《文件共享访问控制网关技术白皮书.doc》由会员分享,可在线阅读,更多相关《文件共享访问控制网关技术白皮书.doc(19页珍藏版)》请在三一办公上搜索。
1、 文件共享访问控制网关技术白皮书北京时代亿信科技有限公司目 录1. 产品概述12. 微软文件共享实现方式22.1 Windows本地账户策略式文件共享方式22.2 基于Windows域进行文件共享方式23. 文件共享访问控制网关实现方式33.1 产品如何实现访问控制43.2 产品能够进行何种控制53.3 产品如何进行访问控制73.3.1 建立角色集中授权73.3.2 细粒度权限分别授权83.4 产品如何进行部署83.4.1 旁路模式83.4.2 网桥模式93.5 产品如何对操作进行审计104. 产品功能模块114.1 Web管理系统114.2 用户认证模块114.3 权限控制模块124.4 文
2、件共享访问控制模块124.4.1 访问控制网关方式对共享文件进行访问控制134.4.2 访问控制网关结合微软AD域进行文件共享访问控制144.5 日志审计模块155. 产品资质166. 成功案例171. 产品概述在日常的办公应用中,特别是需要多人协作的场景下,为了使用的方便和提高工作效率,常常需要架设专门的文件服务器来满足工作的需要,所有的数据资料都集中存储在这样的服务器中。随着企业的迅速发展,重要文件、研发成果、项目资料等越来越多,对服务器上数据的安全性提出了更高的要求。原有的管理和技术手段已无法做到对共享文件的有效保护,主要存在以下几方面的问题:1. 对文件共享服务器没有进行有效的身份认证
3、,存在于网络中的用户,不管是不是项目参与人都可访问服务器,对数据安全性造成了隐患;2. 生产过程中使用的软硬件产品并没有针对使用者身份进行权限控制的功能,极易造成研发成果被盗用、数据被恶意篡改等等,严重影响正常的生产;3. 一旦发现数据资料被窃取,由于没有相关的日志文件供检索,无法追根溯源找到事故责任人,导致企业管理者在处理此类事件时束手无策。为了企业的健康发展,更好的维护自身权益,一方面要增强管理制度,加强安全意识,保护知识产权;另一方面要借助优秀的第三方产品来达到对共享主机的身份认证和访问控制。时代亿信为帮助企业解决文件共享主机存在的安全风险,提供了良好的解决方案,研发了“认证墙”系列之“
4、UAP访问控制应用安全平台产品文件共享访问控制网关”。该产品针对现有Windows文件共享访问控制方法的不足,不仅实现了访问控制的需求,同时还脱离了NTFS格式文件系统的依赖,并能够针对用户进行灵活身份认证、细粒度授权和访问行为的审计需求。该产品严格按照相关保密要求,做到了三权分离,分别是:系统管理员负责自身系统的相关配置和用户日志的审计;安全管理员负责用户的增、删、改操作及对用户身份认证方式的设置和访问授权;审计管理员负责对其他管理员的日志审计。2. 微软文件共享实现方式2.1 Windows本地账户策略式文件共享方式在Windows服务器上设置共享文件夹,文件系统类型必须为NTFS格式,针
5、对不同文件分别设置用户的权限。当用户访问时,输入Windows本地账号,验证通过后可以按照设定好的权限进行访问控制。2.2 基于Windows域进行文件共享方式依靠加入了Windows域环境的主机,在服务器上设置共享文件夹,文件系统类型必须为NTFS格式,针对不同文件分别设置域里不同用户的权限。当用户访问时,输入域账号,验证通过后可以按照设定好的权限进行文件共享访问控制。以上两种文件共享访问控制方法可以在较低成本下达到文件共享的访问控制目的,但对于权限的更改没有任何日志可查,文件的共享访问记录也无法做到全面审计,在安全形势日益严峻的环境下无法真正满足大多数企业的需要。3. 文件共享访问控制网关
6、实现方式如果一种安全产品可以满足集管理、安全、审计等要求于一体;对文件权限的控制程度可靠,真正做到文件共享的访问控制。那么,必须解决以下三个方面的问题:1. 实现对文件访问者身份的识别。摒弃Windows操作系统账号结合太紧密,不灵活的方式;2. 实现对文件访问者权限的控制,包括目录的访问范围,以及对特定子文件的访问权限。杜绝Windows操作系统过分依赖NTFS协议,授权繁琐的现象;3. 记录用户的访问行为日志,便于日后审计,做到有据可查,追根溯源。3.1 产品如何实现访问控制要实现通过文件共享访问控制网关对共享文件进行访问控制的技术,关键是要实现CIFS协议,使访问控制网关可以在用户与文件
