BIT8-4网络信息系统安全体系-IDM解析.pptVIP

感悟 网络就是计算机 把网络资源纳入统一管理 IDM是类似操作系统平台的功能: 提供用户统一的界面 将网络资源纳入统一管理,实施集中的访问控制 IDM主要功能的实现模式授权管理 IDM系统在自然人和被管资源之间建立访问授权关系，一般采用基于角色的访问控制技术（RBAC）对自然人帐号授权 在RBAC框架下，IDM的授权涉及三个层次： 一是角色授予自然人帐号，即自然人帐号授权； 二是被管资源的从账号授予角色即角色授权； 三是被管资源内部的从账号的授权，这有赖于被管资源内部的安全模式。 IDM主要功能的实现模式访问控制 自然人通过IDM系统对整个IT系统的登录过程 理想的IDM模型，应该提供给用户统一的登录入口（IDM登录界面， IDM portal） 用户登录IDM Portal后即可按照IDM设定的访问权限登录各IT组元，由IDM代理完成IT组元要求的登录认证过程，包括密码代填或令牌（Key）的发放及统一认证 用户所用的客户端可以智能的适应不同的访问对象的登录方式（如通过IE浏览器的插件实现智能客户端功能） 访问控制的两个环节 被管资源按照从账号的授权策略实施访问控制 IDM系统也可实现访问控制，IDM Portal可以实现简单的访问控制 通过堡垒主机组件可实施细粒度访问控制 IDM主要功能的实现模式审计功能 IDM系统自审计的内涵 整个IDM系统整个管理过程的审计，包括帐号管理，从账号管理，授权过程，访问控制策略等等； 用户对被管资源访问过程的审计，堡垒主机可以记录整个访问过程 IDM系统的自审计信息应纳入整个安全审计系统中，通过综合的日志审计平台实现对IDM审计记录、被管资源日志、网络审计记录的综合管理和审计分析。 1.被管资源的纳入及纳入后的管理 包括资源从账号的收集、密码重置、认证方式重置，资源侧访问控制策略建立（从账号授权与），孤立账号的处理等。 2.主账号的管理 主账号整个生命周期的管理，账号名、密码策略、认证方式、访问权限等的管理。 3. 授权关系的建立，访问控制策略建立 涉及主账号、角色、资源从账号三个层次的授权，及堡垒主机和被管资源自身可执行的访问控制策略的建立。 IDM系统涉及的工作流程 4. 系统审计策略的建立 涉及各被管资源自身审计功能开启和审计策略的建立、IDM各组件审计功能开启和审计策略的建立。 5. 用户通过IDM访问被管资源 用户通过自然人账号登录IDM Portal，进而访问被管资源的过程，涉及两次认证过程，访问过程受控于IDM系统的堡垒主机和被管资源自身的访问控制功能。 6. 审计信息的处理和响应 审计管理员通过集中的审计管理平台对IT系统及其运维操作进行审计分析和相关处理，形成审计分析报告。 1-4过程是IDM系统基本设置（系统初始化）过程涉及的若干环节，由系统管理员完成；第5个过程针对普通运维人员，第6个过程针对审计管理员。 IDM系统涉及的工作流程 主流产品与解决方案 Microsoft：Windows Server8 /IAM IBM：IDM Novel：Novell_IDM_AM_Sentinel HP：OpenView 神州泰岳：IT管理系列 神州数码：IDM IDM未来发展 Internet环境下 集中认证服务已经出现 QQ、MSN作为认证中心 云计算环境下 Web Service SSO 网络内控之：统一身份管理 孙建伟 北京理工大学软件学院 提纲 局域网应用模型 身份集中管理的需求 Windows域集中认证管理 一般局域网系统的IDM技术方案 主流产品与解决方案 未来发展: Web service分布式环境下的集中访问控制 局域网应用模型 多个分立的系统和网络设备 多种数据库系统 多个Web应用系统 多种网络设备: 防火墙,交换机,路由器,其它安全设备 多种服务器平台: Windows, Unix 局域网应用模型 多个分立的系统和网络设备 不同的系统平台 不同的客户端 独立维护帐号 独立的访问控制管理 典型场景：多服务器，多用户 如果资源分布在多台服务器上，要在每台服务器分别为每一员工建立一个账户（共M*N），用户则需要在每台服务器上（共M台）登录 局域网应用模型 从用户、管理员、应用系统（信息资源）三方面看存在的问题 用户M：帐号多，不便 应用系统N：自主维护访问控制，泛泛的，难以适应具体的网络环境要求 管理员：M*N较大时 帐号管理，如何实施全生命周期的管理？ 权限管理：如何实施全局安全策略？ 用户名 输入用户名/口令 登录 口令 局域网环境下管理的需求 管理员 工作人员 应用1 应用2 应用3 棘手的问题 用户是否有太多的密码需要记忆？ 作为系统管理员，是否需要花费很多的时间去管理用户帐号和访问权限？ 各部门管理员需要花费多长时间才能为一个新的用户