文件共享访问控制网关技术白皮书.docVIP

文件共享访问控制网关 技术白皮书 北京时代亿信科技有限公司 目 录 1. 产品概述 1 2. 微软文件共享实现方式 2 2.1 Windows本地账户策略式文件共享方式 2 2.2 基于Windows域进行文件共享方式 2 3. 文件共享访问控制网关实现方式 3 3.1 产品如何实现访问控制 4 3.2 产品能够进行何种控制 5 3.3 产品如何进行访问控制 7 3.3.1 建立角色集中授权 7 3.3.2 细粒度权限分别授权 8 3.4 产品如何进行部署 8 3.4.1 旁路模式 8 3.4.2 网桥模式 9 3.5 产品如何对操作进行审计 10 4. 产品功能模块 11 4.1 Web管理系统 11 4.2 用户认证模块 11 4.3 权限控制模块 12 4.4 文件共享访问控制模块 12 4.4.1 访问控制网关方式对共享文件进行访问控制 13 4.4.2 访问控制网关结合微软AD域进行文件共享访问控制 14 4.5 日志审计模块 15 5. 产品资质 16 6. 成功案例 17 产品概述 在日常的办公应用中，特别是需要多人协作的场景下，为了使用的方便和提高工作效率，常常需要架设专门的文件服务器来满足工作的需要，所有的数据资料都集中存储在这样的服务器中。随着企业的迅速发展，重要文件、研发成果、项目资料等越来越多，对服务器上数据的安全性提出了更高的要求。原有的管理和技术手段已无法做到对共享文件的有效保护，主要存在以下几方面的问题： 对文件共享服务器没有进行有效的身份认证，存在于网络中的用户，不管是不是项目参与人都可访问服务器，对数据安全性造成了隐患； 生产过程中使用的软硬件产品并没有针对使用者身份进行权限控制的功能，极易造成研发成果被盗用、数据被恶意篡改等等，严重影响正常的生产； 一旦发现数据资料被窃取，由于没有相关的日志文件供检索，无法追根溯源找到事故责任人，导致企业管理者在处理此类事件时束手无策。 为了企业的健康发展，更好的维护自身权益，一方面要增强管理制度，加强安全意识，保护知识产权；另一方面要借助优秀的第三方产品来达到对共享主机的身份认证和访问控制。 时代亿信为帮助企业解决文件共享主机存在的安全风险，提供了良好的解决方案，研发了“认证墙”系列之“UAP访问控制应用安全平台产品——文件共享访问控制网关”。该产品针对现有Windows文件共享访问控制方法的不足，不仅实现了访问控制的需求，同时还脱离了NTFS格式文件系统的依赖，并能够针对用户进行灵活身份认证、细粒度授权和访问行为的审计需求。 该产品严格按照相关保密要求，做到了三权分离，分别是：系统管理员负责自身系统的相关配置和用户日志的审计；安全管理员负责用户的增、删、改操作及对用户身份认证方式的设置和访问授权；审计管理员负责对其他管理员的日志审计。 微软文件共享实现方式 Windows本地账户策略式文件共享方式 在Windows服务器上设置共享文件夹，文件系统类型必须为NTFS格式，针对不同文件分别设置用户的权限。当用户访问时，输入Windows本地账号，验证通过后可以按照设定好的权限进行访问控制。 基于Windows域进行文件 以上两种文件共享访问控制方法可以在较低成本下达到文件共享的访问控制目的，但对于权限的更改没有任何日志可查，文件的共享访问记录也无法做到全面审计，在安全形势日益严峻的环境下无法真正满足大多数企业的需要。 文件共享访问控制网关实现方式 如果一种安全产品可以满足集管理、安全、审计等要求于一体；对文件权限的控制程度可靠，真正做到文件共享的访问控制。那么，必须解决以下三个方面的问题： 实现对文件访问者身份的识别。摒弃Windows操作系统账号结合太紧密，不灵活的方式； 实现对文件访问者权限的控制，包括目录的访问范围，以及对特定子文件的访问权限。杜绝Windows操作系统过分依赖NTFS协议，授权繁琐的现象； 记录用户的访问行为日志，便于日后审计，做到有据可查，追根溯源。 产品如何实现访问控制 要实现通过文件共享访问控制网关对共享文件进行访问控制的技术，关键是要实现CIFS协议，使访问控制网关可以在用户与文件共享服务器之间交互。 CIFS协议定义了许多客户端和服务器端的命令和消息。这些命令和消息大致可分为如下几类： 建立连接消息：包括开始或结束客户端到服务器端共享资源的重定向连接命令； 命名空间和文件处理消息：重定向器利用此消息获得对服务器上文件的访问权限，并对其进行相关操作； 打印消息：重定向器利用此消息向服务器上的打印队列发送数据，并获得打印队列的状态信息； 其它消息：重定向器利用该消息向邮槽和命名管道写入相关信息。 访问控制网关需要同时利用客户端及服务器端消息与客户端及文件共享服务器进行通信。 当访问控制网关和共享服务器通信时，其使用CI