楊　楠，高麗芳，楊　超，李寧博，連陽(yáng)陽(yáng)

（1.國(guó)網(wǎng)河北省電力公司信息通信分公司，石家莊 050021；2.國(guó)網(wǎng)河北省電力公司，石家莊 050021）

基于Novell目錄系統(tǒng)的密碼安全傳輸及審計(jì)功能分析

楊楠1，高麗芳1，楊超2，李寧博1，連陽(yáng)陽(yáng)1

（1.國(guó)網(wǎng)河北省電力公司信息通信分公司，石家莊 050021；2.國(guó)網(wǎng)河北省電力公司，石家莊 050021）

針對(duì)國(guó)網(wǎng)河北省電力公司目錄服務(wù)系統(tǒng)存在的問(wèn)題，提出對(duì)該系統(tǒng)密碼傳輸及審計(jì)功能模塊的改造開發(fā)方案，從系統(tǒng)用戶帳號(hào)密碼安全性、用戶帳號(hào)使用安全審計(jì)管理等方面，對(duì)目錄服務(wù)系統(tǒng)用戶帳號(hào)的安全審計(jì)監(jiān)控能力進(jìn)行分析，通過(guò)使用MD5加密存儲(chǔ)、傳輸，增加目錄前端審計(jì)代理，優(yōu)化負(fù)載均衡F5配置等關(guān)鍵技術(shù)，實(shí)現(xiàn)了用戶源地址追溯、訪問(wèn)行為記錄等功能，進(jìn)一步提升了目錄系統(tǒng)運(yùn)維管理水平。

目錄服務(wù)系統(tǒng)；安全性；審計(jì)

通過(guò)“SG186”工程的建設(shè)，國(guó)網(wǎng)河北省電力公司完成目錄系統(tǒng)的建設(shè)及深化應(yīng)用，目前系統(tǒng)已覆蓋國(guó)網(wǎng)河北省電力公司，為營(yíng)銷管理、安全生產(chǎn)管理、財(cái)務(wù)資金管理、協(xié)同辦公等八大業(yè)務(wù)應(yīng)用及其他應(yīng)用系統(tǒng)提供用戶認(rèn)證、帳號(hào)供應(yīng)、單點(diǎn)登錄等基礎(chǔ)支撐服務(wù)，實(shí)現(xiàn)了與國(guó)家電網(wǎng)公司總部目錄系統(tǒng)的數(shù)據(jù)級(jí)聯(lián)同步。

國(guó)網(wǎng)河北省電力公司目前采用Novell公司的目錄系統(tǒng)，主要包括3個(gè)模塊：目錄服務(wù)、身份管理、認(rèn)證系統(tǒng)。其中“目錄服務(wù)、身份管理、認(rèn)證系統(tǒng)”是一體化集成平臺(tái)上下貫穿的一條主線［1］。目錄服務(wù)是統(tǒng)一身份管理系統(tǒng)所依賴的主要支撐技術(shù)，提供跨平臺(tái)身份信息存儲(chǔ)管理和認(rèn)證支撐服務(wù)。身份管理利用集中式數(shù)據(jù)存儲(chǔ)在應(yīng)用程序、數(shù)據(jù)庫(kù)和目錄之間同步、轉(zhuǎn)換和分發(fā)信息。認(rèn)證系統(tǒng)由訪問(wèn)網(wǎng)關(guān)和身份認(rèn)證管理服務(wù)器構(gòu)成，是國(guó)網(wǎng)河北省電力公司及地市公司范圍內(nèi)企業(yè)門戶和大部分應(yīng)用系統(tǒng)的統(tǒng)一訪問(wèn)入口，提供了對(duì)用戶身份的集中認(rèn)證和對(duì)企業(yè)門戶和應(yīng)用系統(tǒng)的安全訪問(wèn)［2］。

