BIT8-4網(wǎng)絡(luò)信息系統(tǒng)安全體系-IDMppt課件

1、網(wǎng)絡(luò)內(nèi)控之：一致身份管理孫建偉北京理工大學(xué)軟件學(xué)院.提綱局域網(wǎng)運用模型身份集中管理的需求Windows域集中認(rèn)證管理普通局域網(wǎng)系統(tǒng)的IDM技術(shù)方案主流產(chǎn)品與處理方案未來開展: Web service分布式環(huán)境下的集中訪問控制.局域網(wǎng)運用模型多個分立的系統(tǒng)和網(wǎng)絡(luò)設(shè)備多種數(shù)據(jù)庫系統(tǒng)多個Web運用系統(tǒng)多種網(wǎng)絡(luò)設(shè)備: 防火墻,交換機(jī),路由器,其它平安設(shè)備多種效力器平臺: Windows, Unix.局域網(wǎng)運用模型多個分立的系統(tǒng)和網(wǎng)絡(luò)設(shè)備不同的系統(tǒng)平臺不同的客戶端獨立維護(hù)帳號獨立的訪問控制管理.典型場景：多效力器，多用戶假設(shè)資源分布在多臺效力器上，要在每臺效力器分別為每一員工建立一個賬戶共M*N，用戶那

2、么需求在每臺效力器上共M臺登錄 .局域網(wǎng)運用模型從用戶、管理員、運用系統(tǒng)信息資源三方面看存在的問題用戶M：帳號多，不便運用系統(tǒng)N：自主維護(hù)訪問控制，泛泛的，難以順應(yīng)詳細(xì)的網(wǎng)絡(luò)環(huán)境要求管理員：M*N較大時帳號管理，如何實施全生命周期的管理？權(quán)限管理：如何實施全局平安戰(zhàn)略？.用戶名輸入用戶名/口令登錄口令局域網(wǎng)環(huán)境下管理的需求管理員任務(wù)人員運用1運用2運用3.棘手的問題用戶能否有太多的密碼需求記憶？作為系統(tǒng)管理員，能否需求破費很多的時間去管理用戶帳號和訪問權(quán)限？各部門管理員需求破費多長時間才干為一個新的用戶在一切的運用系統(tǒng)中建立賬號？能否任務(wù)反復(fù)，效率低下?員工分開企業(yè)時能否立刻停用其在各個運用子

3、系統(tǒng)中的賬號？用戶的詳細(xì)信息在各個系統(tǒng)中能否一致？添加新的運用時能否有一致的認(rèn)證和授權(quán)框架可以利用？如何滿足行業(yè)政策規(guī)范的要求？能否可以對企業(yè)內(nèi)運用系統(tǒng)實現(xiàn)監(jiān)控和跟蹤？.今天的企業(yè)環(huán)境其他運用人事系統(tǒng)財務(wù)系統(tǒng)郵件局域網(wǎng)PABXCRM員工客戶IT 管理員供應(yīng)商協(xié)作同伴挪動用戶離任員工如何為企業(yè)用戶減少需求記憶的密碼？?如何讓員工及客戶平安的訪問企業(yè)系統(tǒng)?如何縮短為新用戶在各個系統(tǒng)中創(chuàng)建賬號的時間?如何防止分開的員工仍能繼續(xù)訪問企業(yè)內(nèi)系統(tǒng)?如何減少在管理用戶帳號方面的破費?如何確保員工/客戶可以訪問到企業(yè)各個系統(tǒng)中最新的信息?如何對企業(yè)的運用系統(tǒng)進(jìn)展審計?.用戶只需一個憑證只需一次登錄運用系統(tǒng)信息

4、資源整合信息一致標(biāo)識規(guī)范和接口規(guī)范管理員信息的一致性集中管理平安保證體系用戶管理一致的平安戰(zhàn)略效力集中授權(quán)集中審計處理之道 一致認(rèn)證管理假設(shè)一致認(rèn)證管理1、集中一致管理用戶、機(jī)構(gòu)、角色、運用等信息2、一致認(rèn)證，實現(xiàn)單點登錄3、基于角色的訪問控制4、運用間信息同步和共享5、平安戰(zhàn)略和平安管理.集中身份管理：Windows域Windows域理念Windows域管理構(gòu)成要素域控制器成員效力器活動目錄認(rèn)證協(xié)議：Kerberos目錄效力：LDAP .Windows域理念效力器和用戶的計算機(jī)都在同一個域中，用戶在域中只需擁有一個賬號用戶只需求在域中擁有一個域賬戶，只需求在域中登錄一次就可以訪問域中的資源了

