【IT168 资讯】企业风险与信息安全
一谈到信息安全,人们往往首先想到的是防火墙、入侵检测、漏洞扫描、数据加密等安全防御产品。这些产品主要从网络层次上防止潜在的安全威胁。然而随着各企业不断开展电子商务和将内部资源不同程度地向客户、合作伙伴及员工开放,对于企业至关重要的信息财产安全越发得到重视。尤其是在信息访问越发便捷的背景下,这些资产也暴露在越来越多的威胁中,毫无疑问,信息保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业急待解决的安全问题。
随着企业的不断发展,各种支撑系统和各系统用户数量不断增加,网络规模迅速扩大,原有的简单账号口令管理措施已日渐不能满足信息安全的要求,主要表现在以下方面:
· 系统多,且分别属于不同的部门和不同的业务系统。每套应用系统都有一套独立的认证、授权和审计系统,并且由相应的系统管理员负责维护和管理。出现同一台服务器或网络设备需要多人维护,或同一人需要维护多台服务器和网络设备情况,系统维护成本增加。
· 由于缺乏统一的身份管理平台,难以管理系统运维帐号,超级用户帐号共享的现象普遍存在。账号的多人共用,不仅在发生安全事故,难于确定账号的实际使用者,在平时也难于对账号的扩散范围进行控制,容易造成安全漏洞。
· 每个系统分别管理所属的系统资源,为本系统的用户分配权限,缺乏集中统一的资源授权管理平台,无法严格按照最小权限原则分配权限,系统的安全性无法得到充分保证。
· 随着系统的增多,使用户经常需要在各个系统之间切换,每次从一个系统切换到另一支撑系统时,都需要输入用户名和口令进行登录。给用户的工作带来不便,影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的,危害到系统的安全性。
· 由于各系统独立运行、维护和管理,所以各系统的审计也是相互独立的,缺乏集中统一的系统访问审计。无法对支撑系统进行综合分析,不能及时发现入侵行为。
因此需要系统和安全管理人员可以对企业内部的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证支撑系统安全策略的实施。所以构建信息级的企业安全必须解决用户的账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit)方面的问题,即4A解决方案。4A主要回答了这样几个问题,即:"谁能进来?""他们能够做什么?""是否能够为审计提供足够的信息?"。
4A安全管理平台的价值
账号管理即是将自然人与其拥有的所有系统账号关联,集中进行管理,包括按照密码策略自动更改密码,不同系统间的账号同步等。身份认证用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说,身份认证是一个基本的安全考虑。授权是指对用户使用支撑系统资源的具体情况进行合理分配的技术,实现不同用户对系统不同部分资源的访问。审计是指收集、记录用户对支撑系统资源的使用情况,以便于统计用户对网络资源的访问情况,并且在出现安全事故时,可以追踪原因,追究相关人员的责任,以减少由于内部计算机用户滥用网络资源造成的安全危害。4A一起确保合法用户安全、方便使用特定资源。这样既有效地保障了合法用户的权益,又能有效地保障支撑系统安全可靠地运行。
4A框架的作用主要体现在系统管理员方面、普通用户方面、系统安全性、系统管理费用等方面。
企业角度
对于企业来说,由于企业内部账号、授权管理的混乱,造成私设账号、账号失效后未及时收回、某些账号的扩散范围难于控制,从而给企业造成的安全损失是很严重的。
在4A框架下,账号、授权管理将纳入统一、可控的框架和过程,账号设置、分配均有详细记录,可以审计;账号撤消、更改后的同步工作(包括从集中账号管理系统向各主机、设备、系统下发账号,及集中账号管理系统从各主机、设备、系统收集账号)均由系统自动完成,避免手工同步;对账号的有效期可以用时间、地域等附加因素进行限制,防止滥用;在多人共用账号的情况下,审计也可以精确到实际使用账号的个人;针对高价值资产、高权限账号,通过灵活支持动态口令、PKI、生物认证等强认证技术,提高信息资产的安全性,并实现不同权限等级账号的不同安全策略。
