4、目录与安全服务(Directory and Security Services)
随着因特网的发展,安全问题已经变得比以往任何时候都重要。为了保障数据、网络等的安全,人们纷纷投入了相关的安全技术的研究,由此,目录产品、加密技术、认证技术、病毒防护技术、入侵检测技术、防火墙技术等应运而生。而在IT基础设施建设规划中,有关安全产品/技术的规划也越来越占据重要的地位。
(1)目录产品(Directory Products)
根据国际数据公司(IDC)最近的一篇报告,在《财富》杂志公布的1000家大公司中,有80%的公司目前使用目录服务管理他们的网络和保障网络的安全。以目录为中心的计算将会成为网络计算的标准形式。于是越来越多的机构、企业和个人将目光投向目录服务。
简单地说,目录是指网络系统中网络资源的清单,它以一定的格式记录了现实世界中大量的信息,供用户(人、计算机应用程序等)做各种查询和修改。目录服务是指网络系统将网络中的各种资源信息集中管理起来,为用户提供一个统一的清单。目录服务在某种程度上讲就是代表网络用户及资源的基于对象的数据库。每个对象中都存储着与特定用户和网络资源有关的信息。对象可以在目录的树状结构中分层存储。便于用户建立一个与企业组织结构一致的网络结构。网络上的每个用户及资源均与别的用户和资源有关联,目录能够通过鉴定和授权来管理和控制人和计算机、计算机和计算机之间的关系。用户被鉴定意味着用户与网络组件两者能互相识别,因此能防止他人侵入系统偷取信息。用户被鉴定后,网络即授权该用户管理或使用他有权管理和使用的网络资源。用户的权限,可以是全局的、组织内的或跨工作组的,网络管理员可以为特定的用户赋予特殊的权限,以满足那些处于目录树各个层次中的个别用户对网络资源的特殊需要。
从目录服务的标准来看,实现目录服务的方式有多种,但目前趋于统一到ITU-T的X.500国际标准。CCITT在1988年制定了第一版X.500国际标准,之后ITU-T又在1993年作了显著的修订和补充,产生了第二版建议(但版本编号仍为1),ISO接受了此建议,把它作为ISO/IEC 9594国际标准。 X.500标准中定义了一种目录结构,此结构像一棵倒置的树,从顶部开始,无数树枝向下延伸。这种结构反映了大多数机构 / 企业的结构。在X.500标准中,用户和网络资源(如服务器、打印机)被定义为目标。目标具有一组属性。如目标的名字及其位置。X.500分级名字结构使得唯一确认目录树中的每一个目标成为可能。
在制定X.500国际标准的同时,人们还制定了一份目录访问协议(DAP,Directory Access Protocal)。DAP协议规范有大量内务操作,但没有多少人按照DAP开发委托程序或应用程序。密歇根大学的一个研究小组为了减少DAP协议中的内务操作,与IETF(因特网工程任务促进会)联手开发了新的协议规范叫做轻型目录访问协议(LDAP,Lightweight Directory Access Protocal),从而创造了一种存取和升级以客户服务器模式而存在的目录信息的简便方法。
在X.500标准中并未对厂商的实现方式作出限制。例如:它并不定义信息的存储和访问的方式,也几乎没有定义管理和操作的实现方法。至于信息是采用集中还是分散处理也没有明确规定。LDAP作为通信协议也没有指定信息保存在何种数据库中。而是靠X.500的产品来提供存储的信息位置。
如图5所示是2001年4月公布的目录产品/技术最新评估结果。其中,三个占有领先地位的公司是Novell—NDS(Novell Directory Service)、iPlanet—Sun-Netscape和IBM—SecureWay。而WindowsNT目录服务—Active Directory的上升趋势也不容小觑。
(2)加密等安全技术
表2列举了当前常用的几种安全技术的基本特点和推荐意见,在规划时可以综合选择。
由于攻击的手段是多样的、发展变化的,因此在建立安全防护体系时,必须走管理和技术相结合的道路。也就是说,除了广泛采用最新的安全技术外,还应切实制定相应的安全政策,如标准、指导文件、流程、管制文件等。仅引入最新的技术,是不够的。保障安全,首要的是提高机构 / 企业内的安全防范意识。通过安全政策的引导,有助于提高人们对于安全的重视程度,并尽可能地较少不经意间容易发生的安全问题。
表3 加密技术与认证技术
安全技术 评估结果 | 特点分析 | 推荐/建议 |