1　系統(tǒng)情況介紹

目錄服務(wù)系統(tǒng)在公司已上線運(yùn)行近10年，作為業(yè)務(wù)系統(tǒng)的統(tǒng)一訪問(wèn)入口（即“單點(diǎn)登錄”入口），用戶的帳號(hào)及密碼安全性，及帳號(hào)使用安全性對(duì)于用戶來(lái)說(shuō)至關(guān)重要，鑒于系統(tǒng)在安全性上的特殊需求，技術(shù)人員從日常工作中總結(jié)出實(shí)際運(yùn)維經(jīng)驗(yàn)，對(duì)現(xiàn)有的目錄服務(wù)系統(tǒng)進(jìn)行了安全性改造。通過(guò)多年運(yùn)維經(jīng)驗(yàn)，發(fā)現(xiàn)目錄服務(wù)系統(tǒng)存在以下問(wèn)題。

a.在系統(tǒng)運(yùn)維過(guò)程中，運(yùn)維人員發(fā)現(xiàn)，部分業(yè)務(wù)系統(tǒng)與目錄服務(wù)的密碼傳輸過(guò)程為明文傳輸，特別是在“SG186”建設(shè)前期上線系統(tǒng)中尤為嚴(yán)重，若不對(duì)密碼進(jìn)行加密改造，密碼傳輸過(guò)程將存在泄露的風(fēng)險(xiǎn)。

b.運(yùn)維人員在用戶工單處理過(guò)程中發(fā)現(xiàn)，存在個(gè)人賬號(hào)是否被其他人員使用的查詢需求，但目錄系統(tǒng)僅能采集到系統(tǒng)自身網(wǎng)關(guān)端的F5地址，無(wú)法追蹤到最終用戶。特別對(duì)于一些從事敏感崗位的用戶，帳號(hào)一旦被他人登陸，公司的重要保密信息將存在泄漏的風(fēng)險(xiǎn)，而且信息泄漏后無(wú)法追責(zé)。

2　系統(tǒng)密碼安全傳輸及審計(jì)功能分析

為提高信息系統(tǒng)訪問(wèn)的安全性，解決運(yùn)維過(guò)程中發(fā)現(xiàn)的安全性問(wèn)題，需對(duì)密碼安全傳輸及審計(jì)功能進(jìn)行開發(fā)改造。目錄密碼安全性傳輸主要通過(guò)修改目錄系統(tǒng)與業(yè)務(wù)系統(tǒng)密碼加密同步策略，通過(guò)加密機(jī)實(shí)現(xiàn)傳輸數(shù)據(jù)的加解密。目錄審計(jì)功能基于國(guó)網(wǎng)河北省電力公司目錄服務(wù)系統(tǒng)已有基礎(chǔ)，在原有架構(gòu)上增加了審計(jì)設(shè)備，審計(jì)服務(wù)實(shí)現(xiàn)了用戶源地址的采集、用戶行為審計(jì)。

2.1密碼加密傳輸

通過(guò)全面調(diào)研分析，梳理出需要整改的業(yè)務(wù)應(yīng)用系統(tǒng)，并形成系統(tǒng)整改清單和整改計(jì)劃，與各業(yè)務(wù)系統(tǒng)確定整改方案，包括采取何種加密方式進(jìn)行數(shù)據(jù)同步。對(duì)目錄服務(wù)系統(tǒng)同步至業(yè)務(wù)應(yīng)用的密碼及存儲(chǔ)數(shù)據(jù)進(jìn)行加密，再將與目錄服務(wù)系統(tǒng)集成的業(yè)務(wù)系統(tǒng)的賬號(hào)密碼同步策略修改為以MD5加密的同步策略，同時(shí)完成數(shù)據(jù)清理并配合業(yè)務(wù)系統(tǒng)進(jìn)行功能模塊改造，提升目錄服務(wù)系統(tǒng)集成架構(gòu)安全性。

2.2用戶登錄源地址審計(jì)

