统一用户身份管理解决方案3013.doc

XXX单位统一用户身份管理解决方案XXX单位统一用户身份管理项目解决方案建恒二二二二年一月目 录前言41公司介绍42风险与需求分析52.1管理员维护难度52.2帐号共用问题52.3资源使用问题52.4密码策略问题62.5审计问题62.6需求分析63解决方案73.1设计原则73.2遵循与参考的标准和规范83.3产品选型83.4设计思路93.4.1集中管理93.4.2协议代理技术93.4.3身份授权分离103.5功能实现103.5.1主帐号管理103.5.2资源管理123.5.3集中授权133.5.4统一认证143.5.5安全策略143.5.6单点登陆153.5.7操作审计164客户收益174.1实现集中帐号管理，降低管理费用174.2实现集中身份认证和访问控制，避免冒名访问，提高访问安全性184.3实现集中授权管理，简化授权流程，减轻管理压力184.4实现单点登录，规范操作过程，简化操作流程194.5实现实名运维审计，满足安全规范要求195方案特点205.1.1技术成熟性205.1.2业务需求可靠性205.1.3可扩展性205.1.4安全性21 前言随着计算机网络的不断发展，信息产业已经成为人类社会的支柱产业，全球信息化已成为人类社会发展的大趋势，由此带动了计算机网络的迅猛发展和普遍应用。随着信息技术的不断发展和信息化建设的不断进步，业务应用、办公系统、商务平台的不断推出和投入运行，信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中企业和门户网站，更是使用数量较多的服务器主机来运行关键业务，提供电子商务、数据库应用、运维管理、ERP和协同工作群件等服务。由于服务器众多，系统管理员压力太大等因素，人为误操作的可能性时有发生，这会对部门或者企业声誉造成重大影响，并严重影响其经济运行效能。黑客/恶意访问也有可能获取系统权限，闯入部门或企业内部网络，造成不可估量的损失。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，越来越成为企业关心的问题。另外，2002年由美国总统布什签发的萨班斯法案(Sarbanes-Oxley Act)开始生效。其中要求企业的经营活动，企业管理、项目和投资等，都要有控制和审计手段。因此，管理人员需要有效的技术手段和专业的技术工具和安全产品按照行业的标准来做的细粒度的管理，真正做到对于内部网络严格控制。可以控制用户的行为，限制用户的行为，追踪用户的行为，判定用户的行为是否构成企业内部网络的安全性带来威胁。1 公司介绍建恒公司培养和造就了一支致力于从事并行处理、网络、信息安全、中文信息处理与软件、人工智能等先进技术的高水平科研队伍；具有系统级产品各类电子产品的设计开发、生产、工程实施等方面综合能力；有数百名从事大型系统集成和大型软件及硬件开发的工程师。通过对多项大型政府电子政务、金融、石油石化、电信等行业网络安全保障工程的建设实践，我们深切的体会到任何网络工程的建设都离不开信息安全技术和信息安全管理的建设工作。正是出于对广大用户和单位切身利益的考虑，本着“提供本行业最全面、最权威的系列网络安全与管理的保障解决方案”的宗旨，我们荟萃全球的尖端技术，推出了优秀的统一用户身份管理解决方案。2 风险与需求分析根据XXX单位网络的现状，本方案对风险和相应的需求进行分析汇总。2.1 管理员维护难度XXX单位有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。目前各IT系统都有一套独立的认证、授权和审计系统，并且由相应的系统管理员负责维护和管理。当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加，另外给系统的用户分配权限，缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限。随着用户数量的增加，权限管理任务越来越重，系统的安全性无法得到充分保证。2.2 帐号共用问题XXX单位网络网络设备、主机系统和应用系统众多，有些帐号多人共用，不仅在发生安全事故时，难于确定帐号的实际使用者，而且难于对帐号的扩散范围进行控制，容易造成安全漏洞。2.3 资源使用问题系统的增多，使用户经常需要在各个系统之间切换，每次从一个系统切换到另一系统时，都需要输入用户名和口令进行登录，给用户的工作带来不便，影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个系统的口令设置成相同的，危害到系统的安全性。