7、共享服务器之间交互。CIFS协议定义了许多客户端和服务器端的命令和消息。这些命令和消息大致可分为如下几类:1) 建立连接消息:包括开始或结束客户端到服务器端共享资源的重定向连接命令; 2) 命名空间和文件处理消息:重定向器利用此消息获得对服务器上文件的访问权限,并对其进行相关操作; 3) 打印消息:重定向器利用此消息向服务器上的打印队列发送数据,并获得打印队列的状态信息;4) 其它消息:重定向器利用该消息向邮槽和命名管道写入相关信息。访问控制网关需要同时利用客户端及服务器端消息与客户端及文件共享服务器进行通信。当访问控制网关和共享服务器通信时,其使用CIFS协议客户端消息与共享服务器通信。当用
8、户进行文件共享访问时,需要通过输入“访问控制网关IP地址”的方式来进行。这时用户和访问控制网关执行如上图所示的交互流程,同时在报文中包含身份认证的用户名、密码信息;当用户和访问控制网关之间完成协商并建立连接后,访问控制网关列出所有的共享文件夹;此时,访问控制网关和后端的文件共享服务器进行连接,流程同上图所示,当完成连接后,访问控制网关也就分别和用户、文件共享服务器建立了连接。3.2 产品能够进行何种控制在Windows文件共享中,对共享文件和目录可以设定的权限有三种:完全控制:用户可以查看文件或文件夹内容,更改现有文件和文件夹,创建新文件和文件夹以及在文件夹中运行程序;读取:用户可以查看文件夹
9、中的文件内容; 修改:用户可以更改现有文件和文件夹,但不能创建新文件和文件夹。基于上述权限,我们在实践中进行了扩展,将共享文件及文件夹的访问权限细化为:只读、读写、重命名、删除四种权限。只读:用户可以查看文件夹中文件内容;读写:用户可以更改现有文件和文件夹,但不能创建新文件和文件夹;读写、重命名:用户可以对文件或文件夹目录进行重命名操作;读写、重命名、删除:允许用户删除对应的目录或文件。当用户需要编辑某一文件时,“访问控制网关”判断当前登录用户是否对此文件进行有读权限,若有,则从“共享服务器”获取此文件,并将此文件返回给用户,用户对文件编辑后进行保存,此时“访问控制网关”收到用户保存文件的请求
10、,判断用户是否有写入权限,若有,则将文件提交给“共享服务器”进行保存,若没有,则返回用户一个“拒绝”保存的请求结果。当用户需要对目录或文件进行重命名操作时,“访问控制网关”会首先判断用户是否有权对此目录或文件进行重命名权限,当需要进行重命名的对象是一个目录时,“访问控制网关”会继续搜索此目录下的子目录,判断子目录中是否有目录或文件为该用户无权访问的,若有,会返回用户一个“拒绝”请求应答结果,若此目录及其子目录都为该用户可读写、重命名的,则将重命名请求提交给“共享服务器”,完成重命名操作。当用户需要对目录或文件进行删除操作时,“访问控制网关”会首先判断用户是否具有对此目录或文件进行删除操作的权限
11、,当需要进行删除的对象是一个目录时,“访问控制网关”会继续搜索此目录下的子目录,判断子目录中是否有目录或文件为该用户无权访问的,若有,会返回用户一个“拒绝”请求应答结果,若此目录及其子目录该用户都具有可删除权限,则将删除请求提交给“共享服务器”,完成删除操作。3.3 产品如何进行访问控制访问控制流程图3.3.1 建立角色集中授权相比传统方式,使用协议代理包过滤访问控制网关方式进行文件共享访问控制产品后,管理员无需分别登陆每一台本地文件共享服务器,并进入各级目录分别为用户设定权限,减少了管理员的维护成本。同时,当用户在代理服务器上经过身份认证后,便可通过代理服务器代理访问后面的文件共享服务器,并
12、且通过一次认证后,用户在访问其他文件共享服务器时,不会再次要求进行身份认证。减少了用户在访问不同文件共享服务器时需要多次登录的情况发生。管理员在控制网关上为共享服务器设置访问权限,并且管理员可以在控制网关上以目录的形式获取到“文件共享服务器”上所有的共享目录或文件,辅以细粒度的操作权限直接在控制网关进行授权。3.3.2 细粒度权限分别授权文件共享控制访问网关将共享文件的访问权限存储于自身数据库中。管理员可依据为用户设定的特定角色对共享目录或文件进行授权,权限包括只读、读写、重命名和删除,达到对共享文件的访问控制目的,通过此方式也杜绝了用户通过其他手段或路径进行跨权限访问的请求。3.4 产品如何
13、进行部署3.4.1 旁路模式在结合微软AD域进行文件访问控制时,产品的部署非常简单,可以使用透明网桥或旁路的方式进行部署。旁路模式网络部署图3.4.2 网桥模式在使用此方式进行文件共享访问控制时,需要采用包过滤的技术机制对用户访问的行为进行审计,所以,必须采用透明网桥的部署模式。网桥模式网络部署图3.5 产品如何对操作进行审计通过文件共享访问控制网关过滤用户与共享服务器之间的数据包,并对数据包进行相应的技术封装,将请求应答结果记入日志。根据日志级别的不同,系统将记录用户在什么时间以什么地址访问了哪个共享目录或文件等相关信息,并记录用户对文件进行了何种操作,如:新建文件文件夹、读、写、重命名、删
