学习信息安全产品设计--架构设计-详细设计.doc

学习信息安全产品设计-架构设计-详细设计 信息安全产品设计理念 技术架构篇 信息安全产品设计理念 1 设计 1.1 概述 随着信息技术的不断发展和信息化建设的不断进步，办公系统、 商务平台的不断推出和投入运行，信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中企业和门户网站，更是使用 数量较多的服务器主机来运行关键业务。 随着国家信息安全等级保护和分级保护的贯彻实施，信息安全产品在在高安全域行业被普遍应用。 中国外交部和美国常务副国务卿多次共同主持中美战略安全对话。双方就共同关心的主权安全、两军关系、海上安全、网络及外空安全等重要问题坦诚、深入交换了意见。双方同意继续充分利用中美战略安全对话机制，就有关问题保持沟通，增进互信，拓展合作，管控分歧，共同推动建设稳定、合作的战略安全关系。 2002年由美国总统布什签发的萨班斯法案(Sarbanes-Oxley Act)开始生效。其中要求企业的经营活动，企业管理、项目和投资等，都要有控制和审计手段。因此，管理人员需要有有效的技术手段和专业的技术工具和安全产品按照行业的标准来做细粒度的管理，真正做到对于内部网络的严格管理，可以控制、限制和追踪用户的行为，判定用户的行为是否对企业内部网络的安全运行带来威胁。 细粒度模型,通俗的讲就是将业务模型中的对象加以细分,从而得到更科学合理的对象模型,直观的说就是划分出很多对象. 所谓细粒度的划分就是在pojo类上的面向对象的划分,而不是在于表的划分上。 以常用的信息安全产品-运维审计产品（堡垒机）为例, 堡垒机是一种被加固的可以防御进攻的计算机，具备坚强的安全防护能力。内控堡垒主机扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。 堡垒机具体有强大的输入输出审计功能，不仅能详细记录用户操作的每一条指令，而且能够通过回放的功能，将其动态的展现出来，大大丰富了内控审计的功能。堡垒机自身审计日志，可以极大增强审计信息的安全性，保证审计人员有据可查。 堡垒机还具备图形终端审计功能，能够对多平台的多种终端操作审计，例如windows 平台的RDP 形式图形终端操作。 为了给系统管理员查看审计信息提供方便性，堡垒机提供了审计查看检索功能。系统管理员可以通过多种查询条件查看审计信息。 总之，堡垒机能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化和专业化。 信息安全产品设计理念 1.2 管理现状 目前机构的运维管理有以下三个特点： ? 关键的核心业务都部署于Unix和Windows服务器上。 ? 应用的复杂度决定了多种角色交叉管理。 ? 运行维护人员更多的依赖Telnet、SSH、FTP、RDP等进行远程管理。 基于这些现状，在管理中存在以下突出问题： 1.2.1 使用共享帐号的安全隐患 企业的支撑系统中有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系，用户为了方便登陆，经常出现多人共用帐号的情况。 多人同时使用一个系统帐号在带来方便性的同时，导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员，会使这个帐号的安全无法保证。 由于共享帐号是多人共同使用，发生问题后，无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员，带来了密码管理的复杂化。 1.2.2 密码策略无法有效执行 为了保证密码的安全性，安全管理员制定了严格的密码策略，比如密码要定期修改，密码要保证足够的长度和复杂度等，但是由于管理的机器数量和帐号数量太多，往往导致密码策略的实施流于形式。 1.2.3 授权不清晰 各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加，安全性无法得到充分保证。 信息安全产品设计理念 1.2.4 访问控制策略不严格 目前的管理中，没有一个清晰的访问控制列表，无法一目了然的看到什么用户能够以何种身份访问哪些关键设备，同时缺少有效的技术手段来保证访问控制策略被有效执行。 1.2.5 用户操作无法有效审计 各系统独立运行、维护和管理，所以各系统的审计也是相互独立的。每个网络设备，每个主机系统分别进行审计，安全事故发生后需要排查各系统的日志，但是往往日志找到了，也不能最终定位到行为人。 