《【2017年整理】主机访问控制解决方案技术白皮书》由会员分享,可在线阅读,更多相关《【2017年整理】主机访问控制解决方案技术白皮书(14页珍藏版)》请在金锄头文库上搜索。
1、Kerbsphere 主机访问管理平台软件技术白皮书V1.0文档信息文档名称 Kerbsphere主机访问管理平台软件简明用户使用手册作者 蔡明审批者 万庆说明 本文件是主机访问管理平台软件的技术白皮书文件名称 Kerbsphere技术白皮书1.doc修订历史 (REVISION HISTORY)Rev Section 类型 日期 作者 内容1 2007-10-17 蔡明China Etek Service 1北京市西城区金融大街 17 号中国人寿中心 608 室 上海浦东陆家嘴东路 161 号招商局大厦 2114 室电话:(010)66220708 传真:(010)66220696 1 电话
2、:(021)58777686 传真:(021)58409993目 录第一章 存在的问题 .2第二章 Kerbsphere 解决方案分析 .32.1 Kerbsphere 方案设计 .32.2 管理流程 .52.3 Kerbsphere 拓扑逻辑 .5第三章 Kerbsphere 主机系统功能架构和管理功能模块 .73.1 系统技术架构 .73.2 系统功能模块 .8第四章 Kerbsphere 优点分析 .94.1 清晰明了的主机设备清单和详细情况 .94.2 明确、易于管理的特权使用人和主机访问帐号的对应关系 .104.3 全面、完善的访问记录 .104.4 可以很快跟踪到特权使用的申请和审
3、批记录 .114.5 可靠、符合审计要求的密码管理功能 .11第五章 Kerbsphere 监控模块功能 .12第六章 总结 .13China Etek Service 2北京市西城区金融大街 17 号中国人寿中心 608 室 上海浦东陆家嘴东路 161 号招商局大厦 2114 室电话:(010)66220708 传真:(010)66220696 2 电话:(021)58777686 传真:(021)58409993第一章 主机访问管理存在的问题开放系统的主机特别是 Unix、Linux 已经逐渐成为金融、电信、交通、证券等各大行业的中坚业务支撑平台。但是由于系统本身设计的时候,操作系统本身对
4、安全的考虑和现在需求、应用环境严重脱节,操作系统本身带的安全控制和审计功能已经严重不满足我们的保密和安全法律、法规的要求。为了加强主机的安全,一套有针对性地访问管理解决方案将会极大增强关键服务器的安全;简化和降低服务器管理成本;有效的提高系统的审计能力。总结问题如图:现阶段主要问题是: 特权滥用和不充分的角色权限分离 高花费的服务器主机管理 操作系统弱点和漏洞 法律、法规服从的需要 缺乏个体的责任监控China Etek Service 3北京市西城区金融大街 17 号中国人寿中心 608 室 上海浦东陆家嘴东路 161 号招商局大厦 2114 室电话:(010)66220708 传真:(01
5、0)66220696 3 电话:(021)58777686 传真:(021)58409993 审计日志的不足,银监会和外部的审计机构度提出了对核心主机的访问授权和记录要求例如: 某行制定了操作手册,但是由于缺乏有效的监督,系统管理员甲某在生产机上试用、学习 Init 命令,结果造成生产机重起,对业务产生重大影响。 某行系统管理员乙某,通过 DB2 的 clp 命令直接修改帐务数据库的数据为自己谋利,由于缺乏有效的监控手段,我们只有在帐务不匹配的情况下通过业务手段查找问题,没有当时操作的纪录,这也是导致乙某敢于违法想钻孔子的原因之一。 现在都是一个人掌握几十台设备的管理员密码。如何记忆?用同一个
6、密码会导致安全性下降,不用统一密码管理员自己又无法记忆,手写记忆也是安全隐患。 。 。 。 。 。第二章 Kerbsphere 解决方案分析2.1 Kerbsphere 方案设计中亦安图科技发展(北京)有限公司(以下简称中亦安图)的服务队伍多年服务于金融、电信、保险、制造等各大行业,并且立足于系统的管理、维护和优化之上。具有丰富的操作系统理论知识,熟悉客户的现状,精心分析客户的要求,严格设计出满足客户现状的-Kerbsphere 主机访问管理解决方案。根据系统的设计原理和现状分析,我们使用如下的设计方案来达到我们的要求China Etek Service 4北京市西城区金融大街 17 号中国人
7、寿中心 608 室 上海浦东陆家嘴东路 161 号招商局大厦 2114 室电话:(010)66220708 传真:(010)66220696 4 电话:(021)58777686 传真:(021)58409993图示的下半段是我们在系统原有的基础上增加的功能和模块,可以看出主要是针对系统维护人员的管理并且增加操作记录审计等内容。China Etek Service 5北京市西城区金融大街 17 号中国人寿中心 608 室 上海浦东陆家嘴东路 161 号招商局大厦 2114 室电话:(010)66220708 传真:(010)66220696 5 电话:(021)58777686 传真:(021
8、)584099932.2 管理流程 1 用户根据自己的身份和角色申请需要访问的服务器以及相应的服务器用户 2 安全团队将审核过的服务器用户访问权限绑定在该用户的记录下 3 用户向登陆服务器提出请求,登陆服务器根据步骤 2 的结果赋予用户相应的访问选择 4 用户根据登陆服务器提供的密钥登陆相应的后台 Server 5 密码使用完后系统会自动回收和重置密码 6 所有的管理员登陆后台服务器的行为都被记录 7 所有的用户每一步操作被绑定在个人的身份下,记录到我们的审计数据库中2.3 Kerbsphere 拓扑逻辑 在实际环境中我们使用如下的拓扑解决方案:China Etek Service 6北京市西
9、城区金融大街 17 号中国人寿中心 608 室 上海浦东陆家嘴东路 161 号招商局大厦 2114 室电话:(010)66220708 传真:(010)66220696 6 电话:(021)58777686 传真:(021)58409993China Etek Service 7北京市西城区金融大街 17 号中国人寿中心 608 室 上海浦东陆家嘴东路 161 号招商局大厦 2114 室电话:(010)66220708 传真:(010)66220696 7 电话:(021)58777686 传真:(021)58409993第三章 Kerbsphere 主机系统功能架构和管理功能模块3.1 系统技术架构图 3-1:系统架构示意系统架构于基于标准 J2EE 规范的多层体系架构,组件化设计;服务层采用主流的 Struts 框架,利用 JAVA 语言与操作系统的松耦合性,不仅利于应用系统本身在多种平台上的部署实现,而且也简化了应用系统对后端主机环境差异性的处理;在用户交互界面层,采用以 AJAX 技术为基础的一系列自定义标签和脚本方法,使得页面更加动态和灵敏,并且以“异步操作”的模式将用户与服务的交互过程进行分解,有效降低通信量;在数据持久层,在标
