1.1 UAP-G系统能做什么?
UAP-G系统能够提供用户网络访问的访问控制、认证和授权以及资源访问日志审计功能和三权分立的管理机制。
1.1.1 网络访问的认证和授权
针对用户对网络资源的访问,UAP-G系统采用分析网络包的形式,来发现用户的目的,并对认证过的用户进行帐号与IP、MAC的动态绑定,支持经过NAT设备的主机访问。
图3-9 身份认证配置界面
图3-10 网络资源授权管理界面
UAP-G系统的访问认证和授权功能如下:
物理隔离受控资源
UAP-G系统对所有协议的包过滤控制,以网桥的模式部署在用户终端和资源系统之间。用户在访问资源系统前,必须先登录UAP-G用户登录平台;或者用户在访问WEB资源系统前,如果没有认证的话,UAP-G系统会提示或自动重定向UAP-G用户登录平台。用户在通过认证后,在用户终端可启动资源系统客户端(Telnet/SSH、FTP、浏览器等)直接登录用户被授权的资源系统,而不需要资源系统的登录认证。
安全稳固的身份验证
UAP-G系统的认证机制基于帐号 / 口令、PKI证书、Radius、LDAP等标准的协议和机制,在以上协议的基础上,进行各种扩展和安全策略,保证用户身份的唯一性。
在用户身份认证方面,UAP-G系统可以配置各种认证源,可以将帐号口令以及PKI证书等人正方式进行扩展,支持多种认证源。
目前支持的认证源类型有:
- 第三方CA(X509)
- LDAP / AD
- Radius
- SMTP(SMTP帐号验证)
- 短信网关(短信验证码)
- 除此之外,UAP-G系统还为用户提供了基于SOAP、RADIUS、LDAP、NTLM、SOCKET等协议的认证接口;
准确的访问授权
UAP-G系统采用用户、组对应角色的授权机制,管理员为角色设定好可以访问的受控资源后,只需将用户或组授予角色权限,便完成了用户的访问授权工作,在以后的运行维护中,只需更改角色的授权资源便可和用户所属角色便可完成用户的授权和修改工作。
用户在成功登录后,UAP-G系统将根据用户的帐号进行动态绑定IP和MAC,以保证用户身份的唯一性,杜绝重复登录。系统将在用户每次登录前,动态设定该用户的资源访问权限,用户下线后,用户所拥有的资源访问策略自行消除。
在资源设定上,UAP-G系统将C / S的受控资源进行了分类,方便用户进行C / S单点访问以及管理员调整资源策略。
1.1.2 日志审计功能
UAP-G系统通过分析网络包为用户提供受控资源访问控制服务,在用户完成登录并获得正确授权之后,UAP-G系统还将记录用户访问受保护资源的日志记录。日志中记录了用户名称、用户IP、用户MAC地址、目的IP和目的端口以及访问时间等主要信息。
审计管理员登录系统后,可对日志进行查询并导出为Excel文件,方便管理员利用Excel工具对日志内容进行各种统计工作。
另外,对于UAP-G系统采用三权分立的授权机制,管理员对UAP-G系统所作的所有修改和系统自身发生的情况都会被记入日志中,并且只有日志审计管理员才可对日志进行操作。
图3-11 日志审计界面
1.1.3 WEB资源的访问控制管理
UAP-G系统对WEB应用中的WEB资源即网页进行授权管理。用户访问WEB资源时根据用户和资源性质以及管理员设定的安全策略,判断用户对该WEB资源的访问权限,从而允许或拒绝该用户的访问请求。
该种访问控制对上层的应用是透明的,即上层的WEB应用不需要做任何改变,适合于任何类型的、已经建设完毕的应用和即将建设的WEB应用,只需要在WEB服务器安装一个安全代理即可。
图3-12 WEB资源访问控制配置界面
1.1.4 C/S资源的访问控制管理
在实际应用环境中,存在着大量的网络设备(如路由器、交换机等)和主机服务器(如Linux服务器、UNIX服务器等),维护和管理人员对这些设备和服务器的维护存在着很大的安全隐患。每个管理员都可以连接其他人负责的网络设备,如果存在帐号共享的情况,便有可能出现权力不明,责任不清的问题。
UAP-G系统将网络设备和服务器资源管理中,制定用户可以访问的网络资源,从网络层限制了用户可以连接什么地方,不可以连接什么地方,实现了系统维护人员对网络设备和服务器访问控制和认证授权。UAP-G系统采用多种可选方式对维护人员的身份进行认证,可以有效避免非法用户的假冒;通过日志审计功能,UAP-G系统能够实现对用户网络访问的跟踪,而日志信息的分析和挖掘,为安全事故的调查提供了一个很好的辅助工具。