另外各系统的日志记录能力各不相同，例如对于Unix系统来说，日志记录就存在以下问题： ? Unix 系统中，用户在服务器上的操作有一个历史命令记录的文件，但是用户可以 随意更改和删除自己的记录； ? root 用户不仅仅可以修改自己的历史记录，还可以修改他人的历史记录，系统本 身的历史记录文件已经变的不可信； ? 记录的命令数量有限制； ? 无法记录操作人员、操作时间、操作结果等。 1.3 问题分析 对运维的管理现状进行分析，我们认为造成这种不安全现状的原因是多方面的，总结起来主要有以下几点。 ? 各IT系统独立的帐户管理体系造成身份管理的换乱，而身份的唯一性又恰恰是认 证、授权、审计的依据和前提，因此身份的混乱实际上造成设备访问的混乱。 ? 各IT系统独立管理，风险分散在各系统中，各个击破困难大，这种管理方式造成 业务管理和安全之间失衡。 ? 核心服务器或设备的物理安全和临机访问安全通过门禁系统和录像系统得以较好 的解决，但是对他们的网络访问缺少控制或欠缺控制力度。 ? 在帐号、密码、认证、授权、审计等各方面缺乏有效的集中管理技术手段。 信息安全产品设计理念 因此，迫切要求企业内部规范管理，通过多种用户认证方式，不同的安全操作权限，同一地点的不同资源的集中访问，简化操作流程，并满足SOX法案中关于用户身份与访问管理的审计要求。通过堡垒主机实现企业内部网络的合理化，安全化，专业化，规范化，充分保障企业资源安全。 信息安全产品设计理念 2 设计理念 2.1 集中管理模式 要解决核心资源的访问安全问题，我们首先从管理模式上进行分析。管理模式是首要因素，管理是从一个很高的高度，综合考虑整体的情况，然后制定出相应的解决策略，最后落实到技术实现上。管理解决的是面的问题，技术解决的是点的问题，管理的模式决定了管理的高度。我们认为随着应用的发展，设备越来越多，维护人员也越来越多，我们必须由分散的管理模式逐步转变为集中的管理模式。 只有集中才能够实现统一管理，也只有集中才能把复杂问题简单化，集中管理是运维管理思想发展的必然趋势，也是唯一的选择。集中管理包括：集中的资源访问入口、集中帐号管理、集中授权管理、集中认证管理、集中审计管理等等。 2.2 协议代理 为了对字符终端、图形终端操作行为进行审计和监控，堡垒主机对各种字符终端和图形终端使用的协议进行代理，实现多平台的操作支持和审计，例如Telnet、SSH、FTP、Windows 信息安全产品设计理念 平台的RDP远程桌面协议，Linux/Unix 平台的X Window图形终端访问协议等。 当运维机通过堡垒主机访问服务器时，首先由堡垒主机模拟成远程访问的服务端，接受运维机的连接和通讯，并对其进行协议的还原、解析、记录，最终获得运维机的操作行为，之后堡垒主机模拟运维机与真正的目标服务器建立通讯并转发运维机发送的指令信息，从而实现对各种维护协议的代理转发过程。在通讯过程中，堡垒主机会记录各种指令信息，并根据策略对通信过程进行控制，如发现违规操作，则不进行代理转发，并由堡垒主机反馈禁止执行的回显提示。 2.3 身份授权分离 以前管理员依赖各IT系统上的系统帐号实线两部分功能：身份认证和系统授权，但是因为共享帐号、弱口令帐号等问题存在，这两方面实现都存在漏洞，达不到预期的效果。 解决的思路是将身份和授权分离。在堡垒主机上建立主帐号体系，用于身份认证，原各IT系统上的系统帐号仅用于系统授权，？这样可以有效增强身份认证和系统授权的可靠性，从本质上解决帐号管理混乱问题，为认证、授权、审计提供可靠的保障。 信息安全产品设计理念 3 详细设计 3.1 主要功能 3.1.1 单点登录 基于 B/S 的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于 B/S的应用系统。 单点登录为具有多帐号的用户提供了方便快捷的访问途 信息安全产品设计理念 经，使用户无需记忆多种 登录用户 ID 和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高 生产效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。 单点登录可以实现和用户管理授权的无缝隙链接，通过对用户、角色、资源和行为的授权，增加对资源的保护，和对用户行为的监控及审计。 3.1.2 账户管理 集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的 集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生 命周期的监控和管理，而且还降低了企业管理大量用户帐号的难度和工作量。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准 的用户帐号安全策略。 