产品 - 统一用户账号管理系统(User Account Management System)

一、引言
目前各类IT系统包括MIS、OA和各种专业信息处理系统等担负着繁重的信息处理任务,系统涉及面广,参与人员也较为复杂。这就给安全管理上带来多方面的挑战:

  • 系统管理员要管理多个平台,从UNIX服务器、数据库直到各种应用。其中涉及平台繁多,由于历史发展原因,各平台在用户管理上都有自己的管理工具,管理员要学习不同的方法去管理不同的平台,给用户管理带来了很大的麻烦;日常工作的口令管理工作也很繁重,给用户带来大量工作。

  • 普通用户也需要面对多个账号、多个口令的困惑。一个用户通常在多台主机上都拥有属于自己的账号,每个账号都有一个口令,而且还必须弄清楚哪个应用配的是哪个口令,每个口令都要有一定的使用期限,定期还必须修改。如果口令过于简单,则降低了安全性,反之,过多的和过于复杂的口令,对于用户来说无意是一个很大的困扰。

  • 系统最终是为业务服务的,管理员还要面对在业务处理中不同的工作岗位,各个岗位上的分工不同,对业务系统的权限也不同。对这些岗位的定义要通过角色和策略来实现,所谓角色,就是某类用户在各系统中应具有的不同权限的集合。划分不同的岗位,就是定义不同的角色,而角色所具有的一些权限集合,可以称之为用户策略。管理员要在全系统内保证角色和策略的一致性。

  • 对一些特殊账号,如临时账号、人员离开后的遗留账号,在对这些账号在管理上的疏漏,就会形成类似于“幽灵账号”的安全隐患,是造成重大安全事故的重要原因。

  • 《萨班斯法案》对账号口令管理提出了很高的要求,对于在美国上市的企业,为了满足该法案,用户的账号口令管理存在着很大的难度。


    • 二、系统概述

    众川统一用户账号管理系统(UAM),提供集中、完全自动化的用户和账号管理。该经济高效的解决方案管理用户帐户和工作流的创建以及UNIX服务器和网络设备的相关设置,它还提供多种角色的账号管理服务、多种视角的账号管理、基于口令策略的账号管理和自我服务功能,以便提升用户的生产效率和降低用户管理成本。

    UAM提供多种类型的账号管理能力,我们在在账号口令管理的过程中基本考量的因素是:资产、用户、和账号这3个基本对象。通过这些基本对象之间的关联,提供了对账号的管理基础。

    主要内容包含:
    资产账号管理:在本项目和相关文档中,定义资产为带IP的硬件设备和其上的程序应用和服务。例如某台数据库服务器,该服务器和其上的数据库为一个资产。资产管理就是从资产的角度去管理位于资产上的账号。

    用户账号管理:对应于资产上的账号管理,在UAM中,维护了一个对行政组、自然人的行政结构的管理。对于每一个纳入系统的用户,必然对应着属于他的账号。用户账号管理就是从用户的角度去管理账号。

    工作流管理:用户账号申请、批准、建立、撤销等账号管理流程功能的实现。众川统一用户账号管理系统支持创建统一账号和口令。统一账号要求被管理的UNIX和网络设备支持自定义账号。众川统一用户账号管理系统支持口令同步。账号管理过程中的支持直接将账号口令信息直接发送到相关人员手机上。

    口令安全策略管理:安全的口令策略通过强制执行策略将因容易猜测的口令引起的风险降到最低,口令策略和其他策略总的遵循原则包括:用户必须根据计划更改其口令、用户必须提供有价值的口令(口令必须有一定的强度)、因用户口令和账号违反相关策略,用户可能会被警告。

    所有的纳入UAM进行管理的资产及其安装于资产之上的管理对象上的账号,都可以在统一的平台进行集中的管理,使用适当的安全策略和自动的处理手段保护我们宝贵的信息资产的安全。


    三、适用对象
    政府机关、事业单位、大中型企业;


    四、系统组成
    UAM由三个主要的部分组成:后台处理模块(含Agent和Agent Server)、Web管理模块、UAM数据库。具体结构如下图:


    五、系统功能

    六、系统特色

    具备完全自主知识产权的账号口令集中管理系统,为用户提供了符合国内使用方式的产品。

    1、以账号为核心,从两种视角维护和管理账号,最大程度方便用户的管理和操作;
    以资产为主线,对资产上的账号进行管理;
    以用户为主线,对用户所属的账号进行管理;

    2、提供账号的用户账号申请、批准、建立、撤销等账号管理流程功能的实现,完全符合用户的操作习惯和实际工作流程。

    3、界面友好,功能强大,能够以快速的方式和良好的界面来呈现数据;

    4、全中文的操作界面符合国人的习惯;

