BIT8-4网络信息系统安全体系-IDM

1、网络内控之：统一身份管理孙建伟北京理工大学软件学院提纲局域网应应用模型型身份集中中管理的的需求Windows域集中中认证管管理一般局域域网系统统的IDM技术术方案主流产品品与解决决方案未来发展展:Webservice分布布式环境境下的集集中访问问控制局域网应应用模型型多个分立立的系统统和网络络设备多种数据据库系统统多个Web应用用系统多种网络络设备: 防火火墙,交交换机,路由器器,其它它安全设设备多种服务务器平台台:Windows,Unix局域网应应用模型型多个分立立的系统统和网络络设备不同的系系统平台台不同的客客户端独立维护护帐号独立的访访问控制制管理典型场景景：多服服务器，多用户户如果资源

2、源分布在在多台服服务器上上，要在在每台服服务器分分别为每每一员工工建立一一个账户户（共M*N），用户户则需要要在每台台服务器器上（共共M台）登录录局域网应应用模型型从用户、管理员员、应用用系统（信息资资源）三三方面看看存在的的问题用户M：帐号多多，不便便应用系统统N：自自主维护护访问控控制，泛泛泛的，难以适适应具体体的网络络环境要要求管理员：M*N较大时时帐号管理理，如何何实施全全生命周周期的管管理？权限管理理：如何何实施全全局安全全策略？用户名输入用户名/口令登录口令局域网环环境下管管理的需需求管理员工作人员员应用1应用2应用3棘手的问问题用户是否有太太多的密密码需要要记忆？作为系统统管理员

3、员，是否否需要花花费很多多的时间间去管理理用户帐帐号和访访问权限限？各部门管管理员需需要花费费多长时时间才能能为一个个新的用用户在所所有的应应用系统统中建立立账号？是否工工作重复复，效率率低下?员工离开开企业时时能否立立即停用用其在各各个应用用子系统统中的账账号？用户的详详细信息息在各个个系统中中是否一一致？添加新的的应用时时是否有有一致的的认证和和授权框框架可以以利用？如何满足足行业政政策规范范的要求求？是否可以以对企业业内应用用系统实实现监控控和跟踪踪？今天的企企业环境境其他应用人事系统财务系统邮件局域网PABXCRM员工客户IT管理员供应商合作伙伴伴移动用户户离职员工工如何为企业用户减少

4、需要记忆的密码？?如何让员工及客户安全的访问企业系统?如何缩短为新用户在各个系统中创建账号的时间?如何防止离开的员工仍能继续访问企业内系统?如何减少在管理用户帐号方面的花费?如何确保员工/客户能够访问到企业各个系统中最新的信息?如何对企业的应用系统进行审计?用户只需一个凭证只需一次登录应用系统信息资源整合信息统一标识规范和接口规范管理员信息的一致性集中管理安全保障体系用户管理统一的安全策略服务集中授权集中审计解决之道道统一认证证管理如果统一认证证管理1、集中统统一管理理用户、机构、角色、应用等等信息2、统一认认证，实实现单点点登录3、基于角角色的访访问控制制4、应用间间信息同同步和共共享5、安

5、全策策略和安安全管理理集中身份份管理：Windows域Windows域理念念Windows域管理理构成要要素域控制器器成员服务务器活动目录录认证协议议：Kerberos目录服务务：LDAPWindows域理念服务器和和用户的的计算机机都在同同一个域域中，用用户在域域中只要要拥有一一个账号号用户只需需要在域域中拥有有一个域域账户，只需要要在域中中登录一一次就可可以访问问域中的的资源了了。域中的服务器域控制器器（DomainController)启动ActiveDirectory域服务身份认证证目录服务务成员服务务器成员服务务器都信信任DC的身分验验证。保留本机机的帐户户数据库库,因此使用用者仍可

6、可利用这这些本机机帐户,登入该服服务器。对域的安安全管理理而言,这些本机机账户可可能会是是漏洞可加入AD域的工作站所有安装装以下操操作系统统,而且加入入域的计计算机都都算是工工作站Windows NT WorkstationWindows 2000ProfessionalWindows XP ProfessionalWindows 7/vista商用入门门版、商商用进阶阶版和旗旗舰版Windows 95 /98/Me、Windows XP家庭版、Windows 7家庭版也也都没有有加入域域的功能能。服务器角色转换换AD域认证协协议：KerberosAD目录服务务微软自Windows 2000S

7、erver开始提供供完整的的目录服服务,命名为AD（ActiveDirectory）目录服服务。AD目录与AD目录服务务遵循符符合X.500及LDAP规范AD对象包括括加入域域的服务务器和客客户端帐帐号，及及其详细细的权限限属性AD目录的架架构AD目录仍然然是以对对象组合合成树状状架构,不过却多多了域（Domain）对象。将一般般对象先先整合到到域中,再形成所所谓的域树（DomainTree）实现统一一认证和和单点登登录活动目录登录到Windows单一登录录到:Windows文件服务务器Windows Web应用程序序ExchangeemailSQLServerBizTalk Server其他

