時代億信UAP-G統一認證與訪問控制系統應用場景
1.1 UAP-G系統能做什麼?
UAP-G系統能夠提供使用者網路訪問的訪問控制、認證和授權以及資源訪問日誌審計功能和三權分立的管理機制。
1.1.1 網路訪問的認證和授權
針對使用者對網路資源的訪問,UAP-G系統採用分析網路包的形式,來發現使用者的目的,並對認證過的使用者進行帳號與IP、MAC的動態繫結,支援經過NAT裝置的主機訪問。
圖3-9 身份認證配置介面
圖3-10 網路資源授權管理介面
UAP-G系統的訪問認證和授權功能如下:
物理隔離受控資源
UAP-G系統對所有協議的包過濾控制,以網橋的模式部署在使用者終端和資源系統之間。使用者在訪問資源系統前,必須先登入UAP-G使用者登入平臺;或者使用者在訪問WEB資源系統前,如果沒有認證的話,UAP-G系統會提示或自動重定向UAP-G使用者登入平臺。使用者在透過認證後,在使用者終端可啟動資源系統客戶端(Telnet/SSH、FTP、瀏覽器等)直接登入使用者被授權的資源系統,而不需要資源系統的登入認證。
安全穩固的身份驗證
UAP-G系統的認證機制基於帳號 / 口令、PKI證書、Radius、LDAP等標準的協議和機制,在以上協議的基礎上,進行各種擴充套件和安全策略,保證使用者身份的唯一性。
在使用者身份認證方面,UAP-G系統可以配置各種認證源,可以將帳號口令以及PKI證書等人正方式進行擴充套件,支援多種認證源。
目前支援的認證源型別有:
第三方CA(X509)
LDAP / AD
Radius
SMTP(SMTP帳號驗證)
簡訊閘道器(簡訊驗證碼)
除此之外,UAP-G系統還為使用者提供了基於SOAP、RADIUS、LDAP、NTLM、SOCKET等協議的認證介面;
準確的訪問授權
UAP-G系統採用使用者、組對應角色的授權機制,管理員為角色設定好可以訪問的受控資源後,只需將使用者或組授予角色許可權,便完成了使用者的訪問授權工作,在以後的執行維護中,只需更改角色的授權資源便可和使用者所屬角色便可完成使用者的授權和修改工作。
使用者在成功登入後,UAP-G系統將根據使用者的帳號進行動態繫結IP和MAC,以保證使用者身份的唯一性,杜絕重複登入。系統將在使用者每次登入前,動態設定該使用者的資源訪問許可權,使用者下線後,使用者所擁有的資源訪問策略自行消除。
在資源設定上,UAP-G系統將C / S的受控資源進行了分類,方便使用者進行C / S單點訪問以及管理員調整資源策略。
1.1.2 日誌審計功能
UAP-G系統透過分析網路包為使用者提供受控資源訪問控制服務,在使用者完成登入並獲得正確授權之後,UAP-G系統還將記錄使用者訪問受保護資源的日誌記錄。日誌中記錄了使用者名稱稱、使用者IP、使用者MAC地址、目的IP和目的埠以及訪問時間等主要資訊。
審計管理員登入系統後,可對日誌進行查詢並匯出為Excel檔案,方便管理員利用Excel工具對日誌內容進行各種統計工作。
另外,對於UAP-G系統採用三權分立的授權機制,管理員對UAP-G系統所作的所有修改和系統自身發生的情況都會被記入日誌中,並且只有日誌審計管理員才可對日誌進行操作。
圖3-11 日誌審計介面
1.1.3 WEB資源的訪問控制管理
UAP-G系統對WEB應用中的WEB資源即網頁進行授權管理。使用者訪問WEB資源時根據使用者和資源性質以及管理員設定的安全策略,判斷使用者對該WEB資源的訪問許可權,從而允許或拒絕該使用者的訪問請求。
該種訪問控制對上層的應用是透明的,即上層的WEB應用不需要做任何改變,適合於任何型別的、已經建設完畢的應用和即將建設的WEB應用,只需要在WEB伺服器安裝一個安全代理即可。
圖3-12 WEB資源訪問控制配置介面
1.1.4 C/S資源的訪問控制管理
在實際應用環境中,存在著大量的網路裝置(如路由器、交換機等)和主機伺服器(如Linux伺服器、UNIX伺服器等),維護和管理人員對這些裝置和伺服器的維護存在著很大的安全隱患。每個管理員都可以連線其他人負責的網路裝置,如果存在帳號共享的情況,便有可能出現權力不明,責任不清的問題。
