安全云计算解决方案暨典型示范项目评审材料Word格式文档下载.doc
《安全云计算解决方案暨典型示范项目评审材料Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《安全云计算解决方案暨典型示范项目评审材料Word格式文档下载.doc(23页珍藏版)》请在冰豆网上搜索。
l统一认证管理:
解决身份凭证管理、强认证(通常为多因素身份认证)、委派身份认证、及跨越所有云服务类型的信任管理。
由于云计算环境下,资源分布具有很大的动态变化特性,静态密码的安全性已经很难满足要求,动态密码以其特有的随机性、一次性而更加适合云计算环境。
l统一授权管理:
根据各种资源对账号、角色、权限及各类关系的不同定义,抽象成统一的数据定义,采用关系型数据库存储方式,对账号/密码信息、系统及应用资源信息、角色及策略管理信息以及各信息之间的关联关系信息进行加密存放。
并基于用户、主机、网段等参数添加访问控制策略,完全模拟主机与用户发起方,发送拆连请求,达到网络访问的控制。
l统一审计管理:
当用户根据授权访问资源时,系统用户业务行为进行实时解析,建立日志,事后处理归并,并为安全审计人员提供了视频、图标等以多种查询方式。
,并且我司能够为用户提供资深的审计专家真实分析、展现审计结果。
投资情况:
lXX公司在云身份管理系统研发的投入累计已经超过200万,为XXXX集团实施改造而投入的研发、测试成本超过20万。
lXXXX集团AAA系统动态认证改造投入总计:
2000万元。
当前运行状况:
2、简述项目相关领域的现状、研究目的、意义及国内外技术概况
项目相关领域的现状
2010年6月,胡锦涛总书记在两院院士大会上就指出,“互联网、云计算、物联网、知识服务、智能服务的快速发展为个性化制造和服务创新提供了有力工具和环境”,将云计算应用提上了创新生产方式的高度。
10月,国家发展和改革委员会、工业和信息化部联合发布《关于做好云计算服务创新发展试点示范工作的通知》,确定在北京、上海、深圳、杭州、无锡五个城市先行开展云计算服务创新发展试点示范工作,进一步明确了国家发展云计算的总体思路和战略布局。
身份管理是实现云环境下按需计算服务战略的先导,也是云计算安全的基础。
身份管理的研究工作在国外开展的较早,最初是一些行业组织与企业开展的商业部署方案。
微软在20世纪末推广的“Passport”项目,就是互联网业务单点登录的早期应用。
然而,由于大家担心微软会收集大量的用户个人信息,因此该项目并没有得到业内的广泛支持,最终以失败告终。
后来微软公司又启动了WindowsCardspace研究项目,致力于身份元系统的研究,即为不同的数字身份系统提供一个统一的抽象表示层,而这个系统可以取代传统的用户名和密码认证方式,可以提供更好的反钓鱼功能,防止其它网络犯罪等。
2001年,为了抗衡微软的Passport,由SUN牵头成立了自由联盟(LibertyAlliance),致力于研究开放的、具有引导与实践性的联邦身份管理机制。
自由联盟重点解决企业之间身份系统的可互操作性问题,定义一些在企业内部和企业之间使用的统一身份技术和流程的公共规范。
近几年,Web2.0应用的蓬勃发展,个人参与互联网应用的创造与使用愈发广泛,一个用户可能有十几乃至上百个个人ID,极大地影响到了用户的多业务体验,OPenID就是解决跨业务域的单点认证问题,为用户提供一个全球惟一标识,进行一次认证,即可实现多业务的使用与体验。
随着各种网络、服务与业务系统逐渐向云上迁移,目前彼此独立设置、缺乏可互操作性的身份管理系统也需要迁移。
为了实现全球一体的通用身份管理架构目标,ITU-T在2006年启动了身份管理标准化研究工作,鼓励全球所有的ICT领域的专家共同参与、推动通用身份管理架构的研究工作。
在ITU-T的研究活动中,美国是研究工作的主导力量,目前已经批准发布了X.1250《全球可互操作的身份管理需求》,其它的配套标准也在加紧完善过程中。
在X.1250的发布过程中,以德国为首的欧洲国家与美国展开了激烈且微妙的博弈。
大家关注的焦点是身份管理的对象是否会涉及到自然人,身份提供商是否是一个集中设置的机构,它是否需要由国家来进行授权与管理等方面,因为这些问题会涉及到不同国家的组织架构设置,对不同国家的法律法规遵从和国家利益、国家安全密切相关的问题。
国内对网络身份管理的研究起步较晚,随着政府对网络监管力度的加强,网络实名制成为我国身份管理发展的重要里程碑。
研究目的和意义:
身份及身份管理贯穿于日常生活的方方面面,诸如普通公民的户籍、护照或者社会安全号码(SIN)等都是国籍身份的一部分,与之相对应的国家机构形成对它们的颁发、监控、撤销和恢复等管理机制就构成对应的身份管理。
公民利用这些身份可以享受相关的服务,例如国家基本医疗、报税等服务。
与上述广义身份和身份管理相对应,在信息领域中涉及到用户证书以及通过身份认证和授权登陆在线系统的整个流程构成信息系统的身份和身份管理,例如ITU-T定义的目录服务系统X.500,X.509和PKI等。
在我国现阶段ICT环境中,由于网络和业务区隔不明确,因此无论是XX运营商还是互联网服务提供商都承担若干角色,而且通常意义上讲,用户身份及身份管理与业务或者应用紧耦合,这样就造成同一用户在不同应用环境中使用不同身份、不同身份认证机制以及带来的潜在的用户安全隐患;