这些措施无疑将给企业信息资产的安全防护提供强有力的手段,避免安全损失,同时通过保障企业内主机、设备、应用系统的顺畅运行,给企业增加效益。
管理员角度
采用4A框架,方便了系统中包括从系统用户聘用到辞职的整个生命周期的管理。如账号创建、授权、权限更改、个人信息更改、口令更改、账号删除等,均可在一个平台上进行管理,使用户与其账号的对应关系符合实际情况,保证用户拥有的权限是完成其工作所需的最小权限。
通过4A框架,系统管理员可以方便高效地对支撑系统进行审计,及时发现未授权的信息资源访问,权限滥用,入侵企图等等。
4A框架还为安全策略的强制统一执行提供技术保证,如监测用户口令的强度,口令更改周期等等。
减少由于用户忘记密码产生的维护成本。
这些都使管理员对信息资源管理的效率大大提高。
普通用户角度
通过4A框架,可以保证用户权限的分配符合安全策略要求,拥有完成任务所需要的最小权限。
用户可以通过4A框架提供的自助管理接口,可以方便地更改自己的口令和个人基本信息,减轻了系统管理员的工作负担,也提高了用户的工作效率。
通过4A框架提供的单点登录系统,用户一次登录即可方便地访问被授权的所有系统,省去了记忆多个账号名和口令的麻烦,提高了工作效率。
系统安全角度
4A框架可以使用户的工作变动情况及时在支撑系统中得到体现,通过集中平台,一个指令,即可以干净、彻底的清除与每个用户相关的所有账号,防止出现用户已经离职但账号还存在的情况。
另外4A框架为安全策略的强制执行提供了技术手段,如单点登录系统可以为用户在不同应用系统中自动设置足够强的口令,并且可以自动定期修改口令。这种设置和修改对用户是透明的,用户只需记住登录到单点登录系统的口令即可,提高了用户的效率,防止弱口令的存在。
通过方便高效的审计手段,可以及时发现系统中存在的安全问题和各种入侵企图,为安全管理员采取相应的措施提供及时准确的信息,增强系统的安全性。
系统管理成本角度
用户自我服务使用户可以维护自己的信息,单点登录减少了用户忘记口令的情况,这都使得系统的管理成本,尤其是在用户数目巨大的情况下大幅度降低。
IBM Tivoli企业4A安全框架
通过以上分析,一个全面的4A安全解决方案,应能够实现以下内容:
· 在企业建设系统运维用户管理系统,为所有用户提供集中访问服务、单点登录服务、后台帐号管理服务、访问日志服务等;
· 用户凭个人的主登录帐号,登录个性化的运维访问平台,可实现多因子强认证。通过集中访问平台的单点登录服务,访问被授权的各个系统,无需二次登录。用户无需记住各个服务器的登录帐号口令;
· 用户管理服务,集中管理用户的主登录帐号与各个服务器的系统登录帐号。定期自动更改所有后台服务器帐号口令。用户通过用户管理自助服务,可以更改个人的帐号口令;
· 访问日志服务,集中记录所有系统运维帐号的登录访问日志,集中记录所有系统运维帐号的生成、授权和口令更改日志;
· 集中的用户目录,集中的日志数据库等。
图1 Tivoli企业4A框架
本文将从集中用户访问和单点登录、集中用户管理、集中日志审计三个方面介绍如何搭建企业安全管理平台。
功能1:集中用户管理
建立集中用户管理的目标在于:
· 通过目录服务,整合现有信息系统中现存、主流应用的用户管理数据库,使大量存在于不同数据库中的用户数据信息,统一于以目录为核心的统一用户管理平台之中,为安全有效的实施统一认证、授权管理平台、安全审计、单点登录等功能奠定坚实的基础;
· 通过LDAP目录服务,建立统一用户管理平台,实现分级、委托模式的用户管理体系,强化对用户身份的管理;
· 通过目录服务,实现基于角色、粗粒度(基于URL)和细粒度(基于应用组件的方法调用)的访问策略管理,为企业建立规范的统一认证和授权管理支撑环境;
