上海東方CJ內(nèi)控管理、內(nèi)網(wǎng)監(jiān)控及數(shù)據(jù)庫審計平臺技術(shù)解決方案上海絡(luò)安信息技術(shù)有限公司2024年02月

版權(quán)聲明上海絡(luò)安信息技術(shù)有限公司是一家提供全面網(wǎng)絡(luò)平安解決方案的咨詢與效勞為主的高科技企業(yè)，為中國廣闊的行業(yè)用戶提供具有國際標準〔如ISO17799、ISO15408、BS7799等〕的網(wǎng)絡(luò)平安全面解決方案及咨詢效勞，并向客戶提供全面平安解決方案中所需的各項平安工具，及提供平安解決方案管理所需的管理決策平臺、平安咨詢、教育培訓(xùn)以及卓越的售后效勞。上海絡(luò)安信息技術(shù)有限公司保存此文檔的所有電子、紙張類文件資料和相關(guān)軟件等的所有版權(quán)。任何單位和個人未經(jīng)許可不得復(fù)制、轉(zhuǎn)載或用于任何商業(yè)目的，上海絡(luò)安信息技術(shù)有限公司保存追究法律責任的權(quán)利。

文檔修改日志日期修改理由修改章節(jié)版本2024.02.07原始版本1.0

目錄第一章 工程綜述 堡壘主機對各種字符終端和圖形終端使用的協(xié)議進行代理，實現(xiàn)多平臺的操作支持和審計，例如Telnet、SSH、FTP、Windows平臺的RDP遠程桌面協(xié)議，Linux/Unix平臺的XWindow圖形終端訪問協(xié)議等。當運維機通過堡壘主機訪問效勞器時，首先由堡壘主機模擬成遠程訪問的效勞端，接受運維機的連接和通訊，并對其進行協(xié)議的復(fù)原、解析、記錄，最終獲得運維機的操作行為，之后堡壘主機模擬運維機與真正的目標效勞器建立通訊并轉(zhuǎn)發(fā)運維機發(fā)送的指令信息，從而實現(xiàn)對各種維護協(xié)議的代理轉(zhuǎn)發(fā)過程。在通訊過程中，堡壘主時機記錄各種指令信息，并根據(jù)策略對通信過程進行控制，如發(fā)現(xiàn)違規(guī)操作，那么不進行代理轉(zhuǎn)發(fā)，并由堡壘主機反應(yīng)禁止執(zhí)行的回顯提示。產(chǎn)品功能介紹系統(tǒng)架構(gòu)LanSecS〔堡壘主機〕內(nèi)控管理平臺采用層次化、模塊化的設(shè)計，產(chǎn)品整體分為認證層、操作層、權(quán)限層、審計層、核心層。系統(tǒng)從可擴展性、高性能、系統(tǒng)的松耦合性、平安性等角度進行了充分的考慮，為平安信息系統(tǒng)的管理提供了一個商業(yè)級、智能化的訪問管理平臺?？傮w結(jié)構(gòu)圖如下所示：功能描述LanSecS〔堡壘主機〕內(nèi)控管理平臺模塊分為：用戶管理、認證管理、授權(quán)管理和集中審計四大局部，功能結(jié)構(gòu)如下列圖所示：統(tǒng)一資源管理LanSecS〔堡壘主機〕內(nèi)控管理平臺實現(xiàn)了對自然人的生命周期管理和授權(quán)管理，圍繞這人員入職、換崗、離職等一系列周期過程進行從帳號的推拉、登記訪問流程的審批、角色授權(quán)、訪問控制策略等一整套平安控制措施的管理，以及提供可大大減輕管理員工作量的用戶自效勞功能。LanSecS〔堡壘主機〕內(nèi)控管理平臺提供用戶分組管理的功能，所有的帳號策略、授權(quán)策略、訪問控制策略等均可通過組的方式來進行批量的設(shè)定，同時也可以對單個用戶進行精細的策略授權(quán)。用戶分組的層次可按需要任意設(shè)計多級子組，并且每個組均可以設(shè)置單獨的管理員進行組內(nèi)管理。這可以在平安的控制范圍內(nèi)，提供各業(yè)務(wù)系統(tǒng)或子單位進行內(nèi)部帳號自管理的能力，并且大幅提高帳號管理的效率和響應(yīng)速度，也能夠大大減輕網(wǎng)絡(luò)運維人員的管理維護工作量。LanSecS〔堡壘主機〕內(nèi)控管理平臺提供流程引擎，滿足帳號申請、審批、分配、通知等流程管理制度的需要，并且能夠與BMCRemedy、HPOSD、CAHelpDesk等主流電子運維流程進行無縫集成，便于企業(yè)建立統(tǒng)一的平安運維管理。LanSecS〔堡壘主機〕內(nèi)控管理平臺提供角色授權(quán)與訪問控制等一系列策略管理功能，滿足企業(yè)對人員訪問平安的各種需求，能夠?qū)崿F(xiàn)對人員、時間、地點、被訪資源、操作、頻率次數(shù)等的授權(quán)、訪問控制和審計能力。用戶管理LanSecS〔堡壘主機〕內(nèi)控管理平臺，用于存儲內(nèi)部的所有管理信息，包括所管理的設(shè)備、系統(tǒng)，各設(shè)備、系統(tǒng)下的所有從賬號，從賬號與主賬號的對應(yīng)關(guān)系等。在賬號管理數(shù)據(jù)庫中可以不存儲個人信息，而是在需要的時候通過外部數(shù)據(jù)接口訪問企業(yè)平安目錄，獲取個人信息。根據(jù)系統(tǒng)資源的管理實現(xiàn)自然人，集中賬號管理系統(tǒng)角色，及設(shè)備帳號三者之間關(guān)聯(lián)；用戶權(quán)限的模型應(yīng)遵從業(yè)界基于角色的權(quán)限控制(RBAC)模型，實現(xiàn)用戶－角色－權(quán)限－資源的權(quán)限模型。用戶管理包含對所有系統(tǒng)子系統(tǒng)等的賬號的集中管理，以及整個系統(tǒng)中各種資源的集中管理。賬號和資源的集中管理是集中授權(quán)、認證和訪問控制的根底。集中用戶管理可以完成對用戶整個生命周期的監(jiān)控和管理，而且還降低了企業(yè)管理大量用戶賬號的難度和工作量。同時，通過統(tǒng)一的管理還能夠發(fā)現(xiàn)帳號中存在的平安隱患，并且制定統(tǒng)一的、標準的用戶帳號平安策略。通過建立集中用戶管理，企業(yè)還可以實現(xiàn)將賬號與具體的自然人相關(guān)聯(lián)。通過這種關(guān)聯(lián)，可以實現(xiàn)多級的用戶管理和細粒度的用戶授權(quán)。而且，還可以實現(xiàn)針對自然人的行為審計，以滿足合規(guī)審計的需要。用戶生命周期管理用戶生命周期管理是指對用戶從產(chǎn)生到刪除各存在狀態(tài)進行管理。包括統(tǒng)一的用戶創(chuàng)立、維護、刪除等功能。統(tǒng)一的用戶審批管理流程(添加、修改、禁用、啟用、刪除)。制定人員兼職、調(diào)動、離職的管理機制。