基于Novell目錄系統(tǒng)的密碼安全傳輸及審計功能分析

楊　楠，高麗芳，楊　超，李寧博，連陽陽

（1.國網(wǎng)河北省電力公司信息通信分公司，石家莊 050021；2.國網(wǎng)河北省電力公司，石家莊 050021）

基于Novell目錄系統(tǒng)的密碼安全傳輸及審計功能分析

楊楠1，高麗芳1，楊超2，李寧博1，連陽陽1

（1.國網(wǎng)河北省電力公司信息通信分公司，石家莊 050021；2.國網(wǎng)河北省電力公司，石家莊 050021）

針對國網(wǎng)河北省電力公司目錄服務系統(tǒng)存在的問題，提出對該系統(tǒng)密碼傳輸及審計功能模塊的改造開發(fā)方案，從系統(tǒng)用戶帳號密碼安全性、用戶帳號使用安全審計管理等方面，對目錄服務系統(tǒng)用戶帳號的安全審計監(jiān)控能力進行分析，通過使用MD5加密存儲、傳輸，增加目錄前端審計代理，優(yōu)化負載均衡F5配置等關鍵技術，實現(xiàn)了用戶源地址追溯、訪問行為記錄等功能，進一步提升了目錄系統(tǒng)運維管理水平。

目錄服務系統(tǒng)；安全性；審計

通過“SG186”工程的建設，國網(wǎng)河北省電力公司完成目錄系統(tǒng)的建設及深化應用，目前系統(tǒng)已覆蓋國網(wǎng)河北省電力公司，為營銷管理、安全生產(chǎn)管理、財務資金管理、協(xié)同辦公等八大業(yè)務應用及其他應用系統(tǒng)提供用戶認證、帳號供應、單點登錄等基礎支撐服務，實現(xiàn)了與國家電網(wǎng)公司總部目錄系統(tǒng)的數(shù)據(jù)級聯(lián)同步。

國網(wǎng)河北省電力公司目前采用Novell公司的目錄系統(tǒng)，主要包括3個模塊：目錄服務、身份管理、認證系統(tǒng)。其中“目錄服務、身份管理、認證系統(tǒng)”是一體化集成平臺上下貫穿的一條主線［1］。目錄服務是統(tǒng)一身份管理系統(tǒng)所依賴的主要支撐技術，提供跨平臺身份信息存儲管理和認證支撐服務。身份管理利用集中式數(shù)據(jù)存儲在應用程序、數(shù)據(jù)庫和目錄之間同步、轉(zhuǎn)換和分發(fā)信息。認證系統(tǒng)由訪問網(wǎng)關和身份認證管理服務器構成，是國網(wǎng)河北省電力公司及地市公司范圍內(nèi)企業(yè)門戶和大部分應用系統(tǒng)的統(tǒng)一訪問入口，提供了對用戶身份的集中認證和對企業(yè)門戶和應用系統(tǒng)的安全訪問［2］。

1　系統(tǒng)情況介紹

目錄服務系統(tǒng)在公司已上線運行近10年，作為業(yè)務系統(tǒng)的統(tǒng)一訪問入口（即“單點登錄”入口），用戶的帳號及密碼安全性，及帳號使用安全性對于用戶來說至關重要，鑒于系統(tǒng)在安全性上的特殊需求，技術人員從日常工作中總結出實際運維經(jīng)驗，對現(xiàn)有的目錄服務系統(tǒng)進行了安全性改造。通過多年運維經(jīng)驗，發(fā)現(xiàn)目錄服務系統(tǒng)存在以下問題。

a.在系統(tǒng)運維過程中，運維人員發(fā)現(xiàn)，部分業(yè)務系統(tǒng)與目錄服務的密碼傳輸過程為明文傳輸，特別是在“SG186”建設前期上線系統(tǒng)中尤為嚴重，若不對密碼進行加密改造，密碼傳輸過程將存在泄露的風險。

b.運維人員在用戶工單處理過程中發(fā)現(xiàn)，存在個人賬號是否被其他人員使用的查詢需求，但目錄系統(tǒng)僅能采集到系統(tǒng)自身網(wǎng)關端的F5地址，無法追蹤到最終用戶。特別對于一些從事敏感崗位的用戶，帳號一旦被他人登陸，公司的重要保密信息將存在泄漏的風險，而且信息泄漏后無法追責。

