資源描述:
《文件共享訪問控制網(wǎng)關(guān)技術(shù)白皮書》由會員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。
1�、文件共享訪問控制網(wǎng)關(guān)技術(shù)白皮書北京時代億信科技有限公司目錄1.產(chǎn)品概述12.微軟文件共享實(shí)現(xiàn)方式22.1Windows本地賬戶策略式文件共享方式22.2基于Windows域進(jìn)行文件共享方式23.文件共享訪問控制網(wǎng)關(guān)實(shí)現(xiàn)方式33.1產(chǎn)品如何實(shí)現(xiàn)訪問控制43.2產(chǎn)品能夠進(jìn)行何種控制53.3產(chǎn)品如何進(jìn)行訪問控制73.3.1建立角色集中授權(quán)73.3.2細(xì)粒度權(quán)限分別授權(quán)83.4產(chǎn)品如何進(jìn)行部署83.4.1旁路模式83.4.2網(wǎng)橋模式93.5產(chǎn)品如何對操作進(jìn)行審計(jì)104.產(chǎn)品功能模塊114.1Web管理系統(tǒng)114.2用戶認(rèn)證模塊114.3權(quán)限控制模塊124.4文件共享訪問控制模塊124.4.1訪
2、問控制網(wǎng)關(guān)方式對共享文件進(jìn)行訪問控制134.4.2訪問控制網(wǎng)關(guān)結(jié)合微軟AD域進(jìn)行文件共享訪問控制144.5日志審計(jì)模塊155.產(chǎn)品資質(zhì)166.成功案例171.產(chǎn)品概述在日常的辦公應(yīng)用中�,特別是需要多人協(xié)作的場景下,為了使用的方便和提高工作效率���,常常需要架設(shè)專門的文件服務(wù)器來滿足工作的需要��,所有的數(shù)據(jù)資料都集中存儲在這樣的服務(wù)器中�����。隨著企業(yè)的迅速發(fā)展��,重要文件���、研發(fā)成果����、項(xiàng)目資料等越來越多�����,對服務(wù)器上數(shù)據(jù)的安全性提出了更高的要求���。原有的管理和技術(shù)手段已無法做到對共享文件的有效保護(hù)���,主要存在以下幾方面的問題:1.對文件共享服務(wù)器沒有進(jìn)行有效的身份認(rèn)證,存在于網(wǎng)絡(luò)中的用戶���,不管是不是項(xiàng)目參與
3���、人都可訪問服務(wù)器,對數(shù)據(jù)安全性造成了隱患�;2.生產(chǎn)過程中使用的軟硬件產(chǎn)品并沒有針對使用者身份進(jìn)行權(quán)限控制的功能,極易造成研發(fā)成果被盜用���、數(shù)據(jù)被惡意篡改等等��,嚴(yán)重影響正常的生產(chǎn)���;3.一旦發(fā)現(xiàn)數(shù)據(jù)資料被竊取��,由于沒有相關(guān)的日志文件供檢索���,無法追根溯源找到事故責(zé)任人,導(dǎo)致企業(yè)管理者在處理此類事件時束手無策�����。為了企業(yè)的健康發(fā)展���,更好的維護(hù)自身權(quán)益,一方面要增強(qiáng)管理制度����,加強(qiáng)安全意識,保護(hù)知識產(chǎn)權(quán)��;另一方面要借助優(yōu)秀的第三方產(chǎn)品來達(dá)到對共享主機(jī)的身份認(rèn)證和訪問控制���。時代億信為幫助企業(yè)解決文件共享主機(jī)存在的安全風(fēng)險(xiǎn)�����,提供了良好的解決方案��,研發(fā)了“認(rèn)證墻”系列之“UAP訪問控制應(yīng)用安全平臺產(chǎn)品——文