· 通过灵活、方便的委托管理机制,实现用户数据库的分级委托管理。为管理员提供统一的、基于Web的用户、角色和策略管理界面;
· 为用户提供自服务系统,用户通过自服务系统可以修改信息和口令。
图2 集中用户管理
IBM Tivoli Identity Manager(TIM) 可以集中的为一个组织创建、管理、挂起和移除所有用户的帐号。从而降低各种用户账号管理的成本。
基于角色的访问控制
通过角色的定义可以将企业用户根据不同职位和职责进行分组,从而大大简化用户管理的负责度和降低管理成本。
IBM Tivoli Identity Manager将用户按照角色来管理。大多数情况下,一个角色代表着通用的职责。例如,可以在组织中创建一个会计的角色,使其能够访问所有的跟会计相关的应用和资源。为用户分配角色可以是固定的,也可以是动态的。一旦某位用户被分配了一个特定的角色,也就会获得该角色相关的资源。
自助式服务功能
自助式服务的意义在于,自助服务功能使用户(和委托管理员)可以通过用户指派系统管理授权数据。利用角色和ACI规则,用户可以对其他用户和委托管理员指派特定的权限,对个人数据执行某特定操作,如添加或移除。通过自助式服务功能,授权用户可以自己重设密码,自助的注册以申请所要管理资源的访问权限。从而减少服务台的运营成本。Tivoli Identity Manager支持用户对个人信息的修改、个人账号密码的修改、密码提取等自助功能。
用户数据和密码的同步
在企业中存在众多系统,其中的用户帐号和密码的管理非常复杂,如果能够实现帐号和密码的同步,将能够大大减少帐号和密码的维护工作。IBM Tivoli Identity Manager与IBM Tivoli Directory Integrator结合在一起,提供对组织中所有被管理系统的用户账号双向密码同步的能力。经过密码同步之后,用户只需要记住一个密码就行了,从而提高了生产力,保证了对各个系统无缝的访问。
业务流程的自动化
工作流程的审批过程是通过对用户间关系(如管理员,责任人或系统拥有者等)的分解,关联到某特定个人;或者按规定路线发送到某特定角色相关的任何个人,自动的为业务管理的相应资源,使得业务更具弹性。
IBM Tivoli Identity Manager具有工作流的功能,结合客户自身的业务流程,工作流程的粒度,简单时只需获得一个批准,复杂时必须请求多重准许,如附加信息、通知、工作单、子流程、环路和客户通过Java Script定制的扩展步骤。
.jpg)
图3 生命周期管理和工作流程设计工具
密码管理
在统一身份管理平台上,密码的管理应该能够涵盖后台所有系统的密码要求。
IBM Tivoli Identity Manage的解决方案允许用户为每一种所管理的资源设定密码规则。除了像长度要求这种基本参数外,还包括通过Java Script来定制规则,以满足更为复杂的需求。如最小长度和最大长度、最大重复字符数、最小符号字符数和/或数字字符数、定义无效和/或必需的字符等。
.jpg)
图4 Tivoli Identity Manager的密码策略设置
审计和报表
由于集中用户管理平台是企业唯一的用户管理接口,因此必须能够跟踪终端用户和管理者在系统中进行的所有事务操作,包括用户授权的改动等,以用于对帐号信息的修改进行审计。
IBM Tivoli Identity Manager使用集中的轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)目录来保存用户身份信息,同时使用关系数据库作为集中的日志审计数据容器。两者都作为输入来生成预定义的报表,同时还能通过第三方应用程序来创建定制的报表。IBM Tivoli Identity Manager通过Web报表界面为访问控制策略,当前的授权情况,集中各个被管理系统的审计事件等提供报表。
功能2:集中用户访问和单点登录
