网络大型企业网络如何实现用户实名制管理

大型企业网络如何实现实名制管理XX科技有限公司

目录

1、 前言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

2、 网络实名制管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

2.1网络实名制定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

2.2网络实名制从企业网开始. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

3、 企业网络实名制管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

3.1在企业中实行网络实名制的重要意义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

3.2企业网络实名制体系架构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

3.3企业网络实名制管理路线图. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

3.3.1建立集中用户管理系统. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

3.3.2实现接入层网络准入控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

3.3.3企业网用户实名制管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

4、 企业网用户实名制建设需要注意的问题. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

5、 企业网络实名制管理典型案例分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

5.1项目需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

5.2 XX科技为XX建行构建用户实名制管理平台. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

5.3项目评价. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

1、 前言

在现实生活中每一个人都存在一个或多个区别于他人的身份特征例如DNA、眼睛虹膜、指纹等但在人类所形成的社会中这些特征的识别并不方便因此作为社会的每一个人通常都通过身份证作为其在社会中的身份标识通过组合国籍、地区、种族、姓名、年龄和面部特征照片生成唯一的身份证号码并将其作为人在社会生活中的身份识别码并将其与该人在社会中所从事的各类活动例如学习、工作、投资等建立起对应关系从而有效地实现对人在社会活动中行为的监测和控制保持人类社会稳定、有序向前发展。

但是数字化的网络出现却打破了这种已经形成的社会的秩序 网络世界是一个完全的虚拟世界在这个虚拟世界中打破了真实生活中国籍、地域和种族的限制形成了一个现实存在的虚拟社或。由于网络发展的速度太快时间太短应用还远没有成熟另外也是受限于网络技术的局限例如I Pv4有限的资源已不能将所有接入网络的设备分配唯一地址标识因此网络虚拟社会实际上是缺少秩序、缺少规则和法律的社会。因而也造成了广泛参与其中的人类在网络虚拟世界中基本上没有可以区别于虚拟世界其他人的身份特征或身份标识。正如在网络中广泛流传的一句玩笑话 “当你在网上聊天时你不知道跟你聊天的是一个人还是一条狗” 。

由于在网络虚拟世界中每个访问网络的人访问主体缺乏有效和唯一的身份标示这一事实纵容了那些有犯罪分子、那些掌握针对网络存在的漏洞的攻击技术并怀有恶意的人或者抱有好奇心的人利用网络存在的缺陷在网络中传播病毒、种植木马、窃取机密和个人隐私信息使人们在分享网络带来便利的同时也为网络中安全问题付出了沉重的代价。

近年来 网络安全受到极大的重视 网络安全技术和安全产品的应用得到长足的发展已经有效遏制了恶性网络安全事故的发展势头。但由于网络技术的进步和新安全技术的突破的速度大大滞后于人们参与虚拟社会的热情和速度 “道高一尺魔高一丈”  网络安全严峻的形势没有得到根本上的改变。

那么是不是说除了等待网络技术有了突破性进展后再来解决网络中的安全问题哪当前就没有一个很好的办法来应对严峻的网络安全形势

当然不是一方面要看到网络安全问题将是一个长期存在的问题只要有虚拟网络世界存在安全问题也将长期存在正如真实社会中虽然已经通过道德规范、法律和警察建立起秩序但却只能将犯罪率降低却不能消灭犯罪。另一方面虚拟社会和真实社会都存在一个共性其中的安全问题或社会治安问题背后的主体都是确定的一个人或一群人虽然我们不能了解到某个人是否有犯罪意图不能消除某个人的犯罪企图但是如果我们能够在某人实施犯罪时或之后能够迅速对其背后行使犯罪动机的人准确定位并及时揪出来那么将极大地威慑其他存在犯罪企图但暂时未行使犯罪的人放弃犯罪的念头从而实现在不能根除犯罪但却将犯罪发生的可能和危害降到最低。

从这个角度出发我们发现无论未来网络安全技术如何发展数字化网络世界中的身份认证问题将是有效解决网络安全问题的关键。如果能够为虚拟世界的用户提供确定的身份标识并将虚拟社会中的用户标识与现实生活中具体的某个人建立起一一对应的关系那么在网络中发生安全事件后可以通过这种建

立的一一对应关系找到现实生活中为这个安全事件负责的人并通过现实生活中的

经济、法律等手段对其进行警示或惩罚从而有效地打击那些企图在网络世界中进行破坏的人从源头入手将有效减少网络中安全事件的发生将因安全事故带来的损失降到最低。

2、 网络实名制管理

2.1网络实名制定义

网络实名制就是为网络虚拟世界中的用户建立确定的身份标识并将虚拟世界中的用户标识与现实生活中具体的某个人建立起一一对应的关系。这样在网络中只要通过其中任何一个虚拟世界中的用户名或用户账号都可以找到发起网络访问的人无论其是采用其在现实世界中的真实身份还是采用虚拟世界中的用户名或用户账号。