UAP-G系統將網路裝置和伺服器資源管理中,制定使用者可以訪問的網路資源,從網路層限制了使用者可以連線什麼地方,不可以連線什麼地方,實現了系統維護人員對網路裝置和伺服器訪問控制和認證授權。UAP-G系統採用多種可選方式對維護人員的身份進行認證,可以有效避免非法使用者的假冒;透過日誌審計功能,UAP-G系統能夠實現對使用者網路訪問的跟蹤,而日誌資訊的分析和挖掘,為安全事故的調查提供了一個很好的輔助工具。
1.1.5 細粒度的檔案訪問控制
有些時候,我們的系統中會存在一些檔案共享伺服器,這些伺服器為不同的使用者提供檔案共享服務,其中不乏有些機密資料檔案,如各種工程、建築、機械裝置的圖紙或程式原始碼等,這些檔案和目錄以開放的形式共享在網路中,供不同的使用者使用。但隨著時間的推移,管理員的變更,對於數量眾多、型別各異、訪問許可權不同的各種檔案和目錄,單憑管理員的記錄和維護難免會造成一些疏漏。
UAP-G系統為您提供基於“域訪問控制”的技術,對受控伺服器上的共享檔案進行基於“域授權”的細粒度訪問控制。管理員可以將其控制的力度精細到哪個人可以訪問哪個檔案的地步。對於數量眾多的檔案共享伺服器,管理員只需要在UAP-G系統中,透過簡單、方便的配置,便可對共享檔案和目錄進行精細的訪問控制。
圖3-13 細粒度檔案訪問控制
1.2 UAP-G系統應用場景
1.2.1 核心資料保護
圖3-14 核心資料保護現狀
目前網路現狀如圖3-14所示,網路分為3個區域“使用者區”、“伺服器區”和“資料庫區”,其中“資料庫區域”中包含普通的業務資料庫和密級較高的核心資料。
普通的業務資料供各個伺服器訪問,同時允許普通管理員進行維護。
核心資料只供高階人員使用,並允許個別高階管理員進行維護。
在目前的情況下,針對核心資料庫的所有限制,完全依賴於核心資料伺服器的帳號機制或交換機或內網防火牆進行網路隔離。但是無論怎麼做,都有資料洩密的隱患。
圖3-15 核心資料保護解決方案
根據上面的現狀,我們只需將UAP-G系統以透明網橋的形式部署在資料庫網段之前,即可將現有資料庫網段進行物力隔離,之後,可在UAP-G系統上配置隔離區內的伺服器訪問許可權,針對使用者的身份和等級來限制哪些使用者和管理員可以訪問核心資料庫,而其他業務資料庫等許可權較低的受保護資源,可開放較為寬泛的訪問許可權,甚至免認證,就像沒有UAP-G系統一樣。除了需要經過安全的身份認證過程之外,使用者不需要改變任何使用習慣,同時網路管理員也不需要大費周章的在各種網路裝置上為UAP-G系統進行過多的配置。
1.2.2 集中帳號管理
圖3-16 集中帳號管理現狀
在大型網路中,主機和裝置永遠比管理員多,面對數以百計的網路裝置和不同的作業系統,記錄和維護主機帳號資訊就成了管理員們的噩夢,如何保管這些資訊?何況其中還有許多主機擁有較高的保密級別,寫在紙上?還是記錄在電腦裡?好像都不是很安全。
圖3-17 集中帳號管理解決方案
透過旁路部署一臺UAP-G伺服器,管理員在訪問伺服器之前,到UAP-G系統上進行身份認證,成功後,便可在UAP-G系統的門戶頁面點選想要維護的伺服器,SSH、TELNET、SCP、SFTP等維護性的操作UAP-G系統都可以提供C/S單點登入。
在獲得方便的同時,UAP-G系統還可約束管理員訪問各自許可權內的主機系統,無法越權操作。即使你擁有這臺伺服器的帳號口令,在未認證或認證後沒有獲得相應許可權的前提下,都不能透過網路對該主機進行任何操作。
1.2.3 訪問控制+細粒度域授權
圖3-18 細粒度域授權現狀
在某些內網環境中,存在大量的檔案伺服器,這些檔案伺服器中有些用來儲存機密檔案、檔案、圖紙等重要資訊,管理員要麼透過網路配置限制這些主機的訪問範圍,或者透過AD域伺服器進行域授權。
透過網路配置限制可訪問這些檔案伺服器的訪問範圍這種方式,在使用時人為漏洞較多,如某人潛入該網段,並且獲取了某人的域帳號資訊,那麼,這個人便可以輕易的獲得他所需要的任何檔案。