隧道技术 | ·在源局域网与公网的接口处将数据(可以是ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”; ·目前隧道协议有4种:点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5,它们在OSI 七层模型中的位置不同。因此我们应该注意,不同的网络环境适合不同的协议,在选择产品时,应该注意选择; | ·目前,PPTP协议基本面临淘汰; ·L2TP没有任何加密措施,更多是和IPSec协议结合使用,提供隧道验证; ·IPSec协议提供所有在网络层上的数据保护和透明的安全通信; ·SOCKS v5协议是会话层的访问控制,适用于安全性较高的网络,并能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用;缺点:其性能比低层次协议差,必须制定更复杂的安全管理策略。适用场合:最适合用于客户机到服务器的连接模式,适用于外部网VPN和远程访问VPN。 |
加密技术 | ·具有对称密码技术、公钥密码技术、数字签名技术、Hash函数、公钥认证技术、双重签名加密技术等。 | ·加密可以防止不速之客查看机密的数据文件;防止机密数据被泄露或篡改;防止特权用户(如系统管理员)查看私人数据文件;使入侵者不能轻易地查找一个系统的文件。 |
认证技术 | ·采用一种称为“摘要”的技术。“摘要”技术主要采用HASH 函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH 函数的特性,两个不同的报文具有相同的摘要几乎不可能; ·分实体认证和信息认证。实体认证是对参与通信实体的身份认证,信息认证是指对信息体进行认证,以决定该信息的合法性。 | ·用于验证数据的完整性、用户认证。 |
密钥交换和管理 | ·密钥的分发有两种方法:一种是通过手工配置的方式,另一种采用密钥交换协议动态分发; ·主要的密钥交换与管理标准有IKE (互联网密钥交换)、SKIP (互联网简单密钥管理)和Oakley。 | ·手工配置的方法由于密钥更新困难,只适合于简单网络的情况; ·密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可快速更新,可以显著提高安全性; |
防火墙技术 | ·实质上是一种综合性的技术,涉及到计算机网络技术、密码技术、安全协议、安全操作系统等多方面, | ·防火墙的功能主要体现在:检查并过滤进出网络的数据包;管理进出网络的访问行为;封堵被禁止的访问行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警等。 |
入侵检测技术 | ·属一种动态安全技术,通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应; | ·入侵检测是防火墙的合理补充,帮助内部网络或主机系统对付入侵攻击,从而扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护; |
病毒检测和防护技术 | ·自动地发现或判断计算机文件、内存以及网络中传输的信息是否含有病毒 ·主要方法有特征检测、校验法以及行为监测法等; | ·从病毒防护的角度,通常将病毒预警和防火墙结合起来,以构成病毒防火墙,并监视由外部网络进入内部网络的文件和数据,一旦发现病毒,就将其过滤掉; |
5、网络基础设施(Network)
现在,许多机构 / 企业已经建立了自己的网络系统,但随着业务需求的增长和技术的发展,都不得不面临优化、扩容和升级的问题。
在进行网络的相关规划时候,主要侧重几个方面,一是提出机构 / 企业内WAN/LAN的网络拓扑结构的建设/改良方案;二是确定网络合理的协议;三是评估现有的结构化布线系统的容量、网络设备、广域网数据链路带宽是否能满足未来新业务的需求,否则就要进行相应的扩容和升级等。
(1)拓扑结构(Topology)
网络的拓扑结构描述网络的物理布局。根据网络是一个局域网(LAN),或是用路由器连接的互联网络以及广域网(WAN)连接,可以将拓扑结构设计分为两类:即局域网拓扑结构(LAN,Local Area Network Topologies)和广域网拓扑结构(WAN,Wide Area Network Topologies)。前者的拓扑结构包括:总线、星形、星形配置环、星形/总线配置等;后者则包括端到端、环形、网状和分层等。各有优劣,适合于不同的网络需要。
(2)网络协议
所谓网络协议,是指为了使网络中的不同设备能进行下层的数据通信而预先制定一整套通信双方相互了解和共同遵守的格式和约定。
协议对于计算机网络而言是非常重要的,可以说没有协议,就不可能有计算机网。每一种计算机网络,都有一套协议支持着。由于现在计算机网种类很多,所以现有的网络通信协议的种类也很多。典型的网络通信协议有开放系统互连(OSI)协议1、X.25协议等。TCP/IP则是为Internet互联的各种网络之间能互相通信而专门设计的通信协议。目前,LAN协议的主流为IP,Ethernet100/1000、Level3 Switching等;WAN协议的主流为TCP/IP、VPN、ISDN、DDN和Frame Relay等。
6、网络与系统管理(Network and System Management)