2.4 密码策略问题根据安全规范的要求，设置IT系统账号的口令使用时间，并符合一定的复杂度，这对于IT系统众多的XXX单位来说是一件费时费力的工作，要保证按期安全的执行密码策略存在很大困难。2.5 审计问题由于各支撑系统独立运行、维护和管理，所以各系统的审计也是相互独立的，不但各个系统单独审计，即使同一系统中的每个网络设备，每个主机系统都要分别进行审计，缺乏集中统一的系统访问审计。无法对支撑系统进行综合分析，不能及时发现内部破坏和外部入侵行为。2.6 需求分析随着业务系统和支撑系统的发展及内部用户的增加，一方面系统维护和管理人员的工作负担增加，工作效率无法提高；另一方面无法对各业务系统实现统一的安全策略，从而在实质上降低了业务系统的安全性。因此需要根据XXX单位的现状，研究集中统一的安全管理技术和平台，使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证支撑系统安全策略的实施。这个安全管理框架包括用户的账号（Account）管理、认证（Authentication）管理、授权(Authorization)管理和安全审计(Audit)。账号管理是将自然人与其拥有的所有系统账号关联，集中进行管理，能够按照密码策略自动要求更新密码，监督密码强度等。身份认证是信息安全的第一道防线，用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说，身份认证是一个基本的安全考虑。身份认证的方式可以有多种，包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。授权是指对用户使用系统资源的具体情况进行合理分配的技术，实现不同用户对系统不同部分资源的访问。审计是指收集、记录用户对支撑系统资源的使用情况，以便于统计用户对网络资源的访问情况，并且在出现安全事故时，可以追踪原因，追究相关人员的责任，以减少由于内部计算机用户滥用网络资源造成的安全危害。确保合法用户安全、方便使用特定资源，这样既有效地保障了合法用户的权益，又能有效地保障支撑系统安全可靠地运行。3 解决方案3.1 设计原则在XXX单位统一用户身份管理项目的方案设计中，我们遵循了以下的原则：l 整体安全和全网统一的原则XXX单位统一用户身份管理项目设计从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节，综合使用不同层次的不同安全手段，为信息网络和安全业务提供全方位的管理和服务。l 标准化、一致性原则XXX单位统一用户身份管理项目采购项目安全体系的设计遵循一系列国家标准，整个系统安全地互联互通。l 需求、风险、成本折衷原则任何网络和信息系统都不能做到绝对的安全，设计时在不影响原网络性能和设计要求的情况下，在安全需求、安全风险和安全成本之间进行平衡和折衷。l 实用、高效、可扩展原则安全保障系统所采用的产品，便于操作、实用高效。同时随着技术发展，XXX单位信息系统也将发生各种变化，在系统实施过程中，系统的结构、配置也会发生变化，系统的安全工程要有一定的灵活性来适应这种变化，做到层次性、体系性，既有利于系统的安全，又有利于系统的扩展。l 技术和管理相结合原则各种安全技术应该与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合，从社会工程学的角度综合考虑。3.2 遵循与参考的标准和规范1） 国家保密标准BMZ2-2001涉及国家秘密的计算机信息系统安全保密方案设计指南2） 国家保密标准BMZ1-2000，涉及国家秘密的计算机信息系统保密技术要求3） 国家保密标准计算机信息系统保密管理暂行规定（国保发19981号）4） 国家标准GB17859-1999，计算机信息系统安全保护等级划分准则5） 国家标准GB/T18336.2-2001，信息技术 安全技术 信息技术安全性评估准则 第2部分: 安全功能要求6） ISO27001/ISO17799:2005/BS7799,信息安全管理技术规范。3.3 产品选型本投标方案选用堡垒主机系统完成XXX单位统一用户身份管理项目建设。堡垒主机系统是安全管理体系的重要组成部分，部署在单位的内部网络中，用于保护单位内部资源和网络的安全性。堡垒主机系统应用了目前先进的技术作为支持，针对企业内部核心服务器、网络设备和应用进行保护，对此类资产的常用访问方式进行监控和审计，例如对字符终端、图形终端等访问方式进行监控和审计，实现对用户行为的控制、追踪、判定，满足企业内部网络对安全性的要求。