如何設(shè)置企業(yè)安全管理制度體系的層級(jí)架構(gòu)

一、設(shè)置企業(yè)安全管理制度體系的層級(jí)架構(gòu)的背景

目前創(chuàng)新互聯(lián)已為成百上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)站空間、網(wǎng)站托管、服務(wù)器租用、企業(yè)網(wǎng)站設(shè)計(jì)、建水網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

隨著信息技術(shù)的發(fā)展和快速通信的需求,現(xiàn)代企業(yè)的運(yùn)營(yíng)越來越依賴于企業(yè)IT基礎(chǔ)架構(gòu)的建設(shè)水平,特別是一些分支機(jī)構(gòu)分布全國(guó)或者跨國(guó)范圍的大型企業(yè)。與此同時(shí),如何保證這些企業(yè)的IT基礎(chǔ)架構(gòu)的安全性和穩(wěn)定性成為一項(xiàng)迫切的需求,特別是在美國(guó)的薩班斯法案生效后,給企業(yè)在如何保證數(shù)據(jù)的準(zhǔn)確性和安全性方面提出了更高的要求。

二、實(shí)現(xiàn)體系所需的網(wǎng)絡(luò)安全知識(shí)

1、網(wǎng)絡(luò)安全基礎(chǔ)

隨著工nternet的發(fā)展,信息安全也迎來了第二次變革,分布式系統(tǒng)、終端用戶與計(jì)算機(jī)之間以及計(jì)算機(jī)與計(jì)算機(jī)之間傳送數(shù)據(jù)的網(wǎng)絡(luò)和通信設(shè)施的廣泛應(yīng)用,使得在信息傳輸時(shí),需要有網(wǎng)絡(luò)安全措施來保護(hù)數(shù)據(jù)傳輸。這就是“網(wǎng)絡(luò)安全”的產(chǎn)生。

網(wǎng)絡(luò)安全包含兩個(gè)方面的內(nèi)容:

a)所有與網(wǎng)絡(luò)相關(guān),特別是互聯(lián)網(wǎng)茄斗相關(guān)的安全問題,包括各種系統(tǒng)的安全漏洞、協(xié)議的弱點(diǎn)和各式各樣的攻擊行為;

b)解決這些問題的技術(shù)或手段,包括密碼技術(shù)、防火墻、虛擬專用網(wǎng)技術(shù)、入侵檢測(cè)技術(shù)等應(yīng)用技術(shù),也包括相關(guān)的協(xié)議規(guī)范和管理策略。

2)網(wǎng)絡(luò)與信息安全的目標(biāo)

人們對(duì)信息的使用主要是通過計(jì)算機(jī)網(wǎng)絡(luò)來實(shí)現(xiàn)的,在計(jì)算機(jī)和網(wǎng)絡(luò)上信息的處理是數(shù)據(jù)的形式進(jìn)行,在這種情況下,信息就是數(shù)據(jù),因而從這個(gè)角度來說,網(wǎng)絡(luò)與信息安全可以分為數(shù)據(jù)安全和系統(tǒng)安全。即信息安全可以從兩個(gè)層次來看:

從消息的層次來看,包括信息的:

a)完整性(Integrity):即保證消息的來源、去向、內(nèi)容真實(shí)無誤;

b)保密性(Coflfidefltiality):即保證消息不會(huì)被非法泄露擴(kuò)散;

e)不可否認(rèn)性(Non一repudiation)一也稱為不可抵賴性:即保證消息的發(fā)送和接受者無法否認(rèn)自己所做過的操作行為。

4)網(wǎng)絡(luò)安全技術(shù)體系

一般的,可以從兩個(gè)方面來設(shè)計(jì)網(wǎng)絡(luò)安全的體系結(jié)構(gòu):

a)網(wǎng)絡(luò)安全技術(shù)服務(wù)的不同對(duì)象

b)網(wǎng)絡(luò)安全技術(shù)提供安全功能的特點(diǎn)

網(wǎng)絡(luò)安全的服務(wù)對(duì)象有系統(tǒng)(包括一般主機(jī)和服務(wù)器)、局域網(wǎng)和網(wǎng)絡(luò)的通信。根據(jù)服務(wù)對(duì)象的不同,分別有不同特性的網(wǎng)絡(luò)安全技術(shù)。例如對(duì)于保護(hù)系統(tǒng)安全的技術(shù)有:數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)和反病毒等技術(shù);對(duì)于局域網(wǎng)安全的技術(shù)有:

防火墻、網(wǎng)絡(luò)監(jiān)控等技術(shù);對(duì)于通信安全的技術(shù)則有:PKI、VPN等技術(shù)提供服務(wù)。

從網(wǎng)絡(luò)安全技術(shù)自身特點(diǎn)來分析,網(wǎng)絡(luò)安全技術(shù)可以分為:基礎(chǔ)的網(wǎng)絡(luò)支撐技術(shù)、主流的網(wǎng)絡(luò)安全技術(shù)、專業(yè)的網(wǎng)絡(luò)安全技術(shù)和具體的網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)等。

密碼技術(shù)和訪問控制技術(shù)屬于基礎(chǔ)的網(wǎng)絡(luò)安全支撐技術(shù),提供所有其它網(wǎng)絡(luò)安全技術(shù)所需要的基本安全服務(wù);防火墻、VPN和PKI技術(shù)則屬于目前流行的主流網(wǎng)絡(luò)安全技術(shù),己有較多的成熟產(chǎn)品面向用戶。網(wǎng)絡(luò)標(biāo)準(zhǔn)和法規(guī)則可以看成屬于管理層面的網(wǎng)絡(luò)安全技術(shù)。

從網(wǎng)絡(luò)層次來看,包括:

a)可用性:即保證網(wǎng)絡(luò)和信息系統(tǒng)隨時(shí)可用,運(yùn)行過程中不出現(xiàn)故障,若遇意外打擊能夠盡量減少并盡早恢復(fù)正常;

b)可控性(Controllability):是對(duì)網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性。

3)網(wǎng)絡(luò)的安全威脅

網(wǎng)絡(luò)的安全威脅來自于以下幾個(gè)方面:

a)網(wǎng)絡(luò)協(xié)議的弱點(diǎn)

TCP/IP協(xié)議是如今最流行的網(wǎng)絡(luò)協(xié)議,它的設(shè)計(jì)本身并沒有較多地考慮安全方面的需求,因而TCP/IP協(xié)議存在一些弱點(diǎn),這些弱點(diǎn)帶來許多直接的安全威脅。

b)網(wǎng)絡(luò)操作系統(tǒng)的漏洞

操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和服務(wù)得以實(shí)現(xiàn)的最終載體之一,它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝,同時(shí)還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。一般情況,操作系統(tǒng)規(guī)模都很大,其中的網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)尤其復(fù)雜,這點(diǎn)己經(jīng)決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過程所帶來的缺陷和漏洞。網(wǎng)絡(luò)操作系統(tǒng)的漏洞成為網(wǎng)絡(luò)所面臨的重要的安全威脅之一。

c)應(yīng)用系統(tǒng)設(shè)計(jì)的漏洞

與操作系統(tǒng)情況類似,應(yīng)用程序的設(shè)計(jì)過程中也會(huì)帶來很多由于人的局限性所導(dǎo)致的缺陷或漏洞。軟件和硬件設(shè)計(jì)都存在這種問題,而其中軟件的問題為我們所直接面對(duì)。

由于硬件設(shè)計(jì)方面的缺陷,特別顫渣磨是芯片的技術(shù)缺陷,使得硬件的后門與漏洞是我們網(wǎng)絡(luò)所面臨的最為深刻的威脅之一。

d)惡意攻擊

惡意攻擊是人們最易理解,而又最梁困難防范的網(wǎng)絡(luò)安全威脅。惡意的黑客攻擊、網(wǎng)絡(luò)病毒等都屬于這類。

e)來自合法用戶的攻擊

來自合法用戶的攻擊是最容易被管理者忽視的安全威脅之一,事實(shí)上,80%的網(wǎng)絡(luò)安全事件與內(nèi)部人員的參與相關(guān)。網(wǎng)絡(luò)管理的漏洞往往是導(dǎo)致這種威脅的直接原因。

2、PKI技術(shù)原理

pKI(PublieKeyInfrastrueture),即公開密鑰體系。它是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施,是國(guó)際公認(rèn)的現(xiàn)代網(wǎng)絡(luò)安全認(rèn)證機(jī)制。它利用現(xiàn)代密碼學(xué)中的公鑰密碼技術(shù)在開放的網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密以及數(shù)字簽名服務(wù)的統(tǒng)一的技術(shù)框架。