1.1.5 细粒度的文件访问控制
有些时候,我们的系统中会存在一些文件共享服务器,这些服务器为不同的用户提供文件共享服务,其中不乏有些机密数据文件,如各种工程、建筑、机械设备的图纸或程序源码等,这些文件和目录以开放的形式共享在网络中,供不同的用户使用。但随着时间的推移,管理员的变更,对于数量众多、类型各异、访问权限不同的各种文件和目录,单凭管理员的记录和维护难免会造成一些疏漏。
UAP-G系统为您提供基于“域访问控制”的技术,对受控服务器上的共享文件进行基于“域授权”的细粒度访问控制。管理员可以将其控制的力度精细到哪个人可以访问哪个文件的地步。对于数量众多的文件共享服务器,管理员只需要在UAP-G系统中,通过简单、方便的配置,便可对共享文件和目录进行精细的访问控制。
图3-13 细粒度文件访问控制
1.2 UAP-G系统应用场景
1.2.1 核心数据保护
图3-14 核心数据保护现状
目前网络现状如图3-14所示,网络分为3个区域“用户区”、“服务器区”和“数据库区”,其中“数据库区域”中包含普通的业务数据库和密级较高的核心数据。
普通的业务数据供各个服务器访问,同时允许普通管理员进行维护。
核心数据只供高级人员使用,并允许个别高级管理员进行维护。
在目前的情况下,针对核心数据库的所有限制,完全依赖于核心数据服务器的帐号机制或交换机或内网防火墙进行网络隔离。但是无论怎么做,都有数据泄密的隐患。
图3-15 核心数据保护解决方案
根据上面的现状,我们只需将UAP-G系统以透明网桥的形式部署在数据库网段之前,即可将现有数据库网段进行物力隔离,之后,可在UAP-G系统上配置隔离区内的服务器访问权限,针对用户的身份和等级来限制哪些用户和管理员可以访问核心数据库,而其他业务数据库等权限较低的受保护资源,可开放较为宽泛的访问权限,甚至免认证,就像没有UAP-G系统一样。除了需要经过安全的身份认证过程之外,用户不需要改变任何使用习惯,同时网络管理员也不需要大费周章的在各种网络设备上为UAP-G系统进行过多的配置。
1.2.2 集中帐号管理
图3-16 集中帐号管理现状
在大型网络中,主机和设备永远比管理员多,面对数以百计的网络设备和不同的操作系统,记录和维护主机帐号信息就成了管理员们的噩梦,如何保管这些信息?何况其中还有许多主机拥有较高的保密级别,写在纸上?还是记录在电脑里?好像都不是很安全。
图3-17 集中帐号管理解决方案
通过旁路部署一台UAP-G服务器,管理员在访问服务器之前,到UAP-G系统上进行身份认证,成功后,便可在UAP-G系统的门户页面点击想要维护的服务器,SSH、TELNET、SCP、SFTP等维护性的操作UAP-G系统都可以提供C/S单点登录。
在获得方便的同时,UAP-G系统还可约束管理员访问各自权限内的主机系统,无法越权操作。即使你拥有这台服务器的帐号口令,在未认证或认证后没有获得相应权限的前提下,都不能通过网络对该主机进行任何操作。
1.2.3 访问控制+细粒度域授权
图3-18 细粒度域授权现状
在某些内网环境中,存在大量的文件服务器,这些文件服务器中有些用来存储机密文件、档案、图纸等重要信息,管理员要么通过网络配置限制这些主机的访问范围,或者通过AD域服务器进行域授权。
通过网络配置限制可访问这些文件服务器的访问范围这种方式,在使用时人为漏洞较多,如某人潜入该网段,并且获取了某人的域帐号信息,那么,这个人便可以轻易的获得他所需要的任何文件。
即使排除了这些人为漏洞,管理员在维护域授权信息和管理域主机时,面对数量众多的主机、权限的多对多关系时,仍然会感到头痛。
图3-19 细粒度域授权解决方案
通过网桥连接或旁路形式部署一台UAP-G服务器,上述问题便可迎刃而解。
在网桥模式下,UAP-G系统将文件服务器物理隔离为安全访问区,需要访问这些文件服务器的主机或用户,必须首先登录并成功进行身份认证及授权,否则,用户根本无法以任何形式连接到后端的文件服务器上。
同时,以网桥或旁路中任意模式进行部署的UAP-G系统,都可通过在文件服务器上部署简单插件,管理员便可轻松实现在UAP-G系统上对文件服务器进行的授权操作,该授权可精细到那个域用户可以访问那个文件。
