1.1 UAP-G系統(tǒng)能做什么?
UAP-G系統(tǒng)能夠提供用戶網(wǎng)絡(luò)訪問的訪問控制、認證和授權(quán)以及資源訪問日志審計功能和三權(quán)分立的管理機制。
1.1.1 網(wǎng)絡(luò)訪問的認證和授權(quán)
針對用戶對網(wǎng)絡(luò)資源的訪問,UAP-G系統(tǒng)采用分析網(wǎng)絡(luò)包的形式,來發(fā)現(xiàn)用戶的目的,并對認證過的用戶進行帳號與IP、MAC的動態(tài)綁定,支持經(jīng)過NAT設(shè)備的主機訪問。
圖3-9 身份認證配置界面
圖3-10 網(wǎng)絡(luò)資源授權(quán)管理界面
UAP-G系統(tǒng)的訪問認證和授權(quán)功能如下:
物理隔離受控資源
UAP-G系統(tǒng)對所有協(xié)議的包過濾控制,以網(wǎng)橋的模式部署在用戶終端和資源系統(tǒng)之間。用戶在訪問資源系統(tǒng)前,必須先登錄UAP-G用戶登錄平臺;或者用戶在訪問WEB資源系統(tǒng)前,如果沒有認證的話,UAP-G系統(tǒng)會提示或自動重定向UAP-G用戶登錄平臺。用戶在通過認證后,在用戶終端可啟動資源系統(tǒng)客戶端(Telnet/SSH、FTP、瀏覽器等)直接登錄用戶被授權(quán)的資源系統(tǒng),而不需要資源系統(tǒng)的登錄認證。
安全穩(wěn)固的身份驗證
UAP-G系統(tǒng)的認證機制基于帳號 / 口令、PKI證書、Radius、LDAP等標準的協(xié)議和機制,在以上協(xié)議的基礎(chǔ)上,進行各種擴展和安全策略,保證用戶身份的唯一性。
在用戶身份認證方面,UAP-G系統(tǒng)可以配置各種認證源,可以將帳號口令以及PKI證書等人正方式進行擴展,支持多種認證源。
目前支持的認證源類型有:
- 第三方CA(X509)
- LDAP / AD
- Radius
- SMTP(SMTP帳號驗證)
- 短信網(wǎng)關(guān)(短信驗證碼)
- 除此之外,UAP-G系統(tǒng)還為用戶提供了基于SOAP、RADIUS、LDAP、NTLM、SOCKET等協(xié)議的認證接口;
準確的訪問授權(quán)
UAP-G系統(tǒng)采用用戶、組對應(yīng)角色的授權(quán)機制,管理員為角色設(shè)定好可以訪問的受控資源后,只需將用戶或組授予角色權(quán)限,便完成了用戶的訪問授權(quán)工作,在以后的運行維護中,只需更改角色的授權(quán)資源便可和用戶所屬角色便可完成用戶的授權(quán)和修改工作。
用戶在成功登錄后,UAP-G系統(tǒng)將根據(jù)用戶的帳號進行動態(tài)綁定IP和MAC,以保證用戶身份的唯一性,杜絕重復(fù)登錄。系統(tǒng)將在用戶每次登錄前,動態(tài)設(shè)定該用戶的資源訪問權(quán)限,用戶下線后,用戶所擁有的資源訪問策略自行消除。
在資源設(shè)定上,UAP-G系統(tǒng)將C / S的受控資源進行了分類,方便用戶進行C / S單點訪問以及管理員調(diào)整資源策略。
1.1.2 日志審計功能
UAP-G系統(tǒng)通過分析網(wǎng)絡(luò)包為用戶提供受控資源訪問控制服務(wù),在用戶完成登錄并獲得正確授權(quán)之后,UAP-G系統(tǒng)還將記錄用戶訪問受保護資源的日志記錄。日志中記錄了用戶名稱、用戶IP、用戶MAC地址、目的IP和目的端口以及訪問時間等主要信息。
審計管理員登錄系統(tǒng)后,可對日志進行查詢并導(dǎo)出為Excel文件,方便管理員利用Excel工具對日志內(nèi)容進行各種統(tǒng)計工作。
另外,對于UAP-G系統(tǒng)采用三權(quán)分立的授權(quán)機制,管理員對UAP-G系統(tǒng)所作的所有修改和系統(tǒng)自身發(fā)生的情況都會被記入日志中,并且只有日志審計管理員才可對日志進行操作。
