文件共享訪問(wèn)控制網(wǎng)關(guān)技術(shù)白皮書(shū)

《文件共享訪問(wèn)控制網(wǎng)關(guān)技術(shù)白皮書(shū)》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)。

1、文件共享訪問(wèn)控制網(wǎng)關(guān)技術(shù)白皮書(shū)北京時(shí)代億信科技有限公司目錄1.產(chǎn)品概述12.微軟文件共享實(shí)現(xiàn)方式22.1Windows本地賬戶策略式文件共享方式22.2基于Windows域進(jìn)行文件共享方式23.文件共享訪問(wèn)控制網(wǎng)關(guān)實(shí)現(xiàn)方式33.1產(chǎn)品如何實(shí)現(xiàn)訪問(wèn)控制43.2產(chǎn)品能夠進(jìn)行何種控制53.3產(chǎn)品如何進(jìn)行訪問(wèn)控制73.3.1建立角色集中授權(quán)73.3.2細(xì)粒度權(quán)限分別授權(quán)83.4產(chǎn)品如何進(jìn)行部署83.4.1旁路模式83.4.2網(wǎng)橋模式93.5產(chǎn)品如何對(duì)操作進(jìn)行審計(jì)104.產(chǎn)品功能模塊114.1Web管理系統(tǒng)114.2用戶認(rèn)證模塊114.3權(quán)限控制模塊124.4文件共享訪問(wèn)控制模塊

2、124.4.1訪問(wèn)控制網(wǎng)關(guān)方式對(duì)共享文件進(jìn)行訪問(wèn)控制134.4.2訪問(wèn)控制網(wǎng)關(guān)結(jié)合微軟AD域進(jìn)行文件共享訪問(wèn)控制144.5日志審計(jì)模塊155.產(chǎn)品資質(zhì)166.成功案例17UAP訪問(wèn)控制應(yīng)用安全平臺(tái)——文件共享訪問(wèn)控制網(wǎng)關(guān)產(chǎn)品技術(shù)白皮書(shū)1.產(chǎn)品概述在日常的辦公應(yīng)用中，特別是需要多人協(xié)作的場(chǎng)景下，為了使用的方便和提高工作效率，常常需要架設(shè)專門(mén)的文件服務(wù)器來(lái)滿足工作的需要，所有的數(shù)據(jù)資料都集中存儲(chǔ)在這樣的服務(wù)器中。隨著企業(yè)的迅速發(fā)展，重要文件、研發(fā)成果、項(xiàng)目資料等越來(lái)越多，對(duì)服務(wù)器上數(shù)據(jù)的安全性提出了更高的要求。原有的管理和技術(shù)手段已無(wú)法做到對(duì)共享文件的有效保護(hù)，主要存在以下

3、幾方面的問(wèn)題：1.對(duì)文件共享服務(wù)器沒(méi)有進(jìn)行有效的身份認(rèn)證，存在于網(wǎng)絡(luò)中的用戶，不管是不是項(xiàng)目參與人都可訪問(wèn)服務(wù)器，對(duì)數(shù)據(jù)安全性造成了隱患；2.生產(chǎn)過(guò)程中使用的軟硬件產(chǎn)品并沒(méi)有針對(duì)使用者身份進(jìn)行權(quán)限控制的功能，極易造成研發(fā)成果被盜用、數(shù)據(jù)被惡意篡改等等，嚴(yán)重影響正常的生產(chǎn)；3.一旦發(fā)現(xiàn)數(shù)據(jù)資料被竊取，由于沒(méi)有相關(guān)的日志文件供檢索，無(wú)法追根溯源找到事故責(zé)任人，導(dǎo)致企業(yè)管理者在處理此類事件時(shí)束手無(wú)策。為了企業(yè)的健康發(fā)展，更好的維護(hù)自身權(quán)益，一方面要增強(qiáng)管理制度，加強(qiáng)安全意識(shí)，保護(hù)知識(shí)產(chǎn)權(quán)；另一方面要借助優(yōu)秀的第三方產(chǎn)品來(lái)達(dá)到對(duì)共享主機(jī)的身份認(rèn)證和訪問(wèn)控制。時(shí)代億信為幫助企業(yè)解

