DigitalTrust资源控制安全平台

1、DigitalTrust资源访问控制平安平台李忠献(天津市国瑞数码平安系统天津300052)DigitalTrust资源访问控制平安平台1背【|ll要】针对目前大局部企事业单位的信息系统建设,尤其是在大型企业单位和电子政务信息化建设方面存在的急待解决的平安问题,研究开发了DigitalTrust资源访问控制平安平台,可以对多种业务系统设备服务器数据库进行统一集中的账号管理认证授权和审计.该平台具有提高用户工作效率,减轻管理员工作负担,增强信息系统的平安性等优点,应用领域广泛.【关冀词DigitalTrust资源访问平安随着企事业单位信息系统建设的迅速开展,信息应用系统的种类不断增多,其应用功能

2、也在不断地增强.勿庸置疑,信息化带来了劳动生产率的大大提高,加强了企事业单位的管理力度,杜绝了由于人工管理出现的一些漏洞,有力地促进了国民经济的开展.随着传统的各类业务逐步转移到网络中来,必然出现越来越多的业务系统种类,不同时期建设的业务系统可能由不同厂家承当与开发.由于不同厂家对于网络平安方面的认识和研发能力不同,加之用户对于网络平安认识和需求的变化,不同时期建设的业务和应用系统可能采用了并不相同的系统平安策略.目前,大局部企事业单位的信息系统建设,尤其是在大型企业单位和电子政务信息化建设方面,存在着如下几方面急待解决的关键平安问题.1.1缺乏集中用户账号管理机制企事业单位信息系统中有大量的

3、网络设备,主机和应收稿日期:2007一O625用系统,分别属于不同的专业人员管理;账号繁多,管理困难,管理本钱较高;对于离职或者工作岗位变更的用户,很难干净彻底地删除或者禁止相应账号,容易产生无主账号或者容易发生平安问题:当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加.1.2缺乏集中统一的用户身份认证机制用户身份认证是建立平安应用系统的第一道防线,各类业务系统和设备管理的用户身份认证各自为政,互不相同,其认证的方式呈现多样化,用户登录不同的业务系统可能采用完全不同的登录方式,管理员对于用户的管理在后台是分散的.1.3缺乏集中统一的资源访问授权机制各种业务系统对于资源的授权访问方式不同

4、,资源访问授权分散于各类业务系统中,缺乏集中的资源访问授权,使得管理员对于配置细粒度资源访问以及授权往往感到力不从心.1.4缺乏集中统一的日志审计机制同样,系统资源的访问日志以及系统资源的关键操作审计信息也是分散的,使得管理员对于系统平安事件的分析和追踪变得十分复杂.现在企业的开展面临更大的机遇,需要大量的资金注入.在2006年下半年我们找到了农发行,但由于上一次融资方案的不缜密,使得我们没有任何多余的资产进行这次抵押,银行无法放贷.企业的开展一时间陷入了困境,这种情况一直持续了将近半年的时间.此时,成果转化中心的帮助使我场又重获了生机.天津市成果转化中心融资部部长邵龙江针对我们的具体情况,制

5、作出了一份能够使企16业和金融机构实现双赢的融资方案,即利用我场以前在银行的信用进行评级,满足银行的放贷条件,在无抵押物,无担保的情况下获得共计3000万元的贷款.未来,我们要更加利用好自己所拥有的高新技术和优质产品,为建设社会主义新农村效劳,带动农民致富,不辜负各级领导对我们的帮助和厚爱!技队NJINsclmz0m1-m0工z05o,1.5缺乏单点登录机制当一个用户需要操作多种不同的业务系统时,用户需要采用不同的登录方式进行屡次登录,可能需要记忆多个不同的登录口令.1.6对于不同用户难于划分其权限管理域以电子政务信息系统为例,信息系统的用户可能包括“系统管理员用户,业务系统用户,同级单位用户

6、,“系统开发商用户等,因为没有集中统一的认证,授权和审计机制,管理员难以对诸多不同的用户按照权限管理域进行合理划分,从而难以实施有效的管理措施和手段.2DigitalTrust资源访问控制平安平台研究情况2.1系统概述DigitalTrust可以对多种业务系统设备效劳器数据库进行统一集中的账号管理认证授权和审计,为上层应用提供底层的应用平安根底平台.21.1账号管理DigitalTrust为用户提供统一集中的账号管理,支持管理各种类型的操作系统,网络设备和符合条件的应用系统;系统能够自动发现主机,网络设备上的已有账号.可以定期或手动触发,自动搜索所有被管理的系统,从中发现,收集所有新创立的账号

7、:用户可以通过该平台设定密码策略,包括密码强度,生存周期等,并且能够将结果自动同步到所有被管理系统中.2.1.2认证管理DigitalTrust可以根据用户应用的实际需要,提供高强度的身份认证(一次性口令数字证书和指纹识别等生物认证),并为用户提供统一企业门户,实现企业信息的集中展现,支持界面统一访问,为公司员工提供平安,统一的信息系统入口,表达公司整体形象:结合数据仓库,数据挖掘技术,通过对数据的分析和挖掘,在企业门户上进行信息的展现,实现高层次的应用需求,提供辅助决策支持.21.3权限管理DigitalTrust可以对用户的资源访问权限进行集中控制.它既可以控制用户对WEB网页的访问权限,