4����、件共享訪問控制網(wǎng)關(guān)”。該產(chǎn)品針對現(xiàn)有Windows文件共享訪問控制方法的不足�����,不僅實(shí)現(xiàn)了訪問控制的需求�����,同時還脫離了NTFS格式文件系統(tǒng)的依賴��,并能夠針對用戶進(jìn)行靈活身份認(rèn)證�����、細(xì)粒度授權(quán)和訪問行為的審計(jì)需求����。該產(chǎn)品嚴(yán)格按照相關(guān)保密要求��,做到了三權(quán)分離�,分別是:系統(tǒng)管理員負(fù)責(zé)自身系統(tǒng)的相關(guān)配置和用戶日志的審計(jì)��;安全管理員負(fù)責(zé)用戶的增��、刪��、改操作及對用戶身份認(rèn)證方式的設(shè)置和訪問授權(quán)�����;審計(jì)管理員負(fù)責(zé)對其他管理員的日志審計(jì)�����。1.微軟文件共享實(shí)現(xiàn)方式1.1Windows本地賬戶策略式文件共享方式在Windows服務(wù)器上設(shè)置共享文件夾���,文件系統(tǒng)類型必須為NTFS格式,針對不同文件分別設(shè)置用戶的權(quán)限
5��、����。當(dāng)用戶訪問時�����,輸入Windows本地賬號����,驗(yàn)證通過后可以按照設(shè)定好的權(quán)限進(jìn)行訪問控制���。1.2基于Windows域進(jìn)行文件共享方式依靠加入了Windows域環(huán)境的主機(jī)����,在服務(wù)器上設(shè)置共享文件夾�,文件系統(tǒng)類型必須為NTFS格式,針對不同文件分別設(shè)置域里不同用戶的權(quán)限���。當(dāng)用戶訪問時�,輸入域賬號����,驗(yàn)證通過后可以按照設(shè)定好的權(quán)限進(jìn)行文件共享訪問控制。以上兩種文件共享訪問控制方法可以在較低成本下達(dá)到文件共享的訪問控制目的�����,但對于權(quán)限的更改沒有任何日志可查,文件的共享訪問記錄也無法做到全面審計(jì)�,在安全形勢日益嚴(yán)峻的環(huán)境下無法真正滿足大多數(shù)企業(yè)的需要。1.文件共享訪問控制網(wǎng)關(guān)實(shí)現(xiàn)方式如果一種安全產(chǎn)品
6�、可以滿足集管理、安全����、審計(jì)等要求于一體;對文件權(quán)限的控制程度可靠�,真正做到文件共享的訪問控制。那么���,必須解決以下三個方面的問題:1.實(shí)現(xiàn)對文件訪問者身份的識別�。摒棄Windows操作系統(tǒng)賬號結(jié)合太緊密���,不靈活的方式��;2.實(shí)現(xiàn)對文件訪問者權(quán)限的控制,包括目錄的訪問范圍�����,以及對特定子文件的訪問權(quán)限。杜絕Windows操作系統(tǒng)過分依賴NTFS協(xié)議�����,授權(quán)繁瑣的現(xiàn)象�����;3.記錄用戶的訪問行為日志�,便于日后審計(jì),做到有據(jù)可查�,追根溯源。1.1產(chǎn)品如何實(shí)現(xiàn)訪問控制要實(shí)現(xiàn)通過文件共享訪問控制網(wǎng)關(guān)對共享文件進(jìn)行訪問控制的技術(shù)��,關(guān)鍵是要實(shí)現(xiàn)CIFS協(xié)議�����,使訪問控制網(wǎng)關(guān)可以在用戶與文件共享服務(wù)器之間交互��。CI
7�、FS協(xié)議定義了許多客戶端和服務(wù)器端的命令和消息。這些命令和消息大致可分為如下幾類:1)建立連接消息:包括開始或結(jié)束客戶端到服務(wù)器端共享資源的重定向連接命令��;1)命名空間和文件處理消息:重定向器利用此消息獲得對服務(wù)器上文件的訪問權(quán)限��,并對其進(jìn)行相關(guān)操作;2)打印消息:重定向器利用此消息向服務(wù)器上的打印隊(duì)列發(fā)送數(shù)據(jù)�,并獲得打印隊(duì)列的狀態(tài)信息;3)其它消息:重定向器利用該消息向郵槽和命名管道寫入相關(guān)信息�����。訪問控制網(wǎng)關(guān)需要同時利用客戶端及服務(wù)器端消息與