14、除及其结果。4. 产品功能模块 4.1 Web管理系统主要面向用户认证和管理员管理提供呈现服务。独立的三权分离管理机制,实现管理员之间模块菜单的定向操作。4.2 用户认证模块据用户选择的认证方式,对登录用户的身份进行认证,通过认证的用户将被发送给权限控制模块进行授权。支持智能卡认证、一次性口令认证、用户名口令认证、RADIUS认证、动态令牌认证、短信认证、LDAP、Windows AD域的认证方式。4.3 权限控制模块对经过认证的用户进行授权,经过授权的用户方可通过文件共享访问控制网关进行共享文件的访问。4.4 文件共享访问控制模块负责处理用户发出的文件共享访问请求,使经过授权的用户可以通过此
15、模块进行共享文件的访问。支持Windows AD域进行文件访问控制和协议代理包过滤网关方式对共享文件进行权限访问控制,来满足不同应用环境的需求。该模块不仅为用户提供了更多地技术选择,更为用户提供使用习惯上的不同体验。4.4.1 访问控制网关方式对共享文件进行访问控制采用协议分析过滤网络数据包的方法实现共享文件的访问控制,产品部署在共享主机前面,以监管者的身份监听用户访问共享文件的整个会话过程,一旦发现用户有越权访问行为,即会在网络层阻止用户对目标主机的访问,同时用户端将会提示“无权访问”消息。文件共享访问控制网关授权操作图上图为文件共享授权的页面截图,用户在页面中选择需要授权的目录或文件,并在
16、右侧可直接对用户进行授权。4.4.1.1. 特点基于数据包抓取的文件共享访问控制网关,需要在部署时,将产品部署到用户与文件共享服务器之间,当用户通过产品代理服务器访问文件共享服务器时,管理系统将根据用户的登录信息以及所访问路径进行权限分析、日志记录等访问控制操作。其主要特点如下:方便的用户授权:系统可以获取指定主机的共享文件目录及文件,管理员可以通过后台管理系统直接查看到需要授权的共享目录和文件,并直接对该目录和文件进行授权;更可靠地安全保障:产品在网桥部署模式下,用户本身不能访问到文件共享服务器,必须在通过代理服务器认证后,通过代理才能进行文件共享访问,在这种情况下,可以最大限度的保证共享文
17、件的授权不会被以任何形式进行暴力破解和修改,从而为共享文件提供更安全的授权访问控制;更独立的存在:此种文件共享访问控制方式本身不依赖Windows域;详尽的日志记录:用户通过代理文件共享服务器访问共享文件时,系统将记录“谁在什么时候以什么IP地址访问了哪个共享目录或文件”等相关信息,并记录这个用户对文件进行了何种操作,如:新建文件文件夹、读、写、重命名、删除。4.4.2 访问控制网关结合微软AD域进行文件共享访问控制通过管理功能的集成,提升了基于微软AD域文件访问控制方式的易用性。产品支持对多个Windows域、多台共享主机进行授权管理,而产品本身并不存储权限策略,而是将权限同步到文件共享主机
18、,当用户访问共享时由文件共享主机自己验证权限。针对Windows域进行文件访问控制方式不易进行安全审计的问题,产品提供了插件功能进行域共享的权限控制,并对共享文件的授权管理,用户访问等日志进行了记录,为必要时进行日志审计提供了依据。结合AD域授权操作图此种方式结合AD域进行文件访问控制,在授权方式上也近似于Windows主机上对共享文件进行授权,其授权类型也与Windows文件授权相同,包括“只读”、“可写”、“完全控制”三种权限。4.4.2.1. 特点结合微软AD域进行文件访问控制这种技术手段,采用插件方式与访问控制网关相结合,基于Windows域控标准,在访问控制网关上进行简单配置即可。其
19、特点如下:便捷的部署模式:产品以网桥和旁路两种部署模式下都可正常使用此功能,甚至,不论产品以何种模式部署,只要它能访问到域控制器、文件共享服务器,并且能被管理员访问便可正常工作;标准的日志记录:在结合微软AD域进行文件访问控制时,Windows系统可对“启用审核”的共享文件和文件夹进行日志记录;方便的用户授权:可以获取指定主机的共享文件目录及文件,管理员可以在系统上直接查看到需要授权的共享目录和文件,并直接对该目录和文件进行授权。4.5 日志审计模块负责记录管理员后台操作日志、用户通过本系统进行代理访问时发生的详细事件,包括记录用户访问何种资源的IP、时间及对应结果等,支持对日志备份和导出功能。5. 产品资质6. 成功案例中国电信集团公司中国免税品(集团)有限责任公司中国船舶工业集团公司某厂网络安全项目中国船舶工业集团公司某研究所安全保密项目中国航空工业集团公司某研究院安全保密项目中国航海仪器某控制工程有限公司安全保密项目中国船舶重工集团公司某所网络安全项目中国核工业集团公司某单位安全防护系统中国北方工业集团公司某单位网络安全项目
