【集中账号管理的目的】
随着信息系统复杂性的增加,对中国移动企业内部用户权限的管理要求,将大大超过手工管理跨异构系统的能力。管理上的复杂性还会导致出错机会和安全风险的增加。比如,人员的快速流转导致系统中大量存在孤立的账号,并且这些孤立的账号具有有效的权限,使企业暴露在内部和外部攻击之下。
在一个大型的、信息化程度很高的企业当中,账号管理集中化是解决这些问题的出路,使企业能够从一个或几个集中点,控制用户对所有企业信息系统的访问。
企业通过实施集中账号管理,达到以下目的:
1. 管理员在一点上即可对不同系统中的账号进行管理,实现:
1. 账号与人的关联;
2. 网络设备、操作系统、甚至应用系统中已有账号的收集;
3. 新建账号并同步到各系统中去;
4. 实现集中的密码策略,并按照密码策略的要求,自动、集中、定期修改系统账号的口令;
5. 实现集中删除一个自然人的所有或者部分系统账号;
6. 通过4A之外的流程管理系统或者简单的记录手段保留账号创建、分配、变更、删除整个过程的信息,从而知道什么时间、哪些账号给了哪些人,每个人拥有什么样的账号,便于审计。
【对集中账号管理的要求】
账号集中化管理系统需要做到:
1、与各主机、网络设备、信息系统无缝连接
对于采用账号/密码方式登录的应用系统,要求能够继承现有系统的账号数据,并将各种系统的账号数据统一到一种格式,集中存放。
现有应用系统中的账号数据可能存放在关系数据库(RDB)中,也可能存放在LDAP数据库中,要求对这两种存储方式均提供支持,并且可以通过简单的数据库映射配置即可完成。
能够自动发现主机、网络设备上的已有账号。可以定期,或手动触发,自动搜索所有被管理的系统,从中发现、收集所有新创建的账号。
可以通过该平台设定密码策略,包括密码强度、生存周期等,并且能够将结果自动同步到所有被管理系统中去。
2、与单点登录系统无缝连接
账号管理数据能够实时的与SSO服务器中的数据同步,或者采用相同的数据库。同步的信息包括系统账号、口令等等。如账号管理模块自动修改操作系统账号的口令后,能够将新的口令同步到SSO,而不影响SSO功能。
3、提供账号生存期管理
账号生存期管理是指对账号从产生到删除各存在状态进行管理。包括对账号属性的更改,口令的重设,账号使用情况的审计等。
账号生存期管理示意如图5.1所示,在后续章节中还要详细介绍。
图: 账号的生存期管理
用户账号集中化管理的带来的益处,需要从系统安全角度、用户角度和系统管理员角度进行体现:
1. 系统安全角度:统一的管理策略保证用户账号的管理与实际情况紧密联系,增加了系统的安全性;
2. 用户角度:先进的单点登录技术与用户账号的集中管理结合,方便了用户的登录,提高安全保护等级;
系统管理员角度:对系统中的用户账号统一管理,可以减少系统管理员的劳动强度,提高生产效率,增强系统的安全性。
【账号生存期管理】
账号生存期管理是指对账号从产生到删除各存在状态进行管理。包括对账号属性的更改,口令的重设,账号使用情况的审计等。集中账号管理系统必须覆盖整个生存期管理。
【用户与账号的关系】
在此先对用户和账号这两个基本概念进行澄清。
用户是指使用信息系统的企业内正式或临时的员工、来自合作伙伴或设备供应商的工作人员等。
账号是指具体使用系统和业务系统的主体。
用户与账号的关系是这样的:一个用户可以拥有信息系统中的一个或多个账号,也可以不拥有任何账号;账号一般与一个特定的用户相关联,也可以不属于任何一个用户(孤立的账号),甚至可以属于多个用户(多个用户共享同一账号)。用户与账号之间的关系如图5.2所示。
图5.2 信息系统中用户与账号的关系
从图中可以看出用户与账号的对应关系主要有以下几种:
1)孤立的用户
孤立的用户一般是在用户刚刚在企业中注册还没有为其分配账号的时候。
2)孤立的账号
