BIT8-4网络信息系统安全体系-IDM

1、网络内控之：统一身份管理网络内控之：统一身份管理孙建伟北京理工大学软件学院提纲局域网应用模型身份集中管理的需求Windows域集中认证管理一般局域网系统的IDM技术方案主流产品与解决方案未来发展: Web service分布式环境下的集中访问控制局域网应用模型多个分立的系统和网络设备多种数据库系统多个Web应用系统多种网络设备: 防火墙,交换机,路由器,其它安全设备多种服务器平台: Windows, Unix局域网应用模型多个分立的系统和网络设备不同的系统平台不同的客户端独立维护帐号独立的访问控制管理典型场景：多服务器，多用户如果资源分布在多台服务器上，要在每台服务器分别为每一员工建立一个账户

2、（共M*N），用户则需要在每台服务器上（共M台）登录 局域网应用模型从用户、管理员、应用系统（信息资源）三方面看存在的问题用户M：帐号多，不便应用系统N：自主维护访问控制，泛泛的，难以适应具体的网络环境要求管理员：M*N较大时帐号管理，如何实施全生命周期的管理？权限管理：如何实施全局安全策略？用户名用户名输入用户名输入用户名/口令口令登录口令口令局域网环境下管理的需求管理员管理员工作人员工作人员应用应用1应用应用2应用应用3棘手的问题用户用户是否有太多的密码需要记忆？是否有太多的密码需要记忆？作为系统管理员，是否需要花费很多的时间去管理用户帐号和访问作为系统管理员，是否需要花费很多的时间去管理

3、用户帐号和访问权限？权限？各部门管理员需要花费多长时间才能为一个新的用户在所有的应用各部门管理员需要花费多长时间才能为一个新的用户在所有的应用系统中建立账号？是否工作重复，效率低下系统中建立账号？是否工作重复，效率低下?员工离开企业时能否立即停用其在各个应用子系统中的账号？员工离开企业时能否立即停用其在各个应用子系统中的账号？用户的详细信息在各个系统中是否一致？用户的详细信息在各个系统中是否一致？添加新的应用时是否有一致的认证和授权框架可以利用？添加新的应用时是否有一致的认证和授权框架可以利用？如何满足行业政策规范的要求？如何满足行业政策规范的要求？是否可以对企业内应用系统实现监控和跟踪？是否

4、可以对企业内应用系统实现监控和跟踪？今天的企业环境其他应用人事系统财务系统邮件局域网PABXCRM员工客户IT 管理员供应商合作伙伴移动用户离职员工?用户用户只需一个凭证只需一次登录应用系统应用系统信息资源整合信息统一标识规范和接口规范管理员管理员信息的一致性集中管理安全保障体系安全保障体系用户管理统一的安全策略服务集中授权集中审计解决之道 统一认证管理如果如果集中身份管理：Windows域Windows域理念Windows域管理构成要素域控制器成员服务器活动目录认证协议：Kerberos目录服务：LDAP Windows域理念服务器和用户的计算机都在同一个域中，用户在域中只要拥有一个账号用户

5、只需要在域中拥有一个域账户，只需要在域中登录一次就可以访问域中的资源了。域中的服务器域控制器（Domain Controller)启动Active Directory域服务身份认证目录服务成员服务器成员服务器都信任DC的身分验证。保留本机的帐户数据库,因此使用者仍可利用这些本机帐户,登入该服务器。对域的安全管理而言,这些本机账户可能会是漏洞可加入AD域的工作站所有安装以下操作系统,而且加入域的计算机都算是工作站Windows NT WorkstationWindows 2000 ProfessionalWindows XP ProfessionalWindows 7/vista商用入门版、商用

6、进阶版和旗舰版Windows 95 / 98 / Me、Windows XP家庭版、Windows 7家庭版也都没有加入域的功能。服务器角色转换AD域认证协议：Kerberos AD目录服务微软自Windows 2000 Server开始提供完整的目录服务,命名为AD（ActiveDirectory）目录服务。AD目录与AD目录服务遵循符合X.500及LDAP规范AD对象包括加入域的服务器和客户端帐号，及其详细的权限属性AD目录的架构AD目录仍然是以对象组合成树状架构,不过却多了域（Domain）对象。将一般对象先整合到域中,再形成所谓的域树（Domain Tree）实现统一认证和单点登录活动

