Kerbsphere主机访问管理平台软件技术白皮书.doc

china etek service kerbsphere主机访问管理平台软件技术白皮书v1.0文档信息文档名称kerbsphere主机访问管理平台软件简明用户使用手册作者蔡明审批者万庆说明 本文件是主机访问管理平台软件的技术白皮书文件名称 kerbsphere技术白皮书1.doc修订历史 (revision history)revsection类型日期作者内容12007-10-17蔡明目 录第一章 存在的问题2第二章 kerbsphere解决方案分析32.1 kerbsphere方案设计32.2 管理流程52.3 kerbsphere拓扑逻辑5第三章 kerbsphere主机系统功能架构和管理功能模块73.1 系统技术架构73.2 系统功能模块8第四章 kerbsphere优点分析94.1 清晰明了的主机设备清单和详细情况94.2明确、易于管理的特权使用人和主机访问帐号的对应关系104.3 全面、完善的访问记录104.4 可以很快跟踪到特权使用的申请和审批记录114.5 可靠、符合审计要求的密码管理功能11第五章 kerbsphere监控模块功能12第六章 总结13第一章 主机访问管理存在的问题开放系统的主机特别是unix、linux已经逐渐成为金融、电信、交通、证券等各大行业的中坚业务支撑平台。但是由于系统本身设计的时候，操作系统本身对安全的考虑和现在需求、应用环境严重脱节，操作系统本身带的安全控制和审计功能已经严重不满足我们的保密和安全法律、法规的要求。为了加强主机的安全，一套有针对性地访问管理解决方案将会极大增强关键服务器的安全；简化和降低服务器管理成本；有效的提高系统的审计能力。总结问题如图： 现阶段主要问题是： 特权滥用和不充分的角色权限分离 高花费的服务器主机管理 操作系统弱点和漏洞 法律、法规服从的需要 缺乏个体的责任监控 审计日志的不足，银监会和外部的审计机构度提出了对核心主机的访问授权和记录要求例如： 某行制定了操作手册，但是由于缺乏有效的监督，系统管理员甲某在生产机上试用、学习init命令，结果造成生产机重起，对业务产生重大影响。 某行系统管理员乙某，通过db2的clp命令直接修改帐务数据库的数据为自己谋利，由于缺乏有效的监控手段，我们只有在帐务不匹配的情况下通过业务手段查找问题，没有当时操作的纪录，这也是导致乙某敢于违法想钻孔子的原因之一。 现在都是一个人掌握几十台设备的管理员密码。如何记忆？用同一个密码会导致安全性下降，不用统一密码管理员自己又无法记忆，手写记忆也是安全隐患。 。第二章 kerbsphere解决方案分析2.1 kerbsphere方案设计 中亦安图科技发展（北京）有限公司（以下简称中亦安图）的服务队伍多年服务于金融、电信、保险、制造等各大行业，并且立足于系统的管理、维护和优化之上。具有丰富的操作系统理论知识，熟悉客户的现状，精心分析客户的要求，严格设计出满足客户现状的-kerbsphere主机访问管理解决方案。根据系统的设计原理和现状分析，我们使用如下的设计方案来达到我们的要求图示的下半段是我们在系统原有的基础上增加的功能和模块，可以看出主要是针对系统维护人员的管理并且增加操作记录审计等内容。2.2 管理流程 1 用户根据自己的身份和角色申请需要访问的服务器以及相应的服务器用户 2 安全团队将审核过的服务器用户访问权限绑定在该用户的记录下 3 用户向登陆服务器提出请求，登陆服务器根据步骤2的结果赋予用户相应的访问选择 4 用户根据登陆服务器提供的密钥登陆相应的后台server 5 密码使用完后系统会自动回收和重置密码 6 所有的管理员登陆后台服务器的行为都被记录 7所有的用户每一步操作被绑定在个人的身份下，记录到我们的审计数据库中2.3 kerbsphere拓扑逻辑 在实际环境中我们使用如下的拓扑解决方案：第三章 kerbsphere主机系统功能架构和管理功能模块3.1 系统技术架构图 