對(duì)目錄服務(wù)系統(tǒng)架構(gòu)進(jìn)行技術(shù)改造升級(jí)，最終通過(guò)調(diào)整目錄服務(wù)系統(tǒng)與F5設(shè)備的配置，實(shí)現(xiàn)用戶登錄源地址審計(jì)，目錄審計(jì)服務(wù)架構(gòu)如圖1所示。該審計(jì)功能的實(shí)現(xiàn)方法是對(duì)省公司現(xiàn)有的目錄服務(wù)訪問(wèn)管理模塊進(jìn)行升級(jí)，在F5設(shè)備中進(jìn)行參數(shù)配置，用戶在訪問(wèn)業(yè)務(wù)系統(tǒng)時(shí)，F(xiàn)5設(shè)備完成用戶的客戶端信息采集，將采集到的信息存儲(chǔ)在F5設(shè)備的header中，目錄服務(wù)系統(tǒng)將F5設(shè)備header中的源地址IP信息取出，然后存儲(chǔ)在目錄服務(wù)系統(tǒng)的“X-Forwarded-For”中，再將該信息存入審計(jì)數(shù)據(jù)庫(kù)。通過(guò)開發(fā)審計(jì)展示模塊，展現(xiàn)用戶登錄業(yè)務(wù)系統(tǒng)時(shí)使用的客戶端IP地址信息，使用戶及安全管理部門均能追溯用戶訪問(wèn)軌跡，實(shí)現(xiàn)對(duì)關(guān)鍵帳號(hào)的安全保護(hù)。

圖1　用戶登錄源地址審計(jì)

2.3用戶操作審計(jì)

為監(jiān)控系統(tǒng)日常運(yùn)行狀態(tài)，對(duì)用戶日常登陸行為進(jìn)行全面分析統(tǒng)計(jì)，除開發(fā)用戶源地址登陸功能外，又設(shè)計(jì)了目錄審計(jì)服務(wù)。目錄審計(jì)服務(wù)由前端審計(jì)代理、審計(jì)服務(wù)器、審計(jì)數(shù)據(jù)庫(kù)等構(gòu)成。審計(jì)事件數(shù)據(jù)來(lái)源主要是身份目錄、認(rèn)證目錄、訪問(wèn)網(wǎng)關(guān)、身份認(rèn)證服務(wù)?？蓪?duì)審計(jì)的各類結(jié)果進(jìn)行綜合分析。目錄服務(wù)用戶操作審計(jì)過(guò)程如圖2所示。

圖2　目錄服務(wù)用戶訪問(wèn)審計(jì)

目錄審計(jì)功能實(shí)現(xiàn)方式如下：客戶登陸業(yè)務(wù)系統(tǒng)，完成登陸請(qǐng)求操作；AM收到客戶端發(fā)來(lái)的請(qǐng)求數(shù)據(jù)包，將接收到的數(shù)據(jù)包轉(zhuǎn)發(fā)到認(rèn)證服務(wù)系統(tǒng)，并生成隨機(jī)數(shù)；服務(wù)器下發(fā)隨機(jī)數(shù)到客戶端；客戶端通過(guò)Active X控件對(duì)隨機(jī)數(shù)進(jìn)行簽證有效性驗(yàn)證；證書認(rèn)證服務(wù)器調(diào)用LDAP服務(wù)來(lái)驗(yàn)證證書有效性；LDAP返回證書有效性結(jié)果；證書有效后調(diào)用密碼設(shè)備對(duì)隨機(jī)數(shù)進(jìn)行驗(yàn)簽；將驗(yàn)簽結(jié)果返回給認(rèn)證服務(wù)器；返回認(rèn)證是否成功的結(jié)果給AM；AM完成認(rèn)證，用戶進(jìn)入業(yè)務(wù)系統(tǒng)，服務(wù)器采集客戶端信息。

審計(jì)管理主要對(duì)目錄服務(wù)、身份管理、認(rèn)證系統(tǒng)運(yùn)行過(guò)程的健康狀態(tài)進(jìn)行監(jiān)控，支持對(duì)用戶到業(yè)務(wù)系統(tǒng)的訪問(wèn)行為跟蹤、用戶信息變動(dòng)、賬號(hào)開通、禁用等用戶日常維護(hù)行為的審計(jì)、查詢及統(tǒng)計(jì)。

