時代億信UAP-G統(tǒng)一認(rèn)證與訪問控制系統(tǒng)應(yīng)用場景

　　1.1 UAP-G系統(tǒng)能做什么？

　　UAP-G系統(tǒng)能夠提供用戶網(wǎng)絡(luò)訪問的訪問控制、認(rèn)證和授權(quán)以及資源訪問日志審計功能和三權(quán)分立的管理機(jī)制。

　　1.1.1 網(wǎng)絡(luò)訪問的認(rèn)證和授權(quán)

　　針對用戶對網(wǎng)絡(luò)資源的訪問，UAP-G系統(tǒng)采用分析網(wǎng)絡(luò)包的形式，來發(fā)現(xiàn)用戶的目的，并對認(rèn)證過的用戶進(jìn)行帳號與IP、MAC的動態(tài)綁定，支持經(jīng)過NAT設(shè)備的主機(jī)訪問。

圖3-9 身份認(rèn)證配置界面

圖3-10 網(wǎng)絡(luò)資源授權(quán)管理界面

　　UAP-G系統(tǒng)的訪問認(rèn)證和授權(quán)功能如下：

　　物理隔離受控資源

　　UAP-G系統(tǒng)對所有協(xié)議的包過濾控制，以網(wǎng)橋的模式部署在用戶終端和資源系統(tǒng)之間。用戶在訪問資源系統(tǒng)前，必須先登錄UAP-G用戶登錄平臺；或者用戶在訪問WEB資源系統(tǒng)前，如果沒有認(rèn)證的話，UAP-G系統(tǒng)會提示或自動重定向UAP-G用戶登錄平臺。用戶在通過認(rèn)證后，在用戶終端可啟動資源系統(tǒng)客戶端（Telnet/SSH、FTP、瀏覽器等）直接登錄用戶被授權(quán)的資源系統(tǒng)，而不需要資源系統(tǒng)的登錄認(rèn)證。

　　安全穩(wěn)固的身份驗(yàn)證

　　UAP-G系統(tǒng)的認(rèn)證機(jī)制基于帳號 / 口令、PKI證書、Radius、LDAP等標(biāo)準(zhǔn)的協(xié)議和機(jī)制，在以上協(xié)議的基礎(chǔ)上，進(jìn)行各種擴(kuò)展和安全策略，保證用戶身份的唯一性。

　　在用戶身份認(rèn)證方面，UAP-G系統(tǒng)可以配置各種認(rèn)證源，可以將帳號口令以及PKI證書等人正方式進(jìn)行擴(kuò)展，支持多種認(rèn)證源。

　　目前支持的認(rèn)證源類型有：

• 第三方CA（X509）
• LDAP / AD
• Radius
• SMTP（SMTP帳號驗(yàn)證）
• 短信網(wǎng)關(guān)（短信驗(yàn)證碼）
• 除此之外，UAP-G系統(tǒng)還為用戶提供了基于SOAP、RADIUS、LDAP、NTLM、SOCKET等協(xié)議的認(rèn)證接口；

　　準(zhǔn)確的訪問授權(quán)

　　UAP-G系統(tǒng)采用用戶、組對應(yīng)角色的授權(quán)機(jī)制，管理員為角色設(shè)定好可以訪問的受控資源后，只需將用戶或組授予角色權(quán)限，便完成了用戶的訪問授權(quán)工作，在以后的運(yùn)行維護(hù)中，只需更改角色的授權(quán)資源便可和用戶所屬角色便可完成用戶的授權(quán)和修改工作。

　　用戶在成功登錄后，UAP-G系統(tǒng)將根據(jù)用戶的帳號進(jìn)行動態(tài)綁定IP和MAC，以保證用戶身份的唯一性，杜絕重復(fù)登錄。系統(tǒng)將在用戶每次登錄前，動態(tài)設(shè)定該用戶的資源訪問權(quán)限，用戶下線后，用戶所擁有的資源訪問策略自行消除。

　　在資源設(shè)定上，UAP-G系統(tǒng)將C / S的受控資源進(jìn)行了分類，方便用戶進(jìn)行C / S單點(diǎn)訪問以及管理員調(diào)整資源策略。

　　1.1.2 日志審計功能

　　UAP-G系統(tǒng)通過分析網(wǎng)絡(luò)包為用戶提供受控資源訪問控制服務(wù)，在用戶完成登錄并獲得正確授權(quán)之后，UAP-G系統(tǒng)還將記錄用戶訪問受保護(hù)資源的日志記錄。日志中記錄了用戶名稱、用戶IP、用戶MAC地址、目的IP和目的端口以及訪問時間等主要信息。

　　審計管理員登錄系統(tǒng)后，可對日志進(jìn)行查詢并導(dǎo)出為Excel文件，方便管理員利用Excel工具對日志內(nèi)容進(jìn)行各種統(tǒng)計工作。