3.4 设计思路因为运维操作的风险来源于管理模式、用户、操作等各个方面，所以我们给用户提供的是一个对操作进行集中管理，对身份、访问、权限、审计进行控制，真正帮助用户降低运维操作风险的整体解决方案，而不是一个单纯的安全产品。3.4.1 集中管理管理模式是首要因素，管理是从一个很高的高度，综合考虑整体的情况，然后制定相应的策略，最后落实到技术实现上。管理解决的是面的问题，技术解决的是点的问题，管理的模式决定了管理的高度。随着应用的发展，设备越来越多，维护人员也越来越多，我们必须对操作进行集中管理。只有集中才能够实现统一管理，也只有集中管理才能把复杂问题简单化，集中管理是运维管理思想发展的必然趋势，也是唯一的选择。集中管理包括：集中的资源访问入口、集中帐号管理、集中授权管理、集中认证、集中审计等等。3.4.2 协议代理技术为了对字符终端、图形终端操作行为进行审计和监控，堡垒主机系统提供访问控制模块对各种字符终端和图形终端使用的协议进行代理，实现多平台的操作支持和审计，例如Telnet、SSH、FTP、SFTP，Windows平台的RDP图形终端操作，Linux/Unix平台的XWindow图形终端操作等。3.4.3 身份授权分离以前管理员依靠各IT系统上的系统帐号完成两部分功能：身份认证和系统授权，但是因为共享帐号、弱口令帐号等问题存在，这两方面功能实际都不能达到预期的效果。在统一用户身份管理平台上建立主帐号体系，用于身份认证，原各IT系统上的系统帐号仅用于系统授权，可以有效增强身份认证和系统授权的可靠性。3.5 功能实现3.5.1 主帐号管理使用统一用户身份管理平台的用户大致可分为普通用户和具有不同角色的管理员。主帐号管理将实现对用户的集中管理及用户的集中授权管理。主帐号管理功能包括主帐号的创建，主帐号基本信息维护，主帐号资源角色授权（主帐号资源访问授权），主帐号的锁定，主帐号删除等。 主帐号创建及基本信息维护l 主帐号创建主帐号创建可以理解为主帐号的入职。由超级管理员负责为新增用户创建主帐号，这些主帐号具有不同资源的访问权限。l 主帐号的基本信息包括主帐号ID，名称，密码，密码策略，访问时间策略，访问锁定策略，客户端地址策略，状态，手机，电话，邮件，通信地址等。l 基本信息维护基本信息维护同样分为两个方面：第一个方面是主帐号自维护基本信息，包括，用户的名称，口令，手机，电话，通信地址等，第二个方面是管理员负责维护主帐号基本信息，内容囊括了所有第一方面的内容外，还包括：密码策略的分配，访问时间策略的分配，访问锁定策略的分配，客户端地址策略的分配等。 主帐号资源访问授权主帐号资源访问授权是主帐号访问资源的必要环节，只有经过此项授权的主帐号，才能够访问资源。针对每个授权都可以指定它的访问时间策略，客户端地址策略，主机命令策略等。 主帐号锁定锁定状态是主帐号状态的一种，主帐号锁定可以有两种情况发生。第一种是由于主帐号分配了锁定策略，并且登录时连续输入错误口令次数超出了访问锁定策略规定的范围，导致主帐号处于锁定状态；另一种是由管理员维护主帐号信息时，点击了该主帐号的锁定按钮，致使该主帐号处于锁定状态。 主帐号删除主帐号删除功能是将主帐号基本资料彻底从统一用户身份管理平台中删除。删除的主帐号应该是无用处的账号。及时删除僵尸帐号，这样保证了整个业务的完整性，也可防止其他人员使用僵尸帐号进行破坏行为。3.5.2 资源管理资源管理与主帐号管理同样是系统的核心部分。资源管理主要负责管理不同类型的资源，其中包括不同类型主机系统，网络设备，安全设备，应用系统等。这些不同类型的资源组成了整个统一用户身份管理平台的访问对象，也是保护对象。资源管理主要包含两个大模块：资源管理和资源从账号管理。资源管理主要是对不同类型的资源进行划分。从账号管理则依附于不同的资源。访问资源就是访问资源的从账号，这里也是操作的核心部分。 资源创建及基本信息维护l 资源创建资源创建是对设备的基本信息进行录入，内容包括：资源名称、IP地址、描述等。l 基本信息维护基本信息维护主要针对设备的常见配置信息，例如IP地址，密码策略，资源名称等。 资源类型分类资源分类大体分为以下几种：l 类Unix主机(Aix，UNIXWARE，SCO Unix，Linux)l Windows主机（WindowsXp,Windows2000,Windows2003server等）l 网络设备(路由器、交换机、安全设备等)l 数据库l 应用系统 资源从账号管理资源从账号是资源访问的工具。资源从账号管理主要依附于资源管理，每一个资源都包含从账号管理功能。管理员可以对资源的从帐号进行添加和删除。 资源删除资源在不使用的时候可能会要求删除，这里提供删除资源的功能。资源删除需要一个条件，就是该资源不能有任何从账号。如果包含从资源账号，需要首先删除从账号。