即使排除了這些人為漏洞,管理員在維護域授權資訊和管理域主機時,面對數量眾多的主機、許可權的多對多關係時,仍然會感到頭痛。
圖3-19 細粒度域授權解決方案
透過網橋連線或旁路形式部署一臺UAP-G伺服器,上述問題便可迎刃而解。
在網橋模式下,UAP-G系統將檔案伺服器物理隔離為安全訪問區,需要訪問這些檔案伺服器的主機或使用者,必須首先登入併成功進行身份認證及授權,否則,使用者根本無法以任何形式連線到後端的檔案伺服器上。
同時,以網橋或旁路中任意模式進行部署的UAP-G系統,都可透過在檔案伺服器上部署簡單外掛,管理員便可輕鬆實現在UAP-G系統上對檔案伺服器進行的授權操作,該授權可精細到那個域使用者可以訪問那個檔案。
UAP-G系統能夠提供使用者網路訪問的訪問控制、認證和授權以及資源訪問日誌審計功能和三權分立的管理機制。
1.1.1 網路訪問的認證和授權
針對使用者對網路資源的訪問,UAP-G系統採用分析網路包的形式,來發現使用者的目的,並對認證過的使用者進行帳號與IP、MAC的動態繫結,支援經過NAT裝置的主機訪問。
圖3-9 身份認證配置介面
圖3-10 網路資源授權管理介面
UAP-G系統的訪問認證和授權功能如下:
物理隔離受控資源
UAP-G系統對所有協議的包過濾控制,以網橋的模式部署在使用者終端和資源系統之間。使用者在訪問資源系統前,必須先登入UAP-G使用者登入平臺;或者使用者在訪問WEB資源系統前,如果沒有認證的話,UAP-G系統會提示或自動重定向UAP-G使用者登入平臺。使用者在透過認證後,在使用者終端可啟動資源系統客戶端(Telnet/SSH、FTP、瀏覽器等)直接登入使用者被授權的資源系統,而不需要資源系統的登入認證。
安全穩固的身份驗證
UAP-G系統的認證機制基於帳號 / 口令、PKI證書、Radius、LDAP等標準的協議和機制,在以上協議的基礎上,進行各種擴充套件和安全策略,保證使用者身份的唯一性。
在使用者身份認證方面,UAP-G系統可以配置各種認證源,可以將帳號口令以及PKI證書等人正方式進行擴充套件,支援多種認證源。
目前支援的認證源型別有:
第三方CA(X509)
LDAP / AD
Radius
SMTP(SMTP帳號驗證)
簡訊閘道器(簡訊驗證碼)
除此之外,UAP-G系統還為使用者提供了基於SOAP、RADIUS、LDAP、NTLM、SOCKET等協議的認證介面;
準確的訪問授權
UAP-G系統採用使用者、組對應角色的授權機制,管理員為角色設定好可以訪問的受控資源後,只需將使用者或組授予角色許可權,便完成了使用者的訪問授權工作,在以後的執行維護中,只需更改角色的授權資源便可和使用者所屬角色便可完成使用者的授權和修改工作。
使用者在成功登入後,UAP-G系統將根據使用者的帳號進行動態繫結IP和MAC,以保證使用者身份的唯一性,杜絕重複登入。系統將在使用者每次登入前,動態設定該使用者的資源訪問許可權,使用者下線後,使用者所擁有的資源訪問策略自行消除。
在資源設定上,UAP-G系統將C / S的受控資源進行了分類,方便使用者進行C / S單點訪問以及管理員調整資源策略。
1.1.2 日誌審計功能
UAP-G系統透過分析網路包為使用者提供受控資源訪問控制服務,在使用者完成登入並獲得正確授權之後,UAP-G系統還將記錄使用者訪問受保護資源的日誌記錄。日誌中記錄了使用者名稱稱、使用者IP、使用者MAC地址、目的IP和目的埠以及訪問時間等主要資訊。
審計管理員登入系統後,可對日誌進行查詢並匯出為Excel檔案,方便管理員利用Excel工具對日誌內容進行各種統計工作。
另外,對於UAP-G系統採用三權分立的授權機制,管理員對UAP-G系統所作的所有修改和系統自身發生的情況都會被記入日誌中,並且只有日誌審計管理員才可對日誌進行操作。
圖3-11 日誌審計介面
1.1.3 WEB資源的訪問控制管理
UAP-G系統對WEB應用中的WEB資源即網頁進行授權管理。使用者訪問WEB資源時根據使用者和資源性質以及管理員設定的安全策略,判斷使用者對該WEB資源的訪問許可權,從而允許或拒絕該使用者的訪問請求。