　　另外，對于UAP-G系統(tǒng)采用三權(quán)分立的授權(quán)機(jī)制，管理員對UAP-G系統(tǒng)所作的所有修改和系統(tǒng)自身發(fā)生的情況都會被記入日志中，并且只有日志審計管理員才可對日志進(jìn)行操作。

圖3-11 日志審計界面

　　1.1.3 WEB資源的訪問控制管理

　　UAP-G系統(tǒng)對WEB應(yīng)用中的WEB資源即網(wǎng)頁進(jìn)行授權(quán)管理。用戶訪問WEB資源時根據(jù)用戶和資源性質(zhì)以及管理員設(shè)定的安全策略，判斷用戶對該WEB資源的訪問權(quán)限，從而允許或拒絕該用戶的訪問請求。

　　該種訪問控制對上層的應(yīng)用是透明的，即上層的WEB應(yīng)用不需要做任何改變，適合于任何類型的、已經(jīng)建設(shè)完畢的應(yīng)用和即將建設(shè)的WEB應(yīng)用，只需要在WEB服務(wù)器安裝一個安全代理即可。

圖3-12 WEB資源訪問控制配置界面

　　1.1.4 C/S資源的訪問控制管理

　　在實(shí)際應(yīng)用環(huán)境中，存在著大量的網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)等）和主機(jī)服務(wù)器（如Linux服務(wù)器、UNIX服務(wù)器等），維護(hù)和管理人員對這些設(shè)備和服務(wù)器的維護(hù)存在著很大的安全隱患。每個管理員都可以連接其他人負(fù)責(zé)的網(wǎng)絡(luò)設(shè)備，如果存在帳號共享的情況，便有可能出現(xiàn)權(quán)力不明，責(zé)任不清的問題。

　　UAP-G系統(tǒng)將網(wǎng)絡(luò)設(shè)備和服務(wù)器資源管理中，制定用戶可以訪問的網(wǎng)絡(luò)資源，從網(wǎng)絡(luò)層限制了用戶可以連接什么地方，不可以連接什么地方，實(shí)現(xiàn)了系統(tǒng)維護(hù)人員對網(wǎng)絡(luò)設(shè)備和服務(wù)器訪問控制和認(rèn)證授權(quán)。UAP-G系統(tǒng)采用多種可選方式對維護(hù)人員的身份進(jìn)行認(rèn)證，可以有效避免非法用戶的假冒；通過日志審計功能，UAP-G系統(tǒng)能夠?qū)崿F(xiàn)對用戶網(wǎng)絡(luò)訪問的跟蹤，而日志信息的分析和挖掘，為安全事故的調(diào)查提供了一個很好的輔助工具。

　　1.1.5 細(xì)粒度的文件訪問控制

　　有些時候，我們的系統(tǒng)中會存在一些文件共享服務(wù)器，這些服務(wù)器為不同的用戶提供文件共享服務(wù)，其中不乏有些機(jī)密數(shù)據(jù)文件，如各種工程、建筑、機(jī)械設(shè)備的圖紙或程序源碼等，這些文件和目錄以開放的形式共享在網(wǎng)絡(luò)中，供不同的用戶使用。但隨著時間的推移，管理員的變更，對于數(shù)量眾多、類型各異、訪問權(quán)限不同的各種文件和目錄，單憑管理員的記錄和維護(hù)難免會造成一些疏漏。

　　UAP-G系統(tǒng)為您提供基于“域訪問控制”的技術(shù)，對受控服務(wù)器上的共享文件進(jìn)行基于“域授權(quán)”的細(xì)粒度訪問控制。管理員可以將其控制的力度精細(xì)到哪個人可以訪問哪個文件的地步。對于數(shù)量眾多的文件共享服務(wù)器，管理員只需要在UAP-G系統(tǒng)中，通過簡單、方便的配置，便可對共享文件和目錄進(jìn)行精細(xì)的訪問控制。

圖3-13 細(xì)粒度文件訪問控制

　　1.2 UAP-G系統(tǒng)應(yīng)用場景

　　1.2.1 核心數(shù)據(jù)保護(hù)

圖3-14 核心數(shù)據(jù)保護(hù)現(xiàn)狀

　　目前網(wǎng)絡(luò)現(xiàn)狀如圖3-14所示，網(wǎng)絡(luò)分為3個區(qū)域“用戶區(qū)”、“服務(wù)器區(qū)”和“數(shù)據(jù)庫區(qū)”，其中“數(shù)據(jù)庫區(qū)域”中包含普通的業(yè)務(wù)數(shù)據(jù)庫和密級較高的核心數(shù)據(jù)。

　　普通的業(yè)務(wù)數(shù)據(jù)供各個服務(wù)器訪問，同時允許普通管理員進(jìn)行維護(hù)。

　　核心數(shù)據(jù)只供高級人員使用，并允許個別高級管理員進(jìn)行維護(hù)。

　　在目前的情況下，針對核心數(shù)據(jù)庫的所有限制，完全依賴于核心數(shù)據(jù)服務(wù)器的帳號機(jī)制或交換機(jī)或內(nèi)網(wǎng)防火墻進(jìn)行網(wǎng)絡(luò)隔離。但是無論怎么做，都有數(shù)據(jù)泄密的隱患。

