BIT网络信息系统安全体系IDM.pptVIP

网络内控之：统一身份管理 孙建伟 北京理工大学软件学院 第一页，共三十八页。 提纲 局域网应用模型 身份集中管理的需求 Windows域集中认证管理 一般局域网系统的IDM技术方案 主流产品与解决方案 未来发展: Web service分布式环境下的集中访问控制 第二页，共三十八页。 局域网应用模型 多个分立的系统和网络设备 多种数据库系统 多个Web应用系统 多种网络设备: 防火墙,交换机,路由器,其它安全设备 多种服务器平台: Windows, Unix 第三页，共三十八页。 局域网应用模型 多个分立的系统和网络设备 不同的系统平台 不同的客户端 独立维护帐号 独立的访问控制管理 第四页，共三十八页。 典型场景：多服务器，多用户 如果资源分布在多台服务器上，要在每台服务器分别为每一员工建立一个账户（共M*N），用户则需要在每台服务器上（共M台）登录 第五页，共三十八页。 局域网应用模型 从用户、管理员、应用系统（信息资源）三方面看存在的问题 用户M：帐号多，不便 应用系统N：自主维护访问控制，泛泛的，难以适应具体的网络环境要求 管理员：M*N较大时 帐号管理，如何实施全生命周期的管理？ 权限管理：如何实施全局安全策略？ 第六页，共三十八页。 用户名 输入用户名/口令 登录 口令 局域网环境下管理的需求 管理员 工作人员 应用1 应用2 应用3 第七页，共三十八页。 棘手的问题 用户是否有太多的密码需要记忆？ 作为系统管理员，是否需要花费很多的时间去管理用户帐号和访问权限？ 各部门管理员需要花费多长时间才能为一个新的用户在所有的应用系统中建立账号？是否工作重复，效率低下? 员工离开企业时能否立即停用其在各个应用子系统中的账号？ 用户的详细信息在各个系统中是否一致？ 添加新的应用时是否有一致的认证和授权框架可以利用？ 如何满足行业政策规范的要求？ 是否可以对企业内应用系统实现监控和跟踪？ 第八页，共三十八页。 今天的企业环境 其他应用 人事系统 财务系统 邮件 局域网 PABX CRM 员工 客户 IT 管理员 供应商 合作伙伴 移动用户 离职员工 如何为企业用户减少需要记忆的密码？ ? 如何让员工及客户安全的访问企业系统? ? 如何缩短为新用户在各个系统中创建账号的时间? ? 如何防止离开的员工仍能继续访问企业内系统? ? 如何减少在管理用户帐号方面的花费? ? 如何确保员工/客户能够访问到企业各个系统中最新的信息? ? 如何对企业的应用系统进行审计? ? 第九页，共三十八页。 用户 只需一个凭证 只需一次登录 应用系统 信息资源整合 信息统一标识规范和接口规范 管理员 信息的一致性 集中管理 安全保障体系 用户管理 统一的安全策略服务 集中授权 集中审计 解决之道 —— 统一认证管理 如果… 统一认证管理 1、集中统一管理用户、机构、角色、应用等信息 2、统一认证，实现单点登录 3、基于角色的访问控制 4、应用间信息同步和共享 5、安全策略和安全管理 第十页，共三十八页。 集中身份管理：Windows域 Windows域理念 Windows域管理构成要素 域控制器 成员服务器 活动目录 认证协议：Kerberos 目录服务：LDAP 第十一页，共三十八页。 Windows域理念 服务器和用户的计算机都在同一个域中，用户在域中只要拥有一个账号 用户只需要在域中拥有一个域账户，只需要在域中登录一次就可以访问域中的资源了。 第十二页，共三十八页。 域中的服务器 域控制器（Domain Controller) 启动Active Directory域服务 身份认证 目录服务 成员服务器 成员服务器都信任DC的身分验证。 保留本机的帐户数据库,因此使用者仍可利用这些本机帐户,登入该服务器。 对域的安全管理而言,这些本机账户可能会是漏洞 第十三页，共三十八页。 可加入AD域的工作站 所有安装以下操作系统,而且加入域的计算机都算是工作站 Windows NT Workstation Windows 2000 Professional Windows XP Professional Windows 7/vista商用入门版、商用进阶版和旗舰版 Windows 95 / 98 / Me、Windows XP家庭版、Windows 7家庭版也都没有加入域的功能。 第十四页，共三十八页。 服务器角色转换 第十五页，共三十八页。 AD域认证协议：Kerberos 第十六页，共三十八页。 AD目录服务 微软自Windows 2000 Server开始提供完整的目录服务,命名为AD（ActiveDirectory）目录服务。 AD目录与AD目录服务遵循符合X.500及LDAP规范 AD对象包括加入域的服务器和客户端帐号，及其详细