圖3-11 日志審計界面
1.1.3 WEB資源的訪問控制管理
UAP-G系統(tǒng)對WEB應(yīng)用中的WEB資源即網(wǎng)頁進行授權(quán)管理。用戶訪問WEB資源時根據(jù)用戶和資源性質(zhì)以及管理員設(shè)定的安全策略,判斷用戶對該WEB資源的訪問權(quán)限,從而允許或拒絕該用戶的訪問請求。
該種訪問控制對上層的應(yīng)用是透明的,即上層的WEB應(yīng)用不需要做任何改變,適合于任何類型的、已經(jīng)建設(shè)完畢的應(yīng)用和即將建設(shè)的WEB應(yīng)用,只需要在WEB服務(wù)器安裝一個安全代理即可。
圖3-12 WEB資源訪問控制配置界面
1.1.4 C/S資源的訪問控制管理
在實際應(yīng)用環(huán)境中,存在著大量的網(wǎng)絡(luò)設(shè)備(如路由器、交換機等)和主機服務(wù)器(如Linux服務(wù)器、UNIX服務(wù)器等),維護和管理人員對這些設(shè)備和服務(wù)器的維護存在著很大的安全隱患。每個管理員都可以連接其他人負責(zé)的網(wǎng)絡(luò)設(shè)備,如果存在帳號共享的情況,便有可能出現(xiàn)權(quán)力不明,責(zé)任不清的問題。
UAP-G系統(tǒng)將網(wǎng)絡(luò)設(shè)備和服務(wù)器資源管理中,制定用戶可以訪問的網(wǎng)絡(luò)資源,從網(wǎng)絡(luò)層限制了用戶可以連接什么地方,不可以連接什么地方,實現(xiàn)了系統(tǒng)維護人員對網(wǎng)絡(luò)設(shè)備和服務(wù)器訪問控制和認證授權(quán)。UAP-G系統(tǒng)采用多種可選方式對維護人員的身份進行認證,可以有效避免非法用戶的假冒;通過日志審計功能,UAP-G系統(tǒng)能夠?qū)崿F(xiàn)對用戶網(wǎng)絡(luò)訪問的跟蹤,而日志信息的分析和挖掘,為安全事故的調(diào)查提供了一個很好的輔助工具。
1.1.5 細粒度的文件訪問控制
有些時候,我們的系統(tǒng)中會存在一些文件共享服務(wù)器,這些服務(wù)器為不同的用戶提供文件共享服務(wù),其中不乏有些機密數(shù)據(jù)文件,如各種工程、建筑、機械設(shè)備的圖紙或程序源碼等,這些文件和目錄以開放的形式共享在網(wǎng)絡(luò)中,供不同的用戶使用。但隨著時間的推移,管理員的變更,對于數(shù)量眾多、類型各異、訪問權(quán)限不同的各種文件和目錄,單憑管理員的記錄和維護難免會造成一些疏漏。
UAP-G系統(tǒng)為您提供基于“域訪問控制”的技術(shù),對受控服務(wù)器上的共享文件進行基于“域授權(quán)”的細粒度訪問控制。管理員可以將其控制的力度精細到哪個人可以訪問哪個文件的地步。對于數(shù)量眾多的文件共享服務(wù)器,管理員只需要在UAP-G系統(tǒng)中,通過簡單、方便的配置,便可對共享文件和目錄進行精細的訪問控制。
圖3-13 細粒度文件訪問控制
1.2 UAP-G系統(tǒng)應(yīng)用場景
1.2.1 核心數(shù)據(jù)保護
圖3-14 核心數(shù)據(jù)保護現(xiàn)狀
目前網(wǎng)絡(luò)現(xiàn)狀如圖3-14所示,網(wǎng)絡(luò)分為3個區(qū)域“用戶區(qū)”、“服務(wù)器區(qū)”和“數(shù)據(jù)庫區(qū)”,其中“數(shù)據(jù)庫區(qū)域”中包含普通的業(yè)務(wù)數(shù)據(jù)庫和密級較高的核心數(shù)據(jù)。
普通的業(yè)務(wù)數(shù)據(jù)供各個服務(wù)器訪問,同時允許普通管理員進行維護。
核心數(shù)據(jù)只供高級人員使用,并允許個別高級管理員進行維護。
在目前的情況下,針對核心數(shù)據(jù)庫的所有限制,完全依賴于核心數(shù)據(jù)服務(wù)器的帳號機制或交換機或內(nèi)網(wǎng)防火墻進行網(wǎng)絡(luò)隔離。但是無論怎么做,都有數(shù)據(jù)泄密的隱患。
