打造安全电子政府 IBM Tivoli 安全解决方案在政府行业应用
e-government 美国 - National Partnership for Reinventing Government 日本 - Promotion of an Advanced Information Society 韩国 - Cyber Korea 21 新加坡 - Public Service for the 21st Century 澳洲 - Strategic Framework for the Information Economy Page 2
电子政府门户的演变 1 将信息和政府服务上网 2 提高和扩展访问能力和可用性 3 以市民为中心进行工作流程再造 Page 3
如果出现安全问题 1 门户页面被篡改 2 应用遭到不正当的访问 3 数据被破坏 4 黑客入侵 所有的这些都将成为头条新闻!! Page 4
电子政府门户的安全考虑 访问控制 身份识别管理 访问用户帐户开通 整个门户的安全事件风险管理 IBM 解决方案 : 基于 IBM Tivoli 的身份安全管理基于 IBM ISS 的网络及边界安全基于 IBM Tivoli 的安全事件风险管理 Page 5
IBM 身份管理的蓝图 信任管理 信任中介 单点登出 用户注册和供应 用户隐私管理 用户帐户自我管理 身份联邦 跨企业身份映射 跨企业身份供应 身份生命周期管理 管理工作流 用户特征信息管理 登录身份管理 政策管理 基于身份的安全控制 对应用 Web 服务和中间件的访问控制 对用户隐私信息的访问控制 监视和审计用户的活动 身份管理的基础设施 单点登录和权利管理 帐户同步 目录服务 报告 可扩展性 高可用性 Page 6
1 电子政府门户的身份基础 目录服务 目录服务的目的在于建立集中的访问用户信息存储和认证信息存储 建立政府应用的安全基础架构, 降低管理的复杂性 IBM 产品 : IBM Tivoli Directory Server Page 7
Tivoli Directory Server, 遵循 LDAP v3 标准的目录服务器 Release IBM Directory Server 5.2 IBM Directory Server 5.1 IBM Directory Server v4.1 11/02 IBM Tivoli Directory Server 6.1 IBM Tivoli Directory Server 6.0 Q1/05 10/03 Q3/07 4/02 IBM SecureWay Directory v3.2.2 11/01 10/00 IBM SecureWay Directory v3.2.1 7/99 6/98 IBM SecureWay Directory v3.1 7/97 IBM enetwork Directory v1 (U of Michigan code base) Page 8
IBM Directory Server 一个具有高度可靠性的 可扩展的 基于标准的 LDAP 服务器 The Open Group LDAP v3 认证 运行在多种平台上, 包括 UNIX Linux Windows AS/400 等 多种复制模式,(S-M,M-M) 提供多种复制和高可用性机制 支持按属性进行复制机制 提供多种数据加密算法 支持关键属性加密 Page 9
w3.ibm IBM directory-exploiting applications Blue Pages, Common Web Authentication, PBCs, Expenses, Mobility 2000, Sametime Messaging, etc. Page 10
2 电子政府门户的访问认证服务 认证服务的目的在于为门户系统验证用户合法性 认证服务需要支持多种认证技术手段 认证服务需要可以支持到门户集成的后台应用 为电子政府门户的应用提供了一致的安全性 IBM 产品 : IBM Tivoli Access Manager for ebusiness Page 11
Tivoli Access Manager for ebusiness 提供集中统一的应用访问认证和授权服务 帐号认证访问授权审计 访问市民 政府公务员 H TT TT P P R O XY XY 安全隔离 统一访问入口 统一访问策略 深层防御 S X E M R L V / I W C E E B S B U S I N E S S L O G I C 电子政府门户 电子政府应用 上下级政府部门访问者 政府内部应用 外网 DMZ 内部可信网络 Page 12
电子政府门户需要支持多种认证技术 Login Please enter your ID and password ID Password C 13289576 SECURID IBM Tivoli Access Manager for ebusiness 支持如下的安全认证技术 Basic authentication (W3C) Forms-based authentication X.509 Certificate Kerberos ticket RSA SecurID Token DigiPass Daon Mobile device Others via Pluggable Authentication Page 13
借助于 TAMeb, 电子政府门户可以提供应用单点登录 TAMeb SSO to: IBM TAMeb 提供了灵活的应用集成和单点登录实现 : iv-user HTTP Header basicauth HTTP Header Forms-based SSO Lightweight Third- Party Authentication (LTPA) Trust Association Interceptor Solution GSO Junction Page 14