对于一个企业来说,建立一个强健的、基于策略的安全身份认证和访问控制系统非常重要。一个完整的访问控制系统应该包括以下基本元素:身份验证,访问控制权限,审计,单点登陆,高可靠性,整体结构的弹性和日志。
图5 用户集中访问和单点登录
基于策略的访问控制
访问控制即根据不同的职责为企业员工、合作伙伴、供应商和客户授予不同的访问权限。如果能够提供基于角色或策略的访问控制,可以简化对多个系统和资源的访问管理。
IBM Tivoli Access Manager提供全面的安全和管理策略定义。支持用户分组,并给每组赋予不同的权限,同时支持动态规则的制定,如动态业务授权以及在需要的情况下使用外部数据为应用提供授权支持。
多种身份认证框架
最传统也是最简单的身份认证方式,即基于用户名和密码的方式。针对某些重要数据,系统应能够提供强的身份认证机制,为企业数据安全提供深度保护。
IBM Tivoli Access Manager提供了一套使用内建共享库形式实现的缺省身份认证机制,这其中包括基于LDAP的用户标识和密码,客户端证书,RSA SecurID令牌,SPNEGO协议(Kerberos验证),IP 地址以及移动和无线标识。同时支持身份验证定制模块,该模块允许用户扩展那些已经存在的身份认证机制。
IBM Tivoli Access Manager还提供二次认证和定义认证加强策略(也叫递升验证)。递升验证策略是在需要从安全级别低的应用访问安全级别高的应用时,强制要求按高级别的方式重新进行身份验证。
灵活的授权准则
授权准则的定义,只允许用户访问那些他们已被授权的信息。对于不同企业来说,授权准则的要求多种多样。如,要求某些数据只能从某些特定的机器上访问,或者必须是某组织或部门的人员才能访问等。这就要求用户授权模型能够提供多种灵活的授权准则以满足用户的不同需求。
IBM Tivoli Access Manager把授权策略保存在一个集中的存储库中,并且在本地的授权增强点处保存了它的副本。这种解决方案使用户能从三个独立的授权规范维度来定义访问控制策略。首先提到的是传统的静态访问控制列表,在列表中描述了主体(用户和用户组)所允许访问的资源以及这些主体所拥有的权限。第二个维度是在之前的基础上,扩展授权的能力,包括采用时间日期约束,请求者的IP 地址/子网掩码过滤器以及允许在访问特殊资源时强制要求SSL的保护级别。第二个维度同时会重载全局的审计设置,对企业资源实现基于策略的审计。访问控制授权的最后一个维度是一个动态规则引擎,在每次请求访问时,一个附属于特定资源的XML形式的断言将被计算,得到授权的结果。
IBM Tivoli Access Manager也允许通过向后台应用程序提供身份相关信息来实现更好的授权服务。它使得目标程序能够根据用户 在IBM Tivoli Access Manager中的身份证明来采取针对特定用户的动作。
单点登陆
随着 IT 系统所支撑的业务系统的增加,用户和系统管理者都面对同一个日益复杂的,进行功能操作的界面。典型情况下,用户不得不在多个系统上进行登录,这将迫使同一个登录对话框多次出现,每个系统都调用不同的用户名和验证信息,用户需要面对多个帐号和多种用户认证方式。而系统管理者则面对越来越复杂的用户资源的权限管理,必须为每个系统管理用户帐号。单点登录(Single Sign On,简称SSO)系统就是为了解决这样的问题,作为一个独立于平台的,支持代理功能的软件系统,提供易于使用的单点登录方案。
IBM Tivoli Access Manager的解决方案使用户能够方便的单点登录(SSO)到跨越多个站点或者域的基于Web的应用程序,从而帮助减少企业服务帮助台的电话量以及由许多个密码所带来的其他安全性问题。有了IBM Tivoli Access Manager的帮助,用户只需登录一次,他们的身份信息将会被创建,同时传递给后台应用程序,这个过程对用户来说是完全透明的。然后,用户就能访问所有已经被Tivoli Access Manager安全域认证过的基于Web的资源和Web应用程序。