3　應(yīng)用效果

通過(guò)改造目錄審計(jì)服務(wù)系統(tǒng)密碼存取傳輸機(jī)制，利用MD5、SHA等方式實(shí)現(xiàn)帳號(hào)密碼的加密存儲(chǔ)，對(duì)目錄服務(wù)系統(tǒng)與集成系統(tǒng)的密碼驗(yàn)證及密碼存儲(chǔ)功能模塊進(jìn)行改造，有效防止發(fā)生因帳號(hào)密碼泄露而導(dǎo)致的信息泄密事件。同時(shí)對(duì)目錄服務(wù)系統(tǒng)的用戶登錄源地址采集、審計(jì)功能進(jìn)行研發(fā)，實(shí)現(xiàn)了對(duì)關(guān)鍵帳號(hào)異常登錄行為的分析及系統(tǒng)帳號(hào)權(quán)限分配操作的深度審計(jì)，滿足了公司對(duì)帳號(hào)安全的管理要求。根據(jù)用戶賬號(hào)即可審計(jì)到用戶登錄的業(yè)務(wù)系統(tǒng)、登錄的IP地址及登錄時(shí)間。

4　結(jié)束語(yǔ)

通過(guò)開發(fā)目錄審計(jì)服務(wù)系統(tǒng)密碼存取傳輸機(jī)制，對(duì)目錄服務(wù)系統(tǒng)與集成系統(tǒng)的密碼驗(yàn)證及密碼存儲(chǔ)功能模塊進(jìn)行改造，通過(guò)MD5、SHA等方式實(shí)現(xiàn)帳號(hào)密碼的加密存儲(chǔ)，防止發(fā)生因帳號(hào)密碼泄露而導(dǎo)致的信息泄密事件。同時(shí)對(duì)目錄服務(wù)系統(tǒng)的審計(jì)功能、用戶登錄源地址采集功能進(jìn)行研發(fā)，實(shí)現(xiàn)了對(duì)帳號(hào)操作的深度審計(jì)，從而有效的監(jiān)督賬號(hào)登陸等重要操作，進(jìn)一步提高信息化建設(shè)的規(guī)范性。

該系統(tǒng)對(duì)密碼傳輸安全、密碼使用安全、用戶訪問(wèn)可追溯、用戶訪問(wèn)可審計(jì)等功能進(jìn)行完善提升建設(shè)，提升了目錄服務(wù)系統(tǒng)的安全性及系統(tǒng)的審計(jì)分析和風(fēng)險(xiǎn)識(shí)別能力，提升了國(guó)網(wǎng)河北省電力公司信息系統(tǒng)運(yùn)維管理水平。

［1］ 溫 超.基于Novell認(rèn)證系統(tǒng)CA集成的設(shè)計(jì)與實(shí)現(xiàn)［J］.信息安全與容災(zāi)，2009：189-192.

［2］ 羅健文.Novell網(wǎng)絡(luò)的規(guī)劃與安裝［J］.廣東廣播電視大學(xué)學(xué)報(bào)，1999，8（3）：22-28.

本文責(zé)任編輯：羅曉曉

Analysis on Audit Function and Password Security Transport Based on Novell Directory System

Yang Nan1，Gao Lifang1，Yang Chao2，Li Ningbo1，Lian Yangyang1
（1.State Grid HeBei Information&Telcommication Branch，Shijiazhuang 050021，China；2.State Grid HeBei Electric Power Company，Shijiazhuang 050021，China）

Aiming at the problems of directory service system of State Grid Hebei Electric Power Corporation，this paper proposes reformation project of code transmission and audit module，analyses security audit monitoring ability of user account of Directory System aimed at the problems of password security and security audit management，realizes user source address traced and access behavior recorded by using technologies of MD5 encrypted storage and transmission，increasing Directory front-end audit agency，optimizing configuration of F5 load balance，promotes operation and maintenance management level of Directory System.

directory service system；security；audit

TP391

B

1001-9898（2016）02-0040-03

2016-01-06

楊 楠（1986-），女，工程師，主要從事一體化平臺(tái)支撐類系統(tǒng)運(yùn)行維護(hù)工作。