公鑰是目前應(yīng)用最廣泛的一種加密體制,在此體系中,加密密鑰與解密密鑰各不相同,發(fā)送信息的人利用接收者的公鑰發(fā)送加密信息,接收者再利用自己專有的私鑰進(jìn)行解密。這種方式既保證了信息的機(jī)密性,又能保證信息具有不可抵賴性。

PKI是一種遵循標(biāo)準(zhǔn)并利用公鑰技術(shù),為開放性網(wǎng)絡(luò)應(yīng)用的開展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)與規(guī)范,它能夠透明地提供基于公開密鑰的加密和數(shù)字簽名等安全服務(wù)。利用PKI可以方便地建立和維護(hù)一個(gè)可信的網(wǎng)絡(luò)計(jì)算環(huán)境,從而使得人們?cè)谶@個(gè)無法直接相互面對(duì)的環(huán)境中能夠確認(rèn)彼此的身份和所交換的信息。為實(shí)現(xiàn)以上目的,典型實(shí)用的PK工系統(tǒng)應(yīng)由以下部分組成:PKI客戶端、注冊(cè)機(jī)構(gòu)(RA)、認(rèn)證機(jī)構(gòu)(以)和證書庫(kù)。

1)PKI客戶端

PK工客戶端的主要功能是使各種網(wǎng)絡(luò)應(yīng)用能夠以透明、安全、一致、可信的方式與PKI交互,從而使用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)。

2)注冊(cè)機(jī)構(gòu)(RA)

RA則是用戶與認(rèn)證中心的接口,其主要功能是核實(shí)證書申請(qǐng)者的身份,它所獲證書的申請(qǐng)者身份的準(zhǔn)確性是以頒發(fā)證書的基礎(chǔ)。

3)認(rèn)證機(jī)構(gòu)(以)

作為PKI核心的認(rèn)證中心是證書頒發(fā)機(jī)構(gòu),由以簽發(fā)的證書是網(wǎng)上用戶的電子身份標(biāo)識(shí)。

4)證書庫(kù)

證書庫(kù)用來存放經(jīng)以簽發(fā)的證書和證書注銷列表(CRL),為用戶和網(wǎng)絡(luò)應(yīng)用提供證書及驗(yàn)證證書狀態(tài)。

3、kerberos技術(shù)原理

KerberoS身份認(rèn)證協(xié)議提供了一種客戶和服務(wù)器之間,或者是服務(wù)器彼此之間,在打開網(wǎng)絡(luò)連接之前進(jìn)行相互身份認(rèn)證的機(jī)制。該協(xié)議假設(shè)客戶和服務(wù)器之間最初的事務(wù)處理是發(fā)生在一個(gè)開放的網(wǎng)絡(luò)當(dāng)中,在這個(gè)網(wǎng)絡(luò)中,絕大多數(shù)的計(jì)算機(jī)不是完全可靠的,而且包在線路上的傳輸可以被監(jiān)聽,并且可以被任意修改。換句話說,這種假設(shè)的環(huán)境和今天的Internet非常相似,一個(gè)攻擊者可以輕松地假裝成一個(gè)客戶或者服務(wù)器,可以輕易地竊聽或者篡改合法的客戶同服務(wù)器之間的通信。

1)基本概念

KerberoS協(xié)議完全依賴于一個(gè)涉及共享秘密的身份認(rèn)證技術(shù)。基本的概念是:如果一個(gè)秘密只有兩個(gè)人知道,那么兩個(gè)人中的任何一個(gè)都可以通過證實(shí)另一個(gè)人也知道該秘密,從而確認(rèn)他的身份。

我們可以假設(shè)這么一個(gè)例子,愛麗絲經(jīng)常發(fā)消息給鮑勃,而且鮑勃需要先確認(rèn)消息的確來自愛麗絲,然后才能對(duì)消息的內(nèi)容進(jìn)行處理。他們決定通過選擇一個(gè)口令來解決他們的這個(gè)問題,而且他們約定不把這個(gè)秘密告訴別的任何人。如果愛麗絲的消息能夠以某種方式證明發(fā)送者確實(shí)知道這個(gè)口令,那么鮑勃就能夠確認(rèn)發(fā)送消息的一定是愛麗絲。