这种情况下,用户身份和身份管理实际上被网络或者业务应用实体身份所代替,不能提供针对用户身份的特定服务,例如为用户提供个性化的3P服务(Presence,Preference,Profile)等;
跨域场景中,例如跨不同运营商网络不能为用户提供一致的用户身份及身份管理。
网络和业务融合的飞速发展正在形成对于“独立的第三方身份管理”的需求,形成用户、业务服务提供商和身份服务提供商三方互动,有效协同以网络为中心、业务为中心的身份管理机制。
这样一个可信任、可共享的第三方数据信息,可以提供跨业务领域、跨国家行政部门公共身份数据信息,增强用户体验,诸如单点登录认证、统一账单服务等,既可有效保障用户隐私,又能提高多业务环境中监管的有效性。
3、承担单位与联合单位概况以及任务分工
XXXX集团AAA系统动态认证改造项目中,XX网络安全技术有限公司是技术提供方和集成实施方。
XX网络安全技术有限公司的云身份管理系统拥有完整的自主知识产权,包括双因素动态认证系统等在内的12项专利。
可部署在联想服务器和国产linux操作系统之上。
目前,XX网络安全技术有限公司正在持续改进和完善云身份管理系统,以便满足未来扩容和推广的要求。
以实现统一管理、身份认证,从而统一系统管理员、开发厂商对后台业务网络系统的动态密码认证接口,控制其访问权限并进行对应的审计工作。
实现以下安全目标:
1、搭建起统一的安全管理技术和平台
根据网络现状的分析,研究集中统一的安全管理技术和平台,使得系统和安全管理人员可以对业务网络系统的用户和各种资源进行集中权限分配、集中认证,从技术层面上保证业务网络系统安全策略的实施。
2、搭建起全网统一身份认证系统的框架
通过实现分布式管理模式部署全网的框架满足以下要求:
对所有用户身份认证都必须进行统一身份认证基于动态密码、硬件令牌和用户名密码,同时硬件令牌结合保护密码;
当合法用户访问被保护的应用系统之前,必须通过一个统一的客户端软件或WEB页面进行注册;
用户身份的产生、发放、生效以及暂停、中止都简单可行;
传输合法用户身份的过程必须采用加密技术,以保证认证过程不被恶意窥视。
3、制止内部合法用户的违法操作
原先可能出现的情况,即系统维护员、操作员、厂商开发人员等这些具有系统较高权限的人员,在其权限范围内或越权可能进行一些非法操作,比如修改数据库数据、更改网络配置、获取公司机密信息等行为,今后将得到有效地控制。
现在,所有针对被保护应用系统的访问和操作,都将与用户身份紧紧结合,非法的访问将被立刻发现并记录,责任人也会被迅速落实,这种系统的威慑力将大大减少内部违规操作的可能。
4、实现对登录应用系统的过程进行审计的要求
由于网络设备、主机系统、数据库等的访问方式多种多样,有些服务器提供了部分审计功能,但有些敏感的、核心的维护操作却无法审计下来(比如:
telnet、FTP、数据库的访问等),或者说从系统本身的海量审计数据中,很难查找到相关的信息,这对事后的取证分析和责任界定都带来了很大困难。
新的安全系统将很好的提供这项功能。
5、及时响应非法操作
原先对于重要服务器的非法访问,服务器并不能做出判断,也许要等到事后很长时间后才会暴露,或许永远也不会有人知道,即使查出了非法访问,但后果已经形成,无法弥补,新系统将可以在非法访问的同时做出响应。
二、项目关键技术
1、项目主要研发内容及达到的技术和性能指标
XXXX集团AAA系统动态认证改造是针对集中管理的数百台网络设备的应用项目,目前集团管理人员和各个集成商/厂商等多个机构的不同人员同时使用这个系统,对网络进行日常运行维护。
随着XX业务支撑系统的迅速发展,各种支撑应用和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,对系统之间的整合提出了更高的要求。
系统整合的一个重要基础是账号数据的统一、授权的集中、单点登录认证、安全审计。
原有的账号、权限、认证、审计方面的安全措施已不能满足XX目前及未来业务系统发展的要求。
主要问题表现在以下方面:
1、信息孤岛林立。
2、分散的权限管理。
3、自然人身份和业务系统账号重叠。
4、静态密码安全性低。
5、独立的审计,缺乏关联分析。
XX网络安全技术有限公司提供的技术,使XXXX能够在现有基础上平稳地整合运维网络资源,建立一个统一的基础安全服务系统,为各应用资源提供准确组织人员数据,并可以高效、方便的进行数据安全管理。
动态密码的应用既有效地保障和方便了合法用户的访问及操作,又能有效地保障业务支撑系统安全可靠地运行。
XX网络安全技术有限公司的云身份管理系统的主要功能包括:
XX网络安全技术有限公司的云身份管理系统认证服务器性能参数
认证系统技术参数
可容纳用户数
1千万
单认证服务器处理能力
短连接4000次/秒(测试认证服务器:
dell6850;
CPU:
4核Intel(R)Xeon(TM)CPU3.00GHz*4个;
内存:
8GB)
认证响应时间
<
100毫秒
认证带宽占用
100M
认证数据冗灾
集群式备份
带外认证
支持带外认证
支持协议
Radius等标准协议、iKEY认证协议(支持TCP、SOAP承载方式)和定制客户接口
升级会员 