4、決文件共享主機(jī)存在的安全風(fēng)險(xiǎn)，提供了良好的解決方案，研發(fā)了“認(rèn)證墻”系列之“UAP訪問(wèn)控制應(yīng)用安全平臺(tái)產(chǎn)品——文件共享訪問(wèn)控制網(wǎng)關(guān)”。該產(chǎn)品針對(duì)現(xiàn)有Windows文件共享訪問(wèn)控制方法的不足，不僅實(shí)現(xiàn)了訪問(wèn)控制的需求，同時(shí)還脫離了NTFS格式文件系統(tǒng)的依賴，并能夠針對(duì)用戶進(jìn)行靈活身份認(rèn)證、細(xì)粒度授權(quán)和訪問(wèn)行為的審計(jì)需求。該產(chǎn)品嚴(yán)格按照相關(guān)保密要求，做到了三權(quán)分離，分別是：系統(tǒng)管理員負(fù)責(zé)自身系統(tǒng)的相關(guān)配置和用戶日志的審計(jì)；安全管理員負(fù)責(zé)用戶的增、刪、改操作及對(duì)用戶身份認(rèn)證方式的設(shè)置和訪問(wèn)授權(quán)；審計(jì)管理員負(fù)責(zé)對(duì)其他管理員的日志審計(jì)。第17頁(yè)UAP訪問(wèn)控制應(yīng)用安全平臺(tái)——文件共

5、享訪問(wèn)控制網(wǎng)關(guān)產(chǎn)品技術(shù)白皮書(shū)1.微軟文件共享實(shí)現(xiàn)方式1.1Windows本地賬戶策略式文件共享方式在Windows服務(wù)器上設(shè)置共享文件夾，文件系統(tǒng)類型必須為NTFS格式，針對(duì)不同文件分別設(shè)置用戶的權(quán)限。當(dāng)用戶訪問(wèn)時(shí)，輸入Windows本地賬號(hào)，驗(yàn)證通過(guò)后可以按照設(shè)定好的權(quán)限進(jìn)行訪問(wèn)控制。1.2基于Windows域進(jìn)行文件共享方式依靠加入了Windows域環(huán)境的主機(jī)，在服務(wù)器上設(shè)置共享文件夾，文件系統(tǒng)類型必須為NTFS格式，針對(duì)不同文件分別設(shè)置域里不同用戶的權(quán)限。當(dāng)用戶訪問(wèn)時(shí)，輸入域賬號(hào)，驗(yàn)證通過(guò)后可以按照設(shè)定好的權(quán)限進(jìn)行文件共享訪問(wèn)控制。第17頁(yè)UAP訪問(wèn)控制應(yīng)用安全平

6、臺(tái)——文件共享訪問(wèn)控制網(wǎng)關(guān)產(chǎn)品技術(shù)白皮書(shū)以上兩種文件共享訪問(wèn)控制方法可以在較低成本下達(dá)到文件共享的訪問(wèn)控制目的，但對(duì)于權(quán)限的更改沒(méi)有任何日志可查，文件的共享訪問(wèn)記錄也無(wú)法做到全面審計(jì)，在安全形勢(shì)日益嚴(yán)峻的環(huán)境下無(wú)法真正滿足大多數(shù)企業(yè)的需要。1.文件共享訪問(wèn)控制網(wǎng)關(guān)實(shí)現(xiàn)方式如果一種安全產(chǎn)品可以滿足集管理、安全、審計(jì)等要求于一體；對(duì)文件權(quán)限的控制程度可靠，真正做到文件共享的訪問(wèn)控制。那么，必須解決以下三個(gè)方面的問(wèn)題：1.實(shí)現(xiàn)對(duì)文件訪問(wèn)者身份的識(shí)別。摒棄Windows操作系統(tǒng)賬號(hào)結(jié)合太緊密，不靈活的方式；2.實(shí)現(xiàn)對(duì)文件訪問(wèn)者權(quán)限的控制，包括目錄的訪問(wèn)范圍，以及對(duì)特定子文件的訪

7、問(wèn)權(quán)限。杜絕Windows操作系統(tǒng)過(guò)分依賴NTFS協(xié)議，授權(quán)繁瑣的現(xiàn)象；3.記錄用戶的訪問(wèn)行為日志，便于日后審計(jì)，做到有據(jù)可查，追根溯源。1.1產(chǎn)品如何實(shí)現(xiàn)訪問(wèn)控制要實(shí)現(xiàn)通過(guò)文件共享訪問(wèn)控制網(wǎng)關(guān)對(duì)共享文件進(jìn)行訪問(wèn)控制的技術(shù)，關(guān)鍵是要實(shí)現(xiàn)CIFS協(xié)議，使訪問(wèn)控制網(wǎng)關(guān)可以在用戶與文件共享服務(wù)器之間交互。CIFS協(xié)議定義了許多客戶端和服務(wù)器端的命令和消息。這些命令和消息大致可分為如下幾類：1)建立連接消息：包括開(kāi)始或結(jié)束客戶端到服務(wù)器第17頁(yè)UAP訪問(wèn)控制應(yīng)用安全平臺(tái)——文件共享訪問(wèn)控制網(wǎng)關(guān)產(chǎn)品技術(shù)白皮書(shū)端共享資源的重定向連接命令；1)命名空間