圖3-15 核心數(shù)據(jù)保護(hù)解決方案

　　根據(jù)上面的現(xiàn)狀，我們只需將UAP-G系統(tǒng)以透明網(wǎng)橋的形式部署在數(shù)據(jù)庫網(wǎng)段之前，即可將現(xiàn)有數(shù)據(jù)庫網(wǎng)段進(jìn)行物力隔離，之后，可在UAP-G系統(tǒng)上配置隔離區(qū)內(nèi)的服務(wù)器訪問權(quán)限，針對用戶的身份和等級來限制哪些用戶和管理員可以訪問核心數(shù)據(jù)庫，而其他業(yè)務(wù)數(shù)據(jù)庫等權(quán)限較低的受保護(hù)資源，可開放較為寬泛的訪問權(quán)限，甚至免認(rèn)證，就像沒有UAP-G系統(tǒng)一樣。除了需要經(jīng)過安全的身份認(rèn)證過程之外，用戶不需要改變?nèi)魏问褂昧?xí)慣，同時網(wǎng)絡(luò)管理員也不需要大費(fèi)周章的在各種網(wǎng)絡(luò)設(shè)備上為UAP-G系統(tǒng)進(jìn)行過多的配置。

　　1.2.2 集中帳號管理

圖3-16 集中帳號管理現(xiàn)狀

　　在大型網(wǎng)絡(luò)中，主機(jī)和設(shè)備永遠(yuǎn)比管理員多，面對數(shù)以百計的網(wǎng)絡(luò)設(shè)備和不同的操作系統(tǒng)，記錄和維護(hù)主機(jī)帳號信息就成了管理員們的噩夢，如何保管這些信息？何況其中還有許多主機(jī)擁有較高的保密級別，寫在紙上？還是記錄在電腦里？好像都不是很安全。

圖3-17 集中帳號管理解決方案

　　通過旁路部署一臺UAP-G服務(wù)器，管理員在訪問服務(wù)器之前，到UAP-G系統(tǒng)上進(jìn)行身份認(rèn)證，成功后，便可在UAP-G系統(tǒng)的門戶頁面點(diǎn)擊想要維護(hù)的服務(wù)器，SSH、TELNET、SCP、SFTP等維護(hù)性的操作UAP-G系統(tǒng)都可以提供C/S單點(diǎn)登錄。

　　在獲得方便的同時，UAP-G系統(tǒng)還可約束管理員訪問各自權(quán)限內(nèi)的主機(jī)系統(tǒng)，無法越權(quán)操作。即使你擁有這臺服務(wù)器的帳號口令，在未認(rèn)證或認(rèn)證后沒有獲得相應(yīng)權(quán)限的前提下，都不能通過網(wǎng)絡(luò)對該主機(jī)進(jìn)行任何操作。

　　1.2.3 訪問控制+細(xì)粒度域授權(quán)

圖3-18 細(xì)粒度域授權(quán)現(xiàn)狀

　　在某些內(nèi)網(wǎng)環(huán)境中，存在大量的文件服務(wù)器，這些文件服務(wù)器中有些用來存儲機(jī)密文件、檔案、圖紙等重要信息，管理員要么通過網(wǎng)絡(luò)配置限制這些主機(jī)的訪問范圍，或者通過AD域服務(wù)器進(jìn)行域授權(quán)。

　　通過網(wǎng)絡(luò)配置限制可訪問這些文件服務(wù)器的訪問范圍這種方式，在使用時人為漏洞較多，如某人潛入該網(wǎng)段，并且獲取了某人的域帳號信息，那么，這個人便可以輕易的獲得他所需要的任何文件。

　　即使排除了這些人為漏洞，管理員在維護(hù)域授權(quán)信息和管理域主機(jī)時，面對數(shù)量眾多的主機(jī)、權(quán)限的多對多關(guān)系時，仍然會感到頭痛。

圖3-19 細(xì)粒度域授權(quán)解決方案

　　通過網(wǎng)橋連接或旁路形式部署一臺UAP-G服務(wù)器，上述問題便可迎刃而解。

　　在網(wǎng)橋模式下，UAP-G系統(tǒng)將文件服務(wù)器物理隔離為安全訪問區(qū)，需要訪問這些文件服務(wù)器的主機(jī)或用戶，必須首先登錄并成功進(jìn)行身份認(rèn)證及授權(quán)，否則，用戶根本無法以任何形式連接到后端的文件服務(wù)器上。

　　同時，以網(wǎng)橋或旁路中任意模式進(jìn)行部署的UAP-G系統(tǒng)，都可通過在文件服務(wù)器上部署簡單插件，管理員便可輕松實(shí)現(xiàn)在UAP-G系統(tǒng)上對文件服務(wù)器進(jìn)行的授權(quán)操作，該授權(quán)可精細(xì)到那個域用戶可以訪問那個文件。