BIT8-4网络信息系统安全体系-IDMppt课件

1、网络内控之：一致身份管理孙建伟北京理工大学软件学院.提纲局域网运用模型身份集中管理的需求Windows域集中认证管理普通局域网系统的IDM技术方案主流产品与处理方案未来开展: Web service分布式环境下的集中访问控制.局域网运用模型多个分立的系统和网络设备多种数据库系统多个Web运用系统多种网络设备: 防火墙,交换机,路由器,其它平安设备多种效力器平台: Windows, Unix.局域网运用模型多个分立的系统和网络设备不同的系统平台不同的客户端独立维护帐号独立的访问控制管理.典型场景：多效力器，多用户假设资源分布在多台效力器上，要在每台效力器分别为每一员工建立一个账户共M*N，用户那

2、么需求在每台效力器上共M台登录 .局域网运用模型从用户、管理员、运用系统信息资源三方面看存在的问题用户M：帐号多，不便运用系统N：自主维护访问控制，泛泛的，难以顺应详细的网络环境要求管理员：M*N较大时帐号管理，如何实施全生命周期的管理？权限管理：如何实施全局平安战略？.用户名输入用户名/口令登录口令局域网环境下管理的需求管理员任务人员运用1运用2运用3.棘手的问题用户能否有太多的密码需求记忆？作为系统管理员，能否需求破费很多的时间去管理用户帐号和访问权限？各部门管理员需求破费多长时间才干为一个新的用户在一切的运用系统中建立账号？能否任务反复，效率低下?员工分开企业时能否立刻停用其在各个运用子

3、系统中的账号？用户的详细信息在各个系统中能否一致？添加新的运用时能否有一致的认证和授权框架可以利用？如何满足行业政策规范的要求？能否可以对企业内运用系统实现监控和跟踪？.今天的企业环境其他运用人事系统财务系统邮件局域网PABXCRM员工客户IT 管理员供应商协作同伴挪动用户离任员工如何为企业用户减少需求记忆的密码？?如何让员工及客户平安的访问企业系统?如何缩短为新用户在各个系统中创建账号的时间?如何防止分开的员工仍能继续访问企业内系统?如何减少在管理用户帐号方面的破费?如何确保员工/客户可以访问到企业各个系统中最新的信息?如何对企业的运用系统进展审计?.用户只需一个凭证只需一次登录运用系统信息

4、资源整合信息一致标识规范和接口规范管理员信息的一致性集中管理平安保证体系用户管理一致的平安战略效力集中授权集中审计处理之道 一致认证管理假设一致认证管理1、集中一致管理用户、机构、角色、运用等信息2、一致认证，实现单点登录3、基于角色的访问控制4、运用间信息同步和共享5、平安战略和平安管理.集中身份管理：Windows域Windows域理念Windows域管理构成要素域控制器成员效力器活动目录认证协议：Kerberos目录效力：LDAP .Windows域理念效力器和用户的计算机都在同一个域中，用户在域中只需拥有一个账号用户只需求在域中拥有一个域账户，只需求在域中登录一次就可以访问域中的资源了

5、。.域中的效力器域控制器Domain Controller)启动Active Directory域效力身份认证目录效力成员效力器成员效力器都信任DC的身分验证。保管本机的帐户数据库,因此运用者仍可利用这些本机帐户,登入该效力器。对域的平安管理而言,这些本机账户能够会是破绽.可参与AD域的任务站一切安装以下操作系统,而且参与域的计算机都算是任务站Windows NT WorkstationWindows 2000 ProfessionalWindows XP ProfessionalWindows 7/vista商用入门版、商用进阶版和旗舰版Windows 95 / 98 / Me、Window

6、s XP家庭版、Windows 7家庭版也都没有参与域的功能。.效力器角色转换.AD域认证协议：Kerberos. AD目录效力微软自Windows 2000 Server开场提供完好的目录效力,命名为ADActiveDirectory目录效力。AD目录与AD目录效力遵照符合X.500及LDAP规范AD对象包括参与域的效力器和客户端帐号，及其详细的权限属性.AD目录的架构AD目录依然是以对象组合成树状架构,不过却多了域Domain对象。将普通对象先整合到域中,再构成所谓的域树Domain Tree.实现一致认证和单点登录活动目录登录到 Windows单一登录到:Windows 文件效力器Win