5、。.域中的效力器域控制器Domain Controller)啟動Active Directory域效力身份認(rèn)證目錄效力成員效力器成員效力器都信任DC的身分驗證。保管本機(jī)的帳戶數(shù)據(jù)庫,因此運用者仍可利用這些本機(jī)帳戶,登入該效力器。對域的平安管理而言,這些本機(jī)賬戶能夠會是破綻.可參與AD域的任務(wù)站一切安裝以下操作系統(tǒng),而且參與域的計算機(jī)都算是任務(wù)站W(wǎng)indows NT WorkstationWindows 2000 ProfessionalWindows XP ProfessionalWindows 7/vista商用入門版、商用進(jìn)階版和旗艦版Windows 95 / 98 / Me、Window

6、s XP家庭版、Windows 7家庭版也都沒有參與域的功能。.效力器角色轉(zhuǎn)換.AD域認(rèn)證協(xié)議：Kerberos. AD目錄效力微軟自Windows 2000 Server開場提供完好的目錄效力,命名為ADActiveDirectory目錄效力。AD目錄與AD目錄效力遵照符合X.500及LDAP規(guī)范AD對象包括參與域的效力器和客戶端帳號，及其詳細(xì)的權(quán)限屬性.AD目錄的架構(gòu)AD目錄依然是以對象組合成樹狀架構(gòu),不過卻多了域Domain對象。將普通對象先整合到域中,再構(gòu)成所謂的域樹Domain Tree.實現(xiàn)一致認(rèn)證和單點登錄活動目錄登錄到 Windows單一登錄到:Windows 文件效力器Win

7、dows Web 運用程序Exchange SQL ServerBizTalk Server其他微軟運用程序第三方集成運用程序ExchangeWeb 效力文件共享Windows 集成運用程序.Windows域的局限性實踐的局域網(wǎng)環(huán)境不是單一的Windows域運用環(huán)境，存在大量的非Windows系統(tǒng)效力器平臺：春秋戰(zhàn)國局域網(wǎng)組成成分的多樣性：防火墻、路由器 、各類運用系統(tǒng)DC域無法處理局域網(wǎng)的一致身份管理問題反而成了費事IDM如何集成曾經(jīng)存在的Windows域？.普通局域網(wǎng)系統(tǒng)的IDM技術(shù)方案需處理的問題：集中認(rèn)證支持多種客戶端主帳號與從帳號的問題單點登錄集中授權(quán)與訪問控制.帳號、認(rèn)證、授權(quán)和審

8、計審計管理各運用系統(tǒng)都有一套獨立的審計管理；每個業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫都要分別進(jìn)展審計缺乏集中一致的系統(tǒng)訪問審計無法對運用系統(tǒng)進(jìn)展綜合分析授權(quán)管理各運用系統(tǒng)都獨立授權(quán)管理隨著用戶數(shù)量的添加， 權(quán)限管理義務(wù)越來越重； 缺乏集中一致資源授權(quán)管理帳號管理各運用系統(tǒng)都有一套獨立的用戶管理；帳號及口令四處流傳并記錄下來 有些帳號多人共用，未授權(quán)的訪問較簡單口令或?qū)⒍嘞到y(tǒng)口令設(shè)置一樣崗位變卦、離任，帳號仍在；多方人員運用系統(tǒng)，管理復(fù)雜；認(rèn)證管理各運用系統(tǒng)都獨立認(rèn)證缺乏控制而不遵照平安戰(zhàn)略反復(fù)輸密碼，任務(wù)效率低；運用靜態(tài)口令,平安性低IDM需求.IDM建立需求改動IT系統(tǒng)分立管理的局面，需建立集中的IDM系統(tǒng)實現(xiàn)

9、集中的帳號管理、一致的登錄認(rèn)證、適度集中的訪問控制戰(zhàn)略和全面綜合的運營維護(hù)操作審計；最終實現(xiàn)對IT系統(tǒng)的可知、可控、可管的集中運維操作.IDM產(chǎn)品概述概念：IDM系統(tǒng)包括自然人帳號管理、諸多被管資源接口組件、一致認(rèn)證組件、訪問控制組件等構(gòu)成的系統(tǒng)，它介于運營維護(hù)人員和被管的IT系統(tǒng)之間，對運維人員提供一致的登錄入口Portal，由IDM系統(tǒng)代理對諸多網(wǎng)元的登錄、認(rèn)證、訪問控制和審計。對被管IT資源而言，納入IDM管理后，原那么上即不能被自然人用戶直接訪問。這個概念的要點是：IDM系統(tǒng)是一系列組件，協(xié)同完成集中帳號管理account，集中認(rèn)證Authentication， IDMPortal的登

