本地身份認(rèn)證證方式和基于于Radius/Tacas+協(xié)議的認(rèn)證模模式；數(shù)據(jù)庫(kù)系統(tǒng)則則支持標(biāo)準(zhǔn)SQL訪問(wèn)語(yǔ)言，不不同的數(shù)據(jù)庫(kù)庫(kù)的ODBC實(shí)現(xiàn)不同，都都支持本地用用戶(hù)名/密碼認(rèn)證，不不同數(shù)據(jù)庫(kù)的的訪問(wèn)控制強(qiáng)強(qiáng)度不同（由由此劃分不同同安全等級(jí)的的數(shù)據(jù)庫(kù)）；；C/S、B/S應(yīng)用系統(tǒng)安全全模式完全獨(dú)獨(dú)立設(shè)計(jì)，B/S應(yīng)用隨著WebService規(guī)范的發(fā)展，，其安全模式式(包括認(rèn)證)逐漸標(biāo)準(zhǔn)化，，如SOAP協(xié)議和SAML規(guī)范的采用。。IDM產(chǎn)品概述作作為被管資源源的分立系統(tǒng)統(tǒng)IDM系統(tǒng)的實(shí)現(xiàn)首首先建立在上上述原有的IT組元的登錄、、認(rèn)證、訪問(wèn)問(wèn)控制模式的的基礎(chǔ)上，實(shí)實(shí)現(xiàn)IDM功能自然人帳號(hào)的的集中管理支持各種登錄錄方式和登錄錄過(guò)程中的認(rèn)認(rèn)證被管資源的納納入（從賬號(hào)號(hào)收集與重置置，登錄權(quán)限限授予自然人人賬號(hào)，登錄錄過(guò)程統(tǒng)一管管理）對(duì)自然人帳號(hào)號(hào)的授權(quán)（被被管資源的訪訪問(wèn)權(quán)）訪問(wèn)被管資源源前的統(tǒng)一認(rèn)認(rèn)證包括單點(diǎn)點(diǎn)登錄，以及及所有環(huán)節(jié)的的審計(jì)。IDM主要功能的實(shí)實(shí)現(xiàn)模式自自然人帳號(hào)管管理IDM系統(tǒng)提供自然然人帳號(hào)的集集中管理功能能，包括帳號(hào)號(hào)的生命周期期管理，對(duì)自自然人帳號(hào)的的授權(quán)，自然然人帳號(hào)登錄錄IDM系統(tǒng)的認(rèn)證。。引入組管理的的技術(shù)，降低低管理成本采用基于審批批流程的管理理在PKI體系下，引入入數(shù)字證書(shū)的的發(fā)放管理IDM主要功能的實(shí)實(shí)現(xiàn)模式兩兩次認(rèn)證過(guò)程程IDM系統(tǒng)納入被管管IT組元，包括主主機(jī)、網(wǎng)絡(luò)設(shè)設(shè)備、數(shù)據(jù)庫(kù)庫(kù)、C/S及B/S應(yīng)用系統(tǒng)。其其基本模式是是采用(依賴(lài))IT組元自身的安安全模式，將將遠(yuǎn)程認(rèn)證服服務(wù)器集中，，不支持遠(yuǎn)程程認(rèn)證的采用用本地認(rèn)證方方式。IDM系統(tǒng)部署到IT系統(tǒng)后，用戶(hù)戶(hù)訪問(wèn)被管資資源實(shí)際上要要作兩次認(rèn)證證，一次是登登錄IDM服務(wù)器（或SSO服務(wù)器），第第二次是登錄錄被管資源時(shí)時(shí)，被管資源源本身要求的的認(rèn)證。第二二次認(rèn)證由IDM系統(tǒng)（SSO服務(wù)器）代理理完成。如果被管資源源支持外部認(rèn)認(rèn)證（路由器器），則可以以引入集中的的認(rèn)證服務(wù)器器，如Radius，Tacks+認(rèn)證服務(wù)器對(duì)于支持WebService的標(biāo)準(zhǔn)協(xié)議的的，采用IDMPortal/SSO生成令牌CookieHTTPPOST（Token）對(duì)于被管資源源本地認(rèn)證，，則IDM完成密碼代添添功能IDM主要功能的實(shí)實(shí)現(xiàn)模式授授權(quán)管理IDM系統(tǒng)在自然人人和被管資源源之間建立訪訪問(wèn)授權(quán)關(guān)系系，一般采用用基于角色的的訪問(wèn)控制技技術(shù)（RBAC）對(duì)自然人帳帳號(hào)授權(quán)在RBAC框架下，IDM的授權(quán)涉及三三個(gè)層次：一是角色授予予自然人帳號(hào)號(hào)，即自然人人帳號(hào)授權(quán)；；二是被管資源源的從賬號(hào)授授予角色即角角色授權(quán)；三是被管資源源內(nèi)部的從賬賬號(hào)的授權(quán)，，這有賴(lài)于被被管資源內(nèi)部部的安全模式式。