1.1 产品简介
随着企业内网建设的不断完善,企业对各种文件服务器的需求越来越大,这些服务器为不同的用户提供文件共享服务,其中不乏有些机密数据文件,如各种工程、建筑、机械设备的图纸或程序源码等,这些文件和目录以开放的形式共享在网络中,供不同的用户使用。但随着时间的推移,管理员的变更,对于数量众多、类型各异、访问权限不同的各种文件和目录,单凭管理员的记录和维护难免会造成一些疏漏。并且企业对服务器上数据的安全性提出了更高的要求。原有的管理和技术手段已无法做到对共享文件的有效保护,主要存在以下几方面的问题:
1) 对存在于网络中的用户访问文件共享服务器时没有进行有效的身份认证,对数据安全性造成了隐患。
2) 生产过程中使用的软硬件产品并没有针对使用者身份进行权限控制的功能,极易造成研发成果被盗用、数据被恶意篡改等等,严重影响正常的生产活动。
3) 一旦发现数据资料被窃取,由于没有相关的日志文件供检索,无法追根溯源找到事故责任人,导致企业管理者在处理此类事件时束手无策。
如何管理这些资料?如何保证这些资料将被允许访问的用户访问?文件共享访问控制网关正是为了帮助用户处理“哪些人可以访问哪些网络文件共享服务器,并拥有什么样的文件操作权限”而设计的。认证访问控制墙系统可以将内网环境中的文件共享服务器,甚至是共享文件目录乃至单个共享文件,作为“受限”资源进行保护。之后,这些受限制的服务器将在系统的“监视”下,被经过认证并授权的合法用户访问。
文件共享访问控制网关基于“域访问控制”和“SMB/CIFS文件共享协议”的技术,对受控服务器上的共享文件进行细粒度访问控制。对于数量众多的文件共享服务器,管理员只需要在系统中,通过简单、方便的配置,便可对共享文件和目录进行精细的访问控制。
1.2 产品功能介绍
文件共享访问控制网关支持结合微软AD域和包过滤两种方式对共享文件进行权限访问控制,以满足不同应用环境的需求。不仅为用户提供更多的技术选择,更为用户提供使用习惯上的不同体验。
1.2.1 结合微软AD域进行文件访问控制
依靠Windows系统自带的文件访问权限机制,与文件共享访问控制网关集成,从而提升了基于微软AD域文件访问控制方式的易用性。网关支持对多个Windows域、多台共享主机进行授权管理。网关本身并不存储权限策略,而是通过修改文件夹的“安全”属性将权限同步到文件共享主机,对于加入了Windows域环境的主机,当用户访问共享时, 文件共享主机会检索“安全”列表中的用户或组的权限设定,确保用户对文件夹的操作在许可范围之内。
使用此方法可以在较低成本下达到文件共享的权限控制,提供了插件功能进行域共享的权限控制,并对共享文件的授权管理日志都进行了记录,为必要时进行日志审计提供了依据。
结合微软AD域进行文件访问控制这种技术手段,采用插件方式与文件共享访问控制网关相结合,基于Windows域控标准,在文件共享访问控制网关的部署方式上要求是最低的,可以说只要文件共享访问控制网关可以访问域控制器和文件共享服务器,管理员就可以在文件共享访问控制网关上对共享文件进行基于域的用户授权。其特点如下:
1.2.1.1. 便捷的部署模式
文件共享访问控制网关以网桥和旁路两种部署模式下都可正常使用此功能,甚至,不论文件共享访问控制网关以何种模式部署,只要它能访问到域控制器、文件共享服务器,并且能被管理员访问,那么,它便可正常工作。
1.2.1.2. 方便的用户授权
文件共享访问控制网关可以获取指定主机的共享文件目录及文件,管理员可以在文件共享访问控制网关上,直接查看到需要授权的共享目录和文件,并直接对该目录和文件进行授权。
1.2.1.3. 部署模式
在结合微软AD域进行文件访问控制时,文件共享访问控制网关的部署非常简单,可以使用透明网桥的形式进行部署,也可以旁路的形式进行部署。
1.2.2 结合包过滤网关进行文件访问控制
Windows文件共享是基于SMB/CIFS协议的,在此协议中包含了用户访问共享文件的基本信息。通过截获访问共享文件的网络数据包,分析用户正在访问的文件地址,与事先设定的权限列表进行比对,只有当用户的当前操作是经过允许时才能正常访问共享文件;反之,此数据包将被丢弃,用户的操作会终止。