互联网、操作系统、数据库等新技术的应用,组成了复杂而相互依存的IT系统。机构 / 企业在享受新技术带来的便捷的同时,也面临着复杂的系统和应用管理问题。
网络与系统管理是以服务质量战略为核心,利用针对业务应用管理的新技术,对整个分布式网络环境进行统一监控和管理,使之逐步整合成为一个安全、可靠的网络体系,实现集中管理、全面防护的目的。
一般来说,网络与系统管理规划涉及如下内容:
• 一体化网络和系统管理平台,改善了网络和系统管理;
• 功能强大的管理报告解决方案,随时了解网络和系统的运行情况;
• 端到端资源和性能管理解决方案,做到IT资源的远程监控、分发和变更管理;
• 具有实时诊断和监控功能的工具
• 提供可全面管理系统可用性与性能的综合性产品
• 对服务器与数据库的性能和可用性进行管理的产品等,确保数据库的稳定性和可用性等。
图6显示了网络和系统自动管理(Automated Network and System Management)的基本内容,包括:Change Management(变化管理)、Asset Management(资产管理)、Planning(规划)、Problem Management(问题管理)。
如同应用系统开发一样,在规划引入网络和系统管理工具方面,也应尽量推荐使用第三方的网络和系统管理工具。现在,有很多的AIP(Application infrastructure providers ,应用基础设施提供商)和MSP(Management Service Providers,管理服务提供商)都在努力提供这样的管理方案,如IBM的Tivoli、CA的Unicenter和HP的OpenView解决方案等,供人们选择。
下面我们进一步论述备份管理(Backup)/恢复(Disaster Recovery)技术。
对企业来说,数据安全非常重要,如果不能保护数据安全,就不能保障业务的顺利运作。而人为的操作错误、系统软件或应用软件缺陷、硬件损毁、电脑病毒、黑客攻击、突然断电、意外宕机、自然灾害等诸多因素都有可能造成计算机中数据的丢失,给企业造成无法估量的损失。这就需要进行数据备份。对数据进行备份是为了保证数据的一致性和完整性,消除系统使用者和操作者的后顾之忧。但是企业内部电脑环境各不相同,异构系统平台已经成为事实,企业计算环境变得更加复杂,因此不同的应用环境要应用不同的解决方案。一个实用的备份解决方案,应该充分考虑企业的实际情况和备份的需求。
一般来说,一个完善的备份系统需要遵从以下原则:
首先,备份软件要与操作系统100%兼容,当事故发生时,能够快速有效地恢复数据;
其次,备份方案应能提供定时的自动备份。在自动备份过程中,还要具有日志记录功能,并在出现异常情况时自动报警;
另外,在设计备份方案时,应尽量考虑到提高数据备份的速度和实时性。同时,要根据企业系统需求考虑其容错性。
在现代的商业环境中,企业还需要从多方面来考虑数据保护:数据备份与恢复、系统的永不停顿以及系统的容灾性能等等。对数据备份来说,最好的数据备份方案应该是“备份+保险库”,这样才能保证数据的可靠。在国外,80%的服务器连接有备份设备,其中有25%以上具有保险库管理。而国内用户,只有不到20%的服务器连接了备份设备,其中只有6%~7%采用了备份软件。这主要是因为目前国内用户在数据备份的认识上存在问题。大部分企业没有认识到备份是数据保护的基本手段,并且是唯一不可替代的一种方式;还有人认为对数据做了拷贝就是备份。实际上,拷贝后的数据管理和恢复,也非常重要。
就恢复技术/产品而言,应具备如下功能:
• 制订在发生灾难时可帮助您恢复您的应用程序的灾难恢复计划;
• 可以在备用站点、在替代计算机硬件上,以及与并不熟悉应用程序的人来执行恢复操作。
• 管理非现场恢复介质。
• 存储客户机恢复信息等。
7、信息交流与协作(Messaging and Collaboration)
这方面的规划更多地涉及Microsoft Exchange和Lotus Domino的选择上。两者的特点比较如表3。从应用现状来看,由于Microsoft产品/技术的使用范围相当广泛,因此,较多的机构 / 企业内选择Microsoft Exchange作为e-Mail等信息交流与协作的基本系统,尤其是那些内部应用Microsoft WinNT操作系统的单位更是如此。但随着知识管理、协作交流等需求的增长,Lotus Notes正以其优势逐步吸引人们的目光。
表3 Microsoft Exchange和Lotus Domino比较(不代表作者观点,请慎重参考)
特点比较 | Microsoft Exchange | Lotus Domino |