生命周期管理功能項：用戶信息導(dǎo)入用戶管理子系統(tǒng)能夠從用戶人事管理系統(tǒng)中通過定制接口或文件的形式導(dǎo)入人員信息；手動添加用戶信息具有相關(guān)管理權(quán)限的用戶可以手動添加用戶信息；用戶管理子系統(tǒng)還可以通過定制開發(fā)的接口，將新加的用戶信息同時到相關(guān)人事管理系統(tǒng)中；用戶信息修改具有相關(guān)管理權(quán)限的用戶可以對用戶信息進行修改；用戶信息自維護用戶可以通過用戶管理子系統(tǒng)對自己信息進行維護，同時，系統(tǒng)會自動將修改發(fā)布到相關(guān)系統(tǒng)或管理員；用戶入職系統(tǒng)能夠根據(jù)用戶工作職能，權(quán)限等，按照預(yù)定義的相關(guān)入職策略，創(chuàng)立用戶信息，以及為用戶建立相關(guān)賬號；用戶職責變更系統(tǒng)能夠根據(jù)用戶工作職能，權(quán)限變換等，按照預(yù)定義的相關(guān)職責策略，修改用戶相關(guān)賬號；用戶離職系統(tǒng)能夠根據(jù)離職策略，處理遺留在系統(tǒng)中的用戶信息，以及對用戶的相關(guān)賬號執(zhí)行相關(guān)操作處理，例如，刪除等。主賬號管理主賬號與自然人〔相關(guān)用戶及用戶信息〕對應(yīng)系統(tǒng)中每個主賬號只與一個自然人對應(yīng)，而一個自然人可以具備多個主賬號；主賬號的根本管理相關(guān)權(quán)限管理員可以對主賬號進行增刪改查；詳細功能描述這個功能表達了統(tǒng)一身份及訪問管理系統(tǒng)用戶的管理，即主用戶的管理：用戶按樹形劃分〔劃分方式以管理員的理解進行，例如按部門，業(yè)務(wù)，地域等〕；樹的每個節(jié)點，作為一個管理單元，包含假設(shè)干用戶，也有各種策略屬性〔如登錄失敗控制策略、登錄時間策略以及資源訪問策略〕；每個節(jié)點，可以指定其下的一個或多個用戶為管理員，管理員對這個節(jié)點，節(jié)點下的子節(jié)點，以及節(jié)點和子節(jié)點下的用戶進行管理，如增刪改用戶，增刪改子節(jié)點，為用戶或節(jié)點設(shè)置策略；管理員只能對自己管理的節(jié)點下子節(jié)點進行操作。賬號管理從帳號進行分類定義并做為資源從帳號的屬性，包括孤立帳號、交叉帳號和等，并且賦予了一些根本的管理功能。羅列主要的資源從帳號屬性如下：孤立帳號：任何被管資源上的從帳號如果在沒有被分配給自然人帳號的情況下，那么標記為孤立帳號，并能夠向管理員產(chǎn)生報告以便及時發(fā)現(xiàn)非法帳號或濫用帳號的存在；共享帳號：被做為角色并且分配給了多個自然人的資源從帳號，那么標記為共享帳號，并提供帳號報告；直屬帳號：唯一對應(yīng)且僅僅附屬于單一自然人的資源從帳號，那么標記為直屬帳號，并提供帳號報告；用戶角色管理集中賬號管理系統(tǒng)實現(xiàn)基于用戶角色的用戶管理體系，將自然人與相關(guān)角色和系統(tǒng)資源進行統(tǒng)一的管理，便于對用戶、角色的授權(quán)和制定對資源的訪問控制策略：通過集中賬號管理系統(tǒng)創(chuàng)立、撤消角色；通過集中賬號管理系統(tǒng)分配角色權(quán)限，包括角色能夠訪問哪些應(yīng)用，能夠在應(yīng)用中以什么樣的方式訪問哪些資源。角色通常與職權(quán)、職位以及分擔的權(quán)利和責任有關(guān)。賬號同時集中賬號管理系統(tǒng)能夠自動發(fā)現(xiàn)主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫上的已有賬號。系統(tǒng)可以定期手動觸發(fā)或自動搜索所有被管理的系統(tǒng)，從中發(fā)現(xiàn)、收集所有新創(chuàng)立的賬號。系統(tǒng)還可以通過帳號推送機制，通過集中帳號管理系統(tǒng)在被管系統(tǒng)中創(chuàng)立新的帳號。集中帳號管理系統(tǒng)還可以通過同時機制，與用戶現(xiàn)有的用戶管理系統(tǒng)，例如、域用戶系統(tǒng)等用戶管理系統(tǒng)實現(xiàn)帳號的同時。制定人員信息導(dǎo)入的機制(可以與HR系統(tǒng)的集成)。系統(tǒng)通過客戶端〔賬號同時驅(qū)動、程序或接口〕、telnet、ftp方式獲得各種主機，網(wǎng)絡(luò)設(shè)備、平安設(shè)備、數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)賬號信息以及賬號所對應(yīng)的權(quán)限。其中主機包括各版本的Windows、UNIX、Linux等操作系統(tǒng)，網(wǎng)絡(luò)設(shè)備包括Cisco、華為等交換路由設(shè)備，平安系統(tǒng)包括各種防火墻，防病毒和入侵檢測系統(tǒng)等，SQLSERVER、Oracle、DB2、Informix等主流數(shù)據(jù)庫的賬號，用戶各種業(yè)務(wù)系統(tǒng)如MISC、SAP等系統(tǒng)賬號。相關(guān)權(quán)限管理員可以在通過用戶管理系統(tǒng)為用戶創(chuàng)立相關(guān)角色，以及創(chuàng)立角色賬號和為賬號設(shè)置相應(yīng)權(quán)限，由系統(tǒng)通過客戶端〔賬號同時驅(qū)動、程序或接口〕、telnet、ftp方式推送到相關(guān)資源、系統(tǒng)中?？蛻舳酥С諥D、RDB、LDAP等用戶存儲方式。賬號策略管理帳號策略管理提供了豐富的自動化帳號管理功能，能夠根據(jù)帳號類型和相應(yīng)的管理策略滿足用戶多樣的管理需求。這些管理需求包括：自動發(fā)現(xiàn)和自動監(jiān)測：滿足用戶對各IT資源上的帳號監(jiān)控需求，周期性的采集、同時和監(jiān)測被管資源上的帳號。主從帳號一致性：滿足用戶對授權(quán)資源內(nèi)的自然人帳號的統(tǒng)一與同時需求，保證在授權(quán)資源范圍內(nèi)對每個自然人帳號維持一套獨有的、一致性的資源從帳號。此功能不同于角色管理模式，在角色管理模式下，多個自然人可能共享同一套資源從帳號。特殊帳號一致性推拉：滿足用戶對特定用戶、特定資源范圍內(nèi)的應(yīng)用系統(tǒng)帳號的快速推廣需求，滿足其他IT管理系統(tǒng)對企業(yè)IT資源的自動化監(jiān)管需求。例如，網(wǎng)管系統(tǒng)的自動巡檢模塊需要根據(jù)網(wǎng)管系統(tǒng)的值班帳號來采集主機、網(wǎng)絡(luò)設(shè)備或系統(tǒng)等的配置、性能等狀態(tài)數(shù)據(jù)。動態(tài)密碼方案：滿足對被管資源從帳號的平安保護需求，對資源從帳號進行周期性的高強度密碼變更，維護賬號的平安性。帳號處理策略：滿足對各種帳號類型的處理需求，將帳號劃分為交叉帳號、共享帳號、孤立帳號等：交叉帳號：交叉帳號是被其他系統(tǒng)內(nèi)部使用的帳號，它的密碼不能隨意改變。因此這類帳號不能進入密碼方案；共享賬號：在內(nèi)部被授予多個用戶使用的帳號，這個賬號的刪除不能隨一個賬號的刪除而刪除；孤立帳號：在內(nèi)部未被授權(quán)的用戶，這類賬號會一告警的方式被告知管理源；資源管理這個功能表達了統(tǒng)一身份及訪問管理系統(tǒng)接入資源的管理，即主機，網(wǎng)絡(luò)設(shè)備，網(wǎng)元，應(yīng)用的管理。