愛麗絲和鮑勃需要解決的問題就剩下一個(gè),那就是愛麗絲如何才`能顯示她知道這個(gè)口令呢?她可以簡(jiǎn)單地將這個(gè)口令包含在她消息中的某處,也許在最后的簽名部分一八ice,Our$ecret。這種方法簡(jiǎn)單而且高效,而且如果愛麗絲和鮑勃能夠確認(rèn)沒有別的人也在讀他們的信的話,這種方法是完全有效的。然而不幸的是,這種條件無法達(dá)到。他們的消息是在一個(gè)卡蘿爾這樣的人也在使用的網(wǎng)絡(luò)上傳輸,卡蘿爾有一個(gè)網(wǎng)絡(luò)分析器,而且她有這樣一個(gè)愛好,她喜歡掃描網(wǎng)絡(luò)通信量,并且希望能有一天認(rèn)出一個(gè)口令。因此,愛麗絲光靠說出口令已經(jīng)不可能證明他知道這個(gè)秘密了。為了保證口令的保密性,她必須在不暴露口令的情況下顯示她知道口令。

KerberoS協(xié)議使用秘密密鑰加密來解決這個(gè)問題。通信的雙方不是共享口令,而是共享一個(gè)加密密鑰,而且雙方使用有關(guān)這個(gè)密鑰的知識(shí)來確認(rèn)對(duì)方的身份。要讓這個(gè)技術(shù)起作用,這個(gè)共享的密鑰必須是對(duì)稱的—單獨(dú)一個(gè)密鑰必須既可以加密也可以解密。一方通過加密一段信息來顯示對(duì)該密鑰的了解,而另一方通過解密這段信息來顯示對(duì)該密鑰的了解。

2)密鑰分配

KerberoS協(xié)議的名稱就暗示了它解決密鑰分配問題的方法。KerberoS(或者CerberuS)是古典希臘神話當(dāng)中的一個(gè)動(dòng)物,它是一種兇猛的,有三個(gè)頭的狗,守衛(wèi)在冥府的入口。像守衛(wèi)的Kerberos一樣,KerberoS協(xié)議有三個(gè)頭:一個(gè)客戶,一個(gè)服務(wù)器,一個(gè)可信賴的第三方作在他們之間進(jìn)行調(diào)解。協(xié)議當(dāng)中的這個(gè)可信任的中介被稱作密鑰分配中心(KDC)。

KDC是運(yùn)行在一個(gè)真正安全的服務(wù)器上的一個(gè)服務(wù)。它維護(hù)著一個(gè)存儲(chǔ)所有處于它領(lǐng)域范圍內(nèi)的安全委托人的賬戶信息的數(shù)據(jù)庫(kù)。除了關(guān)于每個(gè)安全委托人的其他信息以外,KDC還存儲(chǔ)了一個(gè)只有安全委托人和KDC知道的加密密鑰。這個(gè)密鑰是用來在安全委托人和KDC之間交換信息的,被稱作長(zhǎng)期密鑰。在該協(xié)議的絕大部分實(shí)現(xiàn)當(dāng)中,這個(gè)密鑰從一個(gè)用戶的登錄口令派生出來的。

3)會(huì)話票證(sessionTieket)

如圖2一1所示,作為對(duì)客戶請(qǐng)求同服務(wù)器通話的回答,K民將會(huì)話密鑰的兩個(gè)拷貝都發(fā)送給客戶。會(huì)話密鑰的客戶拷貝是用KDC同客戶共享的密鑰加密的。會(huì)話密鑰的服務(wù)器拷貝同關(guān)于客戶的信息一起包含在一個(gè)叫做會(huì)話票證的數(shù)據(jù)結(jié)構(gòu)當(dāng)中。然后整個(gè)結(jié)構(gòu)用KDC同服務(wù)器共享的密鑰進(jìn)行加密。在客戶聯(lián)系服務(wù)器之前,保管好這個(gè)安全地保存會(huì)話密鑰服務(wù)器拷貝的票證就成為客戶的責(zé)任。