7、dows Web 运用程序Exchange SQL ServerBizTalk Server其他微软运用程序第三方集成运用程序ExchangeWeb 效力文件共享Windows 集成运用程序.Windows域的局限性实践的局域网环境不是单一的Windows域运用环境，存在大量的非Windows系统效力器平台：春秋战国局域网组成成分的多样性：防火墙、路由器 、各类运用系统DC域无法处理局域网的一致身份管理问题反而成了费事IDM如何集成曾经存在的Windows域？.普通局域网系统的IDM技术方案需处理的问题：集中认证支持多种客户端主帐号与从帐号的问题单点登录集中授权与访问控制.帐号、认证、授权和审

8、计审计管理各运用系统都有一套独立的审计管理；每个业务系统及数据库都要分别进展审计缺乏集中一致的系统访问审计无法对运用系统进展综合分析授权管理各运用系统都独立授权管理随着用户数量的添加， 权限管理义务越来越重； 缺乏集中一致资源授权管理帐号管理各运用系统都有一套独立的用户管理；帐号及口令四处流传并记录下来 有些帐号多人共用，未授权的访问较简单口令或将多系统口令设置一样岗位变卦、离任，帐号仍在；多方人员运用系统，管理复杂；认证管理各运用系统都独立认证缺乏控制而不遵照平安战略反复输密码，任务效率低；运用静态口令,平安性低IDM需求.IDM建立需求改动IT系统分立管理的局面，需建立集中的IDM系统实现

9、集中的帐号管理、一致的登录认证、适度集中的访问控制战略和全面综合的运营维护操作审计；最终实现对IT系统的可知、可控、可管的集中运维操作.IDM产品概述概念：IDM系统包括自然人帐号管理、诸多被管资源接口组件、一致认证组件、访问控制组件等构成的系统，它介于运营维护人员和被管的IT系统之间，对运维人员提供一致的登录入口Portal，由IDM系统代理对诸多网元的登录、认证、访问控制和审计。对被管IT资源而言，纳入IDM管理后，原那么上即不能被自然人用户直接访问。这个概念的要点是：IDM系统是一系列组件，协同完成集中帐号管理account，集中认证Authentication， IDMPortal的登

10、录认证，集中的访问控制授权Authorization，集中的审计Audit等功能。IDM系统对运维人员提供一致的登录Portal，经过IDMPortal的认证，登录IDM Portal后，用户即获得访问被管资源的视图和权限，至少从感受上用户可以直接访问获得授权的资源；用户经过IDM进而登录操作被管资源，整个过程由IDM系统和被管资源构成审计记录；被管资源如某路由器纳入IDM管理后，其本身的帐号管理、认证、访问控制、审计等功能依然不变，但可以被IDM系统重置，进而其帐号成为IDM系统的从账号；IDM系统对被管资源应具有系统管理员的权限；.IDM系统架构表示图.IDM产品概述作为被管资源的分立系统

11、IDM要处理诸多分立IT系统的集中管理的问题在于，分立的IT系统包括主机、网络设备、数据库、运用系统都有本身的平安方式，包括账号管理、登录方式、认证方式、访问控制等功能的实现。如windows系统支持RDP登录方式，支持用户名/密码方式的身份认证方式和基于域控制器(DC)和Kerbrose 协议的认证方式，系统本身支持DAC、MAC的访问控制方式；Unix系统支持telnet/SSH等登录方式，支持用户名/密码方式的本地身份认证方式和基于Radius 协议的认证方式；网络设备普通支持telnet/SSH的登录方式，支持用户名/密码方式的本地身份认证方式和基于Radius/Tacas+ 协议的认

12、证方式；数据库系统那么支持规范SQL访问言语，不同的数据库的ODBC实现不同，都支持本地用户名/密码认证，不同数据库的访问控制强度不同由此划分不同平安等级的数据库；C/S、B/S运用系统平安方式完全独立设计，B/S运用随着Web Service规范的开展，其平安方式(包括认证)逐渐规范化，如SOAP协议和SAML规范的采用。.IDM产品概述作为被管资源的分立系统IDM系统的实现首先建立在上述原有的IT组元的登录、认证、访问控制方式的根底上，实现IDM功能自然人帐号的集中管理支持各种登录方式和登录过程中的认证被管资源的纳入从账号搜集与重置，登录权限授予自然人账号，登录过程一致管理对自然人帐号的授

