大型企业网络如何实现实名制管理XX科技有限公司
目录
1、 前言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
2、 网络实名制管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
2.1网络实名制定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
2.2网络实名制从企业网开始. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
3、 企业网络实名制管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
3.1在企业中实行网络实名制的重要意义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
3.2企业网络实名制体系架构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
3.3企业网络实名制管理路线图. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
3.3.1建立集中用户管理系统. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
3.3.2实现接入层网络准入控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
3.3.3企业网用户实名制管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
4、 企业网用户实名制建设需要注意的问题. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
5、 企业网络实名制管理典型案例分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
5.1项目需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
5.2 XX科技为XX建行构建用户实名制管理平台. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
5.3项目评价. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
1、 前言
在现实生活中每一个人都存在一个或多个区别于他人的身份特征例如DNA、眼睛虹膜、指纹等但在人类所形成的社会中这些特征的识别并不方便因此作为社会的每一个人通常都通过身份证作为其在社会中的身份标识通过组合国籍、地区、种族、姓名、年龄和面部特征照片生成唯一的身份证号码并将其作为人在社会生活中的身份识别码并将其与该人在社会中所从事的各类活动例如学习、工作、投资等建立起对应关系从而有效地实现对人在社会活动中行为的监测和控制保持人类社会稳定、有序向前发展。
但是数字化的网络出现却打破了这种已经形成的社会的秩序 网络世界是一个完全的虚拟世界在这个虚拟世界中打破了真实生活中国籍、地域和种族的限制形成了一个现实存在的虚拟社或。由于网络发展的速度太快时间太短应用还远没有成熟另外也是受限于网络技术的局限例如I Pv4有限的资源已不能将所有接入网络的设备分配唯一地址标识因此网络虚拟社会实际上是缺少秩序、缺少规则和法律的社会。因而也造成了广泛参与其中的人类在网络虚拟世界中基本上没有可以区别于虚拟世界其他人的身份特征或身份标识。正如在网络中广泛流传的一句玩笑话 “当你在网上聊天时你不知道跟你聊天的是一个人还是一条狗” 。
由于在网络虚拟世界中每个访问网络的人访问主体缺乏有效和唯一的身份标示这一事实纵容了那些有犯罪分子、那些掌握针对网络存在的漏洞的攻击技术并怀有恶意的人或者抱有好奇心的人利用网络存在的缺陷在网络中传播病毒、种植木马、窃取机密和个人隐私信息使人们在分享网络带来便利的同时也为网络中安全问题付出了沉重的代价。