8、微软软应用程程序第三方集集成应用用程序ExchangeWeb 服务文件共享Windows 集成应用程序Windows域的局限限性实际的局局域网环环境不是是单一的的Windows域应应用环境境，存在在大量的的非Windows系系统服务器平平台：春春秋战国国局域网组组成成分分的多样样性：防火墙、路由器器 、各各类应用用系统DC域无无法解决决局域网网的统一一身份管管理问题题反而成了了麻烦IDM如如何集成成已经存存在的Windows域？一般局域域网系统统的IDM技术方案案需解决的的问题：集中认证证支持多种种客户端端主帐号与与从帐号号的问题题单点登录录集中授权权与访问问控制帐号、认认证、授授权和审审计审

9、计管理理各应用系系统都有有一套独独立的审计管理理；每个业务务系统及及数据库库都要分分别进行行审计缺乏集中中统一的的系统访访问审计计无法对应应用系统统进行综综合分析析授权管理理各应用系系统都独独立授权管理理随着用户户数量的的增加， 权限限管理任任务越来来越重；缺乏集中中统一资资源授权权管理帐号管理理各应用系系统都有有一套独独立的用户管理理；帐号及口口令四处处流传并并记录下下来有些帐号号多人共共用，未未授权的的访问较简单口口令或将将多系统统口令设设置相同同岗位变更更、离职职，帐号号仍在；多方人员员使用系系统，管管理复杂杂；认证管理理各应用系系统都独立认证缺乏控制制而不遵遵循安全全策略重复输密密码，

10、工工作效率率低；使用静态态口令,安全性低低IDM需求IDM建设需求求改变IT系统分立立管理的的局面，需建设设集中的的IDM系统实现现集中的的帐号管管理、统统一的登登录认证证、适度度集中的的访问控控制策略略和全面面综合的的运营维维护操作作审计；最终实现现对IT系统的可可知、可可控、可可管的集集中运维维操作IDM产品概述述概念：IDM系统包括括自然人人帐号管管理、诸诸多被管管资源接接口组件件、统一一认证组组件、访访问控制制组件等等构成的的系统，它介于于运营维维护人员员和被管管的IT系统之间间，对运运维人员员提供统统一的登登录入口口（Portal），由IDM系统代理理对诸多多网元的的登录、认证、访问

11、控控制和审审计。对对被管IT资源而言言，纳入入IDM管理后，原则上上即不能能被自然然人用户户直接访访问。这这个概念念的要点点是：IDM系统是一一系列组组件，协协同完成成集中帐帐号管理理（account），集中中认证（Authentication，IDMPortal的登录认认证），集中的的访问控控制授权权（Authorization），集中中的审计计（Audit）等功能能。IDM系统对运运维人员员提供统统一的登登录Portal，通过IDMPortal的认证，登录IDMPortal后，用户户即获得得访问被被管资源源的视图图和权限限，至少少从感受受上用户户可以直直接访问问获得授授权的资资源；用用户通

12、过过IDM进而登录录操作被被管资源源，整个个过程由由IDM系统和被被管资源源形成审审计记录录；被管资源源（如某某路由器器）纳入入IDM管理后，其自身身的帐号号管理、认证、访问控控制、审审计等功功能依然然不变，但可以以被IDM系统重置置，进而而其帐号号成为IDM系统的从从账号；IDM系统对被被管资源源应具有有系统管管理员的的权限；IDM系统架构构示意图图IDM产品概述述作为被管管资源的的分立系系统IDM要解决诸诸多分立立IT系统的集集中管理理的问题题在于，分立的的IT系统包括括主机、网络设设备、数数据库、应用系系统都有有自身的的安全模模式，包包括账号号管理、登录方方式、认认证方式式、访问问控制等

13、等功能的的实现。如windows系统支持持RDP登录方式式，支持持用户名名/密码方式式的身份份认证方方式和基基于域控控制器(DC)和Kerbrose协议的认认证模式式，系统统自身支支持DAC、MAC的访问控控制模式式；Unix系统支持持telnet/SSH等登录方方式，支支持用户户名/密码方式式的本地地身份认认证方式式和基于于Radius协议的认认证模式式；网络设备备一般支支持telnet/SSH的登录方方式，支支持用户户名/密码方式式的本地地身份认认证方式式和基于于Radius/Tacas+协议的认认证模式式；数据库系系统则支支持标准准SQL访问语言言，不同同的数据据库的ODBC实现不同同，