实现网络实名制不仅能够使真实社会与虚拟社会有效的结合起来从用户身份出发逐渐实现虚拟世界的有序化。在网络技术没有实质的突破的现实情况下 网络用户实名制将成为从根本上解决网络安全问题的最有效的手段。

2.2网络实名制从企业网开始

仅两年来业界广泛存在对网络实名制的讨论韩国政府也已经早在2005年10月紧急采取应对措施要求各个网站在用户发帖前确定真实身份并在随后提交关于实施网络实名的议案。在这之后包括中国在内的很多国家也在开始进行网络实名制实施的可能性和可行性的研究和讨论。

但是这种试图在Internet范围内实现网络实名制 目前来看可能性和可行性都不大。因为到目前为止Internet仍旧以开发性和自由为根本特征其中尚没有建立起统一的用户身份管理的技术标准也没有协调一致的管理机构更缺少一套符合所有国家和地区的用户管理法律和法规。在这种现实环境中要想建立真实世界与虚拟社会的人和用户的一一对应关系几乎不可能的更谈不上通过法律的力量威慑和打击网络犯罪了。

那是不是说要实现网络实名制一定要等到网络技术取得突破、并在网络虚拟社会建立起法律和秩序哪

当然不是从上面我们可以发现要实现网络实名制其关键就是要在需要实行网络实名制的范围内具备统一管理和强有力的执行力能够在局部建立起一套网络使用管理规范并能够切实执行下去。

考察现实环境中企业作为社会中独立的组织大部分已经建立起企业网和统一的网络管理制度、组织和体系。能够保证在企业范围建立一套统一的网络用户管理规范、体系和管理组织架构并能够在这个范围之内有效执行下去。因此企业网络作为互联网络中的基本单元可以作为实行网络实名制的最小网络单位。因此在企业网中实现网络实名制是完全可行的。

后续所讨论的网络实名制都是围绕的是企业网络实名制管理。

3、 企业网络实名制管理

3.1在企业中实行网络实名制的重要意义

企业网是一个相对封闭的系统其中的网络结构、应用系统相对比较单一尤其这几年以来企业网络安全建设发展很快在企业网与Internet之间建立起了由防火墙、入侵检测等安全控制手段组成的安全边界企业网内部也实施防病毒系统企业网安全体系已经出具规模其安全性已经远远高于Internet的安全性。

但是企业网也继承了Internet的开放和自由面对日新月异的攻击手段和不断加快的攻击传播速度企业网安全形势依旧非常严峻尤其病毒仍是企业内网的首要安全威胁 内部攻击也时有发生。究其原因一方面是由于现有的安全防护技术的发展速度滞后于病毒技术的发展速度另一方面现阶段企业中普遍存在着安全技术和安全管理相脱节的问题要么是好的安全技术或产品不能被很好的利用起来发挥应有的作用要么是安全管理制度缺少相应的技术手段保证其有效的执行下去。

针对这局面要想改善和提高企业网的安全现状一方面需要不断应用新的安全技术或产品应对日新月异的病毒或攻击另一面就需要找到有效执行安全管理制度的方法和技术手段弥补安全管理中存在的巨大缺陷。

安全管理中存在的巨大缺陷集中表现在安全管理的存在两个被割裂的客体一个是企业中每一个真实的员工另外一个就是存在于企业网中的用户。由于两个客体之间的不存在确定的对应关系企业内网大量的安全事件都是由于网络中的用户没有按照其在企业中的真实身份和角色发生网络行为致使病毒有了可乘之机也纵容那些存在恶意企图的员工进行非授权访问。而且更为严重的由于网络中的身份不可靠因此即使发生了安全事故也无法找出隐藏在背后的“真凶” 安全管理制度和条例也形同虚设。

企业网络实名制就是通过借助最新的安全技术和产品建立起安全管理中两个客体之间的确定对应关从而保证实现安全技术和安全管理无缝的结合通过建立企业网络中用户确定的身份标识将网络中的用户标识与现实生活中真实的用户建立起一一对应的关系确保企业员工依据自己在企业中的真实角色在网络虚拟世界中从事与自己本职工作相关的行为。即使有人仍要尝试去做违背自己角色的事情企业仍可以通过网络中的用户与现实中员工确定的一一对应关系找到为这个事情负责的人。

3.2企业网络实名制体系架构

企业网络实名制核心是要建立网络用户与企业员工之间的确定性的对应关系。这种对应关系 即包含了网络用户与企业员工之间的静态的逻辑对应关系例如企业中广泛应用的基于LDAP的用户管理就是维护这样一个用户的对应关系 同时企业网络实名制也包含了网络用户与企业员工之间的动态对应关系例如企业员工通过那台端点设备、用那个IP地址、接入那个网络端口、通过那个网络路径对网络资源进行访问。

