identity & access management 資訊安全在應用系統授權管理的解...
TRANSCRIPT
Identity & Access ManagementIdentity & Access Management資訊安全在應用系統授權管理的解決方案資訊安全在應用系統授權管理的解決方案
叡揚資訊協理 黃俊榮
品質與價值•承諾必實現
2
AgendaAgenda
資訊安全議題概述
構想源起
系統架構與特色
Role Based Access Control基本概念
Scorpio權限控管系統介紹
Scorpio與AP的整合
建議與討論
品質與價值•承諾必實現
3
資訊安全架構資訊安全架構
ADDeployment
資訊安全
補充程式管理
系統監控
文件保全
安全平台
垃圾郵件
權限控管
PKI
SSO
IntegratedDirectoryServices
MIS
NT -< WS03
SPS
CS
CMS
安全交易
Portal
Two Factors
Exchange Server 2003+IMF
ADDeployment
資訊安全
補充程式管理
系統監控
文件保全
安全平台
垃圾郵件
權限控管
PKI
SSO
IntegratedDirectoryServices
MIS
NT -< WS03
SPS
CS
CMS
安全交易
Portal
Two Factors
Exchange Server 2003+IMF
品質與價值•承諾必實現
4
構想源起構想源起--為什麼需要權限控管?為什麼需要權限控管?
防止資訊系統被未授權的人員侵入做不當的使用
常見之現行做法是每一個資訊系統(AP)都 :各自寫一個權限
控管之功能
各自保有一個該
資訊系統用戶之
帳號及密碼
控管層次只到資
訊系統層次
Access Control
User ProfileAP1
FunctionsDB
Transaction ServerAudit Trail
AP2 Functions
DBTransaction Server
AP3 Functions
DBTransaction Server
Access Control
User Profile
Audit Trail
Access Control
User Profile
Audit Trail
品質與價值•承諾必實現
5
目前遇到的問題目前遇到的問題……
•如果只管到AP層級,安全控管安全嗎?
•權限控管不都一樣嗎?有一套不就成了.每個AP又要寫一次,成本增加了,還影響上線時間
•人員離職時每個AP都要去檢查,會不會漏掉了?
•每個AP都要有人負責作權限控管,又增加了人力成本?BOSS
!介面不一,管理困難!嚴謹度不同,安全層級參差不齊!各系統自存帳號密碼,維護不易!人員異動時,常會掛一漏萬,產生幽靈帳號…….
MIS
!重複開發,都是權限控管,但都要花時間設計,影響開發進度!每個系統都相似 不同開發平台,各用不同技術窮於應付
苦命的開發人員
使用者
!每個人會有多組帳號及密碼
!密碼很快就變成明碼,既麻煩又不安全? ? ?
會計JSP
稽核.Net
財務ASP
!不同團隊!不同時間!不同平台
品質與價值•承諾必實現
6
目前遇到的問題目前遇到的問題
當使用者面對多個應用系統時…
稽核.Net
財務ASP會計JSP
CRM.Net
台北 台中
.每個人會有多組帳號及密碼
.到處張貼,
密碼很快變明碼,麻煩又不安全
品質與價值•承諾必實現
7
目前遇到的問題目前遇到的問題
.介面不一,
管理困難
.嚴謹度不同,安全層級參差不齊
.各系統自存帳號密碼,維護不易
.人員異動時,掛一漏萬,產生幽靈帳號
系統管理人員面臨的工作…
MIS
稽核.Net財務ASP會計JSP
CRM.Net
台北 台中
不同團隊不同時間不同平台
品質與價值•承諾必實現
8
目前遇到的問題目前遇到的問題
系統開發人員的難題…
稽核.Net
財務ASP
會計JSP
CRM.Net
台北 台中
.每個系統都相似不同開發平台,各用不同技術,窮於應付…
.重複開發,都
是權限控管,但都要花時間設計,影響開發進度…
KMKMJavaJava
品質與價值•承諾必實現
9
目前遇到的問題目前遇到的問題
老闆的想法…
BOSS
難道沒有更好的solution?
MIS
•如果只管到AP層級,安全控管安全嗎?
•權限控管不都一樣嗎?有一套不就成了.每個AP又要寫一次,成本增加了,還影響上線時間
•人員離職時每個AP都要去檢查,會不會漏掉了?
