時代億信UAP-G統一認證與訪問控制系統應用場景

1.1 UAP-G系統能做什麼？
    UAP-G系統能夠提供使用者網路訪問的訪問控制、認證和授權以及資源訪問日誌審計功能和三權分立的管理機制。

1.1.1 網路訪問的認證和授權
    針對使用者對網路資源的訪問，UAP-G系統採用分析網路包的形式，來發現使用者的目的，並對認證過的使用者進行帳號與IP、MAC的動態繫結，支援經過NAT裝置的主機訪問。

 
圖3-9 身份認證配置介面

 
圖3-10 網路資源授權管理介面

UAP-G系統的訪問認證和授權功能如下：
物理隔離受控資源
    UAP-G系統對所有協議的包過濾控制，以網橋的模式部署在使用者終端和資源系統之間。使用者在訪問資源系統前，必須先登入UAP-G使用者登入平臺；或者使用者在訪問WEB資源系統前，如果沒有認證的話，UAP-G系統會提示或自動重定向UAP-G使用者登入平臺。使用者在透過認證後，在使用者終端可啟動資源系統客戶端(Telnet/SSH、FTP、瀏覽器等)直接登入使用者被授權的資源系統，而不需要資源系統的登入認證。

安全穩固的身份驗證
    UAP-G系統的認證機制基於帳號 / 口令、PKI證書、Radius、LDAP等標準的協議和機制，在以上協議的基礎上，進行各種擴充套件和安全策略，保證使用者身份的唯一性。
在使用者身份認證方面，UAP-G系統可以配置各種認證源，可以將帳號口令以及PKI證書等人正方式進行擴充套件，支援多種認證源。

目前支援的認證源型別有：
第三方CA（X509）
LDAP / AD
Radius
SMTP（SMTP帳號驗證）
簡訊閘道器（簡訊驗證碼）

    除此之外，UAP-G系統還為使用者提供了基於SOAP、RADIUS、LDAP、NTLM、SOCKET等協議的認證介面；

準確的訪問授權
    UAP-G系統採用使用者、組對應角色的授權機制，管理員為角色設定好可以訪問的受控資源後，只需將使用者或組授予角色許可權，便完成了使用者的訪問授權工作，在以後的執行維護中，只需更改角色的授權資源便可和使用者所屬角色便可完成使用者的授權和修改工作。

    使用者在成功登入後，UAP-G系統將根據使用者的帳號進行動態繫結IP和MAC，以保證使用者身份的唯一性，杜絕重複登入。系統將在使用者每次登入前，動態設定該使用者的資源訪問許可權，使用者下線後，使用者所擁有的資源訪問策略自行消除。

    在資源設定上，UAP-G系統將C / S的受控資源進行了分類，方便使用者進行C / S單點訪問以及管理員調整資源策略。

1.1.2 日誌審計功能
    UAP-G系統透過分析網路包為使用者提供受控資源訪問控制服務，在使用者完成登入並獲得正確授權之後，UAP-G系統還將記錄使用者訪問受保護資源的日誌記錄。日誌中記錄了使用者名稱稱、使用者IP、使用者MAC地址、目的IP和目的埠以及訪問時間等主要資訊。

    審計管理員登入系統後，可對日誌進行查詢並匯出為Excel檔案，方便管理員利用Excel工具對日誌內容進行各種統計工作。
另外，對於UAP-G系統採用三權分立的授權機制，管理員對UAP-G系統所作的所有修改和系統自身發生的情況都會被記入日誌中，並且只有日誌審計管理員才可對日誌進行操作。

 
圖3-11 日誌審計介面

1.1.3 WEB資源的訪問控制管理
    UAP-G系統對WEB應用中的WEB資源即網頁進行授權管理。使用者訪問WEB資源時根據使用者和資源性質以及管理員設定的安全策略，判斷使用者對該WEB資源的訪問許可權，從而允許或拒絕該使用者的訪問請求。

    該種訪問控制對上層的應用是透明的，即上層的WEB應用不需要做任何改變，適合於任何型別的、已經建設完畢的應用和即將建設的WEB應用，只需要在WEB伺服器安裝一個安全代理即可。

 
圖3-12 WEB資源訪問控制配置介面

1.1.4 C/S資源的訪問控制管理
    在實際應用環境中，存在著大量的網路裝置（如路由器、交換機等）和主機伺服器（如Linux伺服器、UNIX伺服器等），維護和管理人員對這些裝置和伺服器的維護存在著很大的安全隱患。每個管理員都可以連線其他人負責的網路裝置，如果存在帳號共享的情況，便有可能出現權力不明，責任不清的問題。

    UAP-G系統將網路裝置和伺服器資源管理中，制定使用者可以訪問的網路資源，從網路層限制了使用者可以連線什麼地方，不可以連線什麼地方，實現了系統維護人員對網路裝置和伺服器訪問控制和認證授權。UAP-G系統採用多種可選方式對維護人員的身份進行認證，可以有效避免非法使用者的假冒；透過日誌審計功能，UAP-G系統能夠實現對使用者網路訪問的跟蹤，而日誌資訊的分析和挖掘，為安全事故的調查提供了一個很好的輔助工具。

