|
分布式安全性:创建基于Internet的企业网 信息安全对今天的网络系统来说,是一个非常重要又非常严重的问题,它涉及到从硬件到软
件、从单机到网络的各个方面的安全性机制。而网络操作系统的安全性是整个网络系统安全体系
中的基础环节。 在保护一个企业的信息技术的方面,防火墙、加密设备和其他的许多相关部件都有着重要的
作用。但是最重要的决定仍然是选择一个适当的网络操作系统。企业不但要考察网络操作系统所
能够提供的安全特性,还要考虑达到适当安全水平所需要花费的成本,以及对企业业务和
竞争力的影响。 今天,企业越来越向Internet开放,企业网络和Internet网络之间的区分已经不再明显。企
业需要采用基于Internet的技术,与业务伙伴、供货商和顾客进行交互作用,安全性就成为在企
业网络、Internet和Intranet中控制资源访问权限的关键因素,同时企业也需要安全管理上的灵
活性和简易性。 安全性技术也在快速的发展变化之中;在今天日益复杂的环境中,为了达到较高的安全程度,
有两个领域发展很快,即:公用密钥证书和动态口令。企业越来越多地面临着通过公共网络进行
远程访问、通过Internet进行企业间通信的问题。这是推动安全技术发展的动力。 Windows 2000的安全性设计 作为新一代的企业级网络系统,Windows 2000在安全特性方面的设计注重了三个方面:
1. 对于基于Internet的新型企业的支持:帮助它们突破原有的企业网络和Internet的界限,
满足移动办公、远程工作,和随时随地接入全球数字神经系统(Internet)进行通信和电子商务的
需要。新一代的Extranet应用由此应运而生。
2. 微软在Windows 2000中提供的是一个安全性框架,并不偏重于任何一种特定的安全特性;
即微软不是提供给用户一个锤子,让用户去找合适的钉子去敲。新的安全协议、加密服务提供者
或者第三方的验证技术,可以方便地结合到Windows 2000的“安全服务提供者接口”(SSPI,
Security Service Provider Interface)中,供用户选用。
3. Windows 2000意识到用户对于向下兼容的需要,完全无缝地对Windows NT 4.0的网络提
供支持,提供对Windows NT 4.0中采用的NTLM(NT LAN Manager)安全验证机制的支持。用户可
以选择依照自己的步调迁移到Windows 2000中对替代NTLM的Kerberos安全验证机制。 Windows 2000中的验证服务架构 从上图中可以看到,通过安全服务提供者接口(Security Service Provider Interface,
SSPI),Windows 2000实现了应用协议和底层安全验证协议的分离。不管是NTLM、Kerberos、
Secure Channel (Schannel,是web访问的常用验证方法),还是DPA(Distributed Password
Authentification,社团/内容网站常用的验证方法),它们对于应用层来说都是一致的。应用
厂商还可以通过微软提供的Platform SDK产品包中的Security API来开发自己的验证机制。 Kerberos的验证机制
Kerberos是在Internet上长期被采用的一种安全验证机制,它是基于共享密钥的方式。
Kerberos协议定义了一系列客户机/密钥发布中心(Key Distribution Center,KDC)/服务器之
间进行的获得和使用Kerberos票证的通信过程。 当已被验证的客户机试图访问一个网络服务时,Kerberos服务(即KDC)就会向客户端发放一
个有效期一般为8个小时的“对话票证”(Session Ticket)。网络服务不需要访问目录中的验证
服务,就可以通过对话票证来确认客户端的身份,这种对话的建立过程比Windows NT 4.0中的速
度要快许多。 Kerberos加强了Windows 2000的安全特性,它体现在更快的网络应用服务验证速度,允许
多层次的客户/服务器代理验证,和跨域验证建立可传递的信任关系。可传递的信任关系的实现,
是因为每个域中的验证服务(KDC)信任都是由同一棵树中其他KDC所发放的票证,这就大大简化了
大型网络中多域模型的域管理工作。 Kerberos还具有强化互操作性的优点。在一个多种操作系统的混合环境中,Kerberos协议
提供了通过一个统一的用户数据库为各种计算任务进行用户验证的能力。即使在非Windows 2000
平台上通过KDC验证的用户,比如从Internet进入的用户,也可以通过KDC域之间的信任关系,获