孤立的账号一般是在用户离职以后,但账号还没有删除的情况下存在。从安全的角度来看,这种孤立的账号对于信息系统的安全是一种潜在的威胁,因为这种账号是有效的,可以访问信息系统的资源。
3)一个用户对应多个账号
一个用户对应多个账号是比较普遍的情况,因为用户要访问不同的信息系统,而不同信息对账号的管理是独立的,即使是在同一个信息系统中,由于工作的需要,某些用户(如系统管理员)可能既需要高权限的账号,也需要低权限的账号。
4)多个用户对应一个账号
多个用户使用同一账号的情况主要出现同一个工作组中,因为工作的需要大家使用同一个账号。如在中国移动OA系统中,由于软件平台的管理员账号是唯一的,而有管理员权限的用户有多个,只能是这多个用户共享这唯一的管理员账号。这种方式也是不安全的,可能因为某个用户的失误导致系统安全被破坏。
用户在企业中的生命周期,从用户被录用开始一直到离职,这中间经过职位和岗位的变动、权限的变化等,企业中用户的管理将伴随着员工的整个生命周期。
由于用户可能要访问多个信息系统,这些信息系统可能是异构的,所以在实施用户策略时,管理员应该可以一次性向多个异构的管理平台提交策略,并且策略在传播时也能够确保一致性。集中化用户管理工具应能发现企业内的所有被管理对象,并呈现给管理员。同样,对用户的管理也可以以目录的形式进行管理,对用户的创建、修改和删除能够方便地进行。
对于应用系统来说,集中化的用户账号管理流程大体可以分为以下几步:
1、用户主账号创建
通过系统管理员或用户自助注册系统建立用户主账号,与实际人员对应,每人一个。在单点登录(SSO,详见本文7.3节)环境下,主账号用于第一次登录;在非SSO环境中,主账号仅仅是自然人的标识。
2、分配角色
管理员根据用户的工作部门和岗位,为用户分配相应的角色。
4、创建从账号
如果对企业内的应用还没有按照本要求附录二中的模式二实施改造,则用户在访问具体的应用系统时,还需要向应用服务器提交自己在应用系统中的账号(从账号)。管理员根据用户的工作部门和岗位,在集中账号管理平台上为用户创建相应的从账号,从账号会自动下发到对应的应用系统中。
5、获得访问权限
基于角色或已创建的从账号,用户获得访问信息系统相关资源的权限。
对于网络设备、操作系统来说,集中化的用户账号管理流程包括:
1、用户主账号创建
通过系统管理员或用户自助注册系统建立用户主账号。在SSO环境下,主账号用于第一次登录;在非SSO环境中,主账号仅仅是自然人的标识。
2、从账号建立与分配
管理员根据用户的工作部门和岗位,通过集中账号管理平台为用户创建或关联相应的从账号。新建的从账号信息由集中账号管理平台自动下发到对应的主机或设备。
3、账号使用
基于已创建的从账号,用户获得访问信息系统相关资源的权限。
4、账号维护
包括根据密码策略,定期更改口令;从账号定期收集、同步;账号回收等。
【账号集中化管理架构】
【一般模型】
账号集中化管理系统架构如图所示。
账号集中管理系统一般包括三个主要部分:
1. 账号管理服务器,提供账号管理服务。为了与4A框架下其它模块有机结合,账号管理服务器需要提供适当的对外接口,经过授权的应用可以通过这些接口查询账号管理模块所管理的账号信息。
2. 集中的账号管理数据库,用于存储内部的所有管理信息,包括所管理的设备、系统,各设备、系统下的所有从账号,从账号与主账号的对应关系等。在账号管理数据库中可以不存储个人信息,而是在需要的时候通过外部数据接口访问企业安全目录,获取个人信息。
3. 适配层,用于将不同的网络设备、主机系统以及应用系统的账号管理机制通过标准化接口,统一到统一的管理架构中。
由于主机、网络设备的账号管理与应用系统的账号管理有所不同,因此下面分别进行描述。在选购具体账号管理产品时,要求对主机、网络设备及应用系统账号管理均提供一体化的解决方案。