KDC只是簡(jiǎn)單地提供了一個(gè)票證授權(quán)服務(wù)。它并不對(duì)它的消息進(jìn)行跟蹤以保證這些消息都到達(dá)了目標(biāo)地址。如果KDC的消息發(fā)錯(cuò)了人,不會(huì)有什么危害。只有知道客戶秘密密鑰的人才能夠?qū)?huì)話密鑰的客戶拷貝進(jìn)行解密。只有知道服務(wù)器秘密密鑰的人才能夠讀出票證里面的內(nèi)容。

當(dāng)客戶收到KDC的回答時(shí),它抽取出票證和會(huì)話密鑰的客戶拷貝,將兩者都保存在一個(gè)安全的緩沖區(qū)里面(這個(gè)緩沖區(qū)位于易失性的內(nèi)存里面,而不是磁盤上)。當(dāng)客戶想得到服務(wù)器的進(jìn)入許可時(shí),它向服務(wù)器發(fā)送一個(gè)包含了那個(gè)票證和一個(gè)鑒別碼的消息(如圖2一2所示),票證仍然是用服務(wù)器的秘密密鑰加密了的,鑒別碼是用會(huì)話密鑰加密的。票證加上鑒別碼就是客戶提供給服務(wù)器的信任證。

當(dāng)服務(wù)器收到來自某個(gè)客戶的信任證時(shí),它用自己的秘密密鑰對(duì)會(huì)話票證進(jìn)行解密,從中抽取出會(huì)話密鑰,然后用這個(gè)會(huì)話密鑰對(duì)客戶的鑒別碼進(jìn)行解密。如果一切都通過了,那么服務(wù)器就知道客戶的信任證是一個(gè)可信賴的權(quán)威機(jī)構(gòu)一一KDC發(fā)放的。如果客戶請(qǐng)求了相互身份認(rèn)證的話,服務(wù)器就用它的會(huì)話密鑰拷貝對(duì)來自客戶鑒別碼的時(shí)間標(biāo)志進(jìn)行加密,將結(jié)果返回給客戶,作為服務(wù)器方的鑒別碼。

4)票證授權(quán)證

用戶的長(zhǎng)期密鑰是從一個(gè)口令派生出來的。例如,當(dāng)愛麗絲登錄時(shí),她的工作站上的KerberoS客戶將接收她的口令,然后通過將這個(gè)口令的文本傳入一個(gè)單向雜湊函數(shù)來把口令轉(zhuǎn)化為一個(gè)加密了的密鑰。(Kerber0S版本5的所有實(shí)現(xiàn)都必須支持DES一CBC一MDS。除此之外,也可以支持別的算法)。這個(gè)結(jié)果就是愛麗絲的長(zhǎng)期密鑰。

KDC從愛麗絲在它的賬戶數(shù)據(jù)庫(kù)中的記錄當(dāng)中得到愛麗絲的長(zhǎng)期密鑰的拷貝。當(dāng)它收到來自愛麗絲的工作站上的KerberoS客戶的請(qǐng)求時(shí),KDC將在它的數(shù)據(jù)庫(kù)當(dāng)中查找愛麗絲,取出她的賬戶記錄,從記錄當(dāng)中的一個(gè)字段中取出她的長(zhǎng)期密鑰。

這個(gè)從口令計(jì)算出密鑰的一個(gè)拷貝,從數(shù)據(jù)庫(kù)取出密鑰的另一個(gè)拷貝的過程實(shí)際上只發(fā)生一次,就是當(dāng)一個(gè)用戶第二次登錄到網(wǎng)絡(luò)的時(shí)候。在接收了用戶的口令,派生出用戶的長(zhǎng)期密鑰之后,該工作站上的KerberoS客戶就立即申請(qǐng)一個(gè)會(huì)話票證和會(huì)話密鑰,以便在可以在登錄會(huì)話中隨后與KDC的交流時(shí)使用。

作為對(duì)客戶請(qǐng)求的回答,KDC返回一個(gè)自己的會(huì)話票證。這個(gè)特殊的會(huì)話票證叫做票證授權(quán)證(TicketGrantingTicket,簡(jiǎn)稱TGT)。像普通的會(huì)話票證一樣,TGT包含了一個(gè)服務(wù)(在此情況下就是指KDC)用來同客戶通信的會(huì)話密鑰的一個(gè)拷貝。將TGT返回給客戶的消息當(dāng)中也包含了客戶可以在同KDC的通信當(dāng)中使用的會(huì)話密鑰的一個(gè)拷貝。TGT是用KDC的長(zhǎng)期密鑰加密的。會(huì)話密鑰的客戶拷貝是用用戶的長(zhǎng)期密鑰加密的。

