1.1 UAP-G系統能做什么?
UAP-G系統能夠提供用戶(hù)網(wǎng)絡(luò )訪(fǎng)問(wèn)的訪(fǎng)問(wèn)控制、認證和授權以及資源訪(fǎng)問(wèn)日志審計功能和三權分立的管理機制。
1.1.1 網(wǎng)絡(luò )訪(fǎng)問(wèn)的認證和授權
針對用戶(hù)對網(wǎng)絡(luò )資源的訪(fǎng)問(wèn),UAP-G系統采用分析網(wǎng)絡(luò )包的形式,來(lái)發(fā)現用戶(hù)的目的,并對認證過(guò)的用戶(hù)進(jìn)行帳號與IP、MAC的動(dòng)態(tài)綁定,支持經(jīng)過(guò)NAT設備的主機訪(fǎng)問(wèn)。
圖3-9 身份認證配置界面
圖3-10 網(wǎng)絡(luò )資源授權管理界面
UAP-G系統的訪(fǎng)問(wèn)認證和授權功能如下:
物理隔離受控資源
UAP-G系統對所有協(xié)議的包過(guò)濾控制,以網(wǎng)橋的模式部署在用戶(hù)終端和資源系統之間。用戶(hù)在訪(fǎng)問(wèn)資源系統前,必須先登錄UAP-G用戶(hù)登錄平臺;或者用戶(hù)在訪(fǎng)問(wèn)WEB資源系統前,如果沒(méi)有認證的話(huà),UAP-G系統會(huì )提示或自動(dòng)重定向UAP-G用戶(hù)登錄平臺。用戶(hù)在通過(guò)認證后,在用戶(hù)終端可啟動(dòng)資源系統客戶(hù)端(Telnet/SSH、FTP、瀏覽器等)直接登錄用戶(hù)被授權的資源系統,而不需要資源系統的登錄認證。
安全穩固的身份驗證
UAP-G系統的認證機制基于帳號 / 口令、PKI證書(shū)、Radius、LDAP等標準的協(xié)議和機制,在以上協(xié)議的基礎上,進(jìn)行各種擴展和安全策略,保證用戶(hù)身份的唯一性。
在用戶(hù)身份認證方面,UAP-G系統可以配置各種認證源,可以將帳號口令以及PKI證書(shū)等人正方式進(jìn)行擴展,支持多種認證源。
目前支持的認證源類(lèi)型有:
- 第三方CA(X509)
- LDAP / AD
- Radius
- SMTP(SMTP帳號驗證)
- 短信網(wǎng)關(guān)(短信驗證碼)
- 除此之外,UAP-G系統還為用戶(hù)提供了基于SOAP、RADIUS、LDAP、NTLM、SOCKET等協(xié)議的認證接口;
準確的訪(fǎng)問(wèn)授權
UAP-G系統采用用戶(hù)、組對應角色的授權機制,管理員為角色設定好可以訪(fǎng)問(wèn)的受控資源后,只需將用戶(hù)或組授予角色權限,便完成了用戶(hù)的訪(fǎng)問(wèn)授權工作,在以后的運行維護中,只需更改角色的授權資源便可和用戶(hù)所屬角色便可完成用戶(hù)的授權和修改工作。
用戶(hù)在成功登錄后,UAP-G系統將根據用戶(hù)的帳號進(jìn)行動(dòng)態(tài)綁定IP和MAC,以保證用戶(hù)身份的唯一性,杜絕重復登錄。系統將在用戶(hù)每次登錄前,動(dòng)態(tài)設定該用戶(hù)的資源訪(fǎng)問(wèn)權限,用戶(hù)下線(xiàn)后,用戶(hù)所擁有的資源訪(fǎng)問(wèn)策略自行消除。
在資源設定上,UAP-G系統將C / S的受控資源進(jìn)行了分類(lèi),方便用戶(hù)進(jìn)行C / S單點(diǎn)訪(fǎng)問(wèn)以及管理員調整資源策略。
1.1.2 日志審計功能
UAP-G系統通過(guò)分析網(wǎng)絡(luò )包為用戶(hù)提供受控資源訪(fǎng)問(wèn)控制服務(wù),在用戶(hù)完成登錄并獲得正確授權之后,UAP-G系統還將記錄用戶(hù)訪(fǎng)問(wèn)受保護資源的日志記錄。日志中記錄了用戶(hù)名稱(chēng)、用戶(hù)IP、用戶(hù)MAC地址、目的IP和目的端口以及訪(fǎng)問(wèn)時(shí)間等主要信息。
審計管理員登錄系統后,可對日志進(jìn)行查詢(xún)并導出為Excel文件,方便管理員利用Excel工具對日志內容進(jìn)行各種統計工作。