近年来 网络安全受到极大的重视 网络安全技术和安全产品的应用得到长足的发展已经有效遏制了恶性网络安全事故的发展势头。但由于网络技术的进步和新安全技术的突破的速度大大滞后于人们参与虚拟社会的热情和速度 “道高一尺魔高一丈” 网络安全严峻的形势没有得到根本上的改变。
那么是不是说除了等待网络技术有了突破性进展后再来解决网络中的安全问题哪当前就没有一个很好的办法来应对严峻的网络安全形势
当然不是一方面要看到网络安全问题将是一个长期存在的问题只要有虚拟网络世界存在安全问题也将长期存在正如真实社会中虽然已经通过道德规范、法律和警察建立起秩序但却只能将犯罪率降低却不能消灭犯罪。另一方面虚拟社会和真实社会都存在一个共性其中的安全问题或社会治安问题背后的主体都是确定的一个人或一群人虽然我们不能了解到某个人是否有犯罪意图不能消除某个人的犯罪企图但是如果我们能够在某人实施犯罪时或之后能够迅速对其背后行使犯罪动机的人准确定位并及时揪出来那么将极大地威慑其他存在犯罪企图但暂时未行使犯罪的人放弃犯罪的念头从而实现在不能根除犯罪但却将犯罪发生的可能和危害降到最低。
从这个角度出发我们发现无论未来网络安全技术如何发展数字化网络世界中的身份认证问题将是有效解决网络安全问题的关键。如果能够为虚拟世界的用户提供确定的身份标识并将虚拟社会中的用户标识与现实生活中具体的某个人建立起一一对应的关系那么在网络中发生安全事件后可以通过这种建
立的一一对应关系找到现实生活中为这个安全事件负责的人并通过现实生活中的
经济、法律等手段对其进行警示或惩罚从而有效地打击那些企图在网络世界中进行破坏的人从源头入手将有效减少网络中安全事件的发生将因安全事故带来的损失降到最低。
2、 网络实名制管理
2.1网络实名制定义
网络实名制就是为网络虚拟世界中的用户建立确定的身份标识并将虚拟世界中的用户标识与现实生活中具体的某个人建立起一一对应的关系。这样在网络中只要通过其中任何一个虚拟世界中的用户名或用户账号都可以找到发起网络访问的人无论其是采用其在现实世界中的真实身份还是采用虚拟世界中的用户名或用户账号。
实现网络实名制不仅能够使真实社会与虚拟社会有效的结合起来从用户身份出发逐渐实现虚拟世界的有序化。在网络技术没有实质的突破的现实情况下 网络用户实名制将成为从根本上解决网络安全问题的最有效的手段。
2.2网络实名制从企业网开始
仅两年来业界广泛存在对网络实名制的讨论韩国政府也已经早在2005年10月紧急采取应对措施要求各个网站在用户发帖前确定真实身份并在随后提交关于实施网络实名的议案。在这之后包括中国在内的很多国家也在开始进行网络实名制实施的可能性和可行性的研究和讨论。
但是这种试图在Internet范围内实现网络实名制 目前来看可能性和可行性都不大。因为到目前为止Internet仍旧以开发性和自由为根本特征其中尚没有建立起统一的用户身份管理的技术标准也没有协调一致的管理机构更缺少一套符合所有国家和地区的用户管理法律和法规。在这种现实环境中要想建立真实世界与虚拟社会的人和用户的一一对应关系几乎不可能的更谈不上通过法律的力量威慑和打击网络犯罪了。
那是不是说要实现网络实名制一定要等到网络技术取得突破、并在网络虚拟社会建立起法律和秩序哪
当然不是从上面我们可以发现要实现网络实名制其关键就是要在需要实行网络实名制的范围内具备统一管理和强有力的执行力能够在局部建立起一套网络使用管理规范并能够切实执行下去。
考察现实环境中企业作为社会中独立的组织大部分已经建立起企业网和统一的网络管理制度、组织和体系。能够保证在企业范围建立一套统一的网络用户管理规范、体系和管理组织架构并能够在这个范围之内有效执行下去。因此企业网络作为互联网络中的基本单元可以作为实行网络实名制的最小网络单位。因此在企业网中实现网络实名制是完全可行的。
后续所讨论的网络实名制都是围绕的是企业网络实名制管理。
3、 企业网络实名制管理
3.1在企业中实行网络实名制的重要意义
企业网是一个相对封闭的系统其中的网络结构、应用系统相对比较单一尤其这几年以来企业网络安全建设发展很快在企业网与Internet之间建立起了由防火墙、入侵检测等安全控制手段组成的安全边界企业网内部也实施防病毒系统企业网安全体系已经出具规模其安全性已经远远高于Internet的安全性。
但是企业网也继承了Internet的开放和自由面对日新月异的攻击手段和不断加快的攻击传播速度企业网安全形势依旧非常严峻尤其病毒仍是企业内网的首要安全威胁 内部攻击也时有发生。究其原因一方面是由于现有的安全防护技术的发展速度滞后于病毒技术的发展速度另一方面现阶段企业中普遍存在着安全技术和安全管理相脱节的问题要么是好的安全技术或产品不能被很好的利用起来发挥应有的作用要么是安全管理制度缺少相应的技术手段保证其有效的执行下去。
针对这局面要想改善和提高企业网的安全现状一方面需要不断应用新的安全技术或产品应对日新月异的病毒或攻击另一面就需要找到有效执行安全管理制度的方法和技术手段弥补安全管理中存在的巨大缺陷。
安全管理中存在的巨大缺陷集中表现在安全管理的存在两个被割裂的客体一个是企业中每一个真实的员工另外一个就是存在于企业网中的用户。由于两个客体之间的不存在确定的对应关系企业内网大量的安全事件都是由于网络中的用户没有按照其在企业中的真实身份和角色发生网络行为致使病毒有了可乘之机也纵容那些存在恶意企图的员工进行非授权访问。而且更为严重的由于网络中的身份不可靠因此即使发生了安全事故也无法找出隐藏在背后的“真凶” 安全管理制度和条例也形同虚设。
企业网络实名制就是通过借助最新的安全技术和产品建立起安全管理中两个客体之间的确定对应关从而保证实现安全技术和安全管理无缝的结合通过建立企业网络中用户确定的身份标识将网络中的用户标识与现实生活中真实的用户建立起一一对应的关系确保企业员工依据自己在企业中的真实角色在网络虚拟世界中从事与自己本职工作相关的行为。即使有人仍要尝试去做违背自己角色的事情企业仍可以通过网络中的用户与现实中员工确定的一一对应关系找到为这个事情负责的人。
3.2企业网络实名制体系架构
企业网络实名制核心是要建立网络用户与企业员工之间的确定性的对应关系。这种对应关系 即包含了网络用户与企业员工之间的静态的逻辑对应关系例如企业中广泛应用的基于LDAP的用户管理就是维护这样一个用户的对应关系 同时企业网络实名制也包含了网络用户与企业员工之间的动态对应关系例如企业员工通过那台端点设备、用那个IP地址、接入那个网络端口、通过那个网络路径对网络资源进行访问。
恰恰企业网络中缺乏的就是不能维持一个网络用户与企业员工之间的确定性的对应关系使网络用户与企业员工在网络世界中完全割裂起来使网络用户的行为与企业员工应该的角色完全分离开来成为安全管理的黑洞。
实现企业网络实名制的关键就是要建立起网络用户与企业员工之间的动态的、确定性的对应关系。
建立网络用户与企业员工之间的动态对应关系就是要建立一个企业员工对网络访问过程中的关键要素的动态对应关系具体的要建立起企业员工所赖于使用的端点设备、所分配的IP地址、 网络端口、 网络访问权限和网络用户身份有机结合起来构建起企业网络实名制管理体系。
下图就是企业网络实名制管理体系架构逻辑图
图1企业网络实名制管理体系架构
其中 已经展示出企业网络实名制管理的关键要素和关键步骤
1 企业员工企业合法员工
2 网络用户企业员工在网络中的用户名或账号通常在LDAP中管理
3 端点设备企业员工借助其对网络进行访问
4 用户认证验证企业员工所提供的网络用户名及密码
5 设备认证验证端点设备是否具备合法的物理地址、 IP地址和安全
状态
6 授权和访问控制规范网络用户依据企业员工在企业中的角色对网
络进行访问
实名制管理的实现的关键是在解决用户和终端安全接入的问题也就是要实现终端与用户的准入控制确保只有合法和安全的电脑才能接入企业内网并全程进行安全保护。
企业内网中 网络接入层是用户发起访问的入口非常适合对接入的终端和用户进行认证、授权和管理并通过对终端用户的全程保护建立起企业员工与网络用户之间动态确定的对应关系最终使实名制管理将得以实现。
下图是实现网络接入层实现准入控制之后的逻辑示意图
图2实名制管理实现的网络逻辑架构图
通过在接入层实施准入控制企业内部合法的用户和安全的设备仍可以透明联入内网而非法用户和存在安全隐患的终端将被禁止访问网络或者自动划入修复区。
在接入层实现准入控制事实上在终端与企业核心内网建立起了一道坚固的内部安全环。内网安全环与外网安全边界交相呼应彻底改变了企业网安全边界强大 内部空虚的安全现状使企业内网跨入到安全、智能的可信任网络时代。
3.3企业网络实名制管理路线图
企业网络实名制从终端用户接入层准入控制开始需要三步走
第一步建立集中用户管理系统
第二步在接入层启用准入控制实现终端用户接入认证与授权的问题
第三步实现企业网络实名制建立企业员工与网络用户之间确定的对应关系。
3.3.1建立集中用户管理系统
要实现用户实名制网络需要建立统一的用户数据库作为支撑只有有了统一的用户数据库认证系统才知道谁能够进来授权系统才可以回答谁可以干什么审计系统才能够分辨清楚事情是谁干的。
目前大多数企业仍存在多套用户管理系统和数据库如域用户数据库、CiscoAcs用户数据库、 CA用户数据库等各系统之间相互独立用户数据没有关联不利于实现统一的用户安全策略 因此首先应建立一个集中的用户管理系统。
用户数据集中后各种应用系统应逐步改为使用集中用户管理系统进行认证保证集中用户管理系统成为唯一的用户信息来源由应用系统提交用户认证请求到集中用户管理系统集中用户管理系统将认证请求与用户数据库进行匹配最终返回成功或失败的认证结果。授权由于可能涉及精细化的操作控制采取集中授权难以覆盖所有应用因此采取集中和分布相结合的灵活方式对于普通操作的控制仍由集中用户管理系统统一授权对于复杂的、精细化的、与相应应用和系统紧密结合的操作则由集中用户管理系统授权给对应的应用系统应用系统再对用户进行授权。
目前多数用户认证系统仍采用静态口令认证方式但静态的口令来对用户进行认证的安全强度有限如果条件容许建议对于重要系统和核心数据有必要使用多因素用户认证。
3.3.2实现接入层网络准入控制
随着网络技术的快速发展接入层的网络认证技术也实现了突破。具有代表性的就是802.1x协议。 802.1x是一种基于端口的网络接入控制port basednetwork access control协议主要解决以太网内认证和安全方面的问题。
支持802.1x协议的网络接入设备可以对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证就可以访问局域网中的资源如果不能通过认证则无法访问局域网中的资源――相当于连接被物理断开。
目前主流的网络厂商例如Cisco、华为、 3Com等厂商主流的网络接入交换机已经内置支持802.1x协议这为在网络接入层实现终端的准入控制提供了可能。
下图是网络接入层实现准入控制示意图
麻花云怎么样?麻花云公司成立于2007年,当前主打产品为安徽移动BGP线路,数据中心连入移动骨干网。提供5M,10M大带宽云主机,香港云服务器产品,数据中心为香港将军澳机房,香港宽频机房 cn2-GIA优质线路、采用HYPER-V,KVM虚拟技术架构一、麻花云官网点击直达麻花云官方网站合肥网联网络科技有限公司优惠码: 专属优惠码:F1B07B 享受85折优惠。最新活动 :双11 云上嗨购 香港云主...
美国高防服务器提速啦专业提供美国高防服务器,美国高防服务器租用,美国抗攻击服务器,高防御美国服务器租用等。我们的海外高防服务器带给您坚不可摧的DDoS防护,保障您的业务不受攻击影响。HostEase美国高防服务器位于加州和洛杉矶数据中心,均为国内访问速度最快最稳定的美国抗攻击机房,带给您快速的访问体验。我们的高防服务器配有最高层级的DDoS防护系统,每款抗攻击服务器均拥有免费DDoS防护额度,让您...
最近发现一个比较怪异的事情,在访问和登录大部分国外主机商和域名商的时候都需要二次验证。常见的就是需要我们勾选判断是不是真人。以及比如在刚才要访问Namecheap检查前几天送给网友域名的账户域名是否转出的,再次登录网站的时候又需要人机验证。这里有看到"Attention Required"的提示。我们只能手工选择按钮,然后根据验证码进行选择合适的标记。这次我要选择的是船的标识,每次需要选择三个,一...