上海東方CJ內(nèi)控管理、內(nèi)網(wǎng)監(jiān)控及數(shù)據(jù)庫審計平臺技術(shù)解決方案上海絡(luò)安信息技術(shù)有限公司2012年02月版權(quán)聲明叢上海絡(luò)安信稀息技術(shù)有限狼公司袖是一家提供閥全面網(wǎng)絡(luò)安迅全解決方案董的咨詢與服洽務(wù)為主的高腥科技企業(yè)，盯為中國廣大愧的行業(yè)用戶惡提供具有國管際標準（如菠ISO17螞799、I槍SO154絮08購、寇BS779坑9等）的網(wǎng)滴絡(luò)安全全面俊解決方案及銹咨詢服務(wù)，濫并向客戶提做供全面安全惠解決方案中跳所需的各項雖安全工具，輪及提供安全病解決方案管鈔理所需的管駛理決策平臺保、安全咨詢傳、教育培訓(xùn)強以及卓越的雕售后服務(wù)。冬上海絡(luò)安信墾息技術(shù)有限出公司保留此寒文檔的所有有電子、紙張羅類文件資料傍和相關(guān)軟件例等的所有版萄權(quán)。任何單次位和個人未開經(jīng)許可不得肺復(fù)制、轉(zhuǎn)載副或用于任何香商業(yè)目的，伍上海絡(luò)安信解息技術(shù)有限竄公司保留追膀究法律責(zé)任槽的權(quán)利。肉文檔修改日促志醫(yī)日期惹修改理由毒修改章節(jié)順版本毅20批1曉2療.0繭2饒.蒙0斑7惰原始版本輝1.0目錄情第一章曠轎項目綜述遭愧堡壘主機棉對各種字符幅終端和圖形蹈終端使用的毅協(xié)議進行代政理，實現(xiàn)多唇平臺的操作河支持和審計讓，例如Te承l(wèi)net、理SSH、F踩TP、Wi頃ndows另平臺的RD固P遠程桌面故協(xié)議，Li章nux/U幕nix平臺劣的XWi司ndow圖劫形終端訪問變協(xié)議等。鉤當(dāng)運維機通驚過堡壘主機爬訪問服務(wù)器碎時，首先由坊堡壘主機模前擬成遠程訪趣問的服務(wù)端飲，接受運維士機的連接和略通訊，并對請其進行協(xié)議姥的還原、解貿(mào)析、記錄，盈最終獲得運慚維機的操作禾行為，之后最堡壘主機模琴擬運維機與園真正的目標幫服務(wù)器建立皇通訊并轉(zhuǎn)發(fā)襖運維機發(fā)送隔的指令信息帥，從而實現(xiàn)滅對各種維護歌協(xié)議的代理前轉(zhuǎn)發(fā)過程。涉在通訊過程營中，堡壘主貫機會記錄各六種指令信息扔，并根據(jù)策蜻略對通信過呼程進行控制俱，如發(fā)現(xiàn)違娘規(guī)操作，則尿不進行代理代轉(zhuǎn)發(fā)，并由場堡壘主機反結(jié)饋禁止執(zhí)行憐的回顯提示亦。諒產(chǎn)品功能介今紹系統(tǒng)架構(gòu)衫LanSe終cS（堡壘歐主機）內(nèi)控淺管理平臺采乖用層次化、緞模塊化的設(shè)幻計，產(chǎn)品整籮體分為認證技層、操作層社、權(quán)限層、帖審計層、核青心層。系統(tǒng)磨從可擴展性驗、高性能、守系統(tǒng)的松耦妖合性、安全單性等角度進咱行了充分的踐考慮，為安紛全信息系統(tǒng)厭的管理提供訊了一個商業(yè)孩級、智能化聚的訪問管理版平臺。露總體結(jié)構(gòu)圖啄如下所示：功能描述借LanSe糖cS（堡壘助主機）內(nèi)控魂管理平臺模睬塊分為：用超戶管理、認南證管理、授認權(quán)管理和集印中審計四大襲部分，功能違結(jié)構(gòu)如下圖檢所示：丙笨統(tǒng)一資源管呀理壇LanSe志cS（堡壘在主機）內(nèi)控運管理平臺實匙現(xiàn)了對自然角人的生命周閃期管理和授紛權(quán)管理，圍降繞這人員入菜職、換崗、式離職等一系撈列周期過程懂進行從帳號尾的推拉、登階記訪問流程陜的審批、角然色授權(quán)、訪殺問控制策略起等一整套安蓄全控制措施壞的管理，以潛及提供可大緊大減輕管理篩員工作量的炒用戶自服務(wù)傭功能。寸LanSe示cS（堡壘氧主機）內(nèi)控哀管理平臺提熔供用戶分組亮管理的功能轉(zhuǎn)，所有的帳博號策略、授彈權(quán)策略、訪憑問控制策略域等均可通過諷組的方式來綁進行批量的蛙設(shè)定，同時積也可以對單歉個用戶進行講精細的策略沈授權(quán)。用戶擴分組的層次間可按需要任謹意設(shè)計多級鴉子組，并且私每個組均可貍以設(shè)置單獨龜?shù)墓芾韱T進澆行組內(nèi)管理離。這可以在溉安全的控制雁范圍內(nèi)，提粘供各業(yè)務(wù)系循統(tǒng)或子單位候進行內(nèi)部帳騾號自管理的當(dāng)能力，并且診大幅提高帳存號管理的效集率和響應(yīng)速納度，也能夠材大大減輕網(wǎng)六絡(luò)運維人員貿(mào)的管理維護拴工作量。慢LanSe慘cS（堡壘核主機）內(nèi)控保管理平臺提施供流程引擎鍵，滿足帳號絲申請、審批縮、分配、通膀知等流程管嚴理制度的需覺要，并且能漸夠與BMC糊Reme鬼dy、HP慢OSD、朵CAHe戀lpDes余k等主流電閥子運維流程探進行無縫集睡成，便于企俗業(yè)建立統(tǒng)一艙的安全運維猾管理。釘LanSe朋cS（堡壘后主機）內(nèi)控歐管理平臺提怖供角色授權(quán)很與訪問控制襯等一系列策般略管理功能悅，滿足企業(yè)旦對人員訪問砍安全的各種諷需求，能夠夫?qū)崿F(xiàn)對人員謎、時間、地斃點、被訪資老源、操作、卸頻率次數(shù)等馬的授權(quán)、訪繳問控制和審掙計能力。用戶管理威LanSe冷cS（堡壘揉主機）內(nèi)控螞管理平臺，關(guān)用于存儲內(nèi)熱部的所有管獄理信息，包敬括所管理的俊設(shè)備、系統(tǒng)睜，各設(shè)備、陜系統(tǒng)下的所繪有從賬號，暗從賬號與主殲賬號的對應(yīng)逃關(guān)系等。在穿賬號管理數(shù)脫據(jù)庫中可以廢不存儲個人翻信息，而是栗在需要的時式候通過外部嚴數(shù)據(jù)接口訪廣問企業(yè)安全沿目錄，獲取交個人信息。初根據(jù)系統(tǒng)資易源的管理實恩現(xiàn)自然人，派集中賬號管和理系統(tǒng)角色紫，及設(shè)備帳薯號三者之間牛關(guān)聯(lián)；用戶緒權(quán)限的模型貸應(yīng)遵從業(yè)界防基于角色的英權(quán)限控制(壯RBAC)臨模型，實現(xiàn)透用戶－角色類－權(quán)限－資阻源的權(quán)限模起型。痛用戶管理包蹄含對所有系膨統(tǒng)子系統(tǒng)等泡的賬號的集銅中管理，以廊及整個系統(tǒng)服中各種資源喝的集中管理質(zhì)。賬號和資什源的集中管各理是集中授制權(quán)、認證和體訪問控制的棍基礎(chǔ)。集輕中用戶管理灶可以完成對退用戶整個生提命周期的監(jiān)癢控和管理，漿而且還降低輔了企業(yè)管理古大量用戶賬稀號的難度和潤工作量。同撈時，通過統(tǒng)撇一的管理還喂能夠發(fā)現(xiàn)帳蹦號中存在的未安全隱患，棕并且制定統(tǒng)窩一的、標準墨的用戶帳號浙安全策略。番通過建立集元中用戶管理辰，企業(yè)還可炕以實現(xiàn)將賬辦號與具體的姑自然人相關(guān)肥聯(lián)。通過這繡種關(guān)聯(lián)，可鉛以實現(xiàn)多級結(jié)的用戶管理筒和細粒度的洽用戶授權(quán)。來而且，還可惑以實現(xiàn)針對倍自然人的行拆為審計，以鞏滿足合規(guī)審關(guān)計的需要。都灰用戶生命周吩期管理腐用戶生命周介期管理是指琴對用戶從產(chǎn)吃生到刪除各波存在狀態(tài)進獄行管理。包哀括助統(tǒng)一的用戶惰創(chuàng)建、維護繼、刪除等功伐能。統(tǒng)一的陰用戶審批管扒理流程(添唉加、修改、佛禁用、啟用泊、刪除)。蜓制定人員兼棚職、調(diào)動、灶離職的管理午機制。襲生命周期管薯理功能項：貸用戶信息導(dǎo)隱入脫用戶管理子速系統(tǒng)能夠從基用戶人事管倆理系統(tǒng)中通霜過定制接口斷或文件的形櫻式導(dǎo)入人員浩信息；財手動添加用愧戶信息敲具有相關(guān)管默理權(quán)限的用欣戶可以手動艇添加用戶信恢息；用戶管寒理子系統(tǒng)還吊可冠以通過定制關(guān)開發(fā)的接口眉，將新加的霸用戶信息同革步到相關(guān)人詠事管理系統(tǒng)婆中；就用戶信息修醬改唉具有相關(guān)管紅理權(quán)限的用紀戶可以對用引戶信息進行路修改；前用戶信息自杰維護獅用戶可以通捎過用戶管理俱子系統(tǒng)對自養(yǎng)己信息進行柏維護，同時吊，系統(tǒng)會自溝動霸將修改發(fā)布橡到相關(guān)系統(tǒng)埋或管理員；用戶入職述系統(tǒng)能夠根塊據(jù)用戶工作士職能，權(quán)限節(jié)等，按照預(yù)肺定義的相關(guān)坡入職策略，暖創(chuàng)建用戶信弱息，以及為稈用戶建立相臂關(guān)賬號；修用戶職責(zé)變紗更漿系統(tǒng)能夠根施據(jù)用戶工作爛職能，權(quán)限筑變換等，按剝照預(yù)定義的斥相關(guān)職責(zé)策陽略，修改用越戶相關(guān)賬號立；用戶離職蛾系統(tǒng)能夠根肆據(jù)離職策略色，處理遺留紡在系統(tǒng)中的草用戶信息，裳以及對用戶陪的相關(guān)賬號吹執(zhí)行相關(guān)操紐作處理，例鵝如，刪除等遞。除月主賬號管理題主賬號與自墳然人（相關(guān)名用戶及用戶迅信息）對應(yīng)扮系統(tǒng)中每個露主賬號只與所一個自然人戲?qū)?yīng)，而一夸個自然人可陶以具備多個既主賬號；從主賬號的基輩本管理濱相關(guān)權(quán)限管迷理員可以對坡主賬號進行菊增刪改查；幣詳細功能描戚述浴這個功能體息現(xiàn)了統(tǒng)一身咐份及訪問管繪理系統(tǒng)用戶臥的管理，即購主用戶的管參理：晝用戶按樹甚形劃分（劃駛分方式以管鑰理員的理解倉進行，例如蘿按部門，業(yè)倡務(wù)，地域等牽）；要樹的每甩個節(jié)點，作鵝為一個管理岔單元，包含終若干用戶，脹也有各種策勤略屬性（如伴登錄失敗控第制策略、登愚錄時間策略無以及資源訪埋問策略）；狠每個節(jié)點，哀可以指定其麥下的一個或煎多個用戶為蘋管理員，管禁理員對這個秘節(jié)點，節(jié)點攜下的子節(jié)點江，以及節(jié)點候和子節(jié)點下游的用戶進行年管理，如增迎刪改用戶，惑增刪改子節(jié)擴點，為用戶嚴或節(jié)點設(shè)置翁策略；便管理員只能雨對自己管理逼的節(jié)點下子貿(mào)節(jié)點進行操英作。賬號管理五從帳號進行仿分類定義并佛做為資源從慣帳號的屬性術(shù)，包括孤立瘦帳號、交叉幣帳號和等，州并且賦予了貫一些基本的州管理功能。浮羅列主要的阻資源從帳號寺屬性如下：睛孤立帳號：遞任何被管資物源上的從帳膚號如果在沒及有被分配給注自然人帳號袋的情況下，嶺則標記為孤普立帳號，并桌能夠向管理枝員產(chǎn)生報告揉以便及時發(fā)群現(xiàn)非法帳號段或濫用帳號醫(yī)的存在；壓共享帳號：循被做為角色必并且分配給壓了多個自然幼人的資源從納帳號，則標診記為共享帳漫號，并提供顆帳號報告；合直屬帳號：慮唯一對應(yīng)且榆僅僅從屬于棍單一自然人釘?shù)馁Y源從帳挨號，則標記遞為直屬帳號偶，并提供帳仗號報告；王薪用戶角色管齡理捧集中賬號管促理系統(tǒng)實現(xiàn)赤基于用戶角學(xué)色的用戶管祝理體系，將端自然人與相記關(guān)角色和系別統(tǒng)資源進行撤統(tǒng)一的管理借，便于對用教戶、角色的攪授權(quán)和制定能對資源的訪樸問控制策略韻：通過集中介賬號管理系踏統(tǒng)創(chuàng)建、撤胡消角色；通百過集中賬號丸管理系統(tǒng)分雜配角色權(quán)限洋，包括角色正能夠訪問哪喝些應(yīng)用，能旁夠在應(yīng)用中數(shù)以什么樣的炊方式訪問哪在些資源。角急色通常與職字權(quán)、職位以慶及分擔(dān)的權(quán)綁利和責(zé)任有鐵關(guān)。賬號同步歐集中賬號管褲理系統(tǒng)能夠籃自動發(fā)現(xiàn)主圾機、網(wǎng)絡(luò)設(shè)站備、數(shù)據(jù)庫注上的已有賬濤號。系統(tǒng)可呈以定期手動法觸發(fā)或自動皮搜索所有被消管理的系統(tǒng)懷，從中發(fā)現(xiàn)缸、收集所有算新創(chuàng)建的賬野號。系統(tǒng)還霸可以通過帳賊號推送機制動，通過集中動帳號管理系彼統(tǒng)在被管系玩統(tǒng)中創(chuàng)建新緣的帳號?？婕袔ぬ柟軕嵗硐到y(tǒng)還可枝以通過同步禍機制，與用聾戶現(xiàn)有的用拆戶管理系統(tǒng)蒜，例如、域捕用戶系統(tǒng)等株用戶管理系芳統(tǒng)實現(xiàn)帳號軟的同步。臨制定人員信無息導(dǎo)入的機傭制(吳可以駱與HR系統(tǒng)暗的集成)渡。今系統(tǒng)通過客怎戶端（賬號藥同步驅(qū)動、技程序或接口州）、遷telne學(xué)t瀉、監(jiān)ftp螞方式獲得各陡種主機，網(wǎng)致絡(luò)設(shè)備、安誕全設(shè)備、數(shù)叮據(jù)庫和業(yè)務(wù)授系統(tǒng)賬號信銷息以及賬號平所對應(yīng)的權(quán)塑限。其中主客機包括各版由本的兵Windo史ws啦、UNIX伶、Linu熱x等操作系麗統(tǒng)，網(wǎng)絡(luò)設(shè)邀備包括Ci奔sco、華遣為等交換路綁由設(shè)備，安敘全系統(tǒng)包括螞各種防火墻律，防病毒和惰入侵檢測系聞統(tǒng)等，S瓜QLSER握VER、O死racle判、DB2、零Infor隙mix等主溫流數(shù)據(jù)庫的膝賬號，用戶夜各種業(yè)務(wù)系判統(tǒng)如MIS驚C、SAP刷等系統(tǒng)賬號糧。政相關(guān)權(quán)限管瀉理員可以在額通過用戶管玉理系統(tǒng)為用服戶創(chuàng)建相關(guān)垃角色，以及琴創(chuàng)建角色賬挽號和為賬號鑼設(shè)置相應(yīng)權(quán)黃限，由系統(tǒng)無通過客戶端名（賬號同步池驅(qū)動、程序酸或接口）、印telne稻t惹、員ftp投方式推送到奧相關(guān)資源、叉系統(tǒng)中。箭客戶端支持支AD、RD膊B、LD碧AP等用戶視存儲方式。番疑賬號策略管皆理栗帳號策略管隔理提供了豐君富的自動化兼帳號管理功勢能，能夠根近據(jù)帳號類型否和相應(yīng)的管牛理策略滿足壩用戶多樣的鍋管理需求。販這些管理需勻求包括：踐自動發(fā)現(xiàn)和曾自動監(jiān)測：酒滿足用戶對渴各IT資源敏上的帳號監(jiān)暫控需求，周逆期性的采集錄、同步和監(jiān)材測被管資源仿上的帳號。搭主從帳號一獸致性：滿足干用戶對授權(quán)侮資源內(nèi)的自杰然人帳號的謠統(tǒng)一與同步冒需求，保證折在授權(quán)資源剩范圍內(nèi)對每奪個自然人帳冊號維持一套后獨有的、一適致性的資源傲從帳號。此志功能不同于牢角色管理模撇式，在角色蚊管理模式下圓，多個自然申人可能共享骨同一套資源吸從帳號。樂特殊帳號一巧致性推拉：居滿足用戶對具特定用戶、咳特定資源范屈圍內(nèi)的應(yīng)用互系統(tǒng)帳號的味快速推廣需癥求，滿足其終他IT管理頁系統(tǒng)對企業(yè)拐IT資源的赤自動化監(jiān)管釘需求。例如驟，網(wǎng)管系統(tǒng)床的自動巡檢槳模塊需要根園據(jù)網(wǎng)管系統(tǒng)麗的值班帳號鄭來采集主機鋼、網(wǎng)絡(luò)設(shè)備污或系統(tǒng)等的床配置、性能舒等狀態(tài)數(shù)據(jù)老。作動態(tài)密碼計凱劃：滿足對乳被管資源從計帳號的安全糞保護需求，年對資源從帳便號進行周期歇性的高強度表密碼變更，紛維護賬號的租安全性。寫帳號處理策躲略：滿足對藍各種帳號類鹽型的處理需穗求，將帳號騰劃分為交叉屆帳號、共享寶帳號、孤立坡帳號等：冶交叉帳號：拔交叉帳號是慰被其他系統(tǒng)光內(nèi)部使用的虛帳號，它的沸密碼不能隨或意改變。因煤此這類帳號殊不能進入密鋸碼計劃；夾共享賬號：侍在內(nèi)部被授顆予多個用戶代使用的帳號跳，這個賬號仙的刪除不能拒隨一個賬號放的刪除而刪博除；遮孤護立帳號：在它內(nèi)部未被授跨權(quán)的用戶，蹤這類賬號會渴一告警的方階式被告知管價理源揚；資源管理憐這個功能體習(xí)現(xiàn)了統(tǒng)一身址份及訪問管稻理系統(tǒng)接入染資源的管理貸，即主機，聚網(wǎng)絡(luò)設(shè)備，毒網(wǎng)元，應(yīng)用貞的管理。斃資源與主賬市號（用戶）率的對應(yīng)系統(tǒng)獻相關(guān)管理員個可以指定主噴賬號的資源厚的訪問權(quán)限邀；售資源按樹形奸劃分（劃分正方式以管理喂員的理解進誦行，例如按拉部門，業(yè)務(wù)發(fā)，地域等）楚；蜜樹的每個節(jié)緒點，作為一教個管理單元趟，包含若干綢資源；廁每個節(jié)點，碧可以指定一撕個或多個用桑戶為管理員攤，管理員對路這個節(jié)點，財節(jié)點下的子賴節(jié)點，以及狂節(jié)點和子節(jié)稈點下的資源錘進行管理，闊如增刪改子技節(jié)點，增刪螞改資源，對妙資源賬號進耍行同步等。密碼策略潔實現(xiàn)集中的義密碼管理，擱并按照密碼葛策略的要求移，自動、集委中、定期修事改系統(tǒng)賬號貧的口令，對煌口令強度和覆周期實行統(tǒng)亡一的管理。呢實現(xiàn)集中刪毫除一個自然要人的所有或遲者部分系統(tǒng)對賬號。兼系統(tǒng)按照S依OX要求設(shè)完置了嚴格的老用戶帳號安掃全策略，并萄且可以根據(jù)甚需要自行配楚置，策略包嚷括密碼強度拘、生存周期麻等，可以根勤據(jù)需要自動切定時對從帳跑號口令進行表修改，并且伍能夠?qū)⒔Y(jié)果狠自動同步到啞所有被管理但系統(tǒng)中去。聲密碼制定策瓶略來用戶必須按仔照規(guī)定涉及竿相關(guān)主、從浪賬號密碼（狡長度、字符鐘等），系統(tǒng)痛還提供多種框密碼制定策環(huán)略，滿足不茶同系統(tǒng)對密莫碼安全的需犬要；歡可以設(shè)定最監(jiān)小和最大口歐令長度犬可以設(shè)定最慘小和最大字終符數(shù)目喚可以設(shè)定最妥小和最大數(shù)拔字數(shù)目已可以設(shè)定最牛小和最大標露點符號數(shù)目屈可以設(shè)定不吵能使用的口赤令（如特定械的詞、與賬甚號相關(guān)的變過種）揚可以進行相鄭似口令檢查努可以進行連稈續(xù)字符檢查以可以進行口韻令更改時間杠間隔限制顛可以設(shè)置同康一口令的使屬用限制羨可以設(shè)置導(dǎo)占致賬號被鎖妻定的嘗試失祝敗登錄次數(shù)半可以進行自躬動的口令重辟設(shè)迫可以對于管取理員用戶和輪普通用戶分覺別設(shè)置口令萌管理和認證蜻方式的選擇叢策略。區(qū)密碼修改計健劃杜功能概述：位這個功能為腸了實現(xiàn)，用百戶從賬號密百碼的定期變米更，提高密春碼的安全性憲；糊密碼定期檢令查壟通過系統(tǒng)定證時任務(wù)，或嫁相關(guān)管理員使執(zhí)行密碼檢納查，找出系釣統(tǒng)中存在不長滿足要求的齡用戶口令；私密碼失效策銜略膽系統(tǒng)自動使尼不滿足要求違的密碼失效蜘；曉密碼存儲策歐略遇密碼的存儲勾采用加密存愁儲，加密方綁式：RSA補或DES；授權(quán)管理穴授權(quán)內(nèi)系統(tǒng)販提供統(tǒng)一的潤界面，來對擦用戶、角色憶及行為和資戀源進行授權(quán)揀管理，以達秧到對權(quán)限的猜細粒度控制刊，最大限度宿保護用戶資慢源的安全?？导匈~號管疏理系統(tǒng)通過只集中授權(quán)和飲訪問控制可慨以對用戶通暈過B/S、家C/S對主般機、網(wǎng)元和腎各業(yè)務(wù)系統(tǒng)買的訪問進行掠審計和阻斷鐮。集中授權(quán)嚼在集中授權(quán)吹里強調(diào)的堅“掉集中睡”冶是邏輯上的謎集中，而不雜是物理上的畏集中。即在業(yè)各網(wǎng)絡(luò)設(shè)備旨、主機系統(tǒng)挖、應(yīng)用系統(tǒng)胞中可能還擁菠有各自的權(quán)足限管理功能滲，管理員也蹤由各自的歸仰口管理部門果委派，但是蜂這些管理員創(chuàng)從統(tǒng)一的授幣權(quán)系統(tǒng)進去斬以后，可以眼對各自的管籃理對象進行洽授權(quán)，而不雁需要進入每繡一個被管理拉對象才能授直權(quán)。帖授權(quán)的對象朋包括用戶、鹽用戶角色、漲資源和用戶素行為。系統(tǒng)唱不但能夠授照權(quán)用戶可以博通過什么角萄色訪問資源修這樣基于應(yīng)彼用邊界的粗尿粒度授權(quán)，陳對某些應(yīng)用篩還可以限制繳用戶的操作尾，以及在什馬么時間進行外操作這樣集拖體到應(yīng)用內(nèi)構(gòu)部的細粒度筑授權(quán)。授權(quán)審批從用戶創(chuàng)建帳外號之后，對面于權(quán)限的審證批需要通過朗系統(tǒng)內(nèi)置的逃工單系統(tǒng)來蠅進行權(quán)限的朱審批，每一勤步的審批過區(qū)程均有詳細許的記錄，便戒于事后對責(zé)趴任的追查。資源授權(quán)棉資源授權(quán)的荷范圍主要包暑括主機、網(wǎng)同絡(luò)設(shè)備、數(shù)纖據(jù)庫、網(wǎng)元錯、OMC、皂安全設(shè)備和按應(yīng)用系統(tǒng)（漆業(yè)務(wù)支撐系未統(tǒng)、網(wǎng)管系少統(tǒng)、信息化宣系統(tǒng)、其他典）等。妖對資源授權(quán)損主要包括實鑼體授權(quán)和資炕源級授權(quán)：以實體級集中吊授權(quán)，授權(quán)仰粒度只精確節(jié)到應(yīng)用、設(shè)機備、主機，機就是用戶是松否有權(quán)連接衰某個概IP剝地址＋端口支?？駥嶓w內(nèi)部資咬源級集中授執(zhí)權(quán)，授權(quán)?；染_到應(yīng)您用、設(shè)備、泉主機內(nèi)的資通源。資源包茅括應(yīng)用的功泥能模塊、料HTML育頁面、數(shù)據(jù)模庫表或字段小；主機內(nèi)的資文件或目錄雞等。澤集中賬號管井理系統(tǒng)通過波對用戶授權(quán)求，可以定義量用戶可以訪坐問哪些應(yīng)用昂，以及以什腐么樣的方式仇在什么時間惕訪問，可以石防止未被授某權(quán)的用戶、凈角色對資源雙的訪問。角色授權(quán)至集中帳號管耗理系統(tǒng)通過捆對角色授權(quán)紅，可以用戶尾以什么身份揉訪問應(yīng)用，瓣以及可以執(zhí)殿行的操作。向當(dāng)在系統(tǒng)中吉對角色進行蓋創(chuàng)建、分配閑權(quán)限、修改僑、刪除后，刃會被同步到廢資源，多個仗角色構(gòu)成一臭個角色組，湊身份及訪問扒管理來系統(tǒng)未不直接對應(yīng)肉用和系統(tǒng)權(quán)斷限進行管理誤，但能夠?qū)⑷虣?quán)限授予角鏈色和從帳號源，應(yīng)用系統(tǒng)誤必須按照角警色進行樹立夾，使權(quán)限按產(chǎn)照角色進行罪管理。脅對應(yīng)關(guān)系如更下：逃一個自然人揪對應(yīng)一個主蠅帳號嘉一個主帳號愿對應(yīng)多個角腔色組或多個趟從帳號妥一個角色組疫對各多個資蜻源上的多個累角色段一個從帳號彈對應(yīng)一個資精源上的角色稼一個角色對姥應(yīng)資源上的日多個權(quán)限弓主帳號和角隱色組信息在卷身份及訪問辛管理系統(tǒng)存階儲，從帳號州和角色在身譽份及訪問管掏理系統(tǒng)和資侄源上存儲，各權(quán)限信息可奮在系統(tǒng)平臺蝶和資源上存但儲，以便進科行訪問控制困。峰塞細粒度授權(quán)曲LanSe暢cS（堡壘呈主機）內(nèi)控番管理平臺負斜責(zé)構(gòu)建企業(yè)岸資源訪問角靈色，并制定樸一系列訪問艙控制策略。叉集中授權(quán)管篇理可實現(xiàn)完奸善的角色授晃權(quán)管理功能也，從用戶、陵角色和資源叛進行用戶授曉權(quán)管理?？晌乙灾贫ǖ劫Y嫌源邊界的粗睡粒度授權(quán)，肉即，用戶按屯照角色權(quán)限帳和管理資源繩范圍的不同疤，能夠訪問姑的資源IP銀和Port康也不同；也顆可以制定針傭?qū)Y源操作有的細粒度授柴權(quán)，即，能挨夠?qū)τ脩暨M織行登錄時間籃、訪問地點屑、目的資源暖、次數(shù)、頻敬率、失敗控貓制、操作命臥令、操作參閣數(shù)等等的具站體行為、時舌間、地點、旺目的的精細擾控制。洞提供基于j分ava的a危pi實現(xiàn)授貌權(quán)信息的下奔發(fā)。包含的簡信息：主用徒戶，設(shè)備地除址（ip，藍port）宰，從賬戶，低命令黑白名剃單。交集中授權(quán)管星理可實現(xiàn)強貫大的訪問控消制能力。對缸于用戶對資執(zhí)源的訪問控主制，通過對草其授予不同拿的訪問策略疑來實現(xiàn)，例爛如用于登錄生失敗策略、帽登錄時間策包略、堡壘主后機策略等：付利用資源內(nèi)偵部進行訪問猾控制：對自糕然人賬號授頭權(quán)資源從帳璃號，實現(xiàn)了跟自然人賬號煤到資源訪問跪的基本授權(quán)搖，由于從帳左號包含有資害源訪問的內(nèi)減部授權(quán)信息召（例如用戶衰組、She往ll等），渣可以依靠資鎮(zhèn)源內(nèi)部實現(xiàn)蠢一定粒度的斬訪問控制論利用堡壘主逝機進行集中獵的訪問控制為：通過對自通然人賬號授弓權(quán)相應(yīng)的訪劣問策略，并刮通過策略執(zhí)勾行單元漠――諒堡壘主機的畫干預(yù)，可以劈對自然人賬奮號訪問資源津作進一步的挑授權(quán)控制，占例如對于字刷符應(yīng)用，授勺權(quán)可以控制攪到命令及命淚令參數(shù)和級磁的粒度；對狡于web應(yīng)捐用可以授權(quán)懇到指定的u鉤rl，并可校以授權(quán)到指船定的時段，俗ip段等。肢集成SSL允VPN方善式的集中接勉入和訪問控習(xí)制；圾集成反向代鎖理（Acc份essM省anage憐r）方式的航集中接入和堵訪問控制；雙集成堡壘主鼠機方式的集垃中接入和訪盡問控制；起利用AAA荷實現(xiàn)的訪問再控制：通過見將支持Ra趴dius的喬資源的認證唐指向堡壘主頁機內(nèi)置的R艷adius喪Serv蕩er來保證遺資源訪問的駛授權(quán)。屬借集中訪問控筒制豪B/S系統(tǒng)境通過訪問控款制服務(wù)器結(jié)萄合相應(yīng)用戶羅B/S訪問閉請求，并且身根據(jù)訪問控肥制策略進行臉阻斷、告警漆。脆C/S系統(tǒng)束，可以通過凍堡壘主機對利用戶行為進縣行細粒度訪瞞問控制，例每如teln反et、ft勤p、ssh斯和圖形方式樓的應(yīng)用的審劉計RDP等儉。堡壘主機涌字符堡壘主謙機是應(yīng)用級從的網(wǎng)關(guān)，可屋以對字符應(yīng)軟用的訪問做格到命令的訪陵問控制，會督話內(nèi)容的審簽計。功能特點：值對各種字符擁應(yīng)用，Te叨lnet、衣SSH、F雀TP等等作災(zāi)應(yīng)用級的控歪制轉(zhuǎn)發(fā)。其席工作原理是餓對堡壘主機姑的Shel基l模塊做了禮審計、訪問甘控制加強，錫所以其工作躬原理簡單可漂靠，其并發(fā)點數(shù)可吞吐量湯基本和主機篇本身的性能祖成正比。餓訪問控制：褲通過和堡壘生主機訪問控碰制策略服務(wù)抄器進行聯(lián)動賣，可以對各敬種字符應(yīng)用狹作基于命令享的訪問控制待，例如對于冬用戶使用了虛未授權(quán)命令匪，可以對命詠令進行阻斷鹽。名審計：可以石對其轉(zhuǎn)發(fā)的衰數(shù)據(jù)直接記禮錄日志，并服記錄會話I哥D以形成回濱放能力。優(yōu)點：燈工作在應(yīng)用嘆層，可以獲芹得會話過程斜中的用戶名砌信息，IP企信息、端口辭信息。有利徑于更加完整沿的獲得用戶員的會話審計瓣信息，更加智有效的控制栗用戶發(fā)送的吸操作命令。羨訪問控制的晴力度很細，祖能夠?qū)τ脩艚j(luò)發(fā)出的命令啞做訪問控制堪，可以控制宋到命令本身委，和命令操芳作的對象，駝如目錄、文季件、用戶、鈔組等系統(tǒng)對店象。發(fā)RDP堡壘狗主機劣RDP堡壘寄主機能夠?qū)嵷摤F(xiàn)Wind數(shù)owsT臣ermin蹈al、、x告Windo匯ws等圖形痰終端的集中辨接入和訪問擾控制，可以府做到應(yīng)用邊冠界的訪問控基制并且可以辨進行全程錄輝像和回放。功能特點：郵訪問控制：孕通過和堡壘貪主機訪問控愁制策略服務(wù)匙器進行聯(lián)動沾，可以對用娘戶所能夠訪飛問的Win主dows主盆機、Uni某x主機進行敢邊界級的訪獻問控制。博審計：可以糟對用戶的整荷個操作過程枯進行錄像并巷回放。優(yōu)點：掀可以滿足用岡戶對圖形化罰終端的使用質(zhì)需求。定可以做到資餐源邊界的訪菌問控制。余可以做會話顧錄像。缺點：時控制粒度較交粗廟操作過程無堅法控制單點登陸如身份認證和衫訪問管理系搭統(tǒng)提供了基糞于B/S的變單點登錄系賞統(tǒng)，用戶通鉤過一次登錄厘單點登錄系自統(tǒng)后，就可段以無需認證寄的訪問包括膽被授權(quán)的多儀種基于B/趴S和C/S未的應(yīng)用和系莊統(tǒng)。單點登必錄系統(tǒng)為具坐有多帳號的喊用戶提供了芒方便快捷的貞訪問途經(jīng)，沾使用戶無需蛙記憶多種登浴錄過程、用料戶ID和口賴令。它通過羨向用戶和客怨戶提供對其窗個性化資源冶的快捷訪問附提高生產(chǎn)效握率和利潤。義同時，由于簽單點登錄系所統(tǒng)自身是采手用強認證的掏系統(tǒng)，從而衫提高了用戶得認證環(huán)節(jié)的破安全性。勝集中不同(駁B/S架構(gòu)南和C/S架噴構(gòu))業(yè)務(wù)應(yīng)鄰用系統(tǒng)(如冬OA，MI滋S，BI，所CRM，E秩RP等)，聰主機系統(tǒng)(險如UNIX當(dāng)，LINU劉X，WIN裙DOWS等謀)，網(wǎng)絡(luò)設(shè)衣備(如交換唉機，防火墻禍)的用戶身頭份認證。命單點登錄系微統(tǒng)與自身可堡以實現(xiàn)與用省戶授權(quán)管理內(nèi)的無縫連接扎，這樣可以往通過對用戶母、角色、行剩為和資源的開授權(quán)，增加盆對資源的保晴護，和對用群戶行為的監(jiān)嘴控及審計。例牛B/S單點麥登錄籍B/S單點均登錄系統(tǒng)通嶺過應(yīng)用發(fā)布其的方式實現(xiàn)孕B/S應(yīng)用邪的單點登錄繞。用戶通過恨登錄集中應(yīng)英用發(fā)布平臺催，然后可以枝直接訪問平味臺所發(fā)布的四B/S應(yīng)用設(shè)。座通過單點登佳錄，以及單框點登錄賬號男（主賬號與紛自然人關(guān)聯(lián)補）對用戶進指行授權(quán)訪問估和基于自然疤人的行為審寨計。單點登錄：敵通過揚堡壘主機脫Porta摘l漆自動提交表腦單的方式：診用戶訪問W灑eb應(yīng)用系手統(tǒng)時，堡壘鎖主機Po尸rtal通殖過構(gòu)造隱藏梢的登錄表單辭并自動提交撤的方式進入告Web應(yīng)用捐系統(tǒng)。此種嘆方式下旬，踢客戶端在首牧次通過哭堡壘主機慈Porta予l的強認證脂和單獨登錄蠢認證后直接欲與Web應(yīng)西用系統(tǒng)交互電，其訪問行必為需要堡壘先主機來進行面授權(quán)控制。襲通過尾SSLV戶PN盤、反向代理昂表單注入的叫方式泰：捉堡壘主機設(shè)府備在作代理抵的過程中當(dāng)忌發(fā)現(xiàn)有登錄輛特征的對http學(xué)內(nèi)容始，查自動注入表塊單內(nèi)容癢，睛完成偶web第應(yīng)用登錄。單點登出：踐通過SSL到VPN、旺反向代理和忌進行策略聯(lián)麗動的方式。酒當(dāng)用戶登出鞭堡壘主機援Porta林l時SSL第VPN、反書向代理設(shè)備叢收到堡壘主灣機Ser眉ver的聯(lián)節(jié)動策略后，輪斷開用戶和革WEB應(yīng)用登的連接，實絹現(xiàn)登出。耽點C/S單點瘋登錄侄C/S單點大登錄系統(tǒng)通棵過應(yīng)用發(fā)布擇的方式實現(xiàn)顆C/S應(yīng)用法的單點登錄除。用戶通過懂登錄集中應(yīng)藏用發(fā)布平臺火，然后可以拖直接訪問平較臺所發(fā)布的嫌C/S應(yīng)用先。LanS貧ecS（堡錄壘主機）內(nèi)睡控管理平臺長可以直接將摘C/S應(yīng)用然發(fā)布到中央展管理平臺，安系統(tǒng)會根據(jù)恭用戶的分級祖和對資源（癢應(yīng)用是對資靠源的訪問形部式）授權(quán)，哈為用戶提供銀相關(guān)C/S失應(yīng)用。單點登錄：綿通過瀏覽器沫代填控件進毛行代填：用辰戶在通過敲堡壘主機漁Porta汁l的強認證姜后，代填控吸件會被自動舞下載到客戶觸端瀏覽器中導(dǎo)，劈控件會對C鑼/S的客戶購端進行掛鉤租，分析特征歸事件序列，撞進行窗口控諸件級操作實類現(xiàn)代填動作哪，單獨登錄既后的立訪問行為需逐要堡壘主機姓來進行授權(quán)碎控制商。此種方式績需要客戶端處預(yù)先安裝C蘇/S的Cl植ient端但。單點登出：慶通過SSL中VPN，譽堡壘主機，僻Citri納x等這些C招/S訪問控賊制設(shè)備，和附進行策略聯(lián)柿動的方式。起當(dāng)用戶登出援堡壘主機種Porta環(huán)l時SSL腳VPN、堡瘡壘主機，C掠itrix出收到堡壘主譜機Ser掉ver的聯(lián)僅動策略后斷澤開用戶和應(yīng)焦用的連接，逝實現(xiàn)登出。勤動態(tài)短信口物令別認證以提供唱基于短信動墻態(tài)密碼（S廈MS-OT副P）的認證姨方式為主，講能夠提供符歉合SOX等鐮國際標準和燙法規(guī)要求的都高強度認證號服務(wù)；挨自動判斷登覽錄IP網(wǎng)段繭，能夠根據(jù)導(dǎo)不同的IP釘網(wǎng)段確定是展否觸發(fā)短信劑動態(tài)密碼認塞證；污短信動態(tài)密斤碼認證服務(wù)離器在生成并覺向用戶發(fā)送蓬動態(tài)口令之赴前，必需對貓用戶的身份摧進行驗證，拌驗證通過后城才能向用戶瓶注冊手機號影碼發(fā)送生成迫的一次性口駛令；緒觸發(fā)過程中濟，用戶的驗株證密碼（P營IN碼等）標不能在網(wǎng)絡(luò)垂上明文傳輸鴨；患短信動態(tài)密疼碼認證服務(wù)疑器的觸發(fā)機堂制必須能夠文抵御惡意的惕動態(tài)密碼觸宴發(fā)請求，防霜止拒絕服務(wù)喇攻擊；猴認證平臺只冷能接受一次特動態(tài)密碼的險登錄認證請夕求，成功后倡動態(tài)密碼立啦即失效，此孤后再采用該輩動態(tài)密碼進蛇行登錄均被株視為違法操躍作；零短信動態(tài)密俊碼具有一定蛙的生命周期阿，即使用戶踐沒有使用該做動態(tài)密碼進進行登錄，超古出時間范圍稈后該動態(tài)密貌碼仍將自動禿過期。審計管理麻審計管理功儀能主要實現(xiàn)激統(tǒng)一身份及艦訪問管理系股統(tǒng)內(nèi)部的管數(shù)理審計、用啟戶統(tǒng)一身份飾及訪問管理座系統(tǒng)用戶訪傍問資源行為旗的審計蹤肉內(nèi)部的審計摧LanSe枝cS（堡壘在主機）內(nèi)控霜管理平臺會屢將系統(tǒng)自身域的所有操作宏進行日志，心并且會將日覺志發(fā)送內(nèi)部熄審計系統(tǒng)。亂用戶可以在器內(nèi)部審計系此統(tǒng)中查看相拴關(guān)審計日志惜，以及產(chǎn)生意各種審計報繩表。內(nèi)部審針計主要包括豪如下部分：痕集中審計管即理主要審計瞧人員的帳號血管理、認證矛、賬號分配攔情況、權(quán)限玩分配情況、雄賬號使用（餐登錄、資源揉訪問、操作符行為）情況約等。鋸對賬號分配捧情況的審計韻：包括主賬巖號與自然人昆的對應(yīng)關(guān)系架，主賬號與塞從賬號的對踩應(yīng)關(guān)系，主影賬號、角色夾（從賬號）性的創(chuàng)建時間散、創(chuàng)建人等養(yǎng)；土對登錄過程杯和用戶身份樂的審計；釋對登錄后用隨戶行為，對編資源的訪問效，以及具體竊操作行為的走審計；融對審計的信序息按照嚴重休、警告、一堅般進行分級撤管理。觀按照IP、蹤時間主從帳贏號、資源、邀關(guān)鍵操作和坡關(guān)鍵數(shù)據(jù)進刷行規(guī)則過濾晉。審計范圍落LanSe勞cS（堡壘尤主機）內(nèi)控腥管理平臺可穿以對以下資置源的訪問行辛為進行審計子：們操作系統(tǒng)：用Windo釋ws、Li謠nux、U怒nix等；擁網(wǎng)絡(luò)設(shè)備：凝交換機、路械由器；普安全設(shè)備：堂防火墻、I衡DS/IP帶S、代理服轟務(wù)器（網(wǎng)關(guān)臭設(shè)備）、病灘毒墻等；描應(yīng)用平臺：船.NET、障Websp肺here、歷WebLo在gic、T擁omcat藏、TUXE娛DO、Vi澡siBro旬ker等；幻數(shù)據(jù)庫：O話racle頭、DB2、余MySQL雕、Syb倡ase、I造nform涂ix、SQ陵LSer掃ver、T為erada目ta等。果應(yīng)用系統(tǒng)：孟業(yè)務(wù)支撐系饑統(tǒng)、網(wǎng)管系恩統(tǒng)、企業(yè)信庫息化系統(tǒng)等安。審計內(nèi)容卻審計的內(nèi)容食包括如下部剖分：兼能夠?qū)Ρ鞠弹B統(tǒng)運行的全反部行為，包攻括任何人（絕含系統(tǒng)管理晚員）的任何茫操作進行記武錄；額系統(tǒng)通過單克點登錄，統(tǒng)陰一認證方式鍛，將某個賬稱號的操作行波為與自然人使關(guān)聯(lián)，實現(xiàn)榨對自然人行柏為審計的目前的；謊能夠?qū)χ鳈C欲，網(wǎng)絡(luò)設(shè)備春，數(shù)據(jù)庫等霸的所有用戶焰指令操作的族記錄；唉對主機、網(wǎng)互絡(luò)設(shè)備、數(shù)售據(jù)庫上的日晚志進行集中炭存儲和集中釀審計；話系統(tǒng)能夠?qū)嵖蕃F(xiàn)對特定信搭息進行統(tǒng)計南關(guān)聯(lián)（某時赤間段內(nèi)發(fā)生佛次數(shù)）審計牙。審計查詢素審計查詢包型括如下查詢尼方式：式審計查詢支肌持交互式查澆詢。自然人刑、信息類型辜（非法登錄拆、非法操作緩、重大操作蹤、喬敏感數(shù)據(jù)訪涉問）、事件限級別（嚴重蜘、警告、一筆般）、內(nèi)容湯、時間進行枕查詢，查詢毫可以通過與閱、或方式進醉行多級查詢象條件組合，罩提高查詢準劫確性。例如能查詢200殿6-2-2腫023:盡00:00灘至2006球-2-21襪4:00落:00期間菌內(nèi)，配置過俊10.34兼.56粒.78交換茂機的全部日銀志；片提供對查詢懸條件的自定芹義設(shè)置，將吼查詢條件進舊行保存，減梳少查詢的操談作復(fù)雜；審計報表芳LanSe宮cS（堡壘呼主機）內(nèi)控拳管理平臺具注有強大的報臣表審計功能化：野系統(tǒng)提供P輕DF、Ex輕cel等多照種形式的報鼠表；墳系統(tǒng)可以按焦照日、星期第、月年產(chǎn)生叛多種形式的花固定報表；暢系統(tǒng)可以按集照用戶自定臘義的查詢條濟件產(chǎn)品自定肆義報表；浩系統(tǒng)可以按玩照用戶定義挪條件，以及僵系統(tǒng)自定義猜的報表模板透制定綜合報究表；系統(tǒng)可植按照訪問者餃、被保護對罰象、行為方曲式、操作內(nèi)譯容（例如數(shù)不據(jù)庫表名稱誠）等自動生輛成統(tǒng)計報表遞，并能按照并移動的要求怠添加、修改勇報表數(shù)量、廊格式及內(nèi)容搖，以滿足S東OX審計的老要求。把可按照各業(yè)常務(wù)系統(tǒng)的要屑求添加、修霜改報表數(shù)量拿及內(nèi)容，并雅可分專業(yè)生茄成各業(yè)務(wù)系山統(tǒng)的審計報培表。報表系聲統(tǒng)可根據(jù)不矮同專業(yè)使用菊人員分別顯鬧示不同的報藍表，比如短置信審計人員霉只需看到關(guān)顧于短信業(yè)務(wù)撒系統(tǒng)的審計蠻報表。搬可對人員的令操作以及所嗽管轄的業(yè)務(wù)結(jié)系統(tǒng)通過多持種報表展示陸途徑，提供杠形象的展示彼方式，方便鮮領(lǐng)導(dǎo)和管理球員查看系統(tǒng)欠授權(quán)的合理塔性。還原審計彩堡壘主機的遲審計管理以敞集中的資源妖管理為基礎(chǔ)罷，通過各種德堡壘主機、雄網(wǎng)絡(luò)嗅探能歷夠?qū)崿F(xiàn)用戶刷資源訪問會鵝話的還原審碧計。和對于字符堡雁壘主機，可煮以還原完整遍的用戶會話誕內(nèi)容：用戶換對字符應(yīng)用得的訪問是經(jīng)址過堡壘主機弓的，堡壘主因機在會話層喚轉(zhuǎn)發(fā)對對應(yīng)誦用的各種操志作命令，由作于在會話層認對操作命令臟和執(zhí)行結(jié)果袍作相應(yīng)的轉(zhuǎn)覆發(fā)，因此可充以對這些轉(zhuǎn)界發(fā)的內(nèi)容（咸會話）計入布日志，進行吐審計。餡對于矮R悼DP類堡壘揉主機，可以錘對用戶的會艇話進行錄像低，完整記錄接用戶的圖形頓操作：RD牛P類堡壘主牢機通過轉(zhuǎn)發(fā)廉用戶對圖形揮應(yīng)用操作的托各種動作（禍鍵盤鼠標事磁件）和圖形搞應(yīng)用的各種活繪圖操作，垃實現(xiàn)圖形應(yīng)牽用的會話級駐代理。由于劑在會話層對扒操作動作和開繪圖操作作惰轉(zhuǎn)發(fā)，因此維可以對轉(zhuǎn)發(fā)撇的內(nèi)容進行防錄像，并進葬行審計。臂網(wǎng)絡(luò)嗅探、鈴數(shù)據(jù)庫嗅探普：可以對用克戶的資源操免作在網(wǎng)絡(luò)層庫做相應(yīng)的嗅教探分析，對瞇協(xié)議內(nèi)容進暢行記錄，經(jīng)瞎過匹配規(guī)則欄實現(xiàn)會話還版原。智能告警潛LanSe初cS（堡壘件主機）內(nèi)控透管理平臺提床供智能告警號功能及多樣輩化的告警方樓式：上告警內(nèi)容：辦堡壘主機能祥夠按照自然米人、信息類刪型（非法登玉錄、非法操鑼作、重大操仗作、敏感數(shù)漫據(jù)訪問）、們事件級別（欺嚴重、警告慘、一般）、螞內(nèi)容、時間鞋進行分析和融處理，并進榮行告警。告警方式：抓提供豐富多魂樣的通知方趴式，包括短更信、郵件、則電話和可執(zhí)莊行命令行程委序等。突提供SNM交PTra數(shù)p、Sys減log兩種倉公共通訊方授式發(fā)送告警示。昨提供與第三獄方統(tǒng)一電子券運維系統(tǒng)的狀無縫集成能榴力，派發(fā)工故作單到對應(yīng)秘的管理員或余用戶組。膀集中管理平錢臺到部署中央管閉理平臺，能棗夠達到以下殊目的：型將來自不同纏廠家的產(chǎn)品北或功能模塊館整合成為一陣個整體，真銷正體現(xiàn)出框杯架各模塊之越間的聯(lián)系；僅使不同級別匙的管理員在喇一個統(tǒng)一的籌管理系統(tǒng)上謎、通過一個恩統(tǒng)一的入口適，就可以行允使不同的管乞理權(quán)限；復(fù)在統(tǒng)一身份悅及訪問管理昏系統(tǒng)其它部岔分出現(xiàn)故障懲時，提供一薦個緊急入口秘，至少能夠說通過日志分隱析，找出事導(dǎo)故原因。；堵能夠提供B頌/S方式的兼人機接口良娘好的管理界屈面，管理員飽在一點上即賊可對不同系糞統(tǒng)中的賬號漿進行管理。半支持以B/血S方式對主濟機（Win助dows/輪UNIX/君LINUX零）、網(wǎng)絡(luò)設(shè)諒備、數(shù)據(jù)庫頁的定義接入剖和訪問，隨殼機或定時的捎統(tǒng)一密碼修數(shù)改；碰支持分級部廣署管理配置框，具備統(tǒng)一左平臺，分散鋒管理的能力洲。能夠提供哀中心管理和規(guī)分布管理兩盜種不同管理衰方式－支持株基于組織結(jié)廢構(gòu)平臺的管舅理平臺實現(xiàn)謹；牙管理單元支胞持分級、層樹次化的授權(quán)按機制－支持樣基于容器的催樹狀結(jié)構(gòu)管端理，支持L易DAP的樹詢狀管理結(jié)構(gòu)逼；貢安全管理員雷應(yīng)該可以通丸過方便的圖笛形用戶界面疏或Web瀏限覽器與系統(tǒng)屬交互，對用棕戶及信息資聚源進行管理浪。槍誰子系統(tǒng)管理僻統(tǒng)一身份及臭訪問管理系帝統(tǒng)的各子系斥統(tǒng)，包括集猜中賬號管理距系統(tǒng)、集中濕授權(quán)管理系懶統(tǒng)、集中身在份認證系統(tǒng)少、集中安全眉審計系統(tǒng)等里。賬號管理透考慮到中央峰管理平臺雖謊然是對整個溪統(tǒng)一身份及鍋訪問管理系色統(tǒng)進行管理甚，但是又不奸可能完全交景給一個人進移行管理，因辦此賬號必須白分級，以適蘿應(yīng)分部門、仗分管理層次哄的分級管理橡要求；不同銜級別的賬號膊可以行使不知同級別的權(quán)欣限，包括對拾不同的模塊杏進行管理。仆但是所有級緒別的管理賬斷號都可以在正一個統(tǒng)一的蹄平臺下完成御管理功能。釋將用戶、主宏從賬號、口而令、權(quán)限和演資源進行有辜效的統(tǒng)一管窯理。榮云用戶自管理侍普通用戶可替以登錄中央然管理平臺對鋒自己身份信切息進行維護脊管理。而且衛(wèi)，系統(tǒng)會根渠據(jù)企業(yè)的要勉求、特點制閉定用戶信息驢自維護的流息程。例如，遣如果需要修黎改流程中應(yīng)扭該包括審計繳，審批和執(zhí)就行等，并且別全過程都會鏡進行審計備朝案。單點登錄毒用戶通過登小錄中央管理窩平臺賬號，作可以實現(xiàn)單跌點登錄。權(quán)限管理量即對不同級始別的賬號，黨分配賬號能菜夠管理的子俱系統(tǒng)。數(shù)據(jù)查詢靈能夠?qū)芾戆輸?shù)據(jù)進行統(tǒng)贊計、查詢，答包括目前有躲哪些子系統(tǒng)智、有哪些賬矛號、每個賬摧號管理哪些座子系統(tǒng)、每某個子系統(tǒng)受機哪些賬號管組理，等等。訪問審計睛能夠?qū)τ脩粲∈褂觅~號對捉資源進行訪逗問操作進行并審計。疤為了保證安浪全，所有管涂理過程必須引留下詳細的輕日志記錄，坡并且提供對障日志的審計劣、備份功能竟。呀匠系統(tǒng)自管理某系統(tǒng)自管理巖功能主要完洞成系統(tǒng)的基敗本配置工作昏：把字典管理：姿這個功能對討各種字典信讓息進行維護允，如政治面六貌、省市、錦地區(qū)、國籍羨等；閣基本配置信藥息：這個功踢能對系統(tǒng)的情一些參數(shù)進棗行配置，如經(jīng)LDAP連崗接信息，數(shù)北據(jù)庫連接信儉息，目錄存鍵儲的節(jié)點位殖置，列表的凡分頁行數(shù)等需；可信息發(fā)布：膝公告信息的皆發(fā)布；中帳號管理瘋Accou啄nt味：將自然人魂與其擁有的芝所有系統(tǒng)賬括號關(guān)聯(lián)，集巷中進行管理促，包括按照絞密碼策略自壁動更改密碼忽，不同系統(tǒng)澡間的賬號同噴步等。肅認證管理宰Authe恰ntica籠tion耳：實現(xiàn)業(yè)務(wù)役系統(tǒng)對操作壁者身份的合酷法性檢查。呢對信息統(tǒng)中籮的各種服務(wù)疊和應(yīng)用來說挨，身份認證借是一個基本倉的安全考慮筐。身份認證矮的方式可以括有多種，包傳括靜態(tài)口令裁方式、動態(tài)岔口令方式、枯基于公鑰證油書的認證方掩式以及基于息各種生物特臟征的認證方斑式。胖授權(quán)管理以Autho褲rizat渣ion攔：對用戶使鞠用業(yè)務(wù)系統(tǒng)忍資源的具體榴情況進行合神理分配的技得術(shù)，實現(xiàn)不燭同用戶對系禍統(tǒng)不同部分歐資源的訪問絡(luò)。局審計史Audit滅：指收集、別記錄用戶對皺支撐系統(tǒng)資獸源的使用情慈況，以便于松統(tǒng)計用戶對銜網(wǎng)絡(luò)資源的勝訪問情況，也不僅能夠?qū)﹀懭藛T的登錄糧過程、登錄螺后進行的操習(xí)作進行審計兄，而且能夠模將多個主機病、設(shè)備、應(yīng)喜用日志進行津?qū)Ρ确治?，雄從中發(fā)現(xiàn)問蹲題。并且在算出現(xiàn)安全事坑故時，可以碎追蹤原因，渴追究相關(guān)人帶員的責(zé)任，慘以減少由于鳥內(nèi)部計算機聰用戶濫用網(wǎng)猴絡(luò)資源造成元的安全危害幅?；钆cPKI和雖RADIU象S系統(tǒng)的結(jié)薄合：著重從誓企業(yè)應(yīng)用系項統(tǒng)的安全性趨出發(fā)，為信張息系統(tǒng)提供時高安全的認衣證及加密方注式。綠帳號的生命芽周期管理：攏是指對賬號小從產(chǎn)生到刪嗓除各存在狀稱態(tài)進行管理龍。包括對賬腔號屬性的更滲改，口令的沸重設(shè)，賬號妻使用情況的恒審計等。集征中賬號管理隨系統(tǒng)必須覆脫蓋整個生存鴿期管理。晶自我服務(wù)系芹統(tǒng)：自我服作務(wù)系統(tǒng)使用披戶不需要幫遍助桌面或支沙持人員的幫紅助，就能夠庭對自己的基荷本信息如部顫門、職務(wù)、棉聯(lián)系方式、炭職責(zé)等進行挑管理；能夠會在用戶忘記己賬號口令時禮重設(shè)口令，粉并且能夠提因供自動提醒析用戶修改主首賬號口令的明手段等。自舍我服務(wù)系統(tǒng)械使得系統(tǒng)的裕安全策略得團以貫徹，并秘能顯著減輕媽系統(tǒng)管理人患員的維護負搬擔(dān)。鉆單點登錄S些SO：一次宏登錄，到處憶通行，即用校戶在輕SSO框服務(wù)器上進街行一次登錄摟后，在從模SSO劍服務(wù)器登出板前，訪問所闖有納入杜SSO洗管理范圍的聞應(yīng)用系統(tǒng)、紹主機、網(wǎng)絡(luò)拼設(shè)備時均不丑需要再次手第工登錄，而閃是由位SSO凡系統(tǒng)帶為登凡錄。一次登井出，全部登的出。即用戶少如果從鋸SSO股服務(wù)器登出碑，則當(dāng)前所前有已經(jīng)登錄低的、被納入心SSO預(yù)管理范圍的室應(yīng)用系統(tǒng)、霜主機、網(wǎng)絡(luò)兩設(shè)備均同時忌登出。秋基于堡壘主綱機技術(shù)進行茶安全訪問控犁制：在知道霧了使用者的軟身份并規(guī)定兆了系統(tǒng)范圍語內(nèi)的權(quán)限，卻具備了對該恭用戶身份的飲操作檢查審設(shè)計機制后，順通過使用堡紅壘主機或安箱全網(wǎng)關(guān)技術(shù)粱，對使用者匆的合法系統(tǒng)恭操作進行協(xié)涼議級層面的謊控制是系統(tǒng)風(fēng)不可或缺的燕功能補充。紐身份管理同寒步驅(qū)動與統(tǒng)辯一企業(yè)安全腸目錄：能夠逢實現(xiàn)對常見陜操作系統(tǒng)、搞數(shù)據(jù)庫系統(tǒng)鋤、網(wǎng)絡(luò)設(shè)備附、應(yīng)用系統(tǒng)袍、業(yè)務(wù)系統(tǒng)在等IT資源浸系統(tǒng)的帳號寬拉、推、刪售除、修改和糊同步管理，紫建立企業(yè)統(tǒng)撈一安全目錄遲，梳理用戶捕樹（包含主斥帳號、叢帳租號）和資源屠樹的管理關(guān)假系。顧產(chǎn)品那優(yōu)勢及唐部署麗LanSe譯cS堡壘主手機特色挨統(tǒng)一的we池b管理方式貼支持B/尤S架構(gòu)加密籍方式，管理取LanSe胃cS（堡壘譯主機）內(nèi)控溪管理平臺；廣W竊eb方式訪賴問資源，用置戶登錄堡壘瓜主機后可以蜘看到所有授債權(quán)資源列表顯，訪問資源洪時不用再輸怖入帳號和密變碼，做到真蚊正意義上的煉單點登錄。御內(nèi)含認證組沈件漲平臺內(nèi)部提典供認證服務(wù)績器組件，所塵有對資源的辜訪問都是認怒證服務(wù)器提肝供的臨時會住話號，即使默會話號被截濾獲，也無法融通過此會話括號再次訪問鋸資源，提高餃資源訪問的氣安全性。忍支持強認證板方式煌平臺集成多和種強認證方葛式：證書認證智能卡認證短信認證盞生物特征認蛾證（指紋、巨視網(wǎng)膜等）富動態(tài)口令認紗證……..皇簡單易用的狂訪問控制策云略經(jīng)主機命令延策略各訪問時間械策略葉客戶端地懷址策略躺訪問鎖定何策略嬌強大的查詢揮與審計忽平臺提供強畜大的查詢功越能，可以靈柔活的按照各突種查詢條件毒進行查詢統(tǒng)泰計，查詢用攤戶的操作行蘋為；對于主慣機命令查詢藍，一次可以擴配置多條主枕機命令，查姨詢的結(jié)果可哥方便的形成心報表。擴展與集成錢楚在滋4A半項目中，放冒棄帳號、認頌證、授權(quán)的聰集中管理，啊只提供執(zhí)行損單元，完成撤基礎(chǔ)訪問控份制和操作審雄計功能。密萍在非4A碼項目中除提椒供基礎(chǔ)的訪售問控制和操寄作審計功能遙外，還提供械精簡的帳號務(wù)、認證、授堵權(quán)集中管理鼓功能。脈LanSe柔cS產(chǎn)品功患能優(yōu)勢可定制性冊統(tǒng)一身份及宏訪問管理系漠統(tǒng)除了滿足潔標準的設(shè)備魄之外，由于跟各個用戶的傾環(huán)境不同，刊主要的工作躍是在定制層殺面；耀擁有一支沈資深的軟件豆研發(fā)隊伍，目擁有強大的稿研發(fā)實力，記對系統(tǒng)定制醋能得到迅速暗和有效的支弓持；今有很多對鎖客戶業(yè)務(wù)系海統(tǒng)符合性修渠改的經(jīng)驗，耍能快速的滿沖足客戶在業(yè)虹務(wù)邏輯方面嚇的需求。可擴展性旗統(tǒng)一身份及稻訪問管理系賤統(tǒng)完全采用泥模塊化的開弊發(fā)模式，系辜統(tǒng)各模塊之用間可以靈活己的組合與對否接，而且可泡以通過通用冊接口與第三公方的產(chǎn)品進禁行對接；弓系統(tǒng)支持球現(xiàn)有主流的工各種主機設(shè)脅備、操作系踢統(tǒng)和應(yīng)用系東統(tǒng)；梨系統(tǒng)能夠耍提供快捷的棟開發(fā)平臺，身方便用戶針臘對一些特有乘系統(tǒng)的二次喂開發(fā)；可硬件系統(tǒng)熟采用模塊化拐結(jié)構(gòu)，以保時證系統(tǒng)內(nèi)存蹦、CPU及屯儲存容量的怖擴展；勤在軟件系墓統(tǒng)的開發(fā)中董保持高聚合著低耦合原則那，模塊復(fù)用瑞率高，減少誼系統(tǒng)擴展的錘復(fù)雜性。高安全性古自身系統(tǒng)設(shè)勸置了嚴格的取用戶帳號安驚全策略，防剝止弱口令以仁及修改口令取策略等；慧用戶登錄涼采用強身份棚認證，而且毛可以進行各幫種組合級聯(lián)丈認證：如，疾用戶名/密擊碼與RSA厘Secu雁rID令牌聞；穴數(shù)據(jù)傳輸河采用SSL方加密傳輸躲,親包括系統(tǒng)維代護，用戶登驗錄和日志記殖錄等，保證玉在傳輸過程啊中數(shù)據(jù)不被姜竊聽；晚全面、強顧大的自身審椅計功能，并棄且對審計的慧數(shù)據(jù)進行完乒整性校驗，滾保證審計數(shù)環(huán)據(jù)不被篡改迅。高可靠性辜系統(tǒng)提供硬紅件和軟件的勉容錯、數(shù)據(jù)碼存儲的備份涉等系統(tǒng)可靠夸性措施；巧重要模塊貍具有自檢功掙能對系統(tǒng)內(nèi)正各功能模塊坡和子系統(tǒng)進亂行監(jiān)控；乞本系統(tǒng)提赴供熱備份和克負載均衡特荷性，可以滿羅足大型分布宮式網(wǎng)絡(luò)的需暑求，擴展服亂務(wù)器帶寬和帳增加吞吐量漁，加強數(shù)據(jù)姥處理能力；予系統(tǒng)提供嘩分級，旁路自等靈活的部吸署方式，減顧少對用戶現(xiàn)誠有系統(tǒng)的影朗響；易用性格系統(tǒng)提供詳姻細的幫助手作冊，并且系盟統(tǒng)還提供了智在線幫助功旗能，用戶直講接在界面上秀可以查看幫丟助信息；升提供通用欺的用戶界面鈴，操作及選釋擇鍵的功能尋定義在全系游統(tǒng)保持一致漠；灘LanSe燒cS內(nèi)控堡載壘主機典型站部署粒單區(qū)域堡壘回機部署義多區(qū)域堡壘該機部署描Imper畜va數(shù)據(jù)庫夢安全審計解胃決方案們Imper狼va公司數(shù)造據(jù)庫安全解他決方案漁耍Secur蹤eSphe連re爆?徑Data熔base俱Activ跳ityM僑onito牢ring萬Gatew隔ay叮Secur眾eSphe走re?D抹ataba滲seAc殖tivit穗yMon片itori飛ngGa縫teway鍵提供了數(shù)據(jù)膠庫審計的自露動化工具，陶可以幫助用男戶完美的完播成法規(guī)遵從疑的各種要求扯，包括初始鑰化、持續(xù)的央數(shù)據(jù)庫評估鋪、控制、審基計、監(jiān)控以三及風(fēng)險衡量陰等。懶Secur葡eSphe宗re?歲將提供獨立釋、詳盡的數(shù)任據(jù)庫訪問記聾錄，包括通恰過蛾Oracl用eE-B余usine撿ssSu勾ite,悔SAP,笨Peopl輝eSoft助等著名第三布方應(yīng)用，或城者自定義的岔應(yīng)用對數(shù)據(jù)踢庫的訪問，棉也包括數(shù)據(jù)截庫管理員對疊數(shù)據(jù)庫的本鄰地直接訪問戀。所有的審天計和報告功自能都由獨立鬧的規(guī)Secur牌eSphe斬re?漁設(shè)備完成，余對于數(shù)據(jù)庫默性能沒有任研何的影響；荷也無需用戶勞不斷手工調(diào)發(fā)整各種審計柱參數(shù)，沖Secur慌eSphe怪re?摧提供了大量莫缺省的審計哀策略模板和莫法規(guī)遵從模震板。DAM欣網(wǎng)關(guān)可選擇微使用專用硬鄭件網(wǎng)關(guān)，也俯提供虛擬網(wǎng)內(nèi)關(guān)。帽有Secur選eSphe式re筐槐Datab牽aseF槐irewa項llGa得teway鋼Secur褲eSphe議re?D栗ataba足seFi峽rewal善lGat煮eway役提供了DA疾M的所有功掃能，同時還善可以對數(shù)據(jù)碗庫架構(gòu)以及充敏感數(shù)據(jù)的機訪問提供保頁護和控制。功Secur惜eSphe途re?粉采用自動建田模的方法以鉆及各種安全曾策略，可將擦控制范圍細襪化到每一個車應(yīng)用程序、頌每一個用戶伙、每一個查棋詢來進行安尖全保護。并輝對數(shù)據(jù)庫的涌各種安全漏男洞提供了多用層次的防御轎保護，包括撥安全威脅簽討名、攻擊關(guān)猜聯(lián)檢查、數(shù)泉據(jù)庫協(xié)議分阻析等等。D伏BF網(wǎng)關(guān)也肝同時提供硬宿件和虛擬設(shè)岔備兩種選擇蛋。列半Secur酬eSphe踢reDi車scove售ryan娛dAss馳essme論ntSe爹rver豐Secur謝eSphe姿re?D陷iscov摟erya盲ndAs龍sessm旅entS列erver膜為企業(yè)提供科了簡單有效鋤的發(fā)現(xiàn)數(shù)據(jù)責(zé)資產(chǎn)、歸屬橋數(shù)據(jù)來源、寺分類數(shù)據(jù)屬如性、評估數(shù)些據(jù)庫缺陷、菜發(fā)現(xiàn)錯誤數(shù)替據(jù)庫配置以抹及潛在漏洞負的工具。頭Secur斬eSphe平re?D詳iscov故erya棟ndAs動sessm糠entS跨erver占為客戶提供棉了自動化的尖評估工具，杯大大減少了勺客戶繁重、遣重復(fù)的人工先審核評估流洞程。另外，誕該工具還提蒼供了圖形視性圖的風(fēng)險分奸析工具，為顛用戶提供了宴各種風(fēng)險分窯布及情況的球關(guān)鍵視圖，饒為用戶優(yōu)化池安全方案，蟲加強法規(guī)遵持從提供了指握導(dǎo)依據(jù)。利User鼓Right令sMan惕ageme蕩nt（UR腦M）也可以墊作為斃Secur姥eSphe只re?D敘iscov姻erya梁ndAs捷sessm引entS父erver歐（DAS）望產(chǎn)品的一個嗎附加模塊。完URM可以槍幫助用戶集鄉(xiāng)中化管理各限種數(shù)據(jù)庫權(quán)彈限。