當(dāng)客戶收到KDC對(duì)它最初請(qǐng)求的回答時(shí),它使用它緩存的用戶長(zhǎng)期密鑰的拷貝解密出會(huì)話密鑰的拷貝。接著它就可以丟棄派生自用戶口令的長(zhǎng)期密鑰,因?yàn)檫@個(gè)密鑰己經(jīng)不再需要了。像其他任何會(huì)話密鑰一樣,這個(gè)會(huì)話密鑰是臨時(shí)的,在TGT過期或用戶注銷后就無效了。因?yàn)檫@個(gè)原因,這個(gè)會(huì)話密鑰就叫做登錄會(huì)話密鑰。

從客戶的角度看,一個(gè)TGT不過是另一個(gè)票證罷了。在嘗試連接任何服務(wù)之前,客戶首先在它的信任證緩沖區(qū)中尋找一個(gè)到該服務(wù)的會(huì)話票證。如果客戶找不到這樣的會(huì)話票證,它就在信任證緩沖區(qū)里面尋找TGT。如果找到了一個(gè)TGT,該客戶就從緩沖區(qū)里面取出相應(yīng)的登錄會(huì)話密鑰,用這個(gè)密鑰來準(zhǔn)備鑒別碼,并將這個(gè)鑒別碼和TGT都發(fā)送給KDC,同時(shí)申請(qǐng)一個(gè)訪問該服務(wù)的會(huì)話票證。換句話來說,獲取訪問KDC的許可同獲取訪問該域中任何其他服務(wù)的許可沒有什么不同,也需要一個(gè)會(huì)話密鑰,一個(gè)鑒別碼,和一個(gè)票證(在這種情況下,這個(gè)票證就是TGT)。

從KDC的角度看,TGT使得它可以在周轉(zhuǎn)時(shí)間當(dāng)中擠出幾納秒來處理票證申請(qǐng)。KDC僅在頒發(fā)最初的TGT時(shí)查找一個(gè)客戶的長(zhǎng)期密鑰一次。在同該客戶的所有其他交換時(shí),KDC可以用它自己的長(zhǎng)期密鑰解密該TGT,從中抽取出登錄會(huì)話密鑰,用它來驗(yàn)證客戶的鑒別碼。

4、LDAP技術(shù)原理

1）LDAP是什么

LDAP是輕量目錄訪問協(xié)議,英文全稱是LightweightDirectoryAcceSSProtocol,一般都簡(jiǎn)稱為L(zhǎng)DAP。它基于X.500標(biāo)準(zhǔn),卻相對(duì)比較簡(jiǎn)單,并且可以根據(jù)需要定制。與X.500不同,LDAP支持TCP/工P,這對(duì)訪問工nternet是必須的。簡(jiǎn)單說來,LDAP是一個(gè)得到關(guān)于人或者資源的集中、靜態(tài)數(shù)據(jù)的快速方式。LDAP是一個(gè)用來發(fā)布目錄信息到許多不同資源的協(xié)議。

LDAP其實(shí)是一地址簿,類似于我們所使用諸如NIS(NetworkInformationServiee)、DNS(DomainNameServiee)等網(wǎng)絡(luò)目錄。LoAP和關(guān)系數(shù)據(jù)庫(kù)是兩種不同層次的概念,后者是存貯方式(同一層次如網(wǎng)格數(shù)據(jù)庫(kù),對(duì)象數(shù)據(jù)庫(kù)),前者是存貯模式和訪問協(xié)議。LDAP是一個(gè)比關(guān)系數(shù)據(jù)庫(kù)抽象層次更高的存貯概念,與關(guān)系數(shù)據(jù)庫(kù)的查詢語言SQL屬同一級(jí)別。LDAP最基本的形式是一個(gè)連接數(shù)據(jù)庫(kù)的標(biāo)準(zhǔn)方式。該數(shù)據(jù)庫(kù)為讀查詢作了優(yōu)化。因此它可以很快地得到查詢結(jié)果,不過在其它方面,例如更新,就慢得多。