圖3-15 核心數(shù)據(jù)保護解決方案
根據(jù)上面的現(xiàn)狀,我們只需將UAP-G系統(tǒng)以透明網(wǎng)橋的形式部署在數(shù)據(jù)庫網(wǎng)段之前,即可將現(xiàn)有數(shù)據(jù)庫網(wǎng)段進行物力隔離,之后,可在UAP-G系統(tǒng)上配置隔離區(qū)內(nèi)的服務(wù)器訪問權(quán)限,針對用戶的身份和等級來限制哪些用戶和管理員可以訪問核心數(shù)據(jù)庫,而其他業(yè)務(wù)數(shù)據(jù)庫等權(quán)限較低的受保護資源,可開放較為寬泛的訪問權(quán)限,甚至免認證,就像沒有UAP-G系統(tǒng)一樣。除了需要經(jīng)過安全的身份認證過程之外,用戶不需要改變?nèi)魏问褂昧?xí)慣,同時網(wǎng)絡(luò)管理員也不需要大費周章的在各種網(wǎng)絡(luò)設(shè)備上為UAP-G系統(tǒng)進行過多的配置。
1.2.2 集中帳號管理
圖3-16 集中帳號管理現(xiàn)狀
在大型網(wǎng)絡(luò)中,主機和設(shè)備永遠比管理員多,面對數(shù)以百計的網(wǎng)絡(luò)設(shè)備和不同的操作系統(tǒng),記錄和維護主機帳號信息就成了管理員們的噩夢,如何保管這些信息?何況其中還有許多主機擁有較高的保密級別,寫在紙上?還是記錄在電腦里?好像都不是很安全。
圖3-17 集中帳號管理解決方案
通過旁路部署一臺UAP-G服務(wù)器,管理員在訪問服務(wù)器之前,到UAP-G系統(tǒng)上進行身份認證,成功后,便可在UAP-G系統(tǒng)的門戶頁面點擊想要維護的服務(wù)器,SSH、TELNET、SCP、SFTP等維護性的操作UAP-G系統(tǒng)都可以提供C/S單點登錄。
在獲得方便的同時,UAP-G系統(tǒng)還可約束管理員訪問各自權(quán)限內(nèi)的主機系統(tǒng),無法越權(quán)操作。即使你擁有這臺服務(wù)器的帳號口令,在未認證或認證后沒有獲得相應(yīng)權(quán)限的前提下,都不能通過網(wǎng)絡(luò)對該主機進行任何操作。
1.2.3 訪問控制+細粒度域授權(quán)
圖3-18 細粒度域授權(quán)現(xiàn)狀
在某些內(nèi)網(wǎng)環(huán)境中,存在大量的文件服務(wù)器,這些文件服務(wù)器中有些用來存儲機密文件、檔案、圖紙等重要信息,管理員要么通過網(wǎng)絡(luò)配置限制這些主機的訪問范圍,或者通過AD域服務(wù)器進行域授權(quán)。
通過網(wǎng)絡(luò)配置限制可訪問這些文件服務(wù)器的訪問范圍這種方式,在使用時人為漏洞較多,如某人潛入該網(wǎng)段,并且獲取了某人的域帳號信息,那么,這個人便可以輕易的獲得他所需要的任何文件。
即使排除了這些人為漏洞,管理員在維護域授權(quán)信息和管理域主機時,面對數(shù)量眾多的主機、權(quán)限的多對多關(guān)系時,仍然會感到頭痛。
圖3-19 細粒度域授權(quán)解決方案
通過網(wǎng)橋連接或旁路形式部署一臺UAP-G服務(wù)器,上述問題便可迎刃而解。
在網(wǎng)橋模式下,UAP-G系統(tǒng)將文件服務(wù)器物理隔離為安全訪問區(qū),需要訪問這些文件服務(wù)器的主機或用戶,必須首先登錄并成功進行身份認證及授權(quán),否則,用戶根本無法以任何形式連接到后端的文件服務(wù)器上。
同時,以網(wǎng)橋或旁路中任意模式進行部署的UAP-G系統(tǒng),都可通過在文件服務(wù)器上部署簡單插件,管理員便可輕松實現(xiàn)在UAP-G系統(tǒng)上對文件服務(wù)器進行的授權(quán)操作,該授權(quán)可精細到那個域用戶可以訪問那個文件。