通过建立集中帐号管理，企业可以实现将帐号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。 3.1.3 身份认证 为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。 集中身份认证提供静态密码、Windows NT 域、Windows Kerberos、双因素、 一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口。？ 3.1.4 资源授权 系统提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S对服务器主机、网络设备的访问进行审计。 在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员在堡垒机系统上，可以对各自的管理对象进行授权，而不需要进入每一 信息安全产品设计理念 个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作等的细粒度授权。 3.1.5 访问控制 堡垒机系统能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。 访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好的提高系统的安全性。 3.1.6 操作审计 操作审计管理主要审计操作人员的帐号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。 系统支持对如下协议进行审计：Telnet、FTP、SSH、RDP（Windows Terminal）、X windows、VNC等。 堡垒机系统通过系统自身的用户认证系统、用户授权系统，以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方。 对于生成的日志支持丰富的查询和操作。 ? 支持按服务器方式进行查询 通过对特定服务器地址进行查询，可以发现该服务器上发生的命令和行为。 ? 支持按用户名方式进行查询 通过对用户名进行查询，可以发现该用户的所有行为。 ? 支持按登陆地址方式进行查询 通过对特定 IP 地址进行查询，可以发现该地址对应主机及其用户在服务器 上进行的所有操作。 信息安全产品设计理念 ? 支持按照登陆时间进行查询 通过对登录时间进行查询，可以发现特定时间内登录服务器的用户及其进行 过的所有操作。 ? 支持对命令发生时间进行查询 可以通过对命令发生的时间进行查询，可以查询到特定时间段服务器上发生 过的所有行为。 ? 支持对命令名称进行查询 通过查询特定命令如 LS，可以查询到使用过该命令的所有用户及其使用的时 间等。 ? 支持上述六个查询条件的任意组合查询 如：可以查询谁（用户名）什么时间登录（登录时间）服务器并在什 么时间（命令发生时间）在服务器（目标服务器）上执行过什么操作（命 令）。 ? 支持对日志的备份操作处理 ? 支持对日志的删除处理 4 图形捕获 堡垒机采用系列先进技术，成功实现命令及图形的捕获与控制，为服务器的安全运行提供了强有力的系统工具。 4.1 逻辑命令自动识别技术 堡垒机自动识别当前操作终端，对当前终端的输入输出进行控制，组合输入输出流，自动识别逻辑语义命令。系统会根据输入输出上下文，确定逻辑命令编辑过程，进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能，在传统键盘捕获与控制领域取得新的突破，可以更加准确的控制用户意图。 该技术能自动识别命令状态和编辑状态以及私有工作状态，准确捕获逻辑命令。 信息安全产品设计理念 4.2 分布式处理技术 堡垒机采用分布式处理架构进行处理，启用命令捕获引擎机制，通过策略服务器完成策略审计，通过日志服务器存储操作审计日志，并通过实时监视中心，实时察看用户在服务器上行为。 这种分体式设计有利于策略的正确执行和操作记录日志的安全。同时，各组件之间采用安全连接进行通信，防止策略和日志被篡改。各组件可以独立工作，可以分布于不同的服务器上，亦可所有组件安装于一台服务器。 4.3 正则表达式匹配技术 堡垒机采用正则表达式匹配技术，将正则表达式组合入树型可遗传策略结构，实现控制命令的自动匹配与控制。树型可遗传策略适合现代企业事业架构，对于服务器的分层分级管理与控制提供了强大的工具。 4.4 RDP协议代理 为了对图形终端操作行为进行审计和监控，堡垒机对图形终端使用的协议进行代理，实现多平台的多种图形终端操作的审计，例如Windows平台的RDP方式图形终端操作，Linux/Unix平