构建等级化可信网络环境.pdfVIP

…………………………… ………………………：i玉：丽i、 箦级保护与风睑评估主题i仑坛 Ⅵj义采o……………… …………………………………………． 理．缺乏集中统一的资源授权管理技术手段。 每一个系统都分别管理自己系统的资源，无法按照最小的权限原则分配给用户。随着用户的数量增加，权限管理任务越来越重。用户的 权限和自己的工作职责有时不是一致的。导致信息系统无法形成用户使用信息系统的资源权限的整体分布报表．从而对信息系统中所有的 用户的权限进行全面审查还是非常困难。 还有审计管理方面。各应用系统都有一套独立的审计管理，并且审计内容和强度不一致，无法贯彻统一的审计管理策略；缺乏集中统一的 审计管理，无法有效完成对日记记录的定期审阅；无法对日志进行综合分析，不能及时发现异常，对出现问题难以立即采取有效的防护措施。 第三方面。帐号管理的全面解决方案。 从目前对信息帐号中帐号管理的现状分析来看，帐号管理的总体目标是：对帐号的管理和控制应当涵盖帐号从生成到删除整个生命周期 的所有相关过程，归纳起来包括帐号生命周期管理、认证管理、权限管理、审计管理(4A)四个方面。 这些都是信息系统主要核心资源，通过对某个帐号的资源授权管理，实现对集中系统资源的管理和控制，这一块是我们集中账户管理的 平台，实现用户和帐号整个生命周期的管理，实现帐号访问信息系统中资源的行为审计管理，这是第一个目标；第二个目标是通过标准化的规 范。采用开放体系结构的设计，支持现有的各类业务应用系统的整合；第三个目标是要实现的目标是建立帐号管理平台，实现各个归1：3管理部 门的分域分级管理。 通过逻辑结构来看，图中左边是信息系统资源的用户，最下面实际上整个信息的各类资源，我们希望通过标准化、规范化业务整合的接 口，把帐号13令管理平台纳入到整个信息安全管理的层面。 从帐号管理的角度来看，从创建用户、帐号的检查、部门的变动、离职用户到删除账户，这是一个账户整个生命周期的管理。 建立帐号平台第一个步骤就是要建立主帐号，主帐号的创建、修改、删除、锁定和解除锁定都始终是管理员操作。从帐号的搜集、创建、删 除、锁定／解锁；主帐号和从帐号的关联；批量创建从帐号(用户入职时)；批量删除从帐号(用户离职时)；主帐号(从帐号口令策略的管理、支 持长度、频度(使用多少次)、构成、周期(使用多长时间)等13令策略；帐号分布报表功能。通过主帐号的建立、从帐号的收集到主帐号和从帐 号有机关联，通过主、从账号帐号的关联，可以把从帐号和自然人在信息系统的各类行为关联起来。 关于认证方面，认证系统通过平台可以去对服务器主机、网络设备、应用系统、数据库实行统一身份认证管理。用户登录是以主帐号的方 式登录，在访问有权限访问业务资源的时候．不需要再输入口令，系统支持的认证方式比较多，包括用户名／密码、动态口令、数字证书、指纹认 证等等。 建立账号帐号平台第一个步骤是资源授权管理，采用RBAC(基于角色的访问控制)的授权模式，对用户能够访问的的资源进行授权，并 集中保存在策略库中。 资源授权的粒度，应用系统可以做到对主机地址、端口、应用名、消息极端、菜单、功能模块；服务器主机包括源IP地址，包括可以使用 Shell命令等等。 平台对于用户访问审计比较全面，包括配置管理类的审计、用户访问资源的审计等等。 帐号管理平台是我公司投入大量人力物力、完全自主研发的产品，该产品获得了软件著作权、软件登记证书、国家保密局的检测证书、公 安部的检测证书、中国信息安全产品测评认证中心的检测证书以及军用安全产品测评证书。 该产品近几年也得到国家科技部、国家发改委、天津市发改委、天津市科委等国家和地方政府方面的大力支持，尤其在2006年我们还获 得了国家863课题的资助。 产品案例有很多，包括国家对无线电监测中心、国家计算机网络应急技术处理协调中心、国家自然科学基金委员会等等很多大型的成功案例。 构建等级化可信网络环境 北京汉邦微创数码技术有限公司副总经理 王贤蔚 目前．等级化保护是发展过程中一个非常热点的聚焦点，以等级化保护的方式来构建核心网络环境一直是我们汉邦公司的最高的目标。 在参与全国信息安全保障体系建设当中，我们也发现了一些建设当中的误区。 管理学有一个木桶理论，它的核心思想就是以最低一块板决定整个木桶的盛水量，这套理论运用到网络安全、信息安全问题上．通过堆积 保