1.1.5 細粒度的檔案訪問控制
    有些時候，我們的系統中會存在一些檔案共享伺服器，這些伺服器為不同的使用者提供檔案共享服務，其中不乏有些機密資料檔案，如各種工程、建築、機械裝置的圖紙或程式原始碼等，這些檔案和目錄以開放的形式共享在網路中，供不同的使用者使用。但隨著時間的推移，管理員的變更，對於數量眾多、型別各異、訪問許可權不同的各種檔案和目錄，單憑管理員的記錄和維護難免會造成一些疏漏。

    UAP-G系統為您提供基於“域訪問控制”的技術，對受控伺服器上的共享檔案進行基於“域授權”的細粒度訪問控制。管理員可以將其控制的力度精細到哪個人可以訪問哪個檔案的地步。對於數量眾多的檔案共享伺服器，管理員只需要在UAP-G系統中，透過簡單、方便的配置，便可對共享檔案和目錄進行精細的訪問控制。

 
圖3-13 細粒度檔案訪問控制

1.2 UAP-G系統應用場景
1.2.1 核心資料保護

 
圖3-14 核心資料保護現狀

    目前網路現狀如圖3-14所示，網路分為3個區域“使用者區”、“伺服器區”和“資料庫區”，其中“資料庫區域”中包含普通的業務資料庫和密級較高的核心資料。
普通的業務資料供各個伺服器訪問，同時允許普通管理員進行維護。

    核心資料只供高階人員使用，並允許個別高階管理員進行維護。
    在目前的情況下，針對核心資料庫的所有限制，完全依賴於核心資料伺服器的帳號機制或交換機或內網防火牆進行網路隔離。但是無論怎麼做，都有資料洩密的隱患。

 
圖3-15 核心資料保護解決方案

    根據上面的現狀，我們只需將UAP-G系統以透明網橋的形式部署在資料庫網段之前，即可將現有資料庫網段進行物力隔離，之後，可在UAP-G系統上配置隔離區內的伺服器訪問許可權，針對使用者的身份和等級來限制哪些使用者和管理員可以訪問核心資料庫，而其他業務資料庫等許可權較低的受保護資源，可開放較為寬泛的訪問許可權，甚至免認證，就像沒有UAP-G系統一樣。除了需要經過安全的身份認證過程之外，使用者不需要改變任何使用習慣，同時網路管理員也不需要大費周章的在各種網路裝置上為UAP-G系統進行過多的配置。

1.2.2 集中帳號管理

 
圖3-16 集中帳號管理現狀

    在大型網路中，主機和裝置永遠比管理員多，面對數以百計的網路裝置和不同的作業系統，記錄和維護主機帳號資訊就成了管理員們的噩夢，如何保管這些資訊？何況其中還有許多主機擁有較高的保密級別，寫在紙上？還是記錄在電腦裡？好像都不是很安全。

 
圖3-17 集中帳號管理解決方案

    透過旁路部署一臺UAP-G伺服器，管理員在訪問伺服器之前，到UAP-G系統上進行身份認證，成功後，便可在UAP-G系統的門戶頁面點選想要維護的伺服器，SSH、TELNET、SCP、SFTP等維護性的操作UAP-G系統都可以提供C/S單點登入。

    在獲得方便的同時，UAP-G系統還可約束管理員訪問各自許可權內的主機系統，無法越權操作。即使你擁有這臺伺服器的帳號口令，在未認證或認證後沒有獲得相應許可權的前提下，都不能透過網路對該主機進行任何操作。

1.2.3 訪問控制+細粒度域授權

 
圖3-18 細粒度域授權現狀

    在某些內網環境中，存在大量的檔案伺服器，這些檔案伺服器中有些用來儲存機密檔案、檔案、圖紙等重要資訊，管理員要麼透過網路配置限制這些主機的訪問範圍，或者透過AD域伺服器進行域授權。

    透過網路配置限制可訪問這些檔案伺服器的訪問範圍這種方式，在使用時人為漏洞較多，如某人潛入該網段，並且獲取了某人的域帳號資訊，那麼，這個人便可以輕易的獲得他所需要的任何檔案。

    即使排除了這些人為漏洞，管理員在維護域授權資訊和管理域主機時，面對數量眾多的主機、許可權的多對多關係時，仍然會感到頭痛。

 
圖3-19 細粒度域授權解決方案

    透過網橋連線或旁路形式部署一臺UAP-G伺服器，上述問題便可迎刃而解。
在網橋模式下，UAP-G系統將檔案伺服器物理隔離為安全訪問區，需要訪問這些檔案伺服器的主機或使用者，必須首先登入併成功進行身份認證及授權，否則，使用者根本無法以任何形式連線到後端的檔案伺服器上。

    同時，以網橋或旁路中任意模式進行部署的UAP-G系統，都可透過在檔案伺服器上部署簡單外掛，管理員便可輕鬆實現在UAP-G系統上對檔案伺服器進行的授權操作，該授權可精細到那個域使用者可以訪問那個檔案。