10、錄認(rèn)證，集中的訪問控制授權(quán)Authorization，集中的審計Audit等功能。IDM系統(tǒng)對運維人員提供一致的登錄Portal，經(jīng)過IDMPortal的認(rèn)證，登錄IDM Portal后，用戶即獲得訪問被管資源的視圖和權(quán)限，至少從感受上用戶可以直接訪問獲得授權(quán)的資源；用戶經(jīng)過IDM進(jìn)而登錄操作被管資源，整個過程由IDM系統(tǒng)和被管資源構(gòu)成審計記錄；被管資源如某路由器納入IDM管理后，其本身的帳號管理、認(rèn)證、訪問控制、審計等功能依然不變，但可以被IDM系統(tǒng)重置，進(jìn)而其帳號成為IDM系統(tǒng)的從賬號；IDM系統(tǒng)對被管資源應(yīng)具有系統(tǒng)管理員的權(quán)限；.IDM系統(tǒng)架構(gòu)表示圖.IDM產(chǎn)品概述作為被管資源的分立系統(tǒng)

11、IDM要處理諸多分立IT系統(tǒng)的集中管理的問題在于，分立的IT系統(tǒng)包括主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、運用系統(tǒng)都有本身的平安方式，包括賬號管理、登錄方式、認(rèn)證方式、訪問控制等功能的實現(xiàn)。如windows系統(tǒng)支持RDP登錄方式，支持用戶名/密碼方式的身份認(rèn)證方式和基于域控制器(DC)和Kerbrose 協(xié)議的認(rèn)證方式，系統(tǒng)本身支持DAC、MAC的訪問控制方式；Unix系統(tǒng)支持telnet/SSH等登錄方式，支持用戶名/密碼方式的本地身份認(rèn)證方式和基于Radius 協(xié)議的認(rèn)證方式；網(wǎng)絡(luò)設(shè)備普通支持telnet/SSH的登錄方式，支持用戶名/密碼方式的本地身份認(rèn)證方式和基于Radius/Tacas+ 協(xié)議的認(rèn)

12、證方式；數(shù)據(jù)庫系統(tǒng)那么支持規(guī)范SQL訪問言語，不同的數(shù)據(jù)庫的ODBC實現(xiàn)不同，都支持本地用戶名/密碼認(rèn)證，不同數(shù)據(jù)庫的訪問控制強度不同由此劃分不同平安等級的數(shù)據(jù)庫；C/S、B/S運用系統(tǒng)平安方式完全獨立設(shè)計，B/S運用隨著Web Service規(guī)范的開展，其平安方式(包括認(rèn)證)逐漸規(guī)范化，如SOAP協(xié)議和SAML規(guī)范的采用。.IDM產(chǎn)品概述作為被管資源的分立系統(tǒng)IDM系統(tǒng)的實現(xiàn)首先建立在上述原有的IT組元的登錄、認(rèn)證、訪問控制方式的根底上，實現(xiàn)IDM功能自然人帳號的集中管理支持各種登錄方式和登錄過程中的認(rèn)證被管資源的納入從賬號搜集與重置，登錄權(quán)限授予自然人賬號，登錄過程一致管理對自然人帳號的授

13、權(quán)被管資源的訪問權(quán)訪問被管資源前的一致認(rèn)證包括單點登錄，以及一切環(huán)節(jié)的審計。.IDM主要功能的實現(xiàn)方式自然人帳號管理IDM系統(tǒng)提供自然人帳號的集中管理功能，包括帳號的生命周期管理，對自然人帳號的授權(quán)，自然人帳號登錄IDM系統(tǒng)的認(rèn)證。引入組管理的技術(shù)，降低管理本錢采用基于審批流程的管理在PKI體系下，引入數(shù)字證書的發(fā)放管理.IDM主要功能的實現(xiàn)方式兩次認(rèn)證過程IDM系統(tǒng)納入被管IT組元，包括主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、C/S及B/S運用系統(tǒng)。其根本方式是采用(依賴)IT組元本身的平安方式，將遠(yuǎn)程認(rèn)證效力器集中，不支持遠(yuǎn)程認(rèn)證的采用本地認(rèn)證方式。IDM系統(tǒng)部署到IT系統(tǒng)后，用戶訪問被管資源實踐上要作兩