幫助企瞎業(yè)安全管理充員、數(shù)據(jù)庫猜管理員、審面計團隊了解句各種權(quán)限和木敏感數(shù)據(jù)的碌關(guān)系、是否紐存在權(quán)限濫球用的或者冬估眠的權(quán)限賬隊號。使用U館RM，企業(yè)五可以很好的薦遵從SOX源、PCI以7、PCI坦8.5中得相關(guān)審計的倍需求。秒反Secur旗eSphe磨re傾肚MXMa笑nagem傲entS誦erver猜Secur犯eSphe習(xí)re?M泉XMan眨ageme棍ntSe銳rver擴提供了集中狡化管理、報往告多個網(wǎng)關(guān)陶的功能?？稍杞y(tǒng)一為多個頭網(wǎng)關(guān)設(shè)備設(shè)任定策略、實誓時監(jiān)控、日歷志、報告。貧MX管理服晃務(wù)器也同樣轎可提供硬件嘆和虛擬兩種蠶平臺。猜背Imper派vaAp昨plica雄tion款Defen捐ceCe宰ntre級(ADC)蔽Imper貨vaAp營plica欣tion姨Defen致ceCe溉ntre井是Impe承rva公司岸全球安全研替究機構(gòu)，該撤機構(gòu)每日掃榴描和發(fā)現(xiàn)全貴球最新的應(yīng)蟲用安全威脅鐘，并及時將短研究結(jié)果更菜新給用戶。午目前Sec蛾ureSp產(chǎn)here系皮列產(chǎn)品中的料簽名信息超究過了600您0多種。這房些簽名信息撫，包括了對瞞數(shù)據(jù)庫的后看門、緩沖區(qū)話溢出、敏感糟數(shù)據(jù)泄露、亂蠕蟲以及其脊他的重大數(shù)圾據(jù)庫安全漏扒洞。蹲該研究中心愛由Impe選rva公司黃CTO，A戒micha礎(chǔ)iShu檔lman先激生帶領(lǐng)（2腳006年被棉InfoW宿orld評傻為年度最佳飽CTO）。墾ADC專注綁于研究和發(fā)?，F(xiàn)最新的網(wǎng)征頁應(yīng)用、數(shù)恩據(jù)庫應(yīng)用的宋最新安全威疫脅和風(fēng)險，證并將這些研脅究成功及時奪更新到Se禿cureS添phere屋產(chǎn)品中。笑更多詳細信糾息可以參考點，棗ADC官方榆主頁：設(shè)http:誕//www架.impe棋rva.c夸om/re狼sourc她es/ad肚c/adc曉.html紐ADC最新污研究結(jié)果公拿布：抵http:晴//www銅.impe涉rva.c插om/re謠sourc蔬es/ad胸c/adc跟_advi黑sorie披s.htm振l文ADC發(fā)布事白皮書：轉(zhuǎn)http:沈//www惰.impe水rva.c粒om/re難sourc單es/wh然itepa店pers.勉asp?t堪=ADC雁勁Secur嚴eSphe顛re寄優(yōu)勢（專利繩）技術(shù)合Imper竄va幼Secur魯eSphe偽re?寺產(chǎn)品在行業(yè)塑中擁有著絕沫對領(lǐng)先的優(yōu)蹤勢技術(shù)：界動態(tài)建模技像術(shù)Dyn蘿amic瓜Profi裁ling談該技術(shù)可以削通過分析實豎時流量，自稅動的偵測和槽學(xué)習(xí)各種應(yīng)妻用的行為和兼使用模型，福從而為每一楊個用戶形成霜一個正確使凍用數(shù)據(jù)的安培全基線（P蚊rofil遮e），這種墊安全基線（酸Profi慌le）將不鍬斷根據(jù)使用奮情況的變化室而動態(tài)調(diào)整鄙。陽Secur雷eSphe炮re?將可將用戶的怎各種使用活洞動比對安全捐基線（Pr獨ofile塊）信息，從乖而在發(fā)現(xiàn)未扎授權(quán)的使用今行為或者異已常的訪問活田動時實時發(fā)宋出警告并阻嗓斷。抵全局用戶跟意蹤癢Unive該rsal忘User問Track踢ing郊該技術(shù)可將隊數(shù)據(jù)庫訪問瞇的各種活動宣同各個用戶汗關(guān)聯(lián)起來，管從而幫助企鉗業(yè)方便的審翼計和控制用乳戶訪問敏感情數(shù)據(jù)。無論詠用戶是通過學(xué)網(wǎng)頁應(yīng)用訪回問數(shù)據(jù)庫還疏是通過本地黎控制臺，涼Secur艘eSphe態(tài)re?險都可以準確滔的最終用戶薄信息，而且餐該技術(shù)無需翅修改數(shù)據(jù)庫紗配置或者應(yīng)陷用程序參數(shù)逗。頭透明檢測律Trans書paren固tIns遭pecti總on瘡該技術(shù)實現(xiàn)般了透明的分獅析應(yīng)用邏輯創(chuàng)和數(shù)據(jù)使用蹈，無需修改虧任何應(yīng)用、用數(shù)據(jù)庫或者大是網(wǎng)絡(luò)架構(gòu)伴，并且可高么性能的處理職幾個G的業(yè)迫務(wù)流量，延膜遲僅在亞毫奔秒級別（串托聯(lián)模式下）專。單相關(guān)攻擊驗郊證沒Corre淋lated水Atta洽ckVa釋lidat宣ion活該技術(shù)可識嬌別各種復(fù)雜米高超的滲透港攻擊技術(shù)，哭為數(shù)據(jù)庫系脫統(tǒng)提供最高侍級別的安全以防御。鞠Secur鐘eSphe銹re?鴿將觀察一段熔時間內(nèi)的、濃貫穿應(yīng)用使要用各個層次閑的相關(guān)信息尋，確定可疑繳行為是否確括實是一個攻挽擊行為，最剃終可以實現(xiàn)峰阻斷并保護有數(shù)據(jù)庫。技術(shù)實現(xiàn)濃的Secur億eSphe擱re專用屋硬件平臺錢Imper經(jīng)va黑Secur燃eSphe可re?耽硬件平臺提扮供了卓越的蠶性能和高可接靠性，適合己于各種網(wǎng)絡(luò)袖環(huán)境。硬件冒平臺提供F愉ailO火pen的網(wǎng)鏟卡，可在出濱現(xiàn)故障時快都速實現(xiàn)故障槳切換。設(shè)備類還提供帶外偶管理接口，滾提高了管理開的安全性。循前面板的各毒種提示信息休也方便用戶擱快速了解設(shè)晶備運行狀態(tài)翠。用戶可以欲根據(jù)需要監(jiān)竟測的數(shù)據(jù)庫岸流量來選擇背合適的硬件煉網(wǎng)關(guān)。謎X系列硬件悟網(wǎng)關(guān)：端如果環(huán)境中譽有多臺網(wǎng)關(guān)壞，或者需要萄獲得更佳的感網(wǎng)關(guān)工作性蠢能，還可以婦選擇專用的色管理服務(wù)器翻。晉MX管理服疊務(wù)器：滔歷數(shù)據(jù)庫代理殘（Agen裹t）拿Secur帖eSphe登re?灘對于特定的側(cè)需要監(jiān)控數(shù)柱據(jù)庫本地操活作的場景，膝可以選擇在里數(shù)據(jù)庫服務(wù)宗器上安裝D腫ataba戀seAg慶ent，該虛代理程序可抓以監(jiān)控所有悉到達該數(shù)據(jù)優(yōu)庫的各種數(shù)風(fēng)據(jù)庫活動進歐行監(jiān)控，包帽括Teln為et、SS聾H、RDP抵、IPC等診各種TCP睡或UDP隧籃道。安Imper輔va提供了鎮(zhèn)支持多種操悶作系統(tǒng)、多列種數(shù)據(jù)庫類腐型的代理程丈序安裝文件雜，包括wi屋ndows寄、Linu席x、AIX穴、HPUn議ix、So湊laris捏等等。畢Agent竄代理程序具帆備以下主要尊特性：稼數(shù)據(jù)庫代理薦程序采用輕慰型工作架構(gòu)哨，對數(shù)據(jù)庫政本機影響很竿小。通常在鬼流量峰值時探刻，最高5似-7%的C音PU峰值，局也可以設(shè)置彩CPU耗用狡最高上限值映。旬提供高級過爛濾功能，確調(diào)保只將需要醒分析的數(shù)據(jù)養(yǎng)庫活動發(fā)送趣給醫(yī)Secur可eSphe咬re?右網(wǎng)關(guān)。圣可監(jiān)控所有微的數(shù)據(jù)庫活躍動內(nèi)容，無雙論是通過本聲地操作（B胸equea廁th,n皂amed汪Pipes壓,等等），員還是網(wǎng)絡(luò)訪虛問。速可集中配置練和管理Ag隙ent。職代理程序支德持注冊到兩炊個館Secur為eSphe嗚re?蕉網(wǎng)關(guān)，實現(xiàn)察高可用。毀數(shù)據(jù)庫代理拘工作原理圖殊式集中管理架抓構(gòu)疊Secur質(zhì)eSphe筑re?則提供了靈活勵的三層管理券架構(gòu)，方便止用戶可以同猶時管理多個鴨Secur險eSphe懶re?銹網(wǎng)關(guān)，并可合以集中策略規(guī)管理和日志約查詢。厲三層管理架添構(gòu)說明：與第一層：網(wǎng)煙頁管理界面站，提供ht脊tps加密蝴管理界面。兇第二層：閘Secur毯eSphe駱re?率管理服務(wù)器揪，對所有的遺網(wǎng)關(guān)設(shè)備提稱供集中管理銜，以及日志撿匯聚。焰第三層：啟Secur而eSphe叮re?恨網(wǎng)關(guān)，執(zhí)行淡各種數(shù)據(jù)庫馬活動審計和內(nèi)數(shù)據(jù)庫保護把。部署方案誦嫁嗅探部署方現(xiàn)案軍Secur干eSphe報re使用嶄無在線故障楚點和性能瓶椅頸的透明網(wǎng)闖絡(luò)網(wǎng)關(guān)，以訪確保為部署挖和集成消除清此類安全產(chǎn)婦品通常所具慧有的風(fēng)險。虹阻止是通過晉發(fā)送TC膊P重置實嗚現(xiàn)-但趟這無法保證戶阻止操作一五定成功，因酸此TCP譽重置可能亡：昂不能到達受葬保護的服務(wù)魄器買被發(fā)送設(shè)備價忽略下嗅探網(wǎng)關(guān)是御一種被動嗅仔探設(shè)備。用梁于連接企業(yè)殘集線器與交盼換機，可控壘制受保護服債務(wù)器的通信掉。通信信息混將會被復(fù)制錫到該設(shè)備，嶄而不會直接累通過。因為不不是在線的處，因此嗅探莖網(wǎng)關(guān)不會影程響性能，也礦不會影響服腔務(wù)器的穩(wěn)定鞭性。次單個Se手cureS際phere咬網(wǎng)關(guān)可以率輕松監(jiān)控多籠個網(wǎng)段，因市為它包含多造個可用于嗅誰探不同網(wǎng)段否的網(wǎng)絡(luò)接口寧端口。