資源與主賬號〔用戶〕的對應(yīng)系統(tǒng)相關(guān)管理員可以指定主賬號的資源的訪問權(quán)限；資源按樹形劃分〔劃分方式以管理員的理解進行，例如按部門，業(yè)務(wù)，地域等〕；樹的每個節(jié)點，作為一個管理單元，包含假設(shè)干資源；每個節(jié)點，可以指定一個或多個用戶為管理員，管理員對這個節(jié)點，節(jié)點下的子節(jié)點，以及節(jié)點和子節(jié)點下的資源進行管理，如增刪改子節(jié)點，增刪改資源，對資源賬號進行同時等。密碼策略實現(xiàn)集中的密碼管理，并按照密碼策略的要求，自動、集中、定期修改系統(tǒng)賬號的口令，對口令強度和周期實行統(tǒng)一的管理。實現(xiàn)集中刪除一個自然人的所有或者局部系統(tǒng)賬號。系統(tǒng)按照SOX要求設(shè)置了嚴格的用戶帳號平安策略，并且可以根據(jù)需要自行配置，策略包括密碼強度、生存周期等，可以根據(jù)需要自動定時對從帳號口令進行修改，并且能夠?qū)⒔Y(jié)果自動同時到所有被管理系統(tǒng)中去。密碼制定策略用戶必須按照規(guī)定涉及相關(guān)主、從賬號密碼〔長度、字符等〕，系統(tǒng)還提供多種密碼制定策略，滿足不同系統(tǒng)對密碼平安的需要；可以設(shè)定最小和最大口令長度可以設(shè)定最小和最大字符數(shù)目可以設(shè)定最小和最大數(shù)字數(shù)目可以設(shè)定最小和最大標點符號數(shù)目可以設(shè)定不能使用的口令〔如特定的詞、與賬號相關(guān)的變種〕可以進行相似口令檢查可以進行連續(xù)字符檢查可以進行口令更改時間間隔限制可以設(shè)置同一口令的使用限制可以設(shè)置導(dǎo)致賬號被鎖定的嘗試失敗登錄次數(shù)可以進行自動的口令重設(shè)可以對于管理員用戶和普通用戶分別設(shè)置口令管理和認證方式的選擇策略。密碼修改方案功能概述：這個功能為了實現(xiàn)，用戶從賬號密碼的定期變更，提高密碼的平安性；密碼定期檢查通過系統(tǒng)定時任務(wù)，或相關(guān)管理員執(zhí)行密碼檢查，找出系統(tǒng)中存在不滿足要求的用戶口令；密碼失效策略系統(tǒng)自動使不滿足要求的密碼失效；密碼存儲策略密碼的存儲采用加密存儲，加密方式：RSA或DES；授權(quán)管理授權(quán)內(nèi)系統(tǒng)提供統(tǒng)一的界面，來對用戶、角色及行為和資源進行授權(quán)管理，以到達對權(quán)限的細粒度控制，最大限度保護用戶資源的平安。集中賬號管理系統(tǒng)通過集中授權(quán)和訪問控制可以對用戶通過B/S、C/S對主機、網(wǎng)元和各業(yè)務(wù)系統(tǒng)的訪問進行審計和阻斷。集中授權(quán)在集中授權(quán)里強調(diào)的“集中〞是邏輯上的集中，而不是物理上的集中。即在各網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、應(yīng)用系統(tǒng)中可能還擁有各自的權(quán)限管理功能，管理員也由各自的歸口管理部門委派，但是這些管理員從統(tǒng)一的授權(quán)系統(tǒng)進去以后，可以對各自的管理對象進行授權(quán)，而不需要進入每一個被管理對象才能授權(quán)。授權(quán)的對象包括用戶、用戶角色、資源和用戶行為。系統(tǒng)不但能夠授權(quán)用戶可以通過什么角色訪問資源這樣基于應(yīng)用邊界的粗粒度授權(quán)，對某些應(yīng)用還可以限制用戶的操作，以及在什么時間進行操作這樣集體到應(yīng)用內(nèi)部的細粒度授權(quán)。授權(quán)審批用戶創(chuàng)立帳號之后，對于權(quán)限的審批需要通過系統(tǒng)內(nèi)置的工單系統(tǒng)來進行權(quán)限的審批，每一步的審批過程均有詳細的記錄，便于事后對責任的追查。資源授權(quán)資源授權(quán)的范圍主要包括主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、網(wǎng)元、OMC、平安設(shè)備和應(yīng)用系統(tǒng)〔業(yè)務(wù)支撐系統(tǒng)、網(wǎng)管系統(tǒng)、信息化系統(tǒng)、其他〕等。對資源授權(quán)主要包括實體授權(quán)和資源級授權(quán)：實體級集中授權(quán)，授權(quán)粒度只精確到應(yīng)用、設(shè)備、主機，就是用戶是否有權(quán)連接某個IP地址＋端口。實體內(nèi)部資源級集中授權(quán)，授權(quán)粒度精確到應(yīng)用、設(shè)備、主機內(nèi)的資源。資源包括應(yīng)用的功能模塊、HTML頁面、數(shù)據(jù)庫表或字段；主機內(nèi)的文件或目錄等。集中賬號管理系統(tǒng)通過對用戶授權(quán)，可以定義用戶可以訪問哪些應(yīng)用，以及以什么樣的方式在什么時間訪問，可以防止未被授權(quán)的用戶、角色對資源的訪問。角色授權(quán)集中帳號管理系統(tǒng)通過對角色授權(quán)，可以用戶以什么身份訪問應(yīng)用，以及可以執(zhí)行的操作。當在系統(tǒng)中對角色進行創(chuàng)立、分配權(quán)限、修改、刪除后，會被同時到資源，多個角色構(gòu)成一個角色組，身份及訪問管理來系統(tǒng)不直接對應(yīng)用和系統(tǒng)權(quán)限進行管理，但能夠?qū)?quán)限授予角色和從帳號，應(yīng)用系統(tǒng)必須按照角色進行樹立，使權(quán)限按照角色進行管理。對應(yīng)關(guān)系如下：一個自然人對應(yīng)一個主帳號一個主帳號對應(yīng)多個角色組或多個從帳號一個角色組對各多個資源上的多個角色一個從帳號對應(yīng)一個資源上的角色一個角色對應(yīng)資源上的多個權(quán)限主帳號和角色組信息在身份及訪問管理系統(tǒng)存儲，從帳號和角色在身份及訪問管理系統(tǒng)和資源上存儲，權(quán)限信息可在系統(tǒng)平臺和資源上存儲，以便進行訪問控制。細粒度授權(quán)LanSecS〔堡壘主機〕內(nèi)控管理平臺負責構(gòu)建企業(yè)資源訪問角色，并制定一系列訪問控制策略。集中授權(quán)管理可實現(xiàn)完善的角色授權(quán)管理功能，從用戶、角色和資源進行用戶授權(quán)管理?？梢灾贫ǖ劫Y源邊界的粗粒度授權(quán)，即，用戶按照角色權(quán)限和管理資源范圍的不同，能夠訪問的資源IP和Port也不同；也可以制定針對資源操作的細粒度授權(quán)，即，能夠?qū)τ脩暨M行登錄時間、訪問地點、目的資源、次數(shù)、頻率、失敗控制、操作命令、操作參數(shù)等等的具體行為、時間、地點、目的的精細控制。提供基于java的api實現(xiàn)授權(quán)信息的下發(fā)。包含的信息：主用戶，設(shè)備地址〔ip，port〕，從賬戶，命令黑白名單。集中授權(quán)管理可實現(xiàn)強大的訪問控制能力。對于用戶對資源的訪問控制，通過對其授予不同的訪問策略來實現(xiàn)，例如用于登錄失敗策略、登錄時間策略、堡壘主機策略等：利用資源內(nèi)部進行訪問控制：對自然人賬號授權(quán)資源從帳號，實現(xiàn)了自然人賬號到資源訪問的根本授權(quán)，由于從帳號包含有資源訪問的內(nèi)部授權(quán)信息〔例如用戶組、Shell等〕，可以依靠資源內(nèi)部實現(xiàn)一定粒度的訪問控制利用堡壘主機進行集中的訪問控制：通過對自然人賬號授權(quán)相應(yīng)的訪問策略，并通過策略執(zhí)行單元――堡壘主機的干預(yù)，可以對自然人賬號訪問資源作進一步的授權(quán)控制，例如對于字符應(yīng)用，授權(quán)可以控制到命令及命令參數(shù)和級的粒度；對于web應(yīng)用可以授權(quán)到指定的url，并可以授權(quán)到指定的時段，ip段等。集成SSLVPN方式的集中接入和訪問控制；集成反向代理〔AccessManager〕方式的集中接入和訪問控制；集成堡壘主機方式的集中接入和訪問控制；利用AAA實現(xiàn)的訪問控制：通過將支持Radius的資源的認證指向堡壘主機內(nèi)置的RadiusServer來保證資源訪問的授權(quán)。集中訪問控制B/S系統(tǒng)通過訪問控制效勞器結(jié)合相應(yīng)用戶B/S訪問請求，并且根據(jù)訪問控制策略進行阻斷、告警。C/S系統(tǒng)，可以通過堡壘主機對用戶行為進行細粒度訪問控制，例如telnet、ftp、ssh和圖形方式的應(yīng)用的審計RDP等。堡壘主機字符堡壘主機是應(yīng)用級的網(wǎng)關(guān)，可以對字符應(yīng)用的訪問做到命令的訪問控制，會話內(nèi)容的審計。功能特點：對各種字符應(yīng)用，Telnet、SSH、FTP等等作應(yīng)用級的控制轉(zhuǎn)發(fā)。其工作原理是對堡壘主機的Shell模塊做了審計、訪問控制加強，所以其工作原理簡單可靠，其并發(fā)數(shù)可吞吐量根本和主機本身的性能成正比。訪問控制：通過和堡壘主機訪問控制策略效勞器進行聯(lián)動，可以對各種字符應(yīng)用作基于命令的訪問控制，例如對于用戶使用了未授權(quán)命令，可以對命令進行阻斷。審計：可以對其轉(zhuǎn)發(fā)的數(shù)據(jù)直接記錄日志，并記錄會話ID以形成回放能力。優(yōu)點：工作在應(yīng)用層，可以獲得會話過程中的用戶名信息，IP信息、端口信息。有利于更加完整的獲得用戶的會話審計信息，更加有效的控制用戶發(fā)送的操作命令。訪問控制的力度很細，能夠?qū)τ脩舭l(fā)出的命令做訪問控制，可以控制到命令本身，和命令操作的對象，如目錄、文件、用戶、組等系統(tǒng)對象。RDP堡壘主機RDP堡壘主機能夠?qū)崿F(xiàn)WindowsTerminal、、xWindows等圖形終端的集中接入和訪問控制，可以做到應(yīng)用邊界的訪問控制并且可以進行全程錄像和回放。功能特點：訪問控制：通過和堡壘主機訪問控制策略效勞器進行聯(lián)動，可以對用戶所能夠訪問的Windows主機、Unix主機進行邊界級的訪問控制。審計：可以對用戶的整個操作過程進行錄像并回放。優(yōu)點：可以滿足用戶對圖形化終端的使用需求?？梢宰龅劫Y源邊界的訪問控制?？梢宰鰰掍浵?。缺點：控制粒度較粗操作過程無法控制單點登陸身份認證和訪問管理系統(tǒng)提供了基于B/S的單點登錄系統(tǒng)，用戶通過一次登錄單點登錄系統(tǒng)后，就可以無需認證的訪問包括被授權(quán)的多種基于B/S和C/S的應(yīng)用和系統(tǒng)。單點登錄系統(tǒng)為具有多帳號的用戶提供了方便快捷的訪問途經(jīng)，使用戶無需記憶多種登錄過程、用戶ID和口令。它通過向用戶和客戶提供對其個性化資源的快捷訪問提高生產(chǎn)效率和利潤。同時，由于單點登錄系統(tǒng)自身是采用強認證的系統(tǒng)，從而提高了用戶認證環(huán)節(jié)的平安性。集中不同(B/S架構(gòu)和C/S架構(gòu))業(yè)務(wù)應(yīng)用系統(tǒng)(如OA，MIS，BI，CRM，ERP等)，主機系統(tǒng)(如UNIX，LINUX，WINDOWS等)，網(wǎng)絡(luò)設(shè)備(如交換機，防火墻)的用戶身份認證。單點登錄系統(tǒng)與自身可以實現(xiàn)與用戶授權(quán)管理的無縫連接，這樣可以通過對用戶、角色、行為和資源的授權(quán)，增加對資源的保護，和對用戶行為的監(jiān)控及審計。B/S單點登錄B/S單點登錄系統(tǒng)通過應(yīng)用發(fā)布的方式實現(xiàn)B/S應(yīng)用的單點登錄。用戶通過登錄集中應(yīng)用發(fā)布平臺，然后可以直接訪問平臺所發(fā)布的B/S應(yīng)用。通過單點登錄，以及單點登錄賬號〔主賬號與自然人關(guān)聯(lián)〕對用戶進行授權(quán)訪問和基于自然人的行為審計。單點登錄：通過堡壘主機Portal自動提交表單的方式：用戶訪問Web應(yīng)用系統(tǒng)時，堡壘主機Portal通過構(gòu)造隱藏的登錄表單并自動提交的方式進入Web應(yīng)用系統(tǒng)。此種方式下，客戶端在首次通過堡壘主機Portal的強認證和單獨登錄認證后直接與Web應(yīng)用系統(tǒng)交互，其訪問行為需要堡壘主機來進行授權(quán)控制。通過SSLVPN、反向代理表單注入的方式：堡壘主機設(shè)備在作代理的過程中當發(fā)現(xiàn)有登錄特征的http內(nèi)容，自動注入表單內(nèi)容，完成web應(yīng)用登錄。單點登出：通過SSLVPN、反向代理和進行策略聯(lián)動的方式。當用戶登出堡壘主機Portal時SSLVPN、反向代理設(shè)備收到堡壘主機Server的聯(lián)動策略后，斷開用戶和WEB應(yīng)用的連接，實現(xiàn)登出。C/S單點登錄C/S單點登錄系統(tǒng)通過應(yīng)用發(fā)布的方式實現(xiàn)C/S應(yīng)用的單點登錄。用戶通過登錄集中應(yīng)用發(fā)布平臺，然后可以直接訪問平臺所發(fā)布的C/S應(yīng)用。LanSecS〔堡壘主機〕內(nèi)控管理平臺可以直接將C/S應(yīng)用發(fā)布到中央管理平臺，系統(tǒng)會根據(jù)用戶的分級和對資源〔應(yīng)用是對資源的訪問形式〕授權(quán)，為用戶提供相關(guān)C/S應(yīng)用。單點登錄：通過瀏覽器代填控件進行代填：用戶在通過堡壘主機Portal的強認證后，代填控件會被自動下載到客戶端瀏覽器中，控件會對C/S的客戶端進行掛鉤，分析特征事件序列，進行窗口控件級操作實現(xiàn)代填動作，單獨登錄后的訪問行為需要堡壘主機來進行授權(quán)控制。此種方式需要客戶端預(yù)先安裝C/S的Client端。單點登出：通過SSLVPN，堡壘主機，Citrix等這些C/S訪問控制設(shè)備，和進行策略聯(lián)動的方式。當用戶登出堡壘主機Portal時SSLVPN、堡壘主機，Citrix收到堡壘主機Server的聯(lián)動策略后斷開用戶和應(yīng)用的連接，實現(xiàn)登出。動態(tài)短信口令認證以提供基于短信動態(tài)密碼〔SMS-OTP〕的認證方式為主，能夠提供符合SOX等國際標準和法規(guī)要求的高強度認證效勞；自動判斷登錄IP網(wǎng)段，能夠根據(jù)不同的IP網(wǎng)段確定是否觸發(fā)短信動態(tài)密碼認證；短信動態(tài)密碼認證效勞器在生成并向用戶發(fā)送動態(tài)口令之前，必需對用戶的身份進行驗證，驗證通過后才能向用戶注冊手機號碼發(fā)送生成的一次性口令；觸發(fā)過程中，用戶的驗證密碼〔PIN碼等〕不能在網(wǎng)絡(luò)上明文傳輸；短信動態(tài)密碼認證效勞器的觸發(fā)機制必須能夠抵御惡意的動態(tài)密碼觸發(fā)請求，防止拒絕效勞攻擊；認證平臺只能接受一次動態(tài)密碼的登錄認證請求，成功后動態(tài)密碼立即失效，此后再采用該動態(tài)密碼進行登錄均被視為違法操作；短信動態(tài)密碼具有一定的生命周期，即使用戶沒有使用該動態(tài)密碼進行登錄，超出時間范圍后該動態(tài)密碼仍將自動過期。

審計管理審計管理功能主要實現(xiàn)統(tǒng)一身份及訪問管理系統(tǒng)內(nèi)部的管理審計、用戶統(tǒng)一身份及訪問管理系統(tǒng)用戶訪問資源行為的審計內(nèi)部的審計LanSecS〔堡壘主機〕內(nèi)控管理平臺會將系統(tǒng)自身的所有操作進行日志，并且會將日志發(fā)送內(nèi)部審計系統(tǒng)。用戶可以在內(nèi)部審計系統(tǒng)中查看相關(guān)審計日志，以及產(chǎn)生各種審計報表。內(nèi)部審計主要包括如下局部：集中審計管理主要審計人員的帳號管理、認證、賬號分配情況、權(quán)限分配情況、賬號使用〔登錄、資源訪問、操作行為〕情況等。對賬號分配情況的審計：包括主賬號與自然人的對應(yīng)關(guān)系，主賬號與從賬號的對應(yīng)關(guān)系，主賬號、角色〔從賬號〕的創(chuàng)立時間、創(chuàng)立人等；對登錄過程和用戶身份的審計；對登錄后用戶行為，對資源的訪問，以及具體操作行為的審計；對審計的信息按照嚴重、警告、一般進行分級管理。按照IP、時間主從帳號、資源、關(guān)鍵操作和關(guān)鍵數(shù)據(jù)進行規(guī)那么過濾。審計范圍LanSecS〔堡壘主機〕內(nèi)控管理平臺可以對以下資源的訪問行為進行審計：操作系統(tǒng)：Windows、Linux、Unix等；網(wǎng)絡(luò)設(shè)備：交換機、路由器；平安設(shè)備：防火墻、IDS/IPS、代理效勞器〔網(wǎng)關(guān)設(shè)備〕、病毒墻等；應(yīng)用平臺：.NET、Websphere、WebLogic、Tomcat、TUXEDO、VisiBroker等；數(shù)據(jù)庫：Oracle、DB2、MySQL、Sybase、Informix、SQLServer、Teradata等。應(yīng)用系統(tǒng)：業(yè)務(wù)支撐系統(tǒng)、網(wǎng)管系統(tǒng)、企業(yè)信息化系統(tǒng)等。審計內(nèi)容審計的內(nèi)容包括如下局部：能夠?qū)Ρ鞠到y(tǒng)運行的全部行為，包括任何人〔含系統(tǒng)管理員〕的任何操作進行記錄；系統(tǒng)通過單點登錄，統(tǒng)一認證方式，將某個賬號的操作行為與自然人關(guān)聯(lián)，實現(xiàn)對自然人行為審計的目的；能夠?qū)χ鳈C，網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)庫等的所有用戶指令操作的記錄；對主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫上的日志進行集中存儲和集中審計；系統(tǒng)能夠?qū)崿F(xiàn)對特定信息進行統(tǒng)計關(guān)聯(lián)〔某時間段內(nèi)發(fā)生次數(shù)〕審計。審計查詢審計查詢包括如下查詢方式：審計查詢支持交互式查詢。自然人、信息類型〔非法登錄、非法操作、重大操作、敏感數(shù)據(jù)訪問〕、事件級別〔嚴重、警告、一般〕、內(nèi)容、時間進行查詢，查詢可以通過與、或方式進行多級查詢條件組合，提高查詢準確性。例如查詢2024-2-2023:00:00至2024-2-214:00:00期間內(nèi)，配置過8交換機的全部日志；提供對查詢條件的自定義設(shè)置，將查詢條件進行保存，減少查詢的操作復(fù)雜；審計報表LanSecS〔堡壘主機〕內(nèi)控管理平臺具有強大的報表審計功能：系統(tǒng)提供PDF、Excel等多種形式的報表；系統(tǒng)可以按照日、星期、月年產(chǎn)生多種形式的固定報表；系統(tǒng)可以按照用戶自定義的查詢條件產(chǎn)品自定義報表；系統(tǒng)可以按照用戶定義條件，以及系統(tǒng)自定義的報表模板制定綜合報表；系統(tǒng)可按照訪問者、被保護對象、行為方式、操作內(nèi)容〔例如數(shù)據(jù)庫表名稱〕等自動生成統(tǒng)計報表，并能按照移動的要求添加、修改報表數(shù)量、格式及內(nèi)容，以滿足SOX審計的要求?？砂凑崭鳂I(yè)務(wù)系統(tǒng)的要求添加、修改報表數(shù)量及內(nèi)容，并可分專業(yè)生成各業(yè)務(wù)系統(tǒng)的審計報表。報表系統(tǒng)可根據(jù)不同專業(yè)使用人員分別顯示不同的報表，比方短信審計人員只需看到關(guān)于短信業(yè)務(wù)系統(tǒng)的審計報表。可對人員的操作以及所管轄的業(yè)務(wù)系統(tǒng)通過多種報表展示途徑，提供形象的展示方式，方便領(lǐng)導(dǎo)和管理員查看系統(tǒng)授權(quán)的合理性。復(fù)原審計堡壘主機的審計管理以集中的資源管理為根底，通過各種堡壘主機、網(wǎng)絡(luò)嗅探能夠?qū)崿F(xiàn)用戶資源訪問會話的復(fù)原審計。對于字符堡壘主機，可以復(fù)原完整的用戶會話內(nèi)容：用戶對字符應(yīng)用的訪問是經(jīng)過堡壘主機的，堡壘主機在會話層轉(zhuǎn)發(fā)對對應(yīng)用的各種操作命令，由于在會話層對操作命令和執(zhí)行結(jié)果作相應(yīng)的轉(zhuǎn)發(fā)，因此可以對這些轉(zhuǎn)發(fā)的內(nèi)容〔會話〕計入日志，進行審計。對于RDP類堡壘主機，可以對用戶的會話進行錄像，完整記錄用戶的圖形操作：RDP類堡壘主機通過轉(zhuǎn)發(fā)用戶對圖形應(yīng)用操作的各種動作〔鍵盤鼠標事件〕和圖形應(yīng)用的各種繪圖操作，實現(xiàn)圖形應(yīng)用的會話級代理。由于在會話層對操作動作和繪圖操作作轉(zhuǎn)發(fā)，因此可以對轉(zhuǎn)發(fā)的內(nèi)容進行錄像，并進行審計。網(wǎng)絡(luò)嗅探、數(shù)據(jù)庫嗅探：可以對用戶的資源操作在網(wǎng)絡(luò)層做相應(yīng)的嗅探分析，對協(xié)議內(nèi)容進行記錄，經(jīng)過匹配規(guī)那么實現(xiàn)會話復(fù)原。智能告警LanSecS〔堡壘主機〕內(nèi)控管理平臺提供智能告警功能及多樣化的告警方式：告警內(nèi)容：堡壘主機能夠按照自然人、信息類型〔非法登錄、非法操作、重大操作、敏感數(shù)據(jù)訪問〕、事件級別〔嚴重、警告、一般〕、內(nèi)容、時間進行分析和處理，并進行告警。告警方式：提供豐富多樣的通知方式，包括短信、郵件、電話和可執(zhí)行命令行程序等。提供SNMPTrap、Syslog兩種公共通訊方式發(fā)送告警。提供與第三方統(tǒng)一電子運維系統(tǒng)的無縫集成能力，派發(fā)工作單到對應(yīng)的管理員或用戶組。集中管理平臺部署中央管理平臺，能夠到達以下目的：將來自不同廠家的產(chǎn)品或功能模塊整合成為一個整體，真正表達出框架各模塊之間的聯(lián)系；使不同級別的管理員在一個統(tǒng)一的管理系統(tǒng)上、通過一個統(tǒng)一的入口，就可以行使不同的管理權(quán)限；在統(tǒng)一身份及訪問管理系統(tǒng)其它局部出現(xiàn)故障時，提供一個緊急入口，至少能夠通過日志分析，找出事故原因。；能夠提供B/S方式的人機接口良好的管理界面，管理員在一點上即可對不同系統(tǒng)中的賬號進行管理。支持以B/S方式對主機〔Windows/UNIX/LINUX〕、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫的定義接入和訪問，隨機或定時的統(tǒng)一密碼修改；支持分級部署管理配置，具備統(tǒng)一平臺，分散管理的能力。能夠提供中心管理和分布管理兩種不同管理方式－支持基于組織結(jié)構(gòu)平臺的管理平臺實現(xiàn)；管理單元支持分級、層次化的授權(quán)機制－支持基于容器的樹狀結(jié)構(gòu)管理，支持LDAP的樹狀管理結(jié)構(gòu)；平安管理員應(yīng)該可以通過方便的圖形用戶界面或Web瀏覽器與系統(tǒng)交互，對用戶及信息資源進行管理。子系統(tǒng)管理統(tǒng)一身份及訪問管理系統(tǒng)的各子系統(tǒng)，包括集中賬號管理系統(tǒng)、集中授權(quán)管理系統(tǒng)、集中身份認證系統(tǒng)、集中平安審計系統(tǒng)等。賬號管理考慮到中央管理平臺雖然是對整個統(tǒng)一身份及訪問管理系統(tǒng)進行管理，但是又不可能完全交給一個人進行管理，因此賬號必須分級，以適應(yīng)分部門、分管理層次的分級管理要求；不同級別的賬號可以行使不同級別的權(quán)限，包括對不同的模塊進行管理。但是所有級別的管理賬號都可以在一個統(tǒng)一的平臺下完成管理功能。將用戶、主從賬號、口令、權(quán)限和資源進行有效的統(tǒng)一管理。用戶自管理普通用戶可以登錄中央管理平臺對自己身份信息進行維護管理。而且，系統(tǒng)會根據(jù)企業(yè)的要求、特點制定用戶信息自維護的流程。例如，如果需要修改流程中應(yīng)該包括審計，審批和執(zhí)行等，并且全過程都會進行審計備案。單點登錄用戶通過登錄中央管理平臺賬號，可以實現(xiàn)單點登錄。權(quán)限管理即對不同級別的賬號，分配賬號能夠管理的子系統(tǒng)。數(shù)據(jù)查詢能夠?qū)芾頂?shù)據(jù)進行統(tǒng)計、查詢，包括目前有哪些子系統(tǒng)、有哪些賬號、每個賬號管理哪些子系統(tǒng)、每個子系統(tǒng)受哪些賬號管理，等等。訪問審計能夠?qū)τ脩羰褂觅~號對資源進行訪問操作進行審計。為了保證平安，所有管理過程必須留下詳細的日志記錄，并且提供對日志的審計、備份功能。系統(tǒng)自管理系統(tǒng)自管理功能主要完成系統(tǒng)的根本配置工作：字典管理：這個功能對各種字典信息進行維護，如政治面貌、省市、地區(qū)、國籍等；根本配置信息：這個功能對系統(tǒng)的一些參數(shù)進行配置，如LDAP連接信息，數(shù)據(jù)庫連接信息，目錄存儲的節(jié)點位置，列表的分頁行數(shù)等；信息發(fā)布：公告信息的發(fā)布；帳號管理Account：將自然人與其擁有的所有系統(tǒng)賬號關(guān)聯(lián)，集中進行管理，包括按照密碼策略自動更改密碼，不同系統(tǒng)間的賬號同時等。認證管理Authentication：實現(xiàn)業(yè)務(wù)系統(tǒng)對操作者身份的合法性檢查。對信息統(tǒng)中的各種效勞和應(yīng)用來說，身份認證是一個根本的平安考慮。身份認證的方式可以有多種，包括靜態(tài)口令方式、動態(tài)口令方式、基于公鑰證書的認證方式以及基于各種生物特征的認證方式。授權(quán)管理Authorization：對用戶使用業(yè)務(wù)系統(tǒng)資源的具體情況進行合理分配的技術(shù)，實現(xiàn)不同用戶對系統(tǒng)不同局部資源的訪問。審計Audit：指收集、記錄用戶對支撐系統(tǒng)資源的使用情況，以便于統(tǒng)計用戶對網(wǎng)絡(luò)資源的訪問情況，不僅能夠?qū)θ藛T的登錄過程、登錄后進行的操作進行審計，而且能夠?qū)⒍鄠€主機、設(shè)備、應(yīng)用日志進行比照分析，從中發(fā)現(xiàn)問題。并且在出現(xiàn)平安事故時，可以追蹤原因，追究相關(guān)人員的責任，以減少由于內(nèi)部計算機用戶濫用網(wǎng)絡(luò)資源造成的平安危害。與PKI和RADIUS系統(tǒng)的結(jié)合：著重從企業(yè)應(yīng)用系統(tǒng)的平安性出發(fā)，為信息系統(tǒng)提供高平安的認證及加密方式。帳號的生命周期管理：是指對賬號從產(chǎn)生到刪除各存在狀態(tài)進行管理。包括對賬號屬性的更改，口令的重設(shè)，賬號使用情況的審計等。集中賬號管理系統(tǒng)必須覆蓋整個生存期管理。自我效勞系統(tǒng)：自我效勞系統(tǒng)使用戶不需要幫助桌面或支持人員的幫助，就能夠?qū)ψ约旱母拘畔⑷绮块T、職務(wù)、聯(lián)系方式、職責等進行管理；能夠在用戶忘記賬號口令時重設(shè)口令，并且能夠提供自動提醒用戶修改主賬號口令的手段等。