13、权被管资源的访问权访问被管资源前的一致认证包括单点登录，以及一切环节的审计。.IDM主要功能的实现方式自然人帐号管理IDM系统提供自然人帐号的集中管理功能，包括帐号的生命周期管理，对自然人帐号的授权，自然人帐号登录IDM系统的认证。引入组管理的技术，降低管理本钱采用基于审批流程的管理在PKI体系下，引入数字证书的发放管理.IDM主要功能的实现方式两次认证过程IDM系统纳入被管IT组元，包括主机、网络设备、数据库、C/S及B/S运用系统。其根本方式是采用(依赖)IT组元本身的平安方式，将远程认证效力器集中，不支持远程认证的采用本地认证方式。IDM系统部署到IT系统后，用户访问被管资源实践上要作两

14、次认证，一次是登录IDM效力器或SSO效力器，第二次是登录被管资源时，被管资源本身要求的认证。第二次认证由IDM系统SSO效力器代理完成。假设被管资源支持外部认证路由器，那么可以引入集中的认证效力器，如Radius，Tacks+认证效力器对于支持Web Service的规范协议的，采用IDM Portal/SSO生成令牌Cookie POSTToken对于被管资源本地认证，那么IDM完成密码代添功能.IDM主要功能的实现方式授权管理IDM系统在自然人和被管资源之间建立访问授权关系，普通采用基于角色的访问控制技术RBAC对自然人帐号授权在RBAC框架下，IDM的授权涉及三个层次：一是角色授予自然

15、人帐号，即自然人帐号授权；二是被管资源的从账号授予角色即角色授权；三是被管资源内部的从账号的授权，这有赖于被管资源内部的平安方式。.IDM主要功能的实现方式访问控制自然人经过IDM系统对整个IT系统的登录过程理想的IDM模型，应该提供应用户一致的登录入口IDM登录界面， IDM portal用户登录IDM Portal后即可按照IDM设定的访问权限登录各IT组元，由IDM代理完成IT组元要求的登录认证过程，包括密码代填或令牌Key的发放及一致认证用户所用的客户端可以智能的顺应不同的访问对象的登录方式如经过IE阅读器的插件实现智能客户端功能访问控制的两个环节被管资源按照从账号的授权战略实施访问控

16、制IDM系统也可实现访问控制，IDM Portal可以实现简单的访问控制经过堡垒主机组件可实施细粒度访问控制.IDM主要功能的实现方式审计功能IDM系统自审计的内涵整个IDM系统整个管理过程的审计，包括帐号管理，从账号管理，授权过程，访问控制战略等等；用户对被管资源访问过程的审计，堡垒主机可以记录整个访问过程IDM系统的自审计信息应纳入整个平安审计系统中，经过综合的日志审计平台实现对IDM审计记录、被管资源日志、网络审计记录的综合管理和审计分析。.1.被管资源的纳入及纳入后的管理包括资源从账号的搜集、密码重置、认证方式重置，资源侧访问控制战略建立从账号授权与，孤立账号的处置等。2.主账号的管理

17、主账号整个生命周期的管理，账号名、密码战略、认证方式、访问权限等的管理。3. 授权关系的建立，访问控制战略建立涉及主账号、角色、资源从账号三个层次的授权，及堡垒主机和被管资源本身可执行的访问控制战略的建立。IDM系统涉及的任务流程.4. 系统审计战略的建立涉及各被管资源本身审计功能开启和审计战略的建立、IDM各组件审计功能开启和审计战略的建立。5. 用户经过IDM访问被管资源用户经过自然人账号登录IDM Portal，进而访问被管资源的过程，涉及两次认证过程，访问过程受控于IDM系统的堡垒主机和被管资源本身的访问控制功能。6. 审计信息的处置和呼应审计管理员经过集中的审计管理平台对IT系统及其运维操作进展审计分析和相关处置，构成审计分析报告。1-4过程是IDM系统根本设置系统初始化过程涉及的假设干环节，由系统管理员完成；第5