另外,對于UAP-G系統采用三權分立的授權機制,管理員對UAP-G系統所作的所有修改和系統自身發(fā)生的情況都會(huì )被記入日志中,并且只有日志審計管理員才可對日志進(jìn)行操作。
圖3-11 日志審計界面
1.1.3 WEB資源的訪(fǎng)問(wèn)控制管理
UAP-G系統對WEB應用中的WEB資源即網(wǎng)頁(yè)進(jìn)行授權管理。用戶(hù)訪(fǎng)問(wèn)WEB資源時(shí)根據用戶(hù)和資源性質(zhì)以及管理員設定的安全策略,判斷用戶(hù)對該WEB資源的訪(fǎng)問(wèn)權限,從而允許或拒絕該用戶(hù)的訪(fǎng)問(wèn)請求。
該種訪(fǎng)問(wèn)控制對上層的應用是透明的,即上層的WEB應用不需要做任何改變,適合于任何類(lèi)型的、已經(jīng)建設完畢的應用和即將建設的WEB應用,只需要在WEB服務(wù)器安裝一個(gè)安全代理即可。
圖3-12 WEB資源訪(fǎng)問(wèn)控制配置界面
1.1.4 C/S資源的訪(fǎng)問(wèn)控制管理
在實(shí)際應用環(huán)境中,存在著(zhù)大量的網(wǎng)絡(luò )設備(如路由器、交換機等)和主機服務(wù)器(如Linux服務(wù)器、UNIX服務(wù)器等),維護和管理人員對這些設備和服務(wù)器的維護存在著(zhù)很大的安全隱患。每個(gè)管理員都可以連接其他人負責的網(wǎng)絡(luò )設備,如果存在帳號共享的情況,便有可能出現權力不明,責任不清的問(wèn)題。
UAP-G系統將網(wǎng)絡(luò )設備和服務(wù)器資源管理中,制定用戶(hù)可以訪(fǎng)問(wèn)的網(wǎng)絡(luò )資源,從網(wǎng)絡(luò )層限制了用戶(hù)可以連接什么地方,不可以連接什么地方,實(shí)現了系統維護人員對網(wǎng)絡(luò )設備和服務(wù)器訪(fǎng)問(wèn)控制和認證授權。UAP-G系統采用多種可選方式對維護人員的身份進(jìn)行認證,可以有效避免非法用戶(hù)的假冒;通過(guò)日志審計功能,UAP-G系統能夠實(shí)現對用戶(hù)網(wǎng)絡(luò )訪(fǎng)問(wèn)的跟蹤,而日志信息的分析和挖掘,為安全事故的調查提供了一個(gè)很好的輔助工具。
1.1.5 細粒度的文件訪(fǎng)問(wèn)控制
有些時(shí)候,我們的系統中會(huì )存在一些文件共享服務(wù)器,這些服務(wù)器為不同的用戶(hù)提供文件共享服務(wù),其中不乏有些機密數據文件,如各種工程、建筑、機械設備的圖紙或程序源碼等,這些文件和目錄以開(kāi)放的形式共享在網(wǎng)絡(luò )中,供不同的用戶(hù)使用。但隨著(zhù)時(shí)間的推移,管理員的變更,對于數量眾多、類(lèi)型各異、訪(fǎng)問(wèn)權限不同的各種文件和目錄,單憑管理員的記錄和維護難免會(huì )造成一些疏漏。
UAP-G系統為您提供基于“域訪(fǎng)問(wèn)控制”的技術(shù),對受控服務(wù)器上的共享文件進(jìn)行基于“域授權”的細粒度訪(fǎng)問(wèn)控制。管理員可以將其控制的力度精細到哪個(gè)人可以訪(fǎng)問(wèn)哪個(gè)文件的地步。對于數量眾多的文件共享服務(wù)器,管理員只需要在UAP-G系統中,通過(guò)簡(jiǎn)單、方便的配置,便可對共享文件和目錄進(jìn)行精細的訪(fǎng)問(wèn)控制。
圖3-13 細粒度文件訪(fǎng)問(wèn)控制
1.2 UAP-G系統應用場(chǎng)景
1.2.1 核心數據保護
圖3-14 核心數據保護現狀
目前網(wǎng)絡(luò )現狀如圖3-14所示,網(wǎng)絡(luò )分為3個(gè)區域“用戶(hù)區”、“服務(wù)器區”和“數據庫區”,其中“數據庫區域”中包含普通的業(yè)務(wù)數據庫和密級較高的核心數據。
普通的業(yè)務(wù)數據供各個(gè)服務(wù)器訪(fǎng)問(wèn),同時(shí)允許普通管理員進(jìn)行維護。
核心數據只供高級人員使用,并允許個(gè)別高級管理員進(jìn)行維護。