7、目录登录到 Windows单一登录到单一登录到:Windows 文件服务器Windows Web 应用程序Exchange emailSQL ServerBizTalk Server其他微软应用程序第三方集成应用程序ExchangeWeb 服务文件共享Windows 集成应用程序Windows域的局限性实际的局域网环境不是单一的Windows域应用环境，存在大量的非Windows系统服务器平台：春秋战国局域网组成成分的多样性：防火墙、路由器 、各类应用系统DC域无法解决局域网的统一身份管理问题反而成了麻烦IDM如何集成已经存在的Windows域？一般局域网系统的IDM技术方案需解决的问题：集中

8、认证支持多种客户端主帐号与从帐号的问题单点登录集中授权与访问控制帐号、认证、授权和审计帐号、认证、授权和审计审计管理审计管理各应用系统都有一套独立的审计管理；每个业务系统及数据库都要分别进行审计缺乏集中统一的系统访问审计无法对应用系统进行综合分析授权管理授权管理各应用系统都独立授权管理随着用户数量的增加， 权限管理任务越来越重； 缺乏集中统一资源授权管理帐号管理帐号管理各应用系统都有一套独立的用户管理；帐号及口令四处流传并记录下来 有些帐号多人共用，未授权的访问较简单口令或将多系统口令设置相同岗位变更、离职，帐号仍在；多方人员使用系统，管理复杂；认证管理认证管理各应用系统都独立认证缺乏控制而不

9、遵循安全策略重复输密码，工作效率低；使用静态口令,安全性低IDMIDM需求需求IDM建设需求n改变IT系统分立管理的局面，需建设集中的IDM系统实现集中的帐号管理、统一的登录认证、适度集中的访问控制策略和全面综合的运营维护操作审计；n最终实现对IT系统的可知、可控、可管的集中运维操作IDM产品概述概念：IDM系统包括自然人帐号管理、诸多被管资源接口组件、统一认证组件、访问控制组件等构成的系统，它介于运营维护人员和被管的IT系统之间，对运维人员提供统一的登录入口（Portal），由IDM系统代理对诸多网元的登录、认证、访问控制和审计。对被管IT资源而言，纳入IDM管理后，原则上即不能被自然人用户

10、直接访问。这个概念的要点是：IDM系统是一系列组件，协同完成集中帐号管理（account），集中认证（Authentication， IDMPortal的登录认证），集中的访问控制授权（Authorization），集中的审计（Audit）等功能。IDM系统对运维人员提供统一的登录Portal，通过IDMPortal的认证，登录IDM Portal后，用户即获得访问被管资源的视图和权限，至少从感受上用户可以直接访问获得授权的资源；用户通过IDM进而登录操作被管资源，整个过程由IDM系统和被管资源形成审计记录；被管资源（如某路由器）纳入IDM管理后，其自身的帐号管理、认证、访问控制、审计等功能依

11、然不变，但可以被IDM系统重置，进而其帐号成为IDM系统的从账号；IDM系统对被管资源应具有系统管理员的权限；IDM系统架构示意图IDM产品概述作为被管资源的分立系统IDM要解决诸多分立IT系统的集中管理的问题在于，分立的IT系统包括主机、网络设备、数据库、应用系统都有自身的安全模式，包括账号管理、登录方式、认证方式、访问控制等功能的实现。如windows系统支持RDP登录方式，支持用户名/密码方式的身份认证方式和基于域控制器(DC)和Kerbrose 协议的认证模式，系统自身支持DAC、MAC的访问控制模式；Unix系统支持telnet/SSH等登录方式，支持用户名/密码方式的本地身份认证方

12、式和基于Radius 协议的认证模式；网络设备一般支持telnet/SSH的登录方式，支持用户名/密码方式的本地身份认证方式和基于Radius/Tacas+ 协议的认证模式；数据库系统则支持标准SQL访问语言，不同的数据库的ODBC实现不同，都支持本地用户名/密码认证，不同数据库的访问控制强度不同（由此划分不同安全等级的数据库）；C/S、B/S应用系统安全模式完全独立设计，B/S应用随着Web Service规范的发展，其安全模式(包括认证)逐渐标准化，如SOAP协议和SAML规范的采用。IDM产品概述作为被管资源的分立系统IDM系统的实现首先建立在上述原有的IT组元的登录、认证、访问控制模式