自我效勞系統(tǒng)使得系統(tǒng)的平安策略得以貫徹，并能顯著減輕系統(tǒng)管理人員的維護負擔。單點登錄SSO：一次登錄，到處通行，即用戶在SSO效勞器上進行一次登錄后，在從SSO效勞器登出前，訪問所有納入SSO管理范圍的應(yīng)用系統(tǒng)、主機、網(wǎng)絡(luò)設(shè)備時均不需要再次手工登錄，而是由SSO系統(tǒng)帶為登錄。一次登出，全部登出。即用戶如果從SSO效勞器登出，那么當前所有已經(jīng)登錄的、被納入SSO管理范圍的應(yīng)用系統(tǒng)、主機、網(wǎng)絡(luò)設(shè)備均同時登出?；诒局鳈C技術(shù)進行平安訪問控制：在知道了使用者的身份并規(guī)定了系統(tǒng)范圍內(nèi)的權(quán)限，具備了對該用戶身份的操作檢查審計機制后，通過使用堡壘主機或平安網(wǎng)關(guān)技術(shù)，對使用者的合法系統(tǒng)操作進行協(xié)議級層面的控制是系統(tǒng)不可或缺的功能補充。身份管理同時驅(qū)動與統(tǒng)一企業(yè)平安目錄：能夠?qū)崿F(xiàn)對常見操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)等IT資源系統(tǒng)的帳號拉、推、刪除、修改和同時管理，建立企業(yè)統(tǒng)一平安目錄，梳理用戶樹〔包含主帳號、叢帳號〕和資源樹的管理關(guān)系。

產(chǎn)品優(yōu)勢及部署LanSecS堡壘主機特色統(tǒng)一的web管理方式支持B/S架構(gòu)加密方式，管理LanSecS〔堡壘主機〕內(nèi)控管理平臺；Web方式訪問資源，用戶登錄堡壘主機后可以看到所有授權(quán)資源列表，訪問資源時不用再輸入帳號和密碼，做到真正意義上的單點登錄。內(nèi)含認證組件平臺內(nèi)部提供認證效勞器組件，所有對資源的訪問都是認證效勞器提供的臨時會話號，即使會話號被截獲，也無法通過此會話號再次訪問資源，提高資源訪問的平安性。支持強認證方式平臺集成多種強認證方式：證書認證智能卡認證短信認證生物特征認證〔指紋、視網(wǎng)膜等〕動態(tài)口令認證……..簡單易用的訪問控制策略主機命令策略訪問時間策略客戶端地址策略訪問鎖定策略強大的查詢與審計平臺提供強大的查詢功能，可以靈巧的按照各種查詢條件進行查詢統(tǒng)計，查詢用戶的操作行為；對于主機命令查詢，一次可以配置多條主機命令，查詢的結(jié)果可方便的形成報表。擴展與集成在4A工程中，放棄帳號、認證、授權(quán)的集中管理，只提供執(zhí)行單元，完成根底訪問控制和操作審計功能。在非4A工程中除提供根底的訪問控制和操作審計功能外，還提供精簡的帳號、認證、授權(quán)集中管理功能。LanSecS產(chǎn)品功能優(yōu)勢可定制性統(tǒng)一身份及訪問管理系統(tǒng)除了滿足標準的設(shè)備之外，由于各個用戶的環(huán)境不同，主要的工作是在定制層面；擁有一支資深的軟件研發(fā)隊伍，擁有強大的研發(fā)實力，對系統(tǒng)定制能得到迅速和有效的支持；有很多對客戶業(yè)務(wù)系統(tǒng)符合性修改的經(jīng)驗，能快速的滿足客戶在業(yè)務(wù)邏輯方面的需求?？蓴U展性統(tǒng)一身份及訪問管理系統(tǒng)完全采用模塊化的開發(fā)模式，系統(tǒng)各模塊之間可以靈巧的組合與對接，而且可以通過通用接口與第三方的產(chǎn)品進行對接；系統(tǒng)支持現(xiàn)有主流的各種主機設(shè)備、操作系統(tǒng)和應(yīng)用系統(tǒng)；系統(tǒng)能夠提供快捷的開發(fā)平臺，方便用戶針對一些特有系統(tǒng)的二次開發(fā)；硬件系統(tǒng)采用模塊化結(jié)構(gòu)，以保證系統(tǒng)內(nèi)存、CPU及儲存容量的擴展；在軟件系統(tǒng)的開發(fā)中保持高聚合低耦合原那么，模塊復(fù)用率高，減少系統(tǒng)擴展的復(fù)雜性。

高平安性自身系統(tǒng)設(shè)置了嚴格的用戶帳號平安策略，防止弱口令以及修改口令策略等；用戶登錄采用強身份認證，而且可以進行各種組合級聯(lián)認證：如，用戶名/密碼與RSASecurID令牌；數(shù)據(jù)傳輸采用SSL加密傳輸,包括系統(tǒng)維護，用戶登錄和日志記錄等，保證在傳輸過程中數(shù)據(jù)不被竊聽；全面、強大的自身審計功能，并且對審計的數(shù)據(jù)進行完整性校驗，保證審計數(shù)據(jù)不被篡改。高可靠性系統(tǒng)提供硬件和軟件的容錯、數(shù)據(jù)存儲的備份等系統(tǒng)可靠性措施；重要模塊具有自檢功能對系統(tǒng)內(nèi)各功能模塊和子系統(tǒng)進行監(jiān)控；本系統(tǒng)提供熱備份和負載均衡特性，可以滿足大型分布式網(wǎng)絡(luò)的需求，擴展效勞器帶寬和增加吞吐量，加強數(shù)據(jù)處理能力；系統(tǒng)提供分級，旁路等靈巧的部署方式，減少對用戶現(xiàn)有系統(tǒng)的影響；易用性系統(tǒng)提供詳細的幫助手冊，并且系統(tǒng)還提供了在線幫助功能，用戶直接在界面上可以查看幫助信息；提供通用的用戶界面，操作及選擇鍵的功能定義在全系統(tǒng)保持一致；

LanSecS內(nèi)控堡壘主機典型部署單區(qū)域堡壘機部署

多區(qū)域堡壘機部署Imperva數(shù)據(jù)庫平安審計解決方案Imperva公司數(shù)據(jù)庫平安解決方案SecureSphere?DatabaseActivityMonitoringGatewaySecureSphere?DatabaseActivityMonitoringGateway提供了數(shù)據(jù)庫審計的自動化工具，可以幫助用戶完美的完成法規(guī)遵從的各種要求，包括初始化、持續(xù)的數(shù)據(jù)庫評估、控制、審計、監(jiān)控以及風(fēng)險衡量等。SecureSphere?將提供獨立、詳盡的數(shù)據(jù)庫訪問記錄，包括通過OracleE-BusinessSuite,SAP,PeopleSoft等著名第三方應(yīng)用，或者自定義的應(yīng)用對數(shù)據(jù)庫的訪問，也包括數(shù)據(jù)庫管理員對數(shù)據(jù)庫的本地直接訪問。所有的審計和報告功能都由獨立的SecureSphere?設(shè)備完成，對于數(shù)據(jù)庫性能沒有任何的影響；也無需用戶不斷手工調(diào)整各種審計參數(shù)，SecureSphere?提供了大量缺省的審計謀略模板和法規(guī)遵從模板。DAM網(wǎng)關(guān)可選擇使用專用硬件網(wǎng)關(guān)，也提供虛擬網(wǎng)關(guān)。