3.5.3 集中授权授权系统提供统一的界面，来对主帐号、行为和资源进行授权管理，以达到对权限的细粒度控制，最大限度保护用户资源的安全。统一用户身份管理平台通过集中授权和访问控制可以对用户通过B/S、C/S对主机、网元和各种设备的访问进行控制和审计。 集中授权在集中授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、主机系统、应用系统中可能还拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员从统一的授权系统进去以后，可以对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括主帐号、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作这样到应用内部的细粒度授权。 资源授权资源授权的范围主要包括主机、网络设备、应用系统等。对资源授权分为实体授权和资源级授权l 实体级集中授权，授权粒度只精确到设备、主机，就是用户是否有权连接某个IP地址端口。l 实体内部资源级集中授权，授权粒度精确到设备、主机内的指令。例如能执行哪些指令，不能执行哪些指令。统一用户身份管理平台通过对用户授权，可以定义用户可以访问哪些设备，以及以什么样的方式在什么时间访问，可以防止未被授权的用户对资源的访问。3.5.4 统一认证 集中认证统一用户身份管理平台通过集中认证的方式，为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。 外部认证统一用户身份管理平台支持双因素等外部认证方式，而且系统具有灵活的定制接口，可以方便的与其它第三方认证服务器进行结合。3.5.5 安全策略 主机命令策略主机命令策略是对类Unix系统的命令的管理要求。它包含两种类型：允许使用的命令和不允许使用的命令。主机命令策略能够定义一组命令，这些命令能够匹配不同用户在资源中输入的命令，可以限制或允许用户执行该策略中定义的命令。 客户端地址策略客户端地址策略是对资源账号访问资源的地址管理要求。它包含两种类型：允许访问的客户端和不允许访问的客户端。客户端地址策略能够基于网段的管理，例如一条客户端地址策略能够限制仅能从一个网段发起对一个资源的访问权限，限制其他网段发起的资源访问，能够有效防止来自未经授权的IP地址的恶意攻击。 访问时间策略访问时间策略是对主帐号访问统一用户身份管理平台和资源的时间管理要求。它包含两种类型：允许访问的时间段和不允许访问的时间段。访问时间策略能够定义一段日期范围内的具体某一个或多个时辰，该策略可以限制一个主帐号允许在这个时间范围内访问统一用户身份管理平台、资源或不能访问统一用户身份管理平台、资源，有效的限制在繁忙期或特殊期主帐号对资源的访问。 访问锁定策略访问锁定策略是对主帐号访问统一用户身份管理平台的管理要求。该策略可以制定主帐号用户在错误输入口令多次后，对该主帐号进行锁定的策略。该功能能够有效限制恶意破解口令行为。 密码策略密码策略是对账号和主帐号口令的管理要求，它要求对以上两种口令做口令长度，有效期，密码强度的控制，规范用户设定密码的强度，防止口令因为过于简单易于猜测而被破解的隐患，从而提高企业内部管理的安全性，降低资源损失风险。3.5.6 单点登陆统一用户身份管理平台提供了基于B/S的单点登录平台，该平台包含了当前用户能够访问的资源列表。每条记录表示可以访问的一个账号，而且提供这个账号的访问方式。用户可以根据自己的需要使用不同的访问方式访问例如主机系统，网络设备等资源。由于进入单点登录的用户都是合法用户，用户通过统一用户身份管理平台的单点登录模块访问资源时无需输入资源账号的口令，因此，单点登录环节应提供更加安全的措施以保证访问资源会话的完整性。统一用户身份管理平台的单点登录部分采用基于一次性会话号的方式，即在用户访问资源时，统一用户身份管理平台提供一个临时使用的动态会话号，用户使用该一次性会话号访问资源，整个过程是自动完成的，从而即保证了会话的完整性，又提高了这个会话的安全性。3.5.7 操作审计 内部的审计统一用户身份管理平台会将所有人员的操作记录为日志。用户可以在统一用户身份管理平台中查看相关审计日志，以及产生各种审计报表。集中审计管理主要审计人员的帐号管理、认证、账号分配情况、权限分配情况、账号使用（登录、资源访问、操作行为）情况等。对账号分配情况的审计：包括主账号与从账号的对应关系，主账号、从账号的创建时间、创建人等.对登录过程和用户身份的审计。按照IP、时间主从帐号、资源、关键操作和关键数据进行规则过滤。 审计内容l 能够对本系统运行的全部行为，包括任何人（含系统管理员）的任何操作进行记录。