•每個AP都要有人負責作權限控管,又增加了人力成本?……
品質與價值•承諾必實現
10
解決方案解決方案::權限控管需要成為一個獨立模組權限控管需要成為一個獨立模組
提供給各資訊系統使用生產力工具
進入各資訊系統介面單一
讓使用者僅需記一組帳號與密碼
單一的User Profile使用者帳號及密碼之新增與修改較容易
大幅簡化人員離職時清乾淨各系統帳號的工作
提昇組織內之安全能力強制密碼混亂度之規範設定
帳號及密碼週期性修改之強制性功能
人員使用系統之統計及稽核軌跡
品質與價值•承諾必實現
11
找可能之解決方案找可能之解決方案, , 但是但是……只管單一組織帳號
無法管理應用系統使用權限
仍需重複登入不同系統LDAP
只管Windows平台單一登入專注於OS或檔案層次,管理應用系統使用權限困難
無法跨平台AD
成本高
人員異動,維護困難
平台轉換面臨高度挑戰自行開發
品質與價值•承諾必實現
12
ScorpioScorpio讓讓權限控管成為一個獨立模組權限控管成為一個獨立模組
AP1 Functions DB
AP2 Functions DB
AP3 Functions DB
Scorpio權限控管系統
品質與價值•承諾必實現
13
系統效益系統效益Scorpio (SC)是一個提供Single Sign-On (SSO)及Role Based Access Control (RBAC)之Web應用系統身份認證與權限管理工具
使用者只需一組帳號密碼只需登入一次,就可以遊走各系統
品質與價值•承諾必實現
14
系統效益系統效益 cont.cont.管理者集中管理,AP再多也不怕組織調整、人員異動、角色變更、權利修改、應用系統啟用,輕鬆設定權利下放組織管理者,分層負責可稽核各AP使用記錄並提供多種管理報表
開發者不需為每個系統重新開發權限控管的功能提供應用系統樣板(框架、功能樹、應用系統選單、個人書籤、稽核記錄)不需因為權限修改而修改程式專注系統功能開發,將權限管理交給管理者
品質與價值•承諾必實現
15
系統架構系統架構
SCDB
BrowserLDAP ServerAuthenticate (DB,
LDAP, PKI, …)Scorpio權限控管系統
Scorpio權限控管系統
AP ServerAP Server
Unix, Linux, WindowsUnix, Linux, Windows
Sign on (id, password, smartcard, fingerprint, …)
HTTP / HTTPSPKIPKI
CA Server
Get Accessible Apps.
Select App.
Check login, change session id, log…,finish login App.
AP1AP1
SC java classSC java class
AP ServerAP Server
Unix, Linux, WindowsUnix, Linux, Windows
SCFilterAP2AP2
SC .net objectSC .net object
IIS & COM+IIS & COM+
Windows Windows
SCHttpModule
AP3AP3
SC COM objectSC COM object
IIS & COM+IIS & COM+
Windows Windows
ASP<%%>TOP Page
Login App.
(user id, session id)
HTT
P / H
TTPS
品質與價值•承諾必實現
16
系統特色系統特色使用者單一帳號密碼系統個人化多樣性代理人設定
管理者Java及Windows平台上的Web應用系統皆可控管Role Based Access Control (RBAC)中文Web介面,統一管理介面結合企業組織,分層授權使用者可附屬於多個組織詳細的操作記錄,易於追蹤
品質與價值•承諾必實現
17
系統特色系統特色 cont.cont.開發者
Java及Windows平台上的Web應用系統皆可控管提供與SC結合的AP開發樣板程式事件訂閱機制檔案層級(XML檔案設定)及畫面層級的控管
系統安全性多元的認證機制(可結合PKI、指紋、……)超過30種帳號密碼原則設定可與LDAP Server整合詳細的LOG操作記錄
品質與價值•承諾必實現
18
權限控管基本概念權限控管基本概念
ROOT
OUm1
OUm
OUmn
……
OU11
OU1
OU1n
……
……OUn
管理者
角色(Role)角色
(Role)
使用者(User)使用者(User)
權利(Right)權利
(Right)
功能(Function)功能
(Function)
管理分配
M:M
擁有
M:M
登入權
11::MM
AP 2
AP 1
組織(Organization)
組織(Organization)
直屬M:1
M:M
附屬
M:M
品質與價值•承諾必實現
19
基本概念說明基本概念說明
請假請假
加班加班
差旅登入差旅登入
修改修改
系統管理系統管理
功能
一般使用者一般使用者
管理者管理者
角色