恰恰企业网络中缺乏的就是不能维持一个网络用户与企业员工之间的确定性的对应关系使网络用户与企业员工在网络世界中完全割裂起来使网络用户的行为与企业员工应该的角色完全分离开来成为安全管理的黑洞。

实现企业网络实名制的关键就是要建立起网络用户与企业员工之间的动态的、确定性的对应关系。

建立网络用户与企业员工之间的动态对应关系就是要建立一个企业员工对网络访问过程中的关键要素的动态对应关系具体的要建立起企业员工所赖于使用的端点设备、所分配的IP地址、 网络端口、 网络访问权限和网络用户身份有机结合起来构建起企业网络实名制管理体系。

下图就是企业网络实名制管理体系架构逻辑图

图1企业网络实名制管理体系架构

其中 已经展示出企业网络实名制管理的关键要素和关键步骤

1 企业员工企业合法员工

2 网络用户企业员工在网络中的用户名或账号通常在LDAP中管理

3 端点设备企业员工借助其对网络进行访问

4 用户认证验证企业员工所提供的网络用户名及密码

5 设备认证验证端点设备是否具备合法的物理地址、 IP地址和安全

状态

6 授权和访问控制规范网络用户依据企业员工在企业中的角色对网

络进行访问

实名制管理的实现的关键是在解决用户和终端安全接入的问题也就是要实现终端与用户的准入控制确保只有合法和安全的电脑才能接入企业内网并全程进行安全保护。

企业内网中 网络接入层是用户发起访问的入口非常适合对接入的终端和用户进行认证、授权和管理并通过对终端用户的全程保护建立起企业员工与网络用户之间动态确定的对应关系最终使实名制管理将得以实现。

下图是实现网络接入层实现准入控制之后的逻辑示意图

图2实名制管理实现的网络逻辑架构图

通过在接入层实施准入控制企业内部合法的用户和安全的设备仍可以透明联入内网而非法用户和存在安全隐患的终端将被禁止访问网络或者自动划入修复区。

在接入层实现准入控制事实上在终端与企业核心内网建立起了一道坚固的内部安全环。内网安全环与外网安全边界交相呼应彻底改变了企业网安全边界强大 内部空虚的安全现状使企业内网跨入到安全、智能的可信任网络时代。

3.3企业网络实名制管理路线图

企业网络实名制从终端用户接入层准入控制开始需要三步走

第一步建立集中用户管理系统

第二步在接入层启用准入控制实现终端用户接入认证与授权的问题

第三步实现企业网络实名制建立企业员工与网络用户之间确定的对应关系。

3.3.1建立集中用户管理系统

要实现用户实名制网络需要建立统一的用户数据库作为支撑只有有了统一的用户数据库认证系统才知道谁能够进来授权系统才可以回答谁可以干什么审计系统才能够分辨清楚事情是谁干的。

目前大多数企业仍存在多套用户管理系统和数据库如域用户数据库、CiscoAcs用户数据库、 CA用户数据库等各系统之间相互独立用户数据没有关联不利于实现统一的用户安全策略 因此首先应建立一个集中的用户管理系统。

用户数据集中后各种应用系统应逐步改为使用集中用户管理系统进行认证保证集中用户管理系统成为唯一的用户信息来源由应用系统提交用户认证请求到集中用户管理系统集中用户管理系统将认证请求与用户数据库进行匹配最终返回成功或失败的认证结果。授权由于可能涉及精细化的操作控制采取集中授权难以覆盖所有应用因此采取集中和分布相结合的灵活方式对于普通操作的控制仍由集中用户管理系统统一授权对于复杂的、精细化的、与相应应用和系统紧密结合的操作则由集中用户管理系统授权给对应的应用系统应用系统再对用户进行授权。

目前多数用户认证系统仍采用静态口令认证方式但静态的口令来对用户进行认证的安全强度有限如果条件容许建议对于重要系统和核心数据有必要使用多因素用户认证。

3.3.2实现接入层网络准入控制

随着网络技术的快速发展接入层的网络认证技术也实现了突破。具有代表性的就是802.1x协议。 802.1x是一种基于端口的网络接入控制port basednetwork access control协议主要解决以太网内认证和安全方面的问题。

支持802.1x协议的网络接入设备可以对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证就可以访问局域网中的资源如果不能通过认证则无法访问局域网中的资源――相当于连接被物理断开。

目前主流的网络厂商例如Cisco、华为、 3Com等厂商主流的网络接入交换机已经内置支持802.1x协议这为在网络接入层实现终端的准入控制提供了可能。

下图是网络接入层实现准入控制示意图