2　系統(tǒng)密碼安全傳輸及審計功能分析

為提高信息系統(tǒng)訪問的安全性，解決運維過程中發(fā)現(xiàn)的安全性問題，需對密碼安全傳輸及審計功能進行開發(fā)改造。目錄密碼安全性傳輸主要通過修改目錄系統(tǒng)與業(yè)務系統(tǒng)密碼加密同步策略，通過加密機實現(xiàn)傳輸數(shù)據(jù)的加解密。目錄審計功能基于國網(wǎng)河北省電力公司目錄服務系統(tǒng)已有基礎，在原有架構上增加了審計設備，審計服務實現(xiàn)了用戶源地址的采集、用戶行為審計。

2.1密碼加密傳輸

通過全面調(diào)研分析，梳理出需要整改的業(yè)務應用系統(tǒng)，并形成系統(tǒng)整改清單和整改計劃，與各業(yè)務系統(tǒng)確定整改方案，包括采取何種加密方式進行數(shù)據(jù)同步。對目錄服務系統(tǒng)同步至業(yè)務應用的密碼及存儲數(shù)據(jù)進行加密，再將與目錄服務系統(tǒng)集成的業(yè)務系統(tǒng)的賬號密碼同步策略修改為以MD5加密的同步策略，同時完成數(shù)據(jù)清理并配合業(yè)務系統(tǒng)進行功能模塊改造，提升目錄服務系統(tǒng)集成架構安全性。

2.2用戶登錄源地址審計

對目錄服務系統(tǒng)架構進行技術改造升級，最終通過調(diào)整目錄服務系統(tǒng)與F5設備的配置，實現(xiàn)用戶登錄源地址審計，目錄審計服務架構如圖1所示。該審計功能的實現(xiàn)方法是對省公司現(xiàn)有的目錄服務訪問管理模塊進行升級，在F5設備中進行參數(shù)配置，用戶在訪問業(yè)務系統(tǒng)時，F(xiàn)5設備完成用戶的客戶端信息采集，將采集到的信息存儲在F5設備的header中，目錄服務系統(tǒng)將F5設備header中的源地址IP信息取出，然后存儲在目錄服務系統(tǒng)的“X-Forwarded-For”中，再將該信息存入審計數(shù)據(jù)庫。通過開發(fā)審計展示模塊，展現(xiàn)用戶登錄業(yè)務系統(tǒng)時使用的客戶端IP地址信息，使用戶及安全管理部門均能追溯用戶訪問軌跡，實現(xiàn)對關鍵帳號的安全保護。

圖1　用戶登錄源地址審計

2.3用戶操作審計

為監(jiān)控系統(tǒng)日常運行狀態(tài)，對用戶日常登陸行為進行全面分析統(tǒng)計，除開發(fā)用戶源地址登陸功能外，又設計了目錄審計服務。目錄審計服務由前端審計代理、審計服務器、審計數(shù)據(jù)庫等構成。審計事件數(shù)據(jù)來源主要是身份目錄、認證目錄、訪問網(wǎng)關、身份認證服務。可對審計的各類結果進行綜合分析。目錄服務用戶操作審計過程如圖2所示。