從另一個(gè)意義上LDAP是實(shí)現(xiàn)了指定的數(shù)據(jù)結(jié)構(gòu)的存貯,它是一種特殊的數(shù)據(jù)庫(kù)。LDAP對(duì)查詢進(jìn)行了優(yōu)化,與寫性能相比LDAP的讀性能要優(yōu)秀很多。

就象Sybase、Oraele、Informix或Mierosoft的數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS)是用于處理查詢和更新關(guān)系型數(shù)據(jù)庫(kù)那樣,LDAP服務(wù)器也是用來處理查詢和更新LDAP目錄的。換句話來說LDAP目錄也是一種類型的數(shù)據(jù)庫(kù),但不是關(guān)系型數(shù)據(jù)庫(kù)。要特別注意的是,LDAP通常作為一個(gè)hierarchal數(shù)據(jù)庫(kù)使用,而不是一個(gè)關(guān)系數(shù)據(jù)庫(kù)。因此,它的結(jié)構(gòu)用樹來表示比用表格好。

2)LDAP的復(fù)制技術(shù)

LDAP服務(wù)器可以用”推“或”拉“的方法復(fù)制部分或全部數(shù)據(jù),例如:可以把數(shù)據(jù)“推“到遠(yuǎn)程的辦公室,以增加數(shù)據(jù)的安全性。復(fù)制技術(shù)是內(nèi)置在LDAP服務(wù)器中的而且很容易配置。

3)LDAP存儲(chǔ)的數(shù)據(jù)

LDAP對(duì)于存儲(chǔ)這樣的信息最為有用:也就是數(shù)據(jù)需要從不同的地點(diǎn)讀取,但是不需要經(jīng)常更新。例如,

a)公司員工的Tel 號(hào)碼簿和組織結(jié)構(gòu)圖

b)客戶的聯(lián)系信息

c)計(jì)算機(jī)管理需要的信息,包括NIS映射、email假名等等

d)軟件包的配置信息

e)公用證書和安全密鑰

大多數(shù)的LDAP服務(wù)器都為讀密集型的操作進(jìn)行專門的優(yōu)化。因此,當(dāng)從LDAP服務(wù)器中讀取數(shù)據(jù)的時(shí)候會(huì)比從專門為OLTP優(yōu)化的關(guān)系型數(shù)據(jù)庫(kù)中讀取數(shù)據(jù)快一個(gè)數(shù)量級(jí)。也是因?yàn)閷ｉT為讀的性能進(jìn)行優(yōu)化,大多數(shù)的LDAP目錄服務(wù)器并不適合存儲(chǔ)需要經(jīng)常改變的數(shù)據(jù)。

4)LDAP的信息模型

在LDAP中信息以樹狀方式組織,在樹狀信息中的基本數(shù)據(jù)單元是條目,而每個(gè)條目由屬性構(gòu)成,屬性中存儲(chǔ)有屬性值;LDAP中的信息模式,類似于面向?qū)ο蟮母拍?在LDAP中每個(gè)條目必須屬于某個(gè)或多個(gè)對(duì)象類(objeCtclass),每個(gè)ObjectClaSS由多個(gè)屬性類型組成,每個(gè)屬性類型有所對(duì)應(yīng)的語法和匹配規(guī)則;對(duì)象類和屬性類型的定義均可以使用繼承的概念。每個(gè)條目創(chuàng)建時(shí),必須定義所屬的對(duì)象類,必須提供對(duì)象類中的必選屬性類型的屬性值,在LDAP中一個(gè)屬性類型可以對(duì)應(yīng)多個(gè)值。

在LDAP中把對(duì)象類、屬性類型、語法和匹配規(guī)則統(tǒng)稱為Schema,在LDAP中有許多系統(tǒng)對(duì)象類、屬性類型、語法和匹配規(guī)則,這些系統(tǒng)Schema在LDAP標(biāo)準(zhǔn)中進(jìn)行了規(guī)定,同時(shí)不同的應(yīng)用領(lǐng)域也定義了自己的Schema,同時(shí)用戶在應(yīng)用時(shí),也可以根據(jù)需要自定義Schema。這有些類似于XML,除了XML標(biāo)準(zhǔn)中的xML定義外,每個(gè)行業(yè)都有自己標(biāo)準(zhǔn)的DTD或DOM定義,用戶也可以自擴(kuò)展;也如同XML,在LDAP中也鼓勵(lì)用戶盡量使用標(biāo)準(zhǔn)的Schema,以增強(qiáng)信息的互聯(lián)互通。