該種訪問控制對上層的應用是透明的,即上層的WEB應用不需要做任何改變,適合於任何型別的、已經建設完畢的應用和即將建設的WEB應用,只需要在WEB伺服器安裝一個安全代理即可。
圖3-12 WEB資源訪問控制配置介面
1.1.4 C/S資源的訪問控制管理
在實際應用環境中,存在著大量的網路裝置(如路由器、交換機等)和主機伺服器(如Linux伺服器、UNIX伺服器等),維護和管理人員對這些裝置和伺服器的維護存在著很大的安全隱患。每個管理員都可以連線其他人負責的網路裝置,如果存在帳號共享的情況,便有可能出現權力不明,責任不清的問題。
UAP-G系統將網路裝置和伺服器資源管理中,制定使用者可以訪問的網路資源,從網路層限制了使用者可以連線什麼地方,不可以連線什麼地方,實現了系統維護人員對網路裝置和伺服器訪問控制和認證授權。UAP-G系統採用多種可選方式對維護人員的身份進行認證,可以有效避免非法使用者的假冒;透過日誌審計功能,UAP-G系統能夠實現對使用者網路訪問的跟蹤,而日誌資訊的分析和挖掘,為安全事故的調查提供了一個很好的輔助工具。
1.1.5 細粒度的檔案訪問控制
有些時候,我們的系統中會存在一些檔案共享伺服器,這些伺服器為不同的使用者提供檔案共享服務,其中不乏有些機密資料檔案,如各種工程、建築、機械裝置的圖紙或程式原始碼等,這些檔案和目錄以開放的形式共享在網路中,供不同的使用者使用。但隨著時間的推移,管理員的變更,對於數量眾多、型別各異、訪問許可權不同的各種檔案和目錄,單憑管理員的記錄和維護難免會造成一些疏漏。
UAP-G系統為您提供基於“域訪問控制”的技術,對受控伺服器上的共享檔案進行基於“域授權”的細粒度訪問控制。管理員可以將其控制的力度精細到哪個人可以訪問哪個檔案的地步。對於數量眾多的檔案共享伺服器,管理員只需要在UAP-G系統中,透過簡單、方便的配置,便可對共享檔案和目錄進行精細的訪問控制。
圖3-13 細粒度檔案訪問控制
1.2 UAP-G系統應用場景
1.2.1 核心資料保護
圖3-14 核心資料保護現狀
目前網路現狀如圖3-14所示,網路分為3個區域“使用者區”、“伺服器區”和“資料庫區”,其中“資料庫區域”中包含普通的業務資料庫和密級較高的核心資料。
普通的業務資料供各個伺服器訪問,同時允許普通管理員進行維護。
核心資料只供高階人員使用,並允許個別高階管理員進行維護。
在目前的情況下,針對核心資料庫的所有限制,完全依賴於核心資料伺服器的帳號機制或交換機或內網防火牆進行網路隔離。但是無論怎麼做,都有資料洩密的隱患。
圖3-15 核心資料保護解決方案
根據上面的現狀,我們只需將UAP-G系統以透明網橋的形式部署在資料庫網段之前,即可將現有資料庫網段進行物力隔離,之後,可在UAP-G系統上配置隔離區內的伺服器訪問許可權,針對使用者的身份和等級來限制哪些使用者和管理員可以訪問核心資料庫,而其他業務資料庫等許可權較低的受保護資源,可開放較為寬泛的訪問許可權,甚至免認證,就像沒有UAP-G系統一樣。除了需要經過安全的身份認證過程之外,使用者不需要改變任何使用習慣,同時網路管理員也不需要大費周章的在各種網路裝置上為UAP-G系統進行過多的配置。
1.2.2 集中帳號管理
圖3-16 集中帳號管理現狀
在大型網路中,主機和裝置永遠比管理員多,面對數以百計的網路裝置和不同的作業系統,記錄和維護主機帳號資訊就成了管理員們的噩夢,如何保管這些資訊?何況其中還有許多主機擁有較高的保密級別,寫在紙上?還是記錄在電腦裡?好像都不是很安全。
圖3-17 集中帳號管理解決方案
透過旁路部署一臺UAP-G伺服器,管理員在訪問伺服器之前,到UAP-G系統上進行身份認證,成功後,便可在UAP-G系統的門戶頁面點選想要維護的伺服器,SSH、TELNET、SCP、SFTP等維護性的操作UAP-G系統都可以提供C/S單點登入。