13、的基础上，实现IDM功能自然人帐号的集中管理支持各种登录方式和登录过程中的认证被管资源的纳入（从账号收集与重置，登录权限授予自然人账号，登录过程统一管理）对自然人帐号的授权（被管资源的访问权）访问被管资源前的统一认证包括单点登录，以及所有环节的审计。IDM主要功能的实现模式自然人帐号管理IDM系统提供自然人帐号的集中管理功能，包括帐号的生命周期管理，对自然人帐号的授权，自然人帐号登录IDM系统的认证。引入组管理的技术，降低管理成本采用基于审批流程的管理在PKI体系下，引入数字证书的发放管理IDM主要功能的实现模式两次认证过程IDM系统纳入被管IT组元，包括主机、网络设备、数据库、C/S及B/S

14、应用系统。其基本模式是采用(依赖)IT组元自身的安全模式，将远程认证服务器集中，不支持远程认证的采用本地认证方式。IDM系统部署到IT系统后，用户访问被管资源实际上要作两次认证，一次是登录IDM服务器（或SSO服务器），第二次是登录被管资源时，被管资源本身要求的认证。第二次认证由IDM系统（SSO服务器）代理完成。如果被管资源支持外部认证（路由器），则可以引入集中的认证服务器，如Radius，Tacks+认证服务器对于支持Web Service的标准协议的，采用IDM Portal/SSO生成令牌CookieHTTP POST（Token）对于被管资源本地认证，则IDM完成密码代添功能IDM主

15、要功能的实现模式授权管理IDM系统在自然人和被管资源之间建立访问授权关系，一般采用基于角色的访问控制技术（RBAC）对自然人帐号授权在RBAC框架下，IDM的授权涉及三个层次：一是角色授予自然人帐号，即自然人帐号授权；二是被管资源的从账号授予角色即角色授权；三是被管资源内部的从账号的授权，这有赖于被管资源内部的安全模式。IDM主要功能的实现模式访问控制自然人通过IDM系统对整个IT系统的登录过程理想的IDM模型，应该提供给用户统一的登录入口（IDM登录界面， IDM portal）用户登录IDM Portal后即可按照IDM设定的访问权限登录各IT组元，由IDM代理完成IT组元要求的登录认证过

16、程，包括密码代填或令牌（Key）的发放及统一认证用户所用的客户端可以智能的适应不同的访问对象的登录方式（如通过IE浏览器的插件实现智能客户端功能）访问控制的两个环节被管资源按照从账号的授权策略实施访问控制IDM系统也可实现访问控制，IDM Portal可以实现简单的访问控制通过堡垒主机组件可实施细粒度访问控制IDM主要功能的实现模式审计功能IDM系统自审计的内涵整个IDM系统整个管理过程的审计，包括帐号管理，从账号管理，授权过程，访问控制策略等等；用户对被管资源访问过程的审计，堡垒主机可以记录整个访问过程IDM系统的自审计信息应纳入整个安全审计系统中，通过综合的日志审计平台实现对IDM审计记录

17、、被管资源日志、网络审计记录的综合管理和审计分析。1.被管资源的纳入及纳入后的管理被管资源的纳入及纳入后的管理n包括资源从账号的收集、密码重置、认证方式重置，资源侧访问控制策略建立（从账号授权与），孤立账号的处理等。2.主账号的管理主账号的管理n主账号整个生命周期的管理，账号名、密码策略、认证方式、访问权限等的管理。3. 授权关系的建立，访问控制策略建立授权关系的建立，访问控制策略建立n涉及主账号、角色、资源从账号三个层次的授权，及堡垒主机和被管资源自身可执行的访问控制策略的建立。IDM系统涉及的工作流程4. 系统审计策略的建立系统审计策略的建立n涉及各被管资源自身审计功能开启和审计策略的建立、IDM各组件审计功能开启和审计策略的建立。5. 用户通过用户通过IDM访问被管资源访问被管资源n用户通过自然人账号登录IDM Portal，进而访问被管资源的过程，涉及两次认证过程，访问过程受控于IDM系统的堡垒主机和被管资源自身的访问控制功能。6. 审计信息的处理和响应审计信息的处理和响应n审计管理员通过集中的审计管理平台对IT系统及其运维操作进行审计分析和相关处理，形成审计分析报告。n1-4过程是IDM系统基本设置（系统初始化）过程涉及的若干环节，