SecureSphereDatabaseFirewallGatewaySecureSphere?DatabaseFirewallGateway提供了DAM的所有功能，同時還可以對數(shù)據(jù)庫架構(gòu)以及敏感數(shù)據(jù)的訪問提供保護和控制。SecureSphere?采用自動建模的方法以及各種平安策略，可將控制范圍細化到每一個應(yīng)用程序、每一個用戶、每一個查詢來進行平安保護。并對數(shù)據(jù)庫的各種平安漏洞提供了多層次的防御保護，包括平安威脅簽名、攻擊關(guān)聯(lián)檢查、數(shù)據(jù)庫協(xié)議分析等等。DBF網(wǎng)關(guān)也同時提供硬件和虛擬設(shè)備兩種選擇。SecureSphereDiscoveryandAssessmentServerSecureSphere?DiscoveryandAssessmentServer為企業(yè)提供了簡單有效的發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)、歸屬數(shù)據(jù)來源、分類數(shù)據(jù)屬性、評估數(shù)據(jù)庫缺陷、發(fā)現(xiàn)錯誤數(shù)據(jù)庫配置以及潛在漏洞的工具。SecureSphere?DiscoveryandAssessmentServer為客戶提供了自動化的評估工具，大大減少了客戶繁重、重復(fù)的人工審核評估流程。另外，該工具還提供了圖形視圖的風(fēng)險分析工具，為用戶提供了各種風(fēng)險分布及情況的關(guān)鍵視圖，為用戶優(yōu)化平安方案，加強法規(guī)遵從提供了指導(dǎo)依據(jù)。UserRightsManagement〔URM〕也可以作為SecureSphere?DiscoveryandAssessmentServer〔DAS〕產(chǎn)品的一個附加模塊。URM可以幫助用戶集中化管理各種數(shù)據(jù)庫權(quán)限。幫助企業(yè)平安管理員、數(shù)據(jù)庫管理員、審計團隊了解各種權(quán)限和敏感數(shù)據(jù)的關(guān)系、是否存在權(quán)限濫用的或者冬眠的權(quán)限賬號。使用URM，企業(yè)可以很好的遵從SOX、PCI7、PCI8.5中相關(guān)審計的需求。SecureSphereMXManagementServerSecureSphere?MXManagementServer提供了集中化管理、報告多個網(wǎng)關(guān)的功能?？山y(tǒng)一為多個網(wǎng)關(guān)設(shè)備設(shè)定策略、實時監(jiān)控、日志、報告。MX管理效勞器也同樣可提供硬件和虛擬兩種平臺。ImpervaApplicationDefenceCentre(ADC)ImpervaApplicationDefenceCentre是Imperva公司全球平安研究機構(gòu)，該機構(gòu)每日掃描和發(fā)現(xiàn)全球最新的應(yīng)用平安威脅，并及時將研究結(jié)果更新給用戶。目前SecureSphere系列產(chǎn)品中的簽名信息超過了6000多種。這些簽名信息，包括了對數(shù)據(jù)庫的后門、緩沖區(qū)溢出、敏感數(shù)據(jù)泄露、蠕蟲以及其他的重大數(shù)據(jù)庫平安漏洞。該研究中心由Imperva公司CTO，AmichaiShulman先生帶著〔2024年被InfoWorld評為年度最正確CTO〕。ADC專注于研究和發(fā)現(xiàn)最新的網(wǎng)頁應(yīng)用、數(shù)據(jù)庫應(yīng)用的最新平安威脅和風(fēng)險，并將這些研究成功及時更新到SecureSphere產(chǎn)品中。更多詳細信息可以參考，ADC官方主頁：ADC最新研究結(jié)果公布：ADC發(fā)布白皮書：.../resources/whitepapers.asp?t=ADC

SecureSphere優(yōu)勢〔專利〕技術(shù)ImpervaSecureSphere?產(chǎn)品在行業(yè)中擁有著絕對領(lǐng)先的優(yōu)勢技術(shù)：動態(tài)建模技術(shù)DynamicProfiling該技術(shù)可以通過分析實時流量，自動的偵測和學(xué)習(xí)各種應(yīng)用的行為和使用模型，從而為每一個用戶形成一個正確使用數(shù)據(jù)的平安基線〔Profile〕，這種平安基線〔Profile〕將不斷根據(jù)使用情況的變化而動態(tài)調(diào)整。SecureSphere?可將用戶的各種使用活動比對平安基線〔Profile〕信息，從而在發(fā)現(xiàn)未授權(quán)的使用行為或者異常的訪問活動時實時發(fā)出警告并阻斷。全局用戶跟蹤UniversalUserTracking該技術(shù)可將數(shù)據(jù)庫訪問的各種活動同各個用戶關(guān)聯(lián)起來，從而幫助企業(yè)方便的審計和控制用戶訪問敏感數(shù)據(jù)。無論用戶是通過網(wǎng)頁應(yīng)用訪問數(shù)據(jù)庫還是通過本地控制臺，SecureSphere?都可以準確的最終用戶信息，而且該技術(shù)無需修改數(shù)據(jù)庫配置或者應(yīng)用程序參數(shù)。透明檢測TransparentInspection該技術(shù)實現(xiàn)了透明的分析應(yīng)用邏輯和數(shù)據(jù)使用，無需修改任何應(yīng)用、數(shù)據(jù)庫或者是網(wǎng)絡(luò)架構(gòu)，并且可高性能的處理幾個G的業(yè)務(wù)流量，延遲僅在亞毫秒級別〔串聯(lián)模式下〕。相關(guān)攻擊驗證CorrelatedAttackValidation該技術(shù)可識別各種復(fù)雜高超的滲透攻擊技術(shù)，為數(shù)據(jù)庫系統(tǒng)提供最高級別的平安防御。SecureSphere?將觀察一段時間內(nèi)的、貫穿應(yīng)用使用各個層次的相關(guān)信息，確定可疑行為是否確實是一個攻擊行為，最終可以實現(xiàn)阻斷并保護數(shù)據(jù)庫。技術(shù)實現(xiàn)SecureSphere專用硬件平臺ImpervaSecureSphere?硬件平臺提供了卓越的性能和高可靠性，適合于各種網(wǎng)絡(luò)環(huán)境。硬件平臺提供FailOpen的網(wǎng)卡，可在出現(xiàn)故障時快速實現(xiàn)故障切換。設(shè)備還提供帶外管理接口，提高了管理的平安性。前面板的各種提示信息也方便用戶快速了解設(shè)備運行狀態(tài)。用戶可以根據(jù)需要監(jiān)測的數(shù)據(jù)庫流量來選擇適宜的硬件網(wǎng)關(guān)。X系列硬件網(wǎng)關(guān)：如果環(huán)境中有多臺網(wǎng)關(guān)，或者需要獲得更佳的網(wǎng)關(guān)工作性能，還可以選擇專用的管理效勞