得无缝的Windows 2000网络访问。 Windows 2000实现的安全特性 正因为采用上述的安全机制,Windows 2000实现了如下的特性:数据安全性、企业间通信
的安全性、企业和Internet网的单点安全登录、以及易用和良好扩展性的安全管理。 1. 数据安全性 Windows 2000所提供的保证数据保密性和完整性的特性,主要表现在以下三个方面: 1) 用户登录时的安全性:从用户登录网络开始,对数据的保密性和完整性的保护就已经开始
了。Windows 2000借助Kerberos和PKI等验证协议提供了强有力的口令保护和单点登录。 2) 网络数据的保护:包括在本地网络上的数据或者穿越网络的数据。在本地网络的数据是由
验证协议来保证其安全性的。如果需要更高的安全性,还可以在一个站点(Site,通常指一个局域
网或子网)中,通过IP加密(IP Security,简称IPsec)的方法,提供点到点的数据加密安全性。 在站点之间穿越的数据,可以采用如下几个机制来加强安全性:
IP Security:为一个或多个IP节点(服务器或者工作站)加密所有的TCP/IP通信。
Windows 2000路由和远程访问服务:配置远程访问的协议和路由以保证安全性。
Proxy Server:为一个站点与外界的交流提供防火墙或代理服务。
另外,Exchange、Outlook和IE等应用程序还可以提供站点间基于公用密钥的消息加密和交易。 3) 存储数据的保护:可以采用数字签名来签署软件产品(防范运行恶意的软件),或者加密
文件系统。加密文件系统基于Windows 2000中的CryptoAPI架构,实施DES加密算法,对每个文件
都采用一个随机产生的密钥来加密。加密文件系统不但可以加密本地的NTFS文件/文件夹,还可以
加密远程的文件,不影响文件的输入输出。其恢复策略由Windows 2000的整体安全性策略决定,
具有恢复权限的管理员才可以恢复数据,但是不能恢复用来加密的密钥。 2. 企业间通信的安全性
Windows 2000为不同企业之间的通信,提供了多种安全协议和用户模式的内置的集成支持。
它的实现可以从以下三种方式中选择:1) 在目录服务中创建专门为外部企业开设的用户账号:
通过Windows 2000的活动目录,可以设定组织单元、授权或虚拟专用网等方式,并对它们进行管
理。2) 建立域之间的信任关系:用户可以在Kerberos或公用密钥体制得到验证之后,远程访问已
经建立信任关系的域。3) 公用密钥体制:电子证书可以用于提供用户身份确认和授权,企业可以
把通过电子证书验证的外部用户映射为目录服务中的一个用户账号。 3. 企业和Internet网的单点安全登录
当用户成功地登录到网络之后,Windows 2000透明地管理一个用户的安全属性(Security
Credentials),而不管这种安全属性是通过用户帐号和用户组的权限规定(这是企业网的通常做
法)来体现的,还是通过数字签名和电子证书(这是Internet的通常做法)来体现的。先进的应用服
务器都应该能从用户登录时所使用的安全服务提供者接口(SSPI)获得用户的安全属性,从而使用
户做到单点登录,从而访问所有的服务。 4. 易用的管理性和高扩展性
通过在活动目录中使用组策略, 管理员可以集中地把所需要的安全保护加强到某个容器
(SDOU)的所有用户/计算机对象上。Windows 2000包括了一些安全性模版,既可以针对计算机所
担当的角色来实施,也可以作为创建定制的安全性模版的基础。 Windows 2000提供了两个微软管理界面(MMC)的插件作为安全性配置工具,即安全性模版和
安全性配置/分析。安全性模版MMC提供了针对十多种角色的计算机的管理模版,这些角色包括从
基本工作站、基本服务器一直到高度安全的域控制器。它们的安全性要求是不同的。通过安全性
配置/分析MMC,管理员可以创建针对当前计算机的安全性策略。当然通过对加载模版的设置,该
插件就会智能地运行配置或分析功能,并产生报告来。 安全性管理的扩展性表现为,在活动目录中可以创建非常巨大的用户结构,用户可以根据需
要访问目录中存储的所有信息,但是用户受到所在的域或组织单元仍然是安全性的边界,对访问
的权限进行管制。 结束语:
今天我们看到企业有越来越多的对外联系的需要,再也不能为了安全性的需要,人为地把
Internet和企业网分离开来。新一代的建立在Internet上的成功企业,必然要借助Windows 2000
的分布式安全机制,实现高度的安全性集成,以保护和促进业务的发展。
|