14、次認(rèn)證，一次是登錄IDM效力器或SSO效力器，第二次是登錄被管資源時，被管資源本身要求的認(rèn)證。第二次認(rèn)證由IDM系統(tǒng)SSO效力器代理完成。假設(shè)被管資源支持外部認(rèn)證路由器，那么可以引入集中的認(rèn)證效力器，如Radius，Tacks+認(rèn)證效力器對于支持Web Service的規(guī)范協(xié)議的，采用IDM Portal/SSO生成令牌Cookie POSTToken對于被管資源本地認(rèn)證，那么IDM完成密碼代添功能.IDM主要功能的實現(xiàn)方式授權(quán)管理IDM系統(tǒng)在自然人和被管資源之間建立訪問授權(quán)關(guān)系，普通采用基于角色的訪問控制技術(shù)RBAC對自然人帳號授權(quán)在RBAC框架下，IDM的授權(quán)涉及三個層次：一是角色授予自然

15、人帳號，即自然人帳號授權(quán)；二是被管資源的從賬號授予角色即角色授權(quán)；三是被管資源內(nèi)部的從賬號的授權(quán)，這有賴于被管資源內(nèi)部的平安方式。.IDM主要功能的實現(xiàn)方式訪問控制自然人經(jīng)過IDM系統(tǒng)對整個IT系統(tǒng)的登錄過程理想的IDM模型，應(yīng)該提供應(yīng)用戶一致的登錄入口IDM登錄界面， IDM portal用戶登錄IDM Portal后即可按照IDM設(shè)定的訪問權(quán)限登錄各IT組元，由IDM代理完成IT組元要求的登錄認(rèn)證過程，包括密碼代填或令牌Key的發(fā)放及一致認(rèn)證用戶所用的客戶端可以智能的順應(yīng)不同的訪問對象的登錄方式如經(jīng)過IE閱讀器的插件實現(xiàn)智能客戶端功能訪問控制的兩個環(huán)節(jié)被管資源按照從賬號的授權(quán)戰(zhàn)略實施訪問控

16、制IDM系統(tǒng)也可實現(xiàn)訪問控制，IDM Portal可以實現(xiàn)簡單的訪問控制經(jīng)過堡壘主機(jī)組件可實施細(xì)粒度訪問控制.IDM主要功能的實現(xiàn)方式審計功能IDM系統(tǒng)自審計的內(nèi)涵整個IDM系統(tǒng)整個管理過程的審計，包括帳號管理，從賬號管理，授權(quán)過程，訪問控制戰(zhàn)略等等；用戶對被管資源訪問過程的審計，堡壘主機(jī)可以記錄整個訪問過程IDM系統(tǒng)的自審計信息應(yīng)納入整個平安審計系統(tǒng)中，經(jīng)過綜合的日志審計平臺實現(xiàn)對IDM審計記錄、被管資源日志、網(wǎng)絡(luò)審計記錄的綜合管理和審計分析。.1.被管資源的納入及納入后的管理包括資源從賬號的搜集、密碼重置、認(rèn)證方式重置，資源側(cè)訪問控制戰(zhàn)略建立從賬號授權(quán)與，孤立賬號的處置等。2.主賬號的管理

17、主賬號整個生命周期的管理，賬號名、密碼戰(zhàn)略、認(rèn)證方式、訪問權(quán)限等的管理。3. 授權(quán)關(guān)系的建立，訪問控制戰(zhàn)略建立涉及主賬號、角色、資源從賬號三個層次的授權(quán)，及堡壘主機(jī)和被管資源本身可執(zhí)行的訪問控制戰(zhàn)略的建立。IDM系統(tǒng)涉及的任務(wù)流程.4. 系統(tǒng)審計戰(zhàn)略的建立涉及各被管資源本身審計功能開啟和審計戰(zhàn)略的建立、IDM各組件審計功能開啟和審計戰(zhàn)略的建立。5. 用戶經(jīng)過IDM訪問被管資源用戶經(jīng)過自然人賬號登錄IDM Portal，進(jìn)而訪問被管資源的過程，涉及兩次認(rèn)證過程，訪問過程受控于IDM系統(tǒng)的堡壘主機(jī)和被管資源本身的訪問控制功能。6. 審計信息的處置和呼應(yīng)審計管理員經(jīng)過集中的審計管理平臺對IT系統(tǒng)及其運維操作進(jìn)展審計分析和相關(guān)處置，構(gòu)成審計分析報告。1-4過程是IDM系統(tǒng)根本設(shè)置系統(tǒng)初始化過程涉及的假設(shè)干環(huán)節(jié)，由系統(tǒng)管理員完成；第5