3 电子政府门户的授权访问服务 授权访问服务的作用在于确保对于受保护信息的合法访问 授权访问服务往往基于用户角色来进行访问控制 授权访问服务需要提供委托管理, 分权管理 授权访问服务可以通过联邦方式进行政府与政府之间 政府与企业之间的无缝访问 IBM 产品 : IBM Tivoli Access Manager for ebusiness Page 15
TAMeb 提供了按照用户身份进行信息访问的控制能力 访问市民 政府公务员 H TT TT P P R O XY XY 安全隔离 统一访问入口 统一访问策略 深层防御 S X E M R L V / I W C E E B S B U S I N E S S L O G I C 以公众信息为主根据公务员的职责访问不同的信息服务级别的数据 上下级政府部门访问者 外网 DMZ Page 16
利用 IBM TAM 来保护 WPS 的安全 WebSEAL WebSphere Application Server Security TAI WebSphere Portal Server Portlet Security 后台数据和应用 LDAP Directory 通过 IBM TAM 和 WPS 的集成来实现分层的安全控制 HTTP 服务器 ( 页面 ) WAS/WPS(servlet/portlet) JAVA 应用 (Method) 共享 LDAP 服务器中的用户信息 可以对几乎所有的资源进行授权的控制 (Servlet/portlet 页面 portal 资源 C 或者 JAVA 的资源 ) 功能更为强大的控制级别 ( 符合国际标准的 17 种授权级别 ) Page 17
4 电子政府门户的用户帐户管理和集中开通 帐户集中管理服务的作用在于集中管理电子政府门户以及后台应用的访问帐户, 以及帐户的访问属性 帐户集中管理服务提供了集中 定时的开通和帐户回收服务, 减少管理工作量 帐户集中管理服务基于管理策略 帐户角色策略, 提供审批管理 IBM 产品 : IBM Tivoli identity Manager Page 18
理想的身份管理平台是集中 主动完成身份和帐号的管理 身份注册创建帐号分配和授权用户访问和审计清理和身份中止 为用户创建身份和角色信息 基于角色和职责, 为用户创建相应的帐号和密码 用户安全的 简单的访问 IT 系统 挂起或中止用户身份和相应帐号 用户工作岗位变更 Page 19
基于的用户身份主动服务 用户工作岗位发生变化 生成帐户变动请求 帐户属性变更 用户访问实现 主动服务引擎 策略和角色检查 审批过程 Page 20
分层分权管理 结构化的的管理层次 市级政府 人大法院市政协 物价局 区 / 县政府 Page 21
查询和审计 Page 22
IBM 身份管理蓝图 信任管理 信任中介 单点登出 用户注册和供应 用户隐私管理 用户帐户自我管理 身份联邦 跨企业身份映射 Tivoli Federated 跨企业身份供应 Identity Manager 身份生命周期管理 用户特征信息管理 Tivoli Identity Manager 登录身份管理 管理工作流 政策管理 基于身份的安全控制 对应用 Web 服务和中间件的访问控制 Tivoli Access Manager 对用户隐私信息的访问控制 监视和审计用户的活动 单点登录和权利管理 帐户同步 Tivoli Directory 目录服务 Integrator 身份管理的基础设施 报告 Tivoli Directory 可扩展性 Server 高可用性 Page 23
5 电子政府门户系统的风险保障 集中安全事件分析 集中安全事件管理服务的作用在于可以最快发现可能的潜在的攻击行为 集中安全事件管理服务将所有的安全日志信息统一保存, 便于出现问题后的分析 IBM 产品 : IBM Tivoli Security Operation Manager Page 24
典型的安全运维方式 孤立的管理众多窗口手工关联??? Routers Applications Servers Antivirus Firewall Network IDS Host IDS 对不同厂家的单点解决方案 Page 25 多厂商, 多管理域
实时的安全事件管理中心 5 1 2 3 4 1 : 安全事件集中收集 2 : 安全事件的标准化 3 : 安全事件的关联分析和优先级处理 4 : 实时安全事件显示 5 : 自动响应和故障报警处理 6 : 报表和预测分析 6 Page 26
集成大范围的事件 Page 27
使用多种技术手段来实现事件关联 Page 28
展现 动作和报告 Page 29
IBM 提供企业安全系统运行的全视图 Event Class Event Class Frequenc y Domai n Frequency Frequenc y Page 30
IBM Tivoli 安全解决方案为电子政务保驾护航 Web 授权 市户 自动的主动化管理 Tivoli Directory Server 身份集合 政府网上门户 ITAM 授权和认证 TIM Server 策略 工作流 审计跟踪 Operating Systems Databases Internal Systems Applications 电子政府应用 集中的安全事件收集和分析 Page 31
IBM 业界领先厂商 全球身份管理市场 全球认证授权管理市场 全球日志管理市场 Page 32
Page 33