[时代亿信UAP-G统一认证与访问控制系统应用场景.docVIP

时代亿信UAP-G统一认证与访问控制系统应用场景 UAP-G系统能做什么？ UAP-G系统能够提供用户网络访问的访问控制、认证和授权以及资源访问日志审计功能和三权分立的管理机制。 网络访问的认证和授权 针对用户对网络资源的访问，UAP-G系统采用分析网络包的形式，来发现用户的目的，并对认证过的用户进行帐号与IP、MAC的动态绑定，支持经过NAT设备的主机访问。 图3-9 身份认证配置界面 图3-10 网络资源授权管理界面 UAP-G系统的访问认证和授权功能如下： 物理隔离受控资源 UAP-G系统对所有协议的包过滤控制，以网桥的模式部署在用户终端和资源系统之间。用户在访问资源系统前，必须先登录UAP-G用户登录平台；或者用户在访问WEB资源系统前，如果没有认证的话，UAP-G系统会提示或自动重定向UAP-G用户登录平台。用户在通过认证后，在用户终端可启动资源系统客户端(Telnet/SSH、FTP、浏览器等)直接登录用户被授权的资源系统，而不需要资源系统的登录认证。 安全稳固的身份验证 UAP-G系统的认证机制基于帐号 / 口令、PKI证书、Radius、LDAP等标准的协议和机制，在以上协议的基础上，进行各种扩展和安全策略，保证用户身份的唯一性。 在用户身份认证方面，UAP-G系统可以配置各种认证源，可以将帐号口令以及PKI证书等人正方式进行扩展，支持多种认证源。 目前支持的认证源类型有： 第三方CA（X509） LDAP / AD Radius SMTP（SMTP帐号验证） 短信网关（短信验证码） 除此之外，UAP-G系统还为用户提供了基于SOAP、RADIUS、LDAP、NTLM、SOCKET等协议的认证接口； 准确的访问授权 UAP-G系统采用用户、组对应角色的授权机制，管理员为角色设定好可以访问的受控资源后，只需将用户或组授予角色权限，便完成了用户的访问授权工作，在以后的运行维护中，只需更改角色的授权资源便可和用户所属角色便可完成用户的授权和修改工作。 用户在成功登录后，UAP-G系统将根据用户的帐号进行动态绑定IP和MAC，以保证用户身份的唯一性，杜绝重复登录。系统将在用户每次登录前，动态设定该用户的资源访问权限，用户下线后，用户所拥有的资源访问策略自行消除。 在资源设定上，UAP-G系统将C / S的受控资源进行了分类，方便用户进行C / S单点访问以及管理员调整资源策略。 日志审计功能 UAP-G系统通过分析网络包为用户提供受控资源访问控制服务，在用户完成登录并获得正确授权之后，UAP-G系统还将记录用户访问受保护资源的日志记录。日志中记录了用户名称、用户IP、用户MAC地址、目的IP和目的端口以及访问时间等主要信息。 审计管理员登录系统后，可对日志进行查询并导出为Excel文件，方便管理员利用Excel工具对日志内容进行各种统计工作。 另外，对于UAP-G系统采用三权分立的授权机制，管理员对UAP-G系统所作的所有修改和系统自身发生的情况都会被记入日志中，并且只有日志审计管理员才可对日志进行操作。 图3-11 日志审计界面 WEB资源的访问控制管理 UAP-G系统对WEB应用中的WEB资源即网页进行授权管理。用户访问WEB资源时根据用户和资源性质以及管理员设定的安全策略，判断用户对该WEB资源的访问权限，从而允许或拒绝该用户的访问请求。 该种访问控制对上层的应用是透明的，即上层的WEB应用不需要做任何改变，适合于任何类型的、已经建设完毕的应用和即将建设的WEB应用，只需要在WEB服务器安装一个安全代理即可。 图3-12 WEB资源访问控制配置界面 C/S资源的访问控制管理 在实际应用环境中，存在着大量的网络设备（如路由器、交换机等）和主机服务器（如Linux服务器、UNIX服务器等），维护和管理人员对这些设备和服务器的维护存在着很大的安全隐患。每个管理员都可以连接其他人负责的网络设备，如果存在帐号共享的情况，便有可能出现权力不明，责任不清的问题。 UAP-G系统将网络设备和服务器资源管理中，制定用户可以访问的网络资源，从网络层限制了用户可以连接什么地方，不可以连接什么地方，实现了系统维护人员对网络设备和服务器访问控制和认证授权。UAP-G系统采用多种可选方式对维护人员的身份进行认证，可以有效避免非法用户的假冒；通过日志审计功能，UAP-G系统能够实现对用户网络访问的跟踪，而日志信息的分析和挖掘，为安全事故的调查提供了一个很好的辅助工具。 细粒度的文件访问控制 有些时候，我们的系统中会存在一些文件共享服务器，这些服务器为不同的用户提供文件共享服务，其中不乏有些机密数据文件，如各种工程、建筑、机械设备的图纸或程序源码等，这些文件和目录以开放的形式共享在网络中，供不同的用户使用。但随着时间的推移，管理