圖2　目錄服務用戶訪問審計

目錄審計功能實現(xiàn)方式如下：客戶登陸業(yè)務系統(tǒng)，完成登陸請求操作；AM收到客戶端發(fā)來的請求數(shù)據(jù)包，將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)到認證服務系統(tǒng)，并生成隨機數(shù)；服務器下發(fā)隨機數(shù)到客戶端；客戶端通過Active X控件對隨機數(shù)進行簽證有效性驗證；證書認證服務器調(diào)用LDAP服務來驗證證書有效性；LDAP返回證書有效性結果；證書有效后調(diào)用密碼設備對隨機數(shù)進行驗簽；將驗簽結果返回給認證服務器；返回認證是否成功的結果給AM；AM完成認證，用戶進入業(yè)務系統(tǒng)，服務器采集客戶端信息。

審計管理主要對目錄服務、身份管理、認證系統(tǒng)運行過程的健康狀態(tài)進行監(jiān)控，支持對用戶到業(yè)務系統(tǒng)的訪問行為跟蹤、用戶信息變動、賬號開通、禁用等用戶日常維護行為的審計、查詢及統(tǒng)計。

3　應用效果

通過改造目錄審計服務系統(tǒng)密碼存取傳輸機制，利用MD5、SHA等方式實現(xiàn)帳號密碼的加密存儲，對目錄服務系統(tǒng)與集成系統(tǒng)的密碼驗證及密碼存儲功能模塊進行改造，有效防止發(fā)生因帳號密碼泄露而導致的信息泄密事件。同時對目錄服務系統(tǒng)的用戶登錄源地址采集、審計功能進行研發(fā)，實現(xiàn)了對關鍵帳號異常登錄行為的分析及系統(tǒng)帳號權限分配操作的深度審計，滿足了公司對帳號安全的管理要求。根據(jù)用戶賬號即可審計到用戶登錄的業(yè)務系統(tǒng)、登錄的IP地址及登錄時間。

4　結束語

通過開發(fā)目錄審計服務系統(tǒng)密碼存取傳輸機制，對目錄服務系統(tǒng)與集成系統(tǒng)的密碼驗證及密碼存儲功能模塊進行改造，通過MD5、SHA等方式實現(xiàn)帳號密碼的加密存儲，防止發(fā)生因帳號密碼泄露而導致的信息泄密事件。同時對目錄服務系統(tǒng)的審計功能、用戶登錄源地址采集功能進行研發(fā)，實現(xiàn)了對帳號操作的深度審計，從而有效的監(jiān)督賬號登陸等重要操作，進一步提高信息化建設的規(guī)范性。

該系統(tǒng)對密碼傳輸安全、密碼使用安全、用戶訪問可追溯、用戶訪問可審計等功能進行完善提升建設，提升了目錄服務系統(tǒng)的安全性及系統(tǒng)的審計分析和風險識別能力，提升了國網(wǎng)河北省電力公司信息系統(tǒng)運維管理水平。

［1］ 溫 超.基于Novell認證系統(tǒng)CA集成的設計與實現(xiàn)［J］.信息安全與容災，2009：189-192.

［2］ 羅健文.Novell網(wǎng)絡的規(guī)劃與安裝［J］.廣東廣播電視大學學報，1999，8（3）：22-28.

本文責任編輯：羅曉曉

Analysis on Audit Function and Password Security Transport Based on Novell Directory System

Yang Nan1，Gao Lifang1，Yang Chao2，Li Ningbo1，Lian Yangyang1
（1.State Grid HeBei Information&Telcommication Branch，Shijiazhuang 050021，China；2.State Grid HeBei Electric Power Company，Shijiazhuang 050021，China）

Aiming at the problems of directory service system of State Grid Hebei Electric Power Corporation，this paper proposes reformation project of code transmission and audit module，analyses security audit monitoring ability of user account of Directory System aimed at the problems of password security and security audit management，realizes user source address traced and access behavior recorded by using technologies of MD5 encrypted storage and transmission，increasing Directory front-end audit agency，optimizing configuration of F5 load balance，promotes operation and maintenance management level of Directory System.

directory service system；security；audit

TP391

B

1001-9898（2016）02-0040-03

2016-01-06

楊 楠（1986-），女，工程師，主要從事一體化平臺支撐類系統(tǒng)運行維護工作。