唯一作的限制就是淋其所能處理糧的通信量。調(diào)單個網(wǎng)關(guān)可師以監(jiān)控不同贊類型的服務(wù)禽器（例如：誘Web服捷務(wù)器、數(shù)據(jù)賊庫和電子郵劈件服務(wù)器）狠。不需要在飄多個不同網(wǎng)微關(guān)之間分離斥這些任務(wù)。炮誰橋接部署方令案君如果要為數(shù)歇據(jù)中心提供硬最高級別的北安全性保護著，則可以將鹿Secu催reSph咽ere網(wǎng)襯關(guān)部署為橋猜接模式。在遍此部署方案焰中，網(wǎng)關(guān)充鄙當(dāng)外部網(wǎng)絡(luò)半與受保護的尼網(wǎng)段之間的休連接設(shè)備。恰網(wǎng)關(guān)將阻止掏在線（即：衣丟棄包）惡彩意通信。啞一個在線網(wǎng)燭關(guān)雖然能夠泄保護最多兩果個網(wǎng)段并擁懷有六個網(wǎng)絡(luò)償接口端口。響但不能工作目于在線/嗅蒼探混合模式知。摸其中的兩個更端口用于管教理：一個用鍵于連接管理就服務(wù)器，另淚一個是可選極的，可用于乓連接外部局留域網(wǎng)。其他族四個端口屬權(quán)于兩個用于查在線檢查的喇網(wǎng)橋。每個冊網(wǎng)橋都包含女一個外部網(wǎng)義絡(luò)端口和一狡個受保護網(wǎng)雅絡(luò)端口。箭泰代理部署方情案昂通過在數(shù)據(jù)扭庫服務(wù)器上票安裝代理軟屠件，從而實雹現(xiàn)本地或者循網(wǎng)絡(luò)上數(shù)據(jù)歡庫訪問的審饑計。這種方順法可以通上華面兩種網(wǎng)絡(luò)稈部署模式進坑行混合部署飾。厘帶程序采用炕輕量級的代抓理程序設(shè)計勻，增低CPU辛使用率寨(可設(shè)定上雄限)此低內(nèi)存使用盯率(可設(shè)風(fēng)定上限)番極低的I存/O開銷晃加密數(shù)據(jù)傳針輸為支持兩種工日作模式：凈Local貿(mào)央–悄僅捕捉本盾地特權(quán)訪問跟Globa霧l綱–我完整的數(shù)梳據(jù)庫代理審晃計功能，包搞括本地訪問瓶和網(wǎng)絡(luò)訪問快。工作原理圖謀下面的圖形熄是蝦Secur裁eSphe擴re?捷各組件協(xié)同購工作的工作閉原理圖。管疼理員可以通廳過瀏覽器管呆理界面將配宅置信息發(fā)送鉆到管理服務(wù)嬸器，由管理貌服務(wù)器下發(fā)海到疏Secur邪eSphe長re?帳網(wǎng)關(guān)；被監(jiān)筋控的數(shù)據(jù)被逼送達喚Secur嫂eSphe預(yù)re?歷網(wǎng)關(guān)，網(wǎng)關(guān)芳中的分析引糖擎會根據(jù)預(yù)雨定義的審計義規(guī)則和安全間規(guī)則進行匹智配。如果需書要阻斷，安擱全檢測引擎序?qū)l(fā)送阻斷扇信息或丟棄聯(lián)數(shù)據(jù)包。相勿應(yīng)的告警將個被發(fā)送到管要理服務(wù)器。工作原理圖戶Secur保eSphe喘re騙?政邏輯架構(gòu)層忘次族為了方便客執(zhí)戶理解，我紅們把睛Secur詳eSphe徐re?為工作層次劃差分為6個邏消輯層次，每緞一個層次在鍛數(shù)據(jù)監(jiān)控和痛安全管理中宜都有著不同縱的職責(zé)。私Secur泰eSphe暖re?向工作邏輯層聞次福群用戶界面層說User筆Inter延face依Layer獸用戶界面層朽位用戶提供發(fā)了安全的用僑戶管理界面府可以監(jiān)控和徹管理數(shù)據(jù)庫葵安全配置、賣數(shù)據(jù)庫安全傾事件、數(shù)據(jù)慮庫審計。用轉(zhuǎn)戶界面層無杰需用戶安裝安任何軟件，等只需要在普洞通PC上的互瀏覽器就可誰以進行管理和了。弟栽管理和報告糾層杜Manag防ement味&Re捕porti針ngLa伶yer蘇Imper等va的管理聞服務(wù)器位于牲該層工作，霜并為后臺的思系統(tǒng)集中鄉(xiāng)管理和報告蠅提供服務(wù)。輸所有的系統(tǒng)梳配置、網(wǎng)關(guān)慈活動均由管托理服務(wù)器來語實現(xiàn)管理。次刑分析層類Analy攤sisL測ayer劫分析層是由暑I(lǐng)mper殿va的網(wǎng)關(guān)里構(gòu)成的。分寶析層的主要喘工作就是匯點聚和分析該之層獲得或者析更底層獲得澇的SQL交汽易信息。所歇有的處理邏比輯學(xué)習(xí)、分低類、存儲和鋸獲取SQL合應(yīng)用流量都鐵是在這一層膚進行的。糞如果網(wǎng)關(guān)設(shè)鏟備是串聯(lián)部假署的，那么巨網(wǎng)關(guān)則可以疑實時阻斷未賄授權(quán)的網(wǎng)絡(luò)徐數(shù)據(jù)庫活動兔。網(wǎng)關(guān)部署遭的位置也應(yīng)圍該是在數(shù)據(jù)藍庫訪問客戶啞端和數(shù)據(jù)庫蠟服務(wù)器之間輔。糾稼存儲層麻Stora勾geLa目yer裝存儲層是同腦時和管理及蓋報告層以及攔分析層協(xié)同捕工作的層次讓。一方面，蘿存儲層可以亭為網(wǎng)關(guān)設(shè)備耐提供在線的教SQL交易免記錄存儲；檔另一方面，禽也可以作為酬管理服務(wù)器蒸外部存檔的宰存儲空間。慚Imper脅va網(wǎng)關(guān)針燈對數(shù)據(jù)庫審徐計數(shù)據(jù)巨大饅的客戶提供禿SAN（S慧torag降eAre疾aNet秒work）吧的擴展，可帖實時將巨大首的審計數(shù)據(jù)晚記錄到SA收N中。腿對于需要定務(wù)期存檔的審溉計數(shù)據(jù)，則圖可以通過管壓理服務(wù)器定雁期歸檔到外間部的NAS推上。竭暗收集層Co蕩llect絡(luò)ionL根ayer檔收集層主要魄是收集所有眼需要分析和倘審計的數(shù)據(jù)遺庫活動。一喘方面，我們蜜可以通過網(wǎng)傲關(guān)設(shè)備直接犯采用旁路監(jiān)臂聽或者串聯(lián)近接入的方式鐵，無需在D津B上安裝組弟件，就可以承收集到需要嫩監(jiān)控和分析芝的數(shù)據(jù)；但應(yīng)是，另一方以面，對于一刺些非網(wǎng)絡(luò)或招者SSH、嗓RDP之類持的無法進行殼網(wǎng)絡(luò)分析的爺場景進行監(jiān)碎控，我們可曬以采用數(shù)據(jù)紀庫代理的方壟式來收集數(shù)鋸據(jù)庫本地活寸動信息。我電們可以混合壁使用這兩種啦方式來進行岸數(shù)據(jù)庫活動儉收集。炒食數(shù)據(jù)庫訪問妄層DBA突ccess鞋Laye陡r滅數(shù)據(jù)庫訪問鐮層代表了所深有可能訪問旨數(shù)據(jù)庫的主泉機、中間件曠、應(yīng)用等等泰。這個層次抖代表了數(shù)據(jù)廢庫安全系統(tǒng)劣需要管理的篇IP地址、蠅主機名、用掠戶名、應(yīng)用虹程序等等。數(shù)據(jù)捕獲撞Secur惱eSphe健re?外對數(shù)據(jù)庫活瘡動數(shù)據(jù)的捕飼獲并不是通惹過數(shù)據(jù)庫本社身的審計日獄志、觸發(fā)器庭、交易記錄孩等，而是完功全通過分析踐網(wǎng)絡(luò)數(shù)據(jù)或近者本地通訊灑數(shù)據(jù)本身。棕通過對數(shù)據(jù)義庫協(xié)議和應(yīng)集用本身的理僑解，了解其合中的具體數(shù)卡據(jù)和內(nèi)容。托而采用其他粉方法則存在笑了許多弊病晌：路造成數(shù)據(jù)庫套額外的負載像開啟數(shù)據(jù)庫找自身的審計睬功能，通常銜會造成10會-25%的彩性能下降，損這會大大影爸響數(shù)據(jù)庫的盆自身性能，搏而且如果需鏟要分析交易鄙日志以及其航關(guān)聯(lián)的邏輯尾聯(lián)系則需要梳更大的性能嗚開銷。篡改的問題榮數(shù)據(jù)庫自身揚的審計功能滅，通常仍然繳由DBA管填理，這樣審殖計的獨立性管很難保證，鼠可能會出現(xiàn)般DBA篡改泥審計日志的搖問題。趴缺失的操作朽信息擋數(shù)據(jù)庫自身修的交易記錄載是不提供D這CL操作的璃內(nèi)容的，例隸如，SHU檢TDOWN貓，GRAN姥Ts等鋤缺失的用戶堵信息謙一些數(shù)據(jù)庫厘是不會提供槽SYSDB啦A的操作審順計日志的，束例如，Or緒acle。梨同時，交易廊日志也無法誰提供訪問者滔的詳細用戶敲信息（OS晴用戶名、主御機名、IP京、通過何種雄應(yīng)用程序訪害問的，等）巨Secur悉eSphe但re梁?費多層安全檢攏查機制儲Secur稻eSphe第re?陰產(chǎn)品充分考重慮到目前的晴復(fù)雜安全環(huán)綢境，需要在店多個層次對惑各種安全威劫脅檢查才可早以對數(shù)據(jù)庫字提供足夠的互安全保障。享Secur列eSphe芬re?懲的安全模型館中提供了包性括防火墻、魚簽名、協(xié)議閱檢查、Pr破ofile策、攻擊關(guān)聯(lián)液等多種檢查車機制來綜合屬驗證可疑的羨訪問行為。誘Secur瘦eSphe解re?衣安全檢測引領(lǐng)擎素婚數(shù)據(jù)庫I精PS認Secur普eSphe爬re?災(zāi)數(shù)據(jù)庫I猶PS基于跑特征來識別音以已知數(shù)據(jù)運庫平臺軟件酸漏洞為攻擊握目標的攻擊擺。通過將與友Snor湖t非?岡兼容的特妥征數(shù)據(jù)庫和苦由Imp啞erva音的國際安全河研究機構(gòu)芝－應(yīng)用防稅御中心(扔ADC)策開發(fā)的特定蟻于專用數(shù)據(jù)繼庫的特征相很組合，Se頃cureS拘phere代的獨有卡IPS技嘆術(shù)完全滿足州數(shù)據(jù)庫部署琴的要求。贊杏ADC還喬利用上下文豪屬性（如受途影響的系統(tǒng)潔、風(fēng)險、準矩確度和攻擊賊頻率）對每石個特征進行澤優(yōu)化。用戶骨可利用這些勾屬性自定義暮IPS惕策略，使其團符合特定環(huán)