在目前的情況下,針對核心數據庫的所有限制,完全依賴(lài)于核心數據服務(wù)器的帳號機制或交換機或內網(wǎng)防火墻進(jìn)行網(wǎng)絡(luò )隔離。但是無(wú)論怎么做,都有數據泄密的隱患。
圖3-15 核心數據保護解決方案
根據上面的現狀,我們只需將UAP-G系統以透明網(wǎng)橋的形式部署在數據庫網(wǎng)段之前,即可將現有數據庫網(wǎng)段進(jìn)行物力隔離,之后,可在UAP-G系統上配置隔離區內的服務(wù)器訪(fǎng)問(wèn)權限,針對用戶(hù)的身份和等級來(lái)限制哪些用戶(hù)和管理員可以訪(fǎng)問(wèn)核心數據庫,而其他業(yè)務(wù)數據庫等權限較低的受保護資源,可開(kāi)放較為寬泛的訪(fǎng)問(wèn)權限,甚至免認證,就像沒(méi)有UAP-G系統一樣。除了需要經(jīng)過(guò)安全的身份認證過(guò)程之外,用戶(hù)不需要改變任何使用習慣,同時(shí)網(wǎng)絡(luò )管理員也不需要大費周章的在各種網(wǎng)絡(luò )設備上為UAP-G系統進(jìn)行過(guò)多的配置。
1.2.2 集中帳號管理
圖3-16 集中帳號管理現狀
在大型網(wǎng)絡(luò )中,主機和設備永遠比管理員多,面對數以百計的網(wǎng)絡(luò )設備和不同的操作系統,記錄和維護主機帳號信息就成了管理員們的噩夢(mèng),如何保管這些信息?何況其中還有許多主機擁有較高的保密級別,寫(xiě)在紙上?還是記錄在電腦里?好像都不是很安全。
圖3-17 集中帳號管理解決方案
通過(guò)旁路部署一臺UAP-G服務(wù)器,管理員在訪(fǎng)問(wèn)服務(wù)器之前,到UAP-G系統上進(jìn)行身份認證,成功后,便可在UAP-G系統的門(mén)戶(hù)頁(yè)面點(diǎn)擊想要維護的服務(wù)器,SSH、TELNET、SCP、SFTP等維護性的操作UAP-G系統都可以提供C/S單點(diǎn)登錄。
在獲得方便的同時(shí),UAP-G系統還可約束管理員訪(fǎng)問(wèn)各自權限內的主機系統,無(wú)法越權操作。即使你擁有這臺服務(wù)器的帳號口令,在未認證或認證后沒(méi)有獲得相應權限的前提下,都不能通過(guò)網(wǎng)絡(luò )對該主機進(jìn)行任何操作。
1.2.3 訪(fǎng)問(wèn)控制+細粒度域授權
圖3-18 細粒度域授權現狀
在某些內網(wǎng)環(huán)境中,存在大量的文件服務(wù)器,這些文件服務(wù)器中有些用來(lái)存儲機密文件、檔案、圖紙等重要信息,管理員要么通過(guò)網(wǎng)絡(luò )配置限制這些主機的訪(fǎng)問(wèn)范圍,或者通過(guò)AD域服務(wù)器進(jìn)行域授權。
通過(guò)網(wǎng)絡(luò )配置限制可訪(fǎng)問(wèn)這些文件服務(wù)器的訪(fǎng)問(wèn)范圍這種方式,在使用時(shí)人為漏洞較多,如某人潛入該網(wǎng)段,并且獲取了某人的域帳號信息,那么,這個(gè)人便可以輕易的獲得他所需要的任何文件。
即使排除了這些人為漏洞,管理員在維護域授權信息和管理域主機時(shí),面對數量眾多的主機、權限的多對多關(guān)系時(shí),仍然會(huì )感到頭痛。
圖3-19 細粒度域授權解決方案
通過(guò)網(wǎng)橋連接或旁路形式部署一臺UAP-G服務(wù)器,上述問(wèn)題便可迎刃而解。
在網(wǎng)橋模式下,UAP-G系統將文件服務(wù)器物理隔離為安全訪(fǎng)問(wèn)區,需要訪(fǎng)問(wèn)這些文件服務(wù)器的主機或用戶(hù),必須首先登錄并成功進(jìn)行身份認證及授權,否則,用戶(hù)根本無(wú)法以任何形式連接到后端的文件服務(wù)器上。
同時(shí),以網(wǎng)橋或旁路中任意模式進(jìn)行部署的UAP-G系統,都可通過(guò)在文件服務(wù)器上部署簡(jiǎn)單插件,管理員便可輕松實(shí)現在UAP-G系統上對文件服務(wù)器進(jìn)行的授權操作,該授權可精細到那個(gè)域用戶(hù)可以訪(fǎng)問(wèn)那個(gè)文件。