14、都支支持本地地用户名名/密码认证证，不同同数据库库的访问问控制强强度不同同（由此此划分不不同安全全等级的的数据库库）；C/S、B/S应用系统统安全模模式完全全独立设设计，B/S应用随着着WebService规范的发发展，其其安全模模式(包括认证证)逐渐标准准化，如如SOAP协议和SAML规范的采采用。IDM产品概述述作为被管管资源的的分立系系统IDM系统的实实现首先先建立在在上述原原有的IT组元的登登录、认认证、访访问控制制模式的的基础上上，实现现IDM功能自然人帐帐号的集集中管理理支持各种种登录方方式和登登录过程程中的认认证被管资源源的纳入入（从账账号收集集与重置置，登录录权限授授予自然然人

15、账号号，登录录过程统统一管理理）对自然人人帐号的的授权（被管资资源的访访问权）访问被管管资源前前的统一一认证包包括单点点登录，以及所所有环节节的审计计。IDM主要功能能的实现现模式自然人帐帐号管理理IDM系统提供供自然人人帐号的的集中管管理功能能，包括括帐号的的生命周周期管理理，对自自然人帐帐号的授授权，自自然人帐帐号登录录IDM系统的认认证。引入组管管理的技技术，降降低管理理成本采用基于于审批流流程的管管理在PKI体系下，引入数数字证书书的发放放管理IDM主要功能能的实现现模式两次认证证过程IDM系统纳入入被管IT组元，包包括主机机、网络络设备、数据库库、C/S及B/S应用系统统。其基基本模

16、式式是采用用(依赖)IT组元自身身的安全全模式，将远程程认证服服务器集集中，不不支持远远程认证证的采用用本地认认证方式式。IDM系统部署署到IT系统后，用户访访问被管管资源实实际上要要作两次次认证，一次是是登录IDM服务器（或SSO服务器），第二二次是登登录被管管资源时时，被管管资源本本身要求求的认证证。第二二次认证证由IDM系统（SSO服务器）代理完完成。如果被管管资源支支持外部部认证（路由器器），则则可以引引入集中中的认证证服务器器，如Radius，Tacks+认证服务务器对于支持持WebService的标准协协议的，采用IDMPortal/SSO生成令牌牌CookieHTTP POST（

17、Token）对于被管管资源本本地认证证，则IDM完成密码码代添功功能IDM主要功能能的实现现模式授权管理理IDM系统在自自然人和和被管资资源之间间建立访访问授权权关系，一般采采用基于于角色的的访问控控制技术术（RBAC）对自然然人帐号号授权在RBAC框架下，IDM的授权涉涉及三个个层次：一是角色色授予自自然人帐帐号，即即自然人人帐号授授权；二是被管管资源的的从账号号授予角角色即角角色授权权；三是被管管资源内内部的从从账号的的授权，这有赖赖于被管管资源内内部的安安全模式式。IDM主要功能能的实现现模式访问控制制自然人通通过IDM系统对整整个IT系统的登登录过程程理想的IDM模型，应应该提供供给用

18、户户统一的的登录入入口（IDM登录界面面，IDMportal）用户登录录IDMPortal后即可按按照IDM设定的访访问权限限登录各各IT组元，由由IDM代理完成成IT组元要求求的登录录认证过过程，包包括密码码代填或或令牌（Key）的发放放及统一一认证用户所用用的客户户端可以以智能的的适应不不同的访访问对象象的登录录方式（如通过过IE浏览器的的插件实实现智能能客户端端功能）访问控制制的两个个环节被管资源源按照从从账号的的授权策策略实施施访问控控制IDM系统也可可实现访访问控制制，IDMPortal可以实现现简单的的访问控控制通过堡垒垒主机组组件可实实施细粒粒度访问问控制IDM主要功能能的实现现

19、模式审计功能能IDM系统自审审计的内内涵整个IDM系统整个个管理过过程的审审计，包包括帐号号管理，从账号号管理，授权过过程，访访问控制制策略等等等；用户对被被管资源源访问过过程的审审计，堡堡垒主机机可以记记录整个个访问过过程IDM系统的自自审计信信息应纳纳入整个个安全审审计系统统中，通通过综合合的日志志审计平平台实现现对IDM审计记录录、被管管资源日日志、网网络审计计记录的的综合管管理和审审计分析析。1.被管资源源的纳入入及纳入入后的管管理包括资源源从账号号的收集集、密码码重置、认证方方式重置置，资源源侧访问问控制策策略建立立（从账账号授权权与），孤立账账号的处处理等。2.主账号的的管理主账号整整个生命命周期的的管理，账号名名、密码码策略、认证方方式、访访问权限限等的管管理。3.授权关系系的建立立，访问问控制策策略建立立涉及主账账号、角角色、资资源从账账号三个个层次的的授权，及堡垒垒主机和和被管