一、安全管理需求
1.用户管理:
要求解决全局的统一的用户身份认证;
用户就近完成身份认证;
对移动用户提供同样的身份认证功能。
2.资源管理:
资源包括所有的TCP/IP应用,资源目录包括了Web页面和TCP/IP端口;
资源在物理上是分布的;
各级机构维护自己本地的资源;
各级机构管理自己的资源访问授权;
二、WebST解决方案
1.WebST组成
WebST安全服务器:提供用户注册功能,保存注册用户的信息(身份、所属组、密钥等信息);提供认证用户身份功能,为用户和应用服务器之间的通信建立安全通道。
WebSEAL服务器:保存用户对Web资源的访问授权(ACL),对HTTP服务提供访问控制。用户通过WebST安全服务器完成身份认证,取得与Web服务器通信的凭证,再通过WebSEAL服务器提供授权,访问Web服务器资源。
NetSEAL服务器:保存用户对非Web服务外其他资源的访问授权(ACL),对非HTTP的TCP/IP服务提供访问控制。
Java Console管理控制台:提供对WebST安全服务器、WebSEAL服务器、NetSEAL服务器的管理控制。
NetSEAT:WebST客户端软件。
WebST是基于分布式计算环境(DCE)的,从这一点来看,WebST安全服务器是一个DCE Server,而其他的WebSEAL、NetSEAL、NetSEAT、Java Console等都是DCE Client。
2.WebST配置方案
划分两个安全域:总部、一级子公司属于一个安全域,称为一级安全域;任一个一级子公司与其下属的二级子公司属于一个安全域,称为二级安全域。安全域划分如图1所示。
图1安全域划分
在一级安全域内:
总部:
配置WebST安全服务器、WebSEAL服务器、NetSEAL服务器、Java Console管理控制台;
其中WebSEAL服务器、NetSEAL服务器可以根据总部应用服务器的分布设置多台;WebST安全服务器只需要一台,可以与WebSEAL、NetSEAL等装在同一台服务器上;Java Console只需要一个。
为了保证总部WebST服务器的可靠性,对安装有安全服务器的WebST服务器采用双机热备技术。
一级子公司:
配置WebST安全服务器、WebSEAL服务器、NetSEAL服务器、Java Console管理控制台;
其中WebSEAL服务器、NetSEAL服务器可以根据应用服务器的分布设置多台;WebST安全服务器只需要一台;Java Console只需要一个。
一级安全域的配置方案如图2所示:
图2一级安全域的WebST配置方案
二级安全域内:
一级子公司
配置另一套WebST服务器,也包括一个WebST安全服务器,若干WebSEAL、NetSEAL服务器,一个Java Console。
这套WebST服务器的WebSEAL与一级安全域内的WebSEAL进行双向的灵巧连接,控制一个安全域内的用户访问另一个安全域内的资源。
二级子公司
配置一套WebST服务器,包括一个WebST安全服务器,若干WebSEAL、NetSEAL服务器,一个Java Console。
总的配置图如图3所示。
图3 WebST的总配置图
3.安全控制策略
总部、一级子公司作为一个统一的安全域(CELL)管理,一级子公司、及其下属的二级子公司作为另一个安全域。
WebST安全服务器是安全域内的DCE Server,WebSEAL、NetSEAL、NetSEAT、Java Console等都是安全域内的DCE Client;
3.1在一级安全域内:
总部和一级子公司的WebST安全服务器复制,总部WebST安全服务器作为主安全服务器,一级子公司WebST安全服务器作为复制的安全服务器;
安全域内所有的WebSEAL、NetSEAL服务器都是独立的。WebSEAL通过灵巧接点(Smart Junction)技术对本地的所有Web服务器提供安全控制;NetSEAL通过应用网关技术提供对本地的所有非HTTP的TCP/IP服务的安全控制;
用户身份认证:用户可以就近到总部或任一个一级子公司登录,因为总部和一级子公司的安全服务器都是复制的,任一个安全服务器上都有用户的注册信息;
图4一级安全域的安全控制策略
访问控制:各地的WebSEAL、NetSEAL服务器提供对本地的应用服务器的访问控制。用户经过身份认证后,通过要访问的资源所在地的WebSEAL或NetSEAL对用户授权,并提供用户和应用服务器之间的安全通信。
安全管理:实行分级管理。
1)总部、一级子公司各自指定自己的安全系统管理员;
2)总部管理员具有最高权限,负责执行总部制定的安全控制策略;
3)总部管理员可以授权一级子公司的安全系统管理员在一定范围内执行安全管理工作,包括注册本地用户、维护本地资源目录、管理用户对资源的访问授权等;
4)管理员视图:管理员可以通过Java Console看到所有的注册用户、并可以管理所有可管理资源.Web: http://www.qqread.com/erp/31/j486143004.html进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- 锐起网吧无盘方案 (4618次浏览)
- 浙江平湖中学千兆校园网解决方案 (1761次浏览)
- 柳州女子试验高中校园网络案例分析 (1665次浏览)
- 大学校园VOIP网络电话解决方案 (1051次浏览)
- 神州数码小型校园网建设方案 (898次浏览)
- 南京军区总院肾脏病研究所电子病历系统应用 (865次浏览)
- 思科西安交大附中校园网建设解决方案 (844次浏览)
- 万视通AV_MINING煤矿安全数字视频监控系统 (516次浏览)
- 神州数码中型校园网建设方案 (506次浏览)
- 星网锐捷:中国医科大学校园网解决方案 (485次浏览)