申請作業申請作業
資料維護資料維護
系 統系 統
權利 User
ClaireClaire
SelenaSelena
StonyStony
RayRay
(以差勤系統為例)
品質與價值•承諾必實現
20
Why Role Based ? (1)Why Role Based ? (1)
APN
AP2
APN
AP2U1
U2
Un
AP1F1
F2
FN
F3
U1
U2
Un
AP1F1
F2
FN
F3Rgt1
Effort = U x F Effort = U + F
情況: 當AP1有一群功能要屬於一群使用者
Real Effort >= U x Fmin X AP Real Effort <= (U + Fmax) X AP無權利觀念時, 若有5個AP, 每個AP有10個功能, 20個使用者需20x10x5=1000個步驟
使用權利觀念, 若有5個AP, 每個AP的權利有10個功能時, 20個使用者需 (20+10) x 5=150個步驟
品質與價值•承諾必實現
21
Why Role Based ? (2)Why Role Based ? (2)
U1
U2
Un
AP1
Rgt1
Effort = U X AP
U1
U2
Un
Rol1
Effort = U + AP
情況: 當每個AP都有一個權利要屬於一特定使用者
AP2
Rgt2
AP3
RgtN
AP1
Rgt1
AP2
Rgt2
AP3
RgtN
Real Effort >= U X AP X Rgtmin Real Effort <= U + (AP X Rgtmax)無角色觀念時, 若有5個AP, 每個AP有10個權利, 20個使用者需20x5x10=1000個步驟
加入角色觀念, 若有5個AP, 每個AP要分配10個權利時, 20個使用者需20+(5x10)=70個步驟
品質與價值•承諾必實現
22
權限控管系統介紹權限控管系統介紹
使用者登入
品質與價值•承諾必實現
23
權限控管系統介紹權限控管系統介紹
User 1 有權限使用3種系統
User 2 只有權限使用1種系統
品質與價值•承諾必實現
24
二個 users 都能用相同的系統, 但有一個只能用部份功能!
因為二者所擁有之角色不同.
品質與價值•承諾必實現
25
不同組織管理者僅能管理其所擁有權限下之組織結構
品質與價值•承諾必實現
26
ScorpioScorpio與與APAP的整合的整合
應用系統樣板元件、框架、功能樹、書籤……
檔案層級控管XML檔設定URL與功能對應不需修改程式碼
畫面層級控管SC Component
品質與價值•承諾必實現
27
應用系統樣板應用系統樣板
功能樹
功能畫面
品質與價值•承諾必實現
28
檔案檔案((URL)URL)層級控管層級控管
SCFilter
2. Get mapping function
SCSC component
Illegal
Not login or timeout
Scorpio權限控管系統
Scorpio權限控管系統
AP ServerAP Server
Unix, Linux, WindowsUnix, Linux, Windows
SCDB
3. Check permission & log
Application
HTTP
1. URLs Legal Files
Resources
!<xml><xml>
Access denied pagescfilter.xml
品質與價值•承諾必實現
29
畫面層級控管畫面層級控管
申請申請批核批核
Tony (經理)
Ryan (職員)
申請申請
表單作業功能表單作業功能
Check permission
(User ID, 批核, 申請)
SCSC component
品質與價值•承諾必實現
30
ScorpioScorpio解決了所有人的問題解決了所有人的問題
一次就搞定所有的權限設定, 有人離職也不用擔心幽靈帳號, 還可以把權限下放給部門主管負責, 真是太棒了!
MIS
一組帳號密碼通行無阻,又不需要一直登入,老闆真瞭解我們
使用者
有樣本可以整合開發, 又可以跨平台; 有工具, 要我整合AD、LDAP也很快搞定,可以專心寫我們的系統了
再也不用看老張的臉色了,直接看樣本Coding權限邏輯
開發人員
•以後系統都可以用這個架構,真是省錢有效率。•離職員工再也不能登入了,安心多了•老張,下個星期我們的系統可以上線了吧。
BOSS
品質與價值•承諾必實現
31
Proven Solution(Proven Solution(應用狀況應用狀況))
考試院軍管區司令部環保署
憲兵司令部
行政院公共工程委員會高雄榮總
台灣飛利普建元電子美商默沙東藥廠
優網通資訊 群美資訊
品質與價值•承諾必實現
32
Proven Solution(Proven Solution(應用狀況應用狀況))
法務部
經濟部投資業務技術引進服務中心
財政部 經濟部國營會
台灣銀行上海商銀 陽信商銀中國信託商銀新竹商銀 日盛銀行
中央健康保險局資訊系統實驗室
嘉義縣政府中國石油
外貿協會
逢甲大學美商默沙東藥廠台灣分公司
新光人壽 日月欣半導體