在对主机、网络设备的账号进行集中管理时,一般的产品将适配层实现为具体的适配器,或称Agent(代理)。通过Agent,可以将不同的管理接口、协议,转换成统一的接口、协议,便于容纳、管理不同的设备、系统,包括:
1. 将集中账号管理系统发出的账号管理指令,包括账号收集、账号创建、账号删除、密码更改等,转换成主机或设备能够识别的指令,发送给主机或设备。
2. 将主机、设备返回的不同格式的信息,包括收集到的账号、命令执行结果等,转换成集中账号管理系统规定的统一格式,便于统一展现、管理。
按照Agent部署方式的不同,对主机、网络设备的集中账号管理可以有两种实现方式:
1. 内置Agent方式。即将Agent部署到被管理的主机、网络设备中,管理服务器通过标准或自定义的网络传输协议,与Agent通讯,实现具体的管理功能,如图所示。某些设备内置的radius协议,或SNMP,都可以看作是内置Agent的例子。
2. 外置Agent方式。即将Agent部署在被管理的主机、网络设备之外,通过标准的管理协议、接口,与主机、网络设备进行通讯,实现管理功能,如图5.5所示。对于UNIX系统来说,最常用的管理协议是Telnet、SSH;对于Windows来说,除了Telnet、SSH外,还可以使用Windows自带的管理客户端。很多厂家实现的Agent,就是部署在主机外,通过Telnet与主机通讯,行使管理功能,这就是典型的外置Agent的例子。
![clip_image001[5]](http://www.zike.me/wp-content/uploads/2012/01/clip_image0015.png "clip_image001[5]")
内置Agent方式与外置Agent方式比较
| 内置Agent方式 | 外置Agent方式 | |
| 优点 | 1. 驻留在系统内部,可以使用系统提供的全部管理功能。
2. 可以及时发现新账号。 3. 可以使用自定义传输协议,便于加密。 |
1. 不需要在系统内安装如何软件,符合管理员工作习惯。
2. 部署在被管理系统外部,不会对被管理系统本身的运行效率产生影响。 |
| 缺点 | 1. 如果主机本身不提供,需要在主机内安装新的软件,管理员可能会有疑虑。而且对于固件化的网络设备,也很难安装新的软件。
2. Agent在主机内运行,可能会对主机本身的运行效率产生影响。 |
1. 只能通过被管主机、网络设备的操作系统提供的标准管理接口或协议进行管理,功能受接口或协议的限制。
2. 通常为了安全起见,管理员会关闭某些不安全的公共管理协议,如Telnet,如果外置Agent基于这些协议,则可能会带来不兼容或安全问题。 3. 对新账号的发现多通过定时轮询。 |
| 适用范围 | 主要适用于主机 | 适用于主机、网络设备 |
对于应用的集中账号管理,需要分情况来考虑。
对于按照本文附录二的模式二进行过改造的应用系统,已经将身份认证、权限管理等功能移交给了4A框架,则本身不再保留账号,也不需要进行账号管理,而是由4A框架实现基于角色的集中访问控制,包括:
1. 通过4A框架创建、撤消用户。
2. 通过4A框架创建、撤消角色。
3. 通过4A框架分配角色权限,包括角色能够访问哪些应用,能够在应用中以什么样的方式访问哪些资源。
4. 通过4A框架给用户分配角色。
5. 用户登录时,集中身份认证系统可以识别用户的个人身份。
6. 集中授权系统根据用户的个人身份,确认用户能够扮演的角色、角色的权限,并决定用户是否能够登录所访问的应用。
7. 用户登录到应用后,应用服务器根据集中授权系统返回的角色权限信息,决定用户在应用内部的权限。