三、系統(tǒng)架構(gòu)設(shè)計(jì)

1、體系架構(gòu)

根據(jù)中國(guó)網(wǎng)通現(xiàn)有的行政管理結(jié)構(gòu),有兩種系統(tǒng)架構(gòu)可供選擇:全集團(tuán)統(tǒng)一或者分省獨(dú)立。這兩種結(jié)構(gòu)都各自有自己的優(yōu)缺點(diǎn),如果集團(tuán)統(tǒng)一部署那么將為統(tǒng)一管理和應(yīng)用系統(tǒng)的統(tǒng)一支持提供方便;如果采用分省獨(dú)立部署,那么將為各省提供更大的自主性,當(dāng)各省建立自己的管理手段和應(yīng)用支持時(shí)將更加靈活。

在統(tǒng)籌考慮企業(yè)的統(tǒng)一性和各省分公司的管理自主性,經(jīng)過討論和篩選,最終形成的系統(tǒng)建設(shè)思路為:全企業(yè)共享一套身份認(rèn)證系統(tǒng)架構(gòu)(Schema)定義,每省分公司獨(dú)立擁有本省的管理邊界。各系統(tǒng)建設(shè)完成后,物理上將在全國(guó)形成如圖4一1所示的系統(tǒng)架構(gòu):

2、技術(shù)選型和論證

目前在世界上有很多家大型企業(yè)都有自己的基于LDAP協(xié)議的統(tǒng)一身份認(rèn)證管理產(chǎn)品。有微軟公司的AetiveDireetory,Novell公司的NDS,IBM公司的TivoliDireetoryServer,SUN公司的iPlanetDireetoryServer,Apple公司的opendirectory。其中在國(guó)內(nèi)使用較多的產(chǎn)品為微軟公司的ActiveDireetory,Novell公司的NDS,IBM公司的TivoliDireetoryServer。

各家公司設(shè)計(jì)的身份認(rèn)證管理產(chǎn)品都符合LDAP的統(tǒng)一標(biāo)準(zhǔn),主要的差異在于對(duì)于信息的存儲(chǔ)機(jī)制、信息的更新機(jī)制、部署結(jié)構(gòu)等具體的實(shí)施措施上。其中從大類上可以分為兩類:一類是以ActiveDirectory為代表的多主復(fù)制結(jié)構(gòu),另一類為以NDS為代表的單主復(fù)制結(jié)構(gòu)。由于IBM公司的DireCtoryServer更多的被用在應(yīng)用Directory場(chǎng)合,很少使用于企業(yè)IT管理內(nèi),所以主要的產(chǎn)品對(duì)t匕將在ACtiveDireetory與NDS之間進(jìn)行。

3、設(shè)備選型

在確定技術(shù)路線和產(chǎn)品后,從節(jié)省費(fèi)用考慮,確定選擇IBM的主流底端PC服務(wù)器作為系統(tǒng)承載平臺(tái)。最終選擇IBMX336型服務(wù)器,主要配置為ZCPU/ZGRAM/73*ZHI)。

4、總結(jié)

設(shè)計(jì)企業(yè)安全管理系統(tǒng)的層級(jí)結(jié)構(gòu)面臨著諸多考驗(yàn)，必須結(jié)合實(shí)際管理模式出發(fā)才能夠完成。本回答中的架構(gòu)依照中國(guó)網(wǎng)通集團(tuán)作為參考，具體到公司內(nèi)需要區(qū)別對(duì)待。

新聞標(biāo)題：服務(wù)器主機(jī)安全管理制度 服務(wù)器主機(jī)安全管理制度內(nèi)容
網(wǎng)站鏈接：http://chinadenli.net/article40/dshojeo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設(shè)計(jì)、移動(dòng)網(wǎng)站建設(shè)、定制開發(fā)、搜索引擎優(yōu)化、手機(jī)網(wǎng)站建設(shè)、網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)