基于数据包检测的网关方式技术难度更高,相应的对文件权限的控制程度更高,能够满足安全产品中管理、安全、审计等要求。
文件共享访问控制网关可以采用协议分析过滤网络数据包的方法实现的共享访问控制,文件共享访问控制网关部署在共享主机之前,以监管者的身份监听用户访问共享文件的整个会话过程,一旦发现用户有越权访问的行为,即会在网络层阻止用户对目标主机的访问,同时用户端将会提示“无权访问”消息。
文件共享访问控制网关将共享文件的访问权限存储于自身数据库中。权限类型分为:只读、读写、(读写、重命名)和(读写、重命名、删除)四种。
只读:列出文件/子目录、读取文件属性
读写:列出文件/子目录、读取文件属性、复制文件、写入数据、写入属性、新建子文件
重命名:重命名文件或文件夹
删除:删除文件或文件夹
用户端在访问共享主机时需要经过文件共享访问控制网关认证(支持用户名密码、证书、密钥等方式)后方能访问共享内容,对于没有权限的文件和文件夹将被文件共享访问控制网关过滤。
基于数据包抓取的文件共享访问控制,需要在部署时,将网关部署到用户与文件共享服务器之间,当用户通过网关访问文件共享服务器时,网关将根据用户的登录信息以及所访问路径进行访问控制、权限分析、日志记录等访问控制操作。其主要特点如下:
1.2.2.1. 详尽的日志记录
用户通过文件共享服务器访问共享文件时,网关将记录“谁在什么时候以什么IP地址访问了那个共享目录或文件”等相关信息,并记录这个用户对文件进行了何种操作,如:新建文件\文件夹、读、写、重命名、删除。
1.2.2.2. 方便的用户授权
网关可以获取指定主机的共享文件目录及文件,管理员可以在网关上,直接查看到需要授权的共享目录和文件,并直接对该目录和文件进行授权。
1.2.2.3. 更可靠地安全保障
由于在网桥部署模式下,用户本身不能访问到文件共享服务器,而是必须在通过网关认证后,通过网关进行文件共享代理访问,在这种情况下,可以最大限度的保证共享文件的授权不会被以任何形式进行暴力破解和修改,从而为共享文件提供更安全的授权访问控制。
更独立的存在:网关进行文件共享访问控制本身不依赖Windows域。
1.2.2.4. 部署模式
在使用文件共享进行文件访问控制时,由于包过滤的技术机制,必须采用透明网桥形式部署。
1.3 产品规格与功能
产品功能 | 文件共享访问控制网关(域安全) | 文件共享访问控制网关(协议安全) | 文件共享访问控制网关(综合版) |
域信息管理,用户、用户组导入 | √ | √ | √ |
网关安全配置 | √ | √ | √ |
用户身份认证 | √ | √ | √ |
基于角色授权模式 | √ | √ | √ |
系统资源监控 | √ | √ | √ |
管理员三员模式 | √ | √ | √ |
域共享服务器管理 | √ | ¡ | √ |
域共享服务器授权 | √ | ¡ | √ |
域共享服务器目录保护 | √ | ¡ | √ |
文件共享服务器接入 | ¡ | √ | √ |
文件共享服务器授权 | ¡ | √ | √ |
管理员授权日志 | √ | √ | √ |
用户访问日志 | ¡ | √ | √ |
部署模式(旁路) | √ | ¡ | √ |
部署模式(主路) | √ | √ | √ |
1.4 成功案例
中国免税品(集团)有限责任公司
中免集团是唯一经国务院批准,按照国家赋予的“四统一”管理政策,在全国范围内开展免税业务的国有专营公司,现已成为中国免税行业的代表和旗舰企业。
中免集团对业务数据安全有着较高要求,为此,时代亿信采用文件共享访问控制网关产品为中免集团建立了一套基于协议包过滤的文件共享统一接入系统,在保证文件可以安全、方便地被访问的基础上,对用户访问行为进行验证和日志记录,形成了围绕业务数据安全的访问控制体系,避免了对业务数据的主、被动泄密,增强了核心业务数据的安全性。