    5、UAM对设备的分类最细致、最全面,目前支持的系统包括:

    如果应用环境不符合上述要求, 如果操作系统的版本号不符合上述要求,并非不支持,但需要先对脚本测试。

    6、对口令的安全策略规划合理,划分粒度最小;
    a) 最小和最大口令长度
    b) 最小和最大字符数目
    c) 最小和最大数字数目
    d) 口令存在的最短和最长生命期
    e) 要允许用户更改自己的口令,请选中“用户可以更改口令”复选框。
    f) 如果不希望用户口令过期,请选择“口令从不到期”单选按钮。否则,请选择“口令在 X 天后过期”单选按钮,以强制用户定期更改口令,然后输入用户口令的有效天数。
    g) 如果选择了要过期的口令,则可以在“口令过期前 X 天发出警告”字段中指定口令过期前多久向用户发送警告。(the length of time before password expiration that the directory server sends the user a warning)


    七、系统部署图
    UAM的部署比较灵活,它可以根据企业的业务量进行灵活的调整。对于纳入UAM管理的资产数量不大的企业,完全可以把UAM系统部署在一台服务器上。对于事件量比较大的企业,可以把上面3个主要模块分别部署在不同的服务器上。下图是UAM的一个典型的部署图:


    图中:
    WEB门户服务器运行在Unix主机或Windows Server操作系统上,在该服务器上部署UAM的前台WEB管理模块。
    后台服务器运行在Windows系统上,对于一般的用户而言,AgentServer和Agent都在该服务器上部署。


    八、成功案例

    1、某省移动公司内部资产账号管理
    移动公司内部包含大量的网络设备(CISCO等)、UNIX主机设备(Linux、IBM AIX、SUN Solaris、FreeBSD、Irix、HP-UX)、Windows主机设备、各类应用系统,其中应用系统包括数据库(ORACLE、DB2、MS SQL Server、MySQL、Sybase、Information、AD、LDAP等)及各类业务信息管理系统,这些资产对象不仅数量大,而且对不同账号管理的操作也有差异。在实际系统运行的过程,账号数量庞大,且分布于不同的系统上,账号与自然人无法对应,账号管理难度很大,UAM系统的成功运转,不仅解决了上述问题,而且提高了效率,得到了用户的充分肯定。

    UAM对移动公司内部资产账号管理实现了下面的功能:

  • 统一WEB集中管理平台,屏蔽了各类系统账号操作的差异性,减少了误操作带来的账号管理风险;

  • 账号与自然人关联,解决了自然人通过账号登陆系统操作行为的可审计性;

  • 完整的账号生命期管理。职员从进入公司为其创建账号开始,到实际应用账号过程到职员离职账号在主机和UAM系统中删除,UAM都有完整的记录和流程管理;

  • 可根据用户的需要进行特定业务系统的账号管理二次开发。

    • 具体总体结构图如下:

    2、UAM动态口令在接入网认证服务中的应用
    VPN用户从远程访问内部网络,需要在防火墙对用户身份进行认证,允许合法的用户访问网络,不合法的用户不允许访问,,密码通过远程网络,密码有被黑客拦截的危险,所以本方案保证用户密码的一次使用有效性,即每次用户访问完网络本次密码即失效,同时通过手机短信发送新密码,保证下次用户能通过新密码访问。

    本方案实现下列功能:

  • 后台身份认证服务器,至少提供密码认证;

  • 提供数据库的访问接口,包括ORACLE、MySQL,配置文件;

  • 提供认证系统的WEB配置管理界面;

  • 与UAM系统保持账号信息的同步;

  • 一次密码更新。


    • 具体总体结构图如下:



    3、UAM与单点登录系统(SSO)的集成
    单点登录(SSO)就是用主账号登录到单点登陆服务器,进而登陆到门户网站等系统,通过门户再登陆到各内部业务系统,在门户网站与业务系统之间的认证有单点登陆服务器与各业务系统自动交互完成。
    UAM与单点登录系统集成可以实现动态口令功能,用动态口令取代以前的一成不变或定期更新的主密码,可以实现一次一密,保证密码使用一次就失效,主密码通过手机短信或电子邮件实时通知用户。用动态口令取代以前的一成不变的从密码,可以让从密码一次一密或定期更新,更新后的从密码在单点登录服务器与各业务系统之间自动同步。

    系统结构图如下:

    4、UAM与UNIX域安全网关的集成
    UNIX域安全网关负责对进出网关的用户进行集中认证,对用户的操作行为进行抓屏,审计及查询统计。UAM可以作为UNIX域安全网关的认证服务器,支持多种认证方式,比如密码、双因素令牌认证等,采用密码认证时可以做到一次一密,即动态口令功能。

    系统结构图如下: