论文部分内容阅读
摘 要:随着经济的迅速发展,各行业内公司的信息化程度也越来越高,其信息化水平高低也往往成为影响公司发展的至关重要的因素。尤其是交通运输、金融、电力能源等面向用户的关键性社会企业,信息系统是否能高效的提供7*24的业务支持,也成为信息人重点关注的问题。本文将浅析将VPN、RADIUS及4A技术进行整合以解决应急情况下外部人员访问内部生产系统的方法。
关键词:VPN;RADIUS;4A;信息安全
中图分类号:TP31
随着经济的迅速发展,各行业内公司的信息化程度也越来越高,一个公司的信息化水平也往往成为了影响公司发展的至关重要的因素。尤其是交通运输、金融、电力能源等面向用户的关键性社会企业,信息系统是否能高效的提供7*24的业务支持,也成为了企业内信息人员重点关注的问题。
作为信息人员,我们不断的致力于提升信息系统持续高效运行的概率,但是,我们不愿意看到的系统故障這些小概率事件,即使概率再小,也是有发生的可能,这时候企业对于信息系统的运维人员工作的安排,成为一个比较让人头痛的问题。
我们可以让所有系统负责人、服务商进行7*24小时的驻场,无疑是最安全的运维方式,但这种运维方式所产生的高昂的人员和运维成本与小概率发生的系统故障对比,显然是不可取的;我们也可以留一部分一线值班人员在现场监控,当系统出现故障的时候,电话通知系统管理员及服务商赶到现场进行处理,这种运维方式可能也是当前大多数公司采用的运维方式,但这种方式所需要的主要负责人员赶到现场的系统宕机时间,是否可以被7*24小时服务的要求所接受?那么,还有一个方式,就是通过VPN,让负责人可以在外网对系统进行实时的抢修工作,但对于一些有着企业内部信息的系统,我们的管理人员是否可以容忍让我们的信息系统随时可以被外部的服务商随时访问?
那么,我们需要用一种尽可能合理的方法去解决信息系统故障时外部用户访问我们内部系统的安全问题,那就是将VPN、RADIUS认证与4A平台综合起来,形成一个安全的信息系统对外访问平台。
首先简单的介绍该实现方法所用到的三个技术。
VPN,即虚拟专用网,作用是通过一个公用网络,通常是因特网,建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,通过他可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全。该技术,主要是在企业内部与外部搭建了一条安全的通道,实现了外部用户对内部系统访问的可能性,但对于通道打通后,外部用户对内部系统的行为控制以及行为审计并不是强项,所以,该技术,一般多用于通过外部网络访问内网进行OA办公等操作。
RADIUS,即远程用户拨号认证系统,是一种“客户/服务器”的通信认证协议,他使RADIUS客户端可以将验证、授权与记账等转给RADIUS服务器去运行。通过IAS服务实现RADIUS的认证服务功能。该技术主要用于整个操作最前端的身份认证部分,但无法实现对于用户的行为的控制以及行为审计。
4A平台,4A是当今比较流行的一个词,这四个“A”,由Account Management(集中账号管理)、Authentication(集中身份认证)、Authorization(集中访问授权)、Audit(集中审计)组成,也是任何公司为了满足各种内外部审计所必须要达到的一个标准。
4A,通过对运维人员的事前、事中、事后的行为的控制,实现了对关键系统的无缝的安全保障。事前的控制,及运维人员进行运维操作前的控制,主要通过身份认证与权限控制去实现。通过在运维人员与生产系统之间的4A平台,建立针对自然人的用户以及相应的密码认证方式,每个自然人用户仅可以通过自己唯一的4A账户登录4A平台,并且通过权限控制的方式,针对于每一个4A用户,或者用户组,分配相应的生产系统的相应的系统账户权限,实现对运维人员行为的事前控制,例如,为张三在4A平台上建立了一个4A账户zhangsan,通过权限控制的方式,只给这个用户分配服务器A的root权限以及服务器B的oracle用户的权限,那么,当用户张三登录4A平台后,他可以,并且只可以看到服务器A的root和服务器B的oracle权限的链接,通过该链接,实现对应系统的账户的登录。当然,实现这个身份认证和权限控制的基础,是要实现生产服务器的密码代填,并收回原始的密码信封,以防止运维人员通过直连生产服务器的方式进行操作,从而失去对运维人员的控制。
事中控制,及对运维人员成功登录生产服务器后的操作行为进行控制,该控制的实现机制可以通过整理符合范式的指令关键字的形式,将指令的关键字设为普通、中危、高危,普通级别的关键字指令可以直接进行;中危级别的关键字指令会对用户进行“正在进行危险操作”的指令,但该操作仍然可以执行,只是会在用户执行后,在后面讲到的审计日志中会加重颜色进行标识;高危指令会直接禁止用户执行,如果有条件的情况下,会将该用户正在执行高危指令的情况通过短信或者邮件的方式,通知系统管理员等相关管理人员,以防止由内部人员的误操作导致的系统故障。并且,具有审计权限的工作人员,可以实时对运维人员的操作进行监控,当发现运维人员有危险操作的倾向是,可以通过该平台第一时间切断运维人员与生产系统的连接。
事后控制,其实就是通过对用户的操作行为进行审计,审计人员可以通过文本、操作回放等模式回看运维人员的全部操作,并且,要支持用户操作的关键字的搜索定位,以便于审计人员更快的定位用户操作。通过无缝的审计,以一来可以警示操作人员谨慎操作,二来可以对用户操作导致的故障进行快速故障和责任定位。
通过以上对解决外部用户访问内部系统的方法所用到的三个主要技术的解释,我们推出了下面的信息架构:
通过VPN技术,将外部系统与内部系统安全连接。而VPN的登录,需要通过RADIUS认证,而认证RADIUS的动态令牌设备,放置于生产系统的一线值班室,由一线值班人员管理,并且,该令牌也是外部用户访问4A平台的动态口令的唯一凭证,并且,通过该VPN的链接,只可以看到4A平台。
当生产系统出现紧急故障,并且现场一线人员没有能力对该系统进行应急处理需要外部的人员(特别是服务商)对该系统进行操作的时候:
(1)一线值班人员联系相应的操作人员,提供VPN网址以及RADIUS认证的动态口令,并且在4A平台上为该操作人员创建临时用户并分配相应服务器的登录操作权限。
(2)操作人员通过相应的VPN网址及提供的RADIUS认证登录该4A平台的登录界面,并再次向一线值班人员索取新的RADIUS动态口令登录4A平台,通过已分配好的操作权限进行应急操作。
(3)一线值班人员,通过审计权限,密切关注操作人员的操作行为,在操作结束后,切断操作人员的连接。
以上就是通过该方法,实现外部用户对关键生产系统的访问,这样做,有以下好处:
(1)省去了应急处理人员赶到故障现场所耗费的时间,提升了应急效率。
(2)对外部用户对内部关键生产系统的访问的控制,更加主动,动态令牌由一线值班人员管理,只有在需要的时候,才会向相应人员告知动态密码,外部人员才可以实现登录。
(3)提升了一线值班人员对应急操作的外部人员的全部的行为的监控及控制,有利于事后故障分析。
通过以上三种技术的整合使用,弥补了每一种单一技术在该操作上的不足,最大的协调了运维的便利性和操作性,更好的支撑了系统的7*24的运行需求。
参考文献:
[1]高海英,薛元星,辛阳.VPN技术.第一版[M].北京:机械工业出版社,2004:1-2.
[2]邱亮,金悦.ISA配置与管理.第一版[M].北京:清华大学出版社,2002.
[3]王达等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
[4]张剑,黄本雄.RADIUS协议在无线宽带接入认证与计费系统中的应用[J].中国数据通信,2003,6.
作者简介:王钊(1985.6-),男,天津人,北京首都国际机场股份有限公司,助理工程师,学士学位,研究方向:数据库。
关键词:VPN;RADIUS;4A;信息安全
中图分类号:TP31
随着经济的迅速发展,各行业内公司的信息化程度也越来越高,一个公司的信息化水平也往往成为了影响公司发展的至关重要的因素。尤其是交通运输、金融、电力能源等面向用户的关键性社会企业,信息系统是否能高效的提供7*24的业务支持,也成为了企业内信息人员重点关注的问题。
作为信息人员,我们不断的致力于提升信息系统持续高效运行的概率,但是,我们不愿意看到的系统故障這些小概率事件,即使概率再小,也是有发生的可能,这时候企业对于信息系统的运维人员工作的安排,成为一个比较让人头痛的问题。
我们可以让所有系统负责人、服务商进行7*24小时的驻场,无疑是最安全的运维方式,但这种运维方式所产生的高昂的人员和运维成本与小概率发生的系统故障对比,显然是不可取的;我们也可以留一部分一线值班人员在现场监控,当系统出现故障的时候,电话通知系统管理员及服务商赶到现场进行处理,这种运维方式可能也是当前大多数公司采用的运维方式,但这种方式所需要的主要负责人员赶到现场的系统宕机时间,是否可以被7*24小时服务的要求所接受?那么,还有一个方式,就是通过VPN,让负责人可以在外网对系统进行实时的抢修工作,但对于一些有着企业内部信息的系统,我们的管理人员是否可以容忍让我们的信息系统随时可以被外部的服务商随时访问?
那么,我们需要用一种尽可能合理的方法去解决信息系统故障时外部用户访问我们内部系统的安全问题,那就是将VPN、RADIUS认证与4A平台综合起来,形成一个安全的信息系统对外访问平台。
首先简单的介绍该实现方法所用到的三个技术。
VPN,即虚拟专用网,作用是通过一个公用网络,通常是因特网,建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,通过他可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全。该技术,主要是在企业内部与外部搭建了一条安全的通道,实现了外部用户对内部系统访问的可能性,但对于通道打通后,外部用户对内部系统的行为控制以及行为审计并不是强项,所以,该技术,一般多用于通过外部网络访问内网进行OA办公等操作。
RADIUS,即远程用户拨号认证系统,是一种“客户/服务器”的通信认证协议,他使RADIUS客户端可以将验证、授权与记账等转给RADIUS服务器去运行。通过IAS服务实现RADIUS的认证服务功能。该技术主要用于整个操作最前端的身份认证部分,但无法实现对于用户的行为的控制以及行为审计。
4A平台,4A是当今比较流行的一个词,这四个“A”,由Account Management(集中账号管理)、Authentication(集中身份认证)、Authorization(集中访问授权)、Audit(集中审计)组成,也是任何公司为了满足各种内外部审计所必须要达到的一个标准。
4A,通过对运维人员的事前、事中、事后的行为的控制,实现了对关键系统的无缝的安全保障。事前的控制,及运维人员进行运维操作前的控制,主要通过身份认证与权限控制去实现。通过在运维人员与生产系统之间的4A平台,建立针对自然人的用户以及相应的密码认证方式,每个自然人用户仅可以通过自己唯一的4A账户登录4A平台,并且通过权限控制的方式,针对于每一个4A用户,或者用户组,分配相应的生产系统的相应的系统账户权限,实现对运维人员行为的事前控制,例如,为张三在4A平台上建立了一个4A账户zhangsan,通过权限控制的方式,只给这个用户分配服务器A的root权限以及服务器B的oracle用户的权限,那么,当用户张三登录4A平台后,他可以,并且只可以看到服务器A的root和服务器B的oracle权限的链接,通过该链接,实现对应系统的账户的登录。当然,实现这个身份认证和权限控制的基础,是要实现生产服务器的密码代填,并收回原始的密码信封,以防止运维人员通过直连生产服务器的方式进行操作,从而失去对运维人员的控制。
事中控制,及对运维人员成功登录生产服务器后的操作行为进行控制,该控制的实现机制可以通过整理符合范式的指令关键字的形式,将指令的关键字设为普通、中危、高危,普通级别的关键字指令可以直接进行;中危级别的关键字指令会对用户进行“正在进行危险操作”的指令,但该操作仍然可以执行,只是会在用户执行后,在后面讲到的审计日志中会加重颜色进行标识;高危指令会直接禁止用户执行,如果有条件的情况下,会将该用户正在执行高危指令的情况通过短信或者邮件的方式,通知系统管理员等相关管理人员,以防止由内部人员的误操作导致的系统故障。并且,具有审计权限的工作人员,可以实时对运维人员的操作进行监控,当发现运维人员有危险操作的倾向是,可以通过该平台第一时间切断运维人员与生产系统的连接。
事后控制,其实就是通过对用户的操作行为进行审计,审计人员可以通过文本、操作回放等模式回看运维人员的全部操作,并且,要支持用户操作的关键字的搜索定位,以便于审计人员更快的定位用户操作。通过无缝的审计,以一来可以警示操作人员谨慎操作,二来可以对用户操作导致的故障进行快速故障和责任定位。
通过以上对解决外部用户访问内部系统的方法所用到的三个主要技术的解释,我们推出了下面的信息架构:
通过VPN技术,将外部系统与内部系统安全连接。而VPN的登录,需要通过RADIUS认证,而认证RADIUS的动态令牌设备,放置于生产系统的一线值班室,由一线值班人员管理,并且,该令牌也是外部用户访问4A平台的动态口令的唯一凭证,并且,通过该VPN的链接,只可以看到4A平台。
当生产系统出现紧急故障,并且现场一线人员没有能力对该系统进行应急处理需要外部的人员(特别是服务商)对该系统进行操作的时候:
(1)一线值班人员联系相应的操作人员,提供VPN网址以及RADIUS认证的动态口令,并且在4A平台上为该操作人员创建临时用户并分配相应服务器的登录操作权限。
(2)操作人员通过相应的VPN网址及提供的RADIUS认证登录该4A平台的登录界面,并再次向一线值班人员索取新的RADIUS动态口令登录4A平台,通过已分配好的操作权限进行应急操作。
(3)一线值班人员,通过审计权限,密切关注操作人员的操作行为,在操作结束后,切断操作人员的连接。
以上就是通过该方法,实现外部用户对关键生产系统的访问,这样做,有以下好处:
(1)省去了应急处理人员赶到故障现场所耗费的时间,提升了应急效率。
(2)对外部用户对内部关键生产系统的访问的控制,更加主动,动态令牌由一线值班人员管理,只有在需要的时候,才会向相应人员告知动态密码,外部人员才可以实现登录。
(3)提升了一线值班人员对应急操作的外部人员的全部的行为的监控及控制,有利于事后故障分析。
通过以上三种技术的整合使用,弥补了每一种单一技术在该操作上的不足,最大的协调了运维的便利性和操作性,更好的支撑了系统的7*24的运行需求。
参考文献:
[1]高海英,薛元星,辛阳.VPN技术.第一版[M].北京:机械工业出版社,2004:1-2.
[2]邱亮,金悦.ISA配置与管理.第一版[M].北京:清华大学出版社,2002.
[3]王达等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
[4]张剑,黄本雄.RADIUS协议在无线宽带接入认证与计费系统中的应用[J].中国数据通信,2003,6.
作者简介:王钊(1985.6-),男,天津人,北京首都国际机场股份有限公司,助理工程师,学士学位,研究方向:数据库。