IDM主要功能的實(shí)實(shí)現(xiàn)模式訪訪問(wèn)控制自然人通過(guò)IDM系統(tǒng)對(duì)整個(gè)IT系統(tǒng)的登錄過(guò)過(guò)程理想的IDM模型，應(yīng)該提提供給用戶(hù)統(tǒng)統(tǒng)一的登錄入入口（IDM登錄界面，IDMportal）用戶(hù)登錄IDMPortal后即可按照IDM設(shè)定的訪問(wèn)權(quán)權(quán)限登錄各IT組元，由IDM代理完成IT組元要求的登登錄認(rèn)證過(guò)程程，包括密碼碼代填或令牌牌（Key）的發(fā)放及統(tǒng)統(tǒng)一認(rèn)證用戶(hù)所用的客客戶(hù)端可以智智能的適應(yīng)不不同的訪問(wèn)對(duì)對(duì)象的登錄方方式（如通過(guò)過(guò)IE瀏覽器的插件件實(shí)現(xiàn)智能客客戶(hù)端功能））訪問(wèn)控制的兩兩個(gè)環(huán)節(jié)被管資源按照照從賬號(hào)的授授權(quán)策略實(shí)施施訪問(wèn)控制IDM系統(tǒng)也可實(shí)現(xiàn)現(xiàn)訪問(wèn)控制，，IDMPortal可以實(shí)現(xiàn)簡(jiǎn)單單的訪問(wèn)控制制通過(guò)堡壘主機(jī)機(jī)組件可實(shí)施施細(xì)粒度訪問(wèn)問(wèn)控制IDM主要功能的實(shí)實(shí)現(xiàn)模式審審計(jì)功能IDM系統(tǒng)自審計(jì)的的內(nèi)涵整個(gè)IDM系統(tǒng)整個(gè)管理理過(guò)程的審計(jì)計(jì)，包括帳號(hào)號(hào)管理，從賬賬號(hào)管理，授授權(quán)過(guò)程，訪訪問(wèn)控制策略略等等；用戶(hù)對(duì)被管資資源訪問(wèn)過(guò)程程的審計(jì)，堡堡壘主機(jī)可以以記錄整個(gè)訪訪問(wèn)過(guò)程IDM系統(tǒng)的自審計(jì)計(jì)信息應(yīng)納入入整個(gè)安全審審計(jì)系統(tǒng)中，，通過(guò)綜合的的日志審計(jì)平平臺(tái)實(shí)現(xiàn)對(duì)IDM審計(jì)記錄、被被管資源日志志、網(wǎng)絡(luò)審計(jì)計(jì)記錄的綜合合管理和審計(jì)計(jì)分析。1.被管資源的納納入及納入后后的管理包括資源從賬賬號(hào)的收集、、密碼重置、、認(rèn)證方式重重置，資源側(cè)側(cè)訪問(wèn)控制策策略建立（從從賬號(hào)授權(quán)與與），孤立賬賬號(hào)的處理等等。2.主賬號(hào)的管理理主賬號(hào)整個(gè)生生命周期的管管理，賬號(hào)名名、密碼策略略、認(rèn)證方式式、訪問(wèn)權(quán)限限等的管理。。3.授權(quán)關(guān)系的建建立，訪問(wèn)控控制策略建立立涉及主賬號(hào)、、角色、資源源從賬號(hào)三個(gè)個(gè)層次的授權(quán)權(quán)，及堡壘主主機(jī)和被管資資源自身可執(zhí)執(zhí)行的訪問(wèn)控控制策略的建建立。IDM系統(tǒng)涉及的工工作流程4.系統(tǒng)審計(jì)策略略的建立涉及各被管資資源自身審計(jì)計(jì)功能開(kāi)啟和和審計(jì)策略的的建立、IDM各組件件審計(jì)計(jì)功能能開(kāi)啟啟和審審計(jì)策策略的的建立立。5.用戶(hù)通通過(guò)IDM訪問(wèn)被被管資資源用戶(hù)通通過(guò)自自然人人賬號(hào)號(hào)登錄錄IDMPortal，進(jìn)而而訪問(wèn)問(wèn)被管管資源源的過(guò)過(guò)程，，涉及及兩次次認(rèn)證證過(guò)程程，訪訪問(wèn)過(guò)過(guò)程受受控于于IDM系統(tǒng)的的堡壘