l 系统通过单点登录，统一认证方式，将某个账号的操作行为与主帐号关联，实现对主帐号行为审计的目的。l 能够对主机，网络设备，安全设备等的所有用户指令操作的记录。l 系统能够实现对特定信息进行统计关联（某时间段内发生次数）审计。 审计查询l 审计查询支持交互式查询。主帐号、信息类型（非法登录、非法操作、重大操作、敏感数据访问）、内容、时间进行查询，查询可以通过与、或方式进行多级查询条件组合，提高查询准确性。例如查询2009-2-20 23:00:00至2009-2-21 4:00:00期间内，配置过8交换机的全部日志。l 提供对查询条件的自定义设置，将查询条件进行保存，减少查询的操作复杂。 审计报表系统可以按照用户定义条件，以及系统自定义的报表模板制定综合报表；系统可按照访问者、被保护对象、行为方式、操作内容等自动生成统计报表，并能按照用户的要求添加、修改报表数量、格式及内容，以满足审计的要求。 还原审计审计管理以集中的资源管理为基础，实现用户资源访问会话的还原审计。l 对于字符访问，可以还原完整的用户会话内容：统一用户身份管理平台在会话层记录各种操作命令，形成会话日志，进行审计。l 对于RDP类访问，可以对用户的会话进行录像，完整记录用户的图形操作。4 客户收益4.1 实现集中帐号管理，降低管理费用l 实现对用户帐号的统一管理和维护在实现集中帐号管理前，每一个新上线系统均需要建立一套新的用户帐号管理系统，并且分别由各自的管理员负责维护和管理。这种相对独立的帐号管理系统不仅建设前期投入成本较高，而且后期管理维护成本也会成倍增加。而通过统一用户身份管理平台的集中帐号管理，可实现对IT系统所需的帐号基础信息（包括用户身份信息、机构部门信息、其他公司相关信息，以及生命周期信息等）进行标准化的管理，能够为各IT系统提供基础的用户信息源。通过统一用户信息维护入口，保证各系统的用户帐号信息的唯一性和同步更新。l 解决用户帐号共享问题主机、数据库、网络设备、应用系统中存在大量的共享帐号，当发生安全事故时，难于确定帐号的实际使用者，通过部署统一用户身份管理平台，可以解决共享帐号问题。l 解决帐号锁定问题用户登录失败五次，应对帐号进行锁定。网络设备、主机、数据库系统等大都不支持帐号锁定功能。通过部署统一用户身份管理平台，可以实现用户帐号锁定、一键删除等功能。4.2 实现集中身份认证和访问控制，避免冒名访问，提高访问安全性l 提供集中身份认证服务实现用户访问IT系统的认证入口集中化和统一化，并实现高强度的认证方式，使整个IT系统的登录和认证行为可控制及可管理，从而提升业务连续性和系统安全性。l 实现用户密码管理，满足SOX法案内控管理的要求多数企业对主机、网络设备、数据库的访问都是基于“用户名+静态密码”访问，密码长期不更换，密码重复尝试的次数也没有限制，这些都不能满足SOX法案内控管理的需求。仅通过制度要求用户在密码更换、密码设定等方面满足SOX相关要求，无法在具体执行过程中对用户进行有效监督和检查。统一用户身份管理平台通过建设集中的认证系统，并结合集中帐号管理的相关功能，实现用户密码管理，密码自动变更，提高系统认证的安全性。l 实现对用户的统一接入访问控制功能部署统一用户身份管理平台主机前，维护人员接入IT系统进行维护操作具有接入方式多样、接入点分散的特点。而维护人员中很多是代维人员，这些代维人员来自于各集成商或设备供应商，人员参差不齐，流动性大。由于维护人员对系统拥有过大权限，缺乏对其进行访问控制和行为审计的手段，存在极大的安全隐患。统一用户身份管理平台统一维护人员访问系统和设备的入口，提供访问控制功能，有效的解决人员的操作风险问题，降低相关IT系统的安全风险。4.3 实现集中授权管理，简化授权流程，减轻管理压力l 实现统一的授权管理各系统分别管理所属的资源，并为本系统的用户分配权限，若没有集中统一的资源授权管理平台，授权管理任务随着用户数量的增加越来越重，系统的安全性也无法得到充分保证。统一用户身份管理平台实现统一的授权管理，对所有被管系统的授权信息进行标准化的管理，减轻管理员的管理工作，提升系统安全性。l 授权流程化管理通过统一用户身份管理平台，管理层可容易地对用户权限进行审查，并确保用户的权限中不能有不兼容职责，用户只能拥有与身份相符的权限，授权也有相应的工作流审批。4.4 实现单点登录，规范操作过程，简化操作流程l 单点登录统一用户身份管理平台提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S和C/S的系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快