8、也可以控制用户对系统功能(例如功能按钮功能菜单等)的访问权限.DigitalTrust还可以实现对数据库的字段级(即不同的用户对数据库表的某些字段具有不同的访问权限)和记录级访问控制(即不同的用户能够访问的数据库记录不同).DigitalTrust对主机设备的授权粒度包括:限制设备lP地址,限制设备lP地址段,限制端口,限制访问文件/目录,定制用户在目标主机上的权限和限制可用Shell命令/可执行程序等.对网络设备的授权粒度包括:访问的设备地址,以管理员身份进行管理,规定是特权用户和定制可用命令集等.21.4审计管理DigitalTrust还提供了日志的集中审计.DigitalTrust将用户

9、所有的操作日志集中记录管理和分析,便于对用户行为进行监控,并可以根据审计日志追PA盯THREE:新技市中.平台还提供网络设备效劳器主机的单点登录功能,用户登录一台主机或者网络设备后,不用再次认证,就可以访问自己所管辖内的所有设备:效劳器主机和数据库管理员必须经过DigitalTrust的身份认证才能够登录进行系统维护,有效遏制了非法用户登录并从事恶意行为的情况:而DigitalTrust对管理员的维护命令操作进行了限制,不同的管理员具有不同的可操作命令集.同样的,DigitialTrust也会对管理员的登录和命令操作进行详细的日志记录.2.2系统结构和原理2.2.1系统结构图1(Digital

10、Trust系统)(A效劳器对用户的授权信息进行处理,对用户做统一的鉴权管理;对用户账号进行统一维护管理:对用户登录应用系统,主机,网络设备等进行统一认证:对用户操作行为进行集中审计.DB/LDAP存储所有关于用户组,资源,应用,认证和访问控制规那么等信息:支持LDAP,RADIUS,WindowsActiveDirectory和本地信息库等;通过扩展接口,与用户合作集成现有的应用系统身份信息数据库作为应用软件系统的用户数据库.平安代理&API完成账号等资源信息的收集:完成账号等信息的维护管理;将用户认证信息发送到4A效劳器进行集中身份认证,并接收4A效劳器的认证结果和对应的用户

11、权限信息;截获用户操作,进行访问控制,并转发给4A效劳器,实现集中审计.客户端软件负责用户与平安代理以及4A的通信,客户端软件向平安代理提交用户身份,用户访问的资源等,客户端软件和平安代理之间的通信是加密进行的.管理效劳器对整个系统包括单点登录效劳器,数据库等进行管理.17一-r一>,亡一zomzom-rmo工一的安库的据计数审和和机权主授错训服.,理,将中责集故l_到事入全D纳安也究制z0L(uo,PA盯THREE:/4新技市资源.2.3DigitalTrust可管理的资源2.3.1B/s模式应用系统DigitalTrust支持多种WEB效劳器平台,如果只对URL或者文件进行访

12、问控制,WEB业务系统不需要做任何更改;如果需要对数据库的记录或者字段进行访问控制,WEB业务系统需要做简单的二次开发工作,DigitalTrust提供AP1支持.2.3.2C/s模式应用系统DigitalTrust提供对C/S模式应用系统的认证授权审计的支持,但是需要二次开发,DigitalTrust提供二次开发的AP1支持.2.3.3网络设备的访问管理DigitalTrust提供对网络设备的统一管理和维护,这些设备包括交换机,路由器,防火墙等.2.3.4效劳器主机的访问管理DigitalTrust提供对主机效劳器的统一管理和维护,这些效劳器包括UNIX平台服务器,Linux主机效劳器等.2

13、.3.5数据库效劳器的访问管理DigitalTrust提供对数据库效劳器的统一管理和维护,数据库类型包括Oracle,Sybase,MicrosoftSqlSerer等.2.4DigitalTrust的特点支持多层结构的认证授权审计机制;各个业务点建立相对独立的用户认证授权审计系统支持口令认证和基于数字证书的认证等多种认证方式;完善的用户,组,域管理结构:基于应用角色的资源授权管理i基于管理员角色的管理员权限配置;实现系统的集中认证授权和审计;实现全网的单点登录功能(SS0)支持基于B/S结构和c/S结构的各种应用,和业务系统进行无缝整合;具有用户全网18漫游功能,支持移动办公;支持设备的平安

14、集中管理.3DigitialTrust实施效果企事业单位部署4A平台后,把企事业单位的各种应用系统账号管理,权限管理,身份认证,审计管理统一到4A平台上,通过集中实施用户账号管理策略,认证管理策略,权限管理策略,审计管理策略,实现企事业单位信息系统管理的整体平安,促进企业应用集成(EIA),消除信息“孤岛,简化维护管理工作,降低企业信息系统运维本钱.3.1提高用户的工作效率将企事业单位各应用系统的账号管理和认证管理整合到4A平台,用户只需要一次登录就可以访问自己权限内的所有信息系统,从而简化了操作,提高了效率.3.2减轻管理员的工作负担管理人员通过一个管理界面,就可以实现对信息系统中所有账号,权限信息,审计信息等进行集中管理,从而简化了操作,提高了管理效率,减轻了工作负担.3.3增强信息系统的平安性所有用户登录业务系统/主机/网络设备/数据库都需要通过4A平台进行访问控制,平安策略集中管理,消除了木桶效应,从而提高了信息系统的总体平安性.3.4促进企业资源的统一规划和管理在生产,经营,管理等各环节实现数据共享,流程互通,门户集成的目标,通过松耦合的灵活架构,实现企业资源的统一规划和管理;为最终实现企业业务集成,打破部门间,系统间的沟通壁垒,打造新的业务协同环境,提高跨应用系统业务处理能力