基本产品定位与可开发能力 | Exchange是Microsoft BackOffice产品家族的一员,其主要功能是电子邮件,此外通过公共文件夹等支持基本的、需求简单的协作型应用,用户为满足自身的需求通常要采用整个BackOffice家族产品(Exchange、IIS、MS-SQL Server,Site Server,Index Server……),并利用Visual开发系列来集成各家族成员。 | Domino/Notes作为Lotus/IBM Internet/Intranet 完整解决方案的核心产品,是先进的单一架构的文档数据库和电子邮件系统,提供了工作流自动化以及标准的Web服务、应用和开发环境,为企业用户提供了单一、集成型的基础设施,即用户可以使用Domino/Notes来建立邮件、群件以及Internet、Intranet应用系统。 |
评估建议:Domino/Notes的巨大潜力与价值体现,可以通过在其平台上的简便开发、快速开发与实施能力得到体现和发扬,这是Exchange无法比拟的。 |
跨平台支持 | Exchange则需要将用户绑定在单一的NT平台之上。 | Domino/Notes是跨操作系统平台的企业信息基础设施,支持在企业中广为采用的Unix系统(IBM AIX、SUN Solarix、HP-UX、Linux)和Microsoft NT、IBM OS/2等系统,甚至支持IBM主机系列S390与AS/400。 |
评估建议:Domino/Notes跨平台的支持能力给予了用户广泛的选择。 |
安全性 | Exchange的安全性依赖NT的安全机制,然而,NT缺乏双密钥加密支持,所以Microsoft只能在Exchange中捆绑北方电讯的EnTrust产品,结果是管理员必须为每个用户建立另外的账号和保密口令,用户在利用加密/数字签字功能时也不得不增加一次额外的登录。 | Domino/Notes的产品体系结构中集成了先进的公钥基础设施,使得加密/数字签名功能的管理、安装和使用简单化,另外还能够对收到邮件的自动加密、在邮递和应用时的加密、字段级加密、密钥的定制以及单个文档上多个签字,支持RSA的加密功能以及SSL加密机制。 |
易管理性、可靠性、 可用性、伸缩性 | 评估建议: Domino两步即可完成安装——不管操作系统平台(包括NT)与网络的配置如何——迅速设置,即可启用;Domino提供自动化的管理操作支持,如两步即可完成用户在服务器与网络域之间的移动——大大提高管理效率;Domino提供用户实用的信息管理功能,如用Notes客户可以自己跟踪邮件——减轻管理员的工作负担;Notes提供集中式的用户桌面管理能力——不必劳驾系统管理员到每一个用户桌面;6个节点的群集技术,保证系统负载平衡和失效转接,增加系统的可靠性、可用性;从垂直方向(通过操作系统迁移)到水平方向(通过SMP、群集技术)提供的伸缩性等等,都是Exchange无法比较的。 |
企业级信息集成能力 | 基于Microsoft定义的接口方法(ADO及OLE DB)的数据访问体系结构,需要大量的编程,而且对于这种访问方式的支持,当前只有Microsoft自己的产品以及Microsoft自己提供的数据接口,用户面临有限的技术选择和大量的编程工作,不仅增加了成本,延长了开发周期,应用系统的稳定性也受到影响。 | Domino/Notes提供了许多产品与技术实现Domino与企业其他数据资源的集成,其中所采用的连接方法不局限于ODBC,对于DB2、Oracle等大型数据库可以直接访问;此外,Domino所能连接的数据资源不仅局限于关系数据库,而且可以访问ERP、MQ series等企业级应用与中间件事务处理系统。 |
移动办公 | Microsoft使用从早已过时的MS Mail继承下来的“脱线文件夹”,功能十分有限,其工作并不是在后台(必须等待完成)、只支持文档级复制、不支持选择性复制、不能对目录和空闲时间信息进行标注、没有图形化的复制管理和位置设定转换功能。 | Domino/Notes对移动用户提供强有力的支持能力:离线(本地)存储加密、双向复制、字段级复制、大文档截取与按条件进行的选择性复制、离线目录同步、图形化监视复制过程、离线Web浏览、后台操作能力(不影响前台)等。 |
协作能力 | 评估建议: Domino/Notes一直是领先者,有着完善的协同工作、知识管理能力 |
成功经验 | 评估建议: Notes全球用户数已超过5500万,超过10年的产品成熟性,大量的用户成功案例,以国内为例,Lotus在中国发展的短短六年中,已有一大批各种规模的金融单位、政府部门和企业选用Notes建立自己的电子信息网。其中最大用户工商银行的Notes用户数已超过25000个!这不仅是Domino/Notes具备高可靠性的最好例证,更重要的是Lotus及其合作伙伴从实践中获得了大量的实际工作经验,为今后用户的实施提供了指导与参考。 |
责编:朱战备 孟凡强
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
宏景软件人力资源解决方案.ppt
[人人都是产品经理].苏杰.文字完..
2012 IBV big data study.tweets...