在獲得方便的同時,UAP-G系統還可約束管理員訪問各自許可權內的主機系統,無法越權操作。即使你擁有這臺伺服器的帳號口令,在未認證或認證後沒有獲得相應許可權的前提下,都不能透過網路對該主機進行任何操作。
1.2.3 訪問控制+細粒度域授權
圖3-18 細粒度域授權現狀
在某些內網環境中,存在大量的檔案伺服器,這些檔案伺服器中有些用來儲存機密檔案、檔案、圖紙等重要資訊,管理員要麼透過網路配置限制這些主機的訪問範圍,或者透過AD域伺服器進行域授權。
透過網路配置限制可訪問這些檔案伺服器的訪問範圍這種方式,在使用時人為漏洞較多,如某人潛入該網段,並且獲取了某人的域帳號資訊,那麼,這個人便可以輕易的獲得他所需要的任何檔案。
即使排除了這些人為漏洞,管理員在維護域授權資訊和管理域主機時,面對數量眾多的主機、許可權的多對多關係時,仍然會感到頭痛。
圖3-19 細粒度域授權解決方案
透過網橋連線或旁路形式部署一臺UAP-G伺服器,上述問題便可迎刃而解。
在網橋模式下,UAP-G系統將檔案伺服器物理隔離為安全訪問區,需要訪問這些檔案伺服器的主機或使用者,必須首先登入併成功進行身份認證及授權,否則,使用者根本無法以任何形式連線到後端的檔案伺服器上。
同時,以網橋或旁路中任意模式進行部署的UAP-G系統,都可透過在檔案伺服器上部署簡單外掛,管理員便可輕鬆實現在UAP-G系統上對檔案伺服器進行的授權操作,該授權可精細到那個域使用者可以訪問那個檔案。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10098689/viewspace-1145922/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 時代億信UAP-S統一認證與訪問控制系統應用場景
- 時代億信統一認證與訪問控制功能簡介
- 時代億信統一認證系統軍工單位應用案例
- 時代億信統一認證及使用者管理系統在河北司法成功應用
- 時代億信SpotFront WLAN無線認證系統產品
- 時代億信SID強身份認證系統白皮書
- 時代億信承接青島政法委統一認證專案
- 時代億信證書管理系統功能簡介
- 時代億信檔案共享訪問控制閘道器概述
- 訪問許可權控制系統|全方位認識 mysql 系統庫訪問許可權MySql
- 直播+的黃金時代,電商直播系統的應用場景和特色
- 容器編排系統K8s之訪問控制--使用者認證K8S
- 時代億信安全保密郵件系統白皮書
- 【應用場景】AISWare AIDB 亞信資料庫在多省份計費系統應用案例AI資料庫
- 如何選擇版本控制系統之二---Git的研發應用場景Git
- 時代億信統一使用者管理平臺在某集團公司的應用
- 圖解設計模式:身份認證場景的應用圖解設計模式
- python應用系統訪問瀚高庫Python
- 時代億信統一使用者管理平臺概述
- Google啟用年齡查證系統 控制成人內容訪問許可權Go訪問許可權
- 時代億信文件安全管理系統成功部署青海電信
- Linux系統各個版本具體應用場景!Linux
- 綠盟科技日誌審計系統與統信軟體UOS完成產品互認證
- RHCE7認證學習筆記15——訪問檔案系統筆記
- 國密在車聯網安全認證場景中的應用
- 智和網管平臺與統信作業系統完成認證 強力支撐信創國產替代程式作業系統
- 基於角色管理的系統訪問控制
- TUV南德專家解析"自適應物理安全與資訊保安系統"應用場景
- 作業系統認證與ORACLE密碼檔案認證方式作業系統Oracle密碼
- Linux系統各個版本具體應用場景合集!Linux
- 認證系統之登入認證系統的進階使用 (二)
- 統一身份認證系統的簡單看法
- 資訊系統的場景與形象描述
- CRM管理系統的應用場景——四大作用解析
- sso與spring security整合 預認證場景 PreAuthenticatedSpring
- 時代億信安全公務郵件應用淺析
- 美創科技全新發布API安全監測與訪問控制系統API
- 禁用作業系統認證作業系統