如果应用还没有按照本文附录二的模式二进行过改造,在应用内部还保持有自己的账号,则4A框架对他们的集中账号管理,主要表现为账号同步:通常应用系统都有自己的数据库,用于存储自己的账号信息,因此集中账号管理系统对应用账号的管理,经常表现为数据库同步,即保持应用数据库与账号集中管理数据库中的账号数据的同步。这时图5.3中的适配层即表现为数据库同步工具。对于通过RDB存储账号信息的应用系统,集中账号系统可以通过类似ETL工具的数据库映射工具同步账号;而对于通过LDAP存储账号信息的数据库,可能需要专门的同步工具。
这种同步可以有两种触发方式:
1. 定时触发。即系统根据事先制定的策略,定期对数据库进行同步。
2. 事件触发。即管理员在需要的时候,或者在管理员进行了某些操作后,自动进行数据库同步。
具体的集中账号管理系统要求两种方式均支持,便于系统管理员根据需要选择使用。
如果需要在保留应用系统账号的情况下实现单点登录(SSO,详见本文7.3节),则集中账号管理系统必须与应用系统保持从账号/密码的同步。如果应用数据库中的密码信息为加密存储,或存储的是加密后的摘要信息,则很难从应用数据库中抽取账号密码,在这种方式下,同步通常是单向的:集中账号管理系统根据密码策略,自动更改用户在应用系统中的密码,而不从应用数据库中抽取密码。当然前提条件是应用系统必须开放其密码加密方法,或提供相关的密码写入接口供集中账号管理系统调用,否则无法实现从上至下的密码管理。
对于使用一次性动态密码进行身份认证的系统,按通常手段同步账号信息也存在困难。这个问题的解决办法是:对应用进行改造,把动态口令系统实现在主账号认证阶段,其它阶段按照普通的账号/密码方式实现,账号/密码传递过程进行数据加密。
虽然主机、网络设备的账号管理,与应用系统的账号管理有所不同,但是在呈现给管理员时,账号集中化管理系统应能够提供统一的管理界面,无论所管理的网络设备、服务器、工作站及应用系统为何种平台,都可视为被管理对象,都采用一致的管理方式进行用户管理,这样就可以屏蔽各平台之间的差异性。
安全管理员应该可以通过方便的图形用户界面或Web浏览器与系统交互,对用户及信息资源进行管理。
在进行产品采购时,如果主机、网络设备的账号管理,与应用系统的账号管理系统用的不是同一个系统,则需要系统集成商进行开发:
1. 保证两个系统中用户主账号与企业安全目录中的主账号一致。
2.提供一个集成的界面,将两个系统的功能集成在一起。这个界面不能通过简单的Portal进行界面堆叠,还必须考虑两个系统之间的数据交流,从而能够在屏蔽系统差异的基础上,为管理员提供统一的资源管理功能、账号管理功能和权限管理功能。
【自我服务系统】
为了提高管理效率,降低管理成本,集中账号管理系统还需要提供基于web的自我服务功能,供普通用户使用。
自我服务系统使用户不需要帮助桌面或支持人员的帮助,就能够对自己的基本信息如部门、职务、联系方式、职责等进行管理;能够在用户忘记账号口令时重设口令(如果未实施SSO,则用户可以更改所有从账号口令;如果已经实施SSO,则用户不再需要更改从账号口令,并且只有在SSO采用主账号/密码方式进行身份认证时才有必要让用户更改主账号口令),并且能够提供自动提醒用户修改主账号口令的手段等。自我服务系统使得系统的安全策略得以贯彻,并能显著减轻系统管理人员的维护负担。
自我服务系统一般通过问答的方式对用户进行身份验证,验证通过后用户就可以对自己的信息,包括在某些系统中的口令进行设置和修改。
对于采用了SSO的情形,用户一般通过自我服务系统修改自己在SSO服务器中的账号(主账号)信息。但用户在各系统中的账号(从账号),也必须能够由账号集中管理系统按照安全策略或者密码策略,自动进行修改。自动修改后的密码可以通过自我服务系统查询,或通过在自我服务系统中的设置,通过手机短消息等手段通知用户。管理员可以通过这种手段定期备份几个特殊账号的密码,供紧急情况下使用。
对于没有采取SSO的情形,要求用户完全的自助服务,即用户可以修改自己在各系统中的从账号信息,包括口令及联系方式等个人信息。