31：系统架构示意系统架构于基于标准j2ee规范的多层体系架构，组件化设计；服务层采用主流的struts框架，利用java语言与操作系统的松耦合性，不仅利于应用系统本身在多种平台上的部署实现，而且也简化了应用系统对后端主机环境差异性的处理； 在用户交互界面层，采用以ajax技术为基础的一系列自定义标签和脚本方法，使得页面更加动态和灵敏，并且以“异步操作”的模式将用户与服务的交互过程进行分解，有效降低通信量；在数据持久层，在标准jdk 1.4 的基础上，开发了一套可适应多种后端数据库产品、组件化、灵活配置、可插拔的数据持久层标准接口；使用这套接口，不仅可以执行标准sql语句，也可通过扩展接口，使用数据库提供的特殊功能，实现业务与存储的松耦合，利于业务组件复用；3.2 系统功能模块图 32：系统主要功能示意web应用系统主要由四大部分功能模块组成：主机/帐户管理：应用系统后端环境和应用规则的维护，包括主机属组管理、主机管理、帐号管理、访问关系管理；访问申请管理：安全访问生产主机申请、审批、查询、回收作业流程处理，包括填写申请、审批申请、回收申请、查询申请、申请单维护；高级维护：访问生产主机记录信息管理以及后台处理例外恢复，包括查询访问记录、维护访问记录、重置用户口令、重置帐户口令；系统维护：应用系统公共基础类信息维护，包括用户管理、角色管理、功能菜单管理、基础代码管理；第四章 kerbsphere优点分析 能监控所有的用户访问操作，包含具体的每一屏幕输出 可以提取用户的操作命令，对异常命令和操作进行标记和告警 根据独立的用户分配权限 可以统一分配和管理密码，并且做到一次一密，对于高安全性的密码还可强制双人密码认证 不会对生产系统产生任何性能损耗 生产系统不用安装任何附加软件和模块 用户的操作更加快捷和方便 用户具有的访问权限/后台设备的访问许可都可以定义和管理 能实时查看当前的访问状态,并能对有疑问的访问进行阻断4.1 清晰明了的主机设备清单和详细情况4.2明确、易于管理的特权使用人和主机访问帐号的对应关系4.3 全面、完善的访问记录4.4 可以很快跟踪到特权使用的申请和审批记录4.5 可靠、符合审计要求的密码管理功能 后台帐号的密码可以机密存放于db2（或mysql）数据库中，这样避免了使用人员使用简单密码，并且使用完后系统自动重置密码，也避免了后台主机之间telnet的安全威胁。 第五章 kerbsphere监控模块功能 集成的监控操作可以完善的记录下用户的每步具体操作：l 具有全系统自动监控、记录和集中存储、集中管理能力。录制的终端操作可以用作事后取证。l 具有远程帮助、远程支持功能。能够实时同步远程终端画面以帮助用户解决问题。l 具有报警联动能力。提供联动接口以实现其他系统报警时自动切换到指定的终端画面进行监控；l 支持多种终端连接方式：支持远程telnet、终端服务器方式、多用户卡方式连接的终端的监控；l 支持多种终端类型：支持任意类型终端的记录，支持ansi、scoansi、ftterm、vt100、vt220类型终端的回放。l m能较好地处理信息共享与保密性、完整性的关系；开放性与保护隐私的关系；互联性与局部隔离的关系。l m具有足够的安全性，对操作权限进行严格限制和审计；对系统的通信使用加密引擎以提供完善的数据完整性验证和防止侦听；对采集的数据集中存放和管理以防止篡改。l 具有良好的操作性，便于安装、使用和维护。第六章 总结安全管理首先要知道用户的具体身份-识别用户具体身份和对访问权先进行管理，要有相关的策略来控制对重要资产（存放文件、应用、数据库的主机）的保护，这是我们安全管理的基础前提。造成这些问题如此重要的原因是原始的操作系统提供的安全管理功能已经严重不满足需求。 管理员权限的控制粒度缺乏和有效的审计手段的不足也是目前主机访问管理的两个重要方面。增强对管理员的权限细分和分配，增加所有相关的操作和行为的记录是我们需要解决的问题。 针对主机访问管理的kerbsphere解决方案，可以减轻无意或恶意威胁下的重要资产（存放文件、应用、数据库的主机）保护问题，并且能极大地降低管理员特权过大的风险。它提升了对重要数据和关键服务器的保护级别，简化了复杂服务器环境的管理负担，