IBM Tivoli Access Manager同时提供"Windows Desktop Single Sign-On"功能 ,使得用户登录到Windows网络以后便能无缝的访问任何 受IBM Tivoli Access Manager保护的应用程序而无需再次进行身份验证。IBM Tivoli Access Manager的Windows桌面单点登陆支持SPNEGO 协议和Kerberos 验证。
日志与审计
记录访问日志,审计所有的访问企图的能力对于一个安全的企业Web来说是非常重要的。监视所有用户的访问企图使管理员能检测安全风险。IBM Tivoli Access Manager用一种标准的格式以日志的形式记录了所有的访问请求。审计日志包括所有影响IBM Tivoli Access Manager的授权过程的系统事件的数据。这些数据由身份验证和授权的审计记录组成,包括成功和不成功地访问某项资源,更改密码,管理事件。IBM Tivoli Access Manager能根据任意已定义的策略(更改密码,冻结帐号,非法访问等的功能)来生成审计记录。只要某项策略被违反(例如:超过最大登陆失败次数阈值),审计记录就会被创建。
每一个过程都被严格设定来捕捉特定的审计事件。这些参数的设置包括对于验证事件,授权事件,管理命令,HTTP请求处理以及每个过程审计文件的名字和位置的定义。审计日志文件会被监控以应对诸如文件增长已超过设置的阈值,回滚以重新创建一个新文件等这样的情况。对于标准HTTP日志的支持使用户能了解哪些IP地址提供了哪些类型的请求。IBM Tivoli Access Manager还能够将审计记录写入一个类似XML格式的文件当中,这使得解析和获取信息更加的容易。
功能3:集中日志审计
为了优化资源和服务的可用性并保护客户信息,现在的信息安全团队必须能够:
· 快速识别并解决安全问题。
· 执行安全策略。
· 支持审计和制度遵从计划。
问题是,上述每个活动都涉及到保存在整个机构中的大量安全数据。企业和服务供应商必须能够快速访问并高效分析这些分散数据。IBM Tivoli Security Operations Manager 可帮助迎接这些挑战。该产品是安全信息和事件管理平台,设计用于提高安全工作和信息风险管理工作的效率、效力和可视性。Tivoli Security Operations Manager 可集中保存整个技术基础设施上的安全数据,以便用户能够:
· 自动开展日志汇聚、关联和分析工作。
· 自动识别、调查并响应安全事故。
· 简化事故跟踪和处理。
· 监控并执行策略。
· 提供全面的报告以确保制度遵从。
图6 集中日志审计
在多厂商环境中将日志集中汇聚在一个位置
为了检测攻击、恶意软件以及存在潜在危险的错误配置和内部滥用,安全团队必须分析分布在整个安全基础设施上的大量事件数据:
· 入侵检测系统
· 防火墙
· 虚拟专网
· 防病毒应用
遗憾的是,在典型网络中,大量的数据和单独设备使手动分析安全数据成为不可能实现的任务。因此,企业必须自动将不同设备和系统提供的事件信息汇聚到一个中央位置,通过关联数据来促进响应和报告事故。
自动将数据汇聚到中央位置对于确保制度遵从也很重要。企业常把日志数据保存很长一段时间,以便根据需要对日志数据进行历史分析。Tivoli Security Operations Manager 为用户提供平台,允许自动汇聚主机日志、安全事件、资产数据和安全漏洞数据。可选择希望软件从哪些来源提取多少数据,Tivoli Security Operations Manager将使用标准和本机协议来收集这些数据,如可扩展的标记语言(XML)、系统日志、简单网络管理协议(SNMP)、简单邮件传输协议(SMTP)、CheckPoint OPSEC 及Sourcefire eStreamer 等。Tivoli Security Operations Manager 还能使用自己的低影响通用代理来收集信息。Tivoli Security Operations Manager 能够从现有的几百个不同设备中收集事件和日志数据。此外,还允许用户添加对定制设备和内部应用的支持。
跨设备关联可帮助提高事故检测能力
Tivoli Security Operations Manager 能够从整个基础设施中提取信息,从而帮助用户检测到攻击、滥用和异常活动。这个软件可使用四项互补的关联技术来分析事件数据并分配优先级:
· 基于规则的关联 - 检测已知攻击和策略违规。
· 安全漏洞关联 - 将已知攻击与已知的系统安全漏洞相挂钩。
· 统计数据关联 - 通过对事件和主机进行高级分析来识别异常行为。
· 敏感度关联 - 帮助决定任何系统可能遭遇攻击的几率。
此外,Tivoli Security Operations Manager 还能在关联处理期间根据业务优先级分配来加权资产的重要性,以便为安全活动分配优先级。当安全分析师使用控制台时,不会看到漫无止境的安全事故清单,而是已经根据业务目标和策略分配了优先级的有意义的信息。
集成事故调查和响应可帮助缩短安全风险的牵制时间
为了帮助客户大幅度缩短攻击、错误配置和滥用的处理时间,Tivoli Security Operations Manager 紧密集成了调查和响应工具。此外,软件还能促进上报和跟踪流程。产品提供以下调查特性:
· 一步点击操作即可使用的集成的调查工具。
· 自动响应功能,用于阻断威胁并关闭环路。
· 对可疑行为进行地理跟踪。
· 面向安全性的故障票系统。
运行集成可帮助提高效率
Tivoli Security Operations Manager 可促进事故管理数据在安全性、网络和系统管理运行部门之间的流动,从而解决因 IT 孤岛导致的运行低效问题。例如,Tivoli Security Operations Manager 与企业网络和系统管理产品,包括事件管理器和显示板以及 IBM Tivoli Enterprise Console,以及 Remedy 等 IT 帮助台故障票系统紧密集成。
Tivoli Security Operations Manager 还能集成 IBM Tivoli Identity Manager 和 IBM Tivoli Access Manager,以便监控并监管客户身份和访问策略 - 执行策略、快速检测出并解决潜在的滥用问题。
全面的报告可帮助深入了解安全趋势
Tivoli Security Operations Manager 提供使用中的数据挖掘、历史报告以及自我审计和跟踪功能,对用户了解安全趋势至关重要。此外,这些报告还能帮助 IT 部门向管理和审计部门等其它用户宣传相关安全信息。
特性包括:
· 标准的和可定制的报告模板。
· 自动报告调度器。
· 所有图形和图表的 HTML、PDF 和 XML 输出。
· 自我审计并跟踪所有的安全活动。
Tivoli Security Operations Manager 可利用保存在安全事故数据库中的信息来根据需要提供历史报告和趋势报告。
总结
本文阐述了4A安全管理平台在企业安全中的重要性,并介绍了IBM Tivoli软件如何实现全面的企业数据安全管理。
其中,IBM Tivoli Access Manager为企业提供了端对端的安全解决方案,为企业提供强健的、基于策略的安全系统,并实现身份验证,访问控制权限,用户行为审计,单点登陆等功能;IBM Tivoli Identity Manager为用户提供了创建、管理、挂起和移除所有用户的帐户的平台,实现了企业帐号的集中管理,从而降低各种用户帐号管理的成本,提供安全性;Tivoli Security Operations Manager 针对安全状态提供全面视图,并允许用户快速深入到视图内部以调查攻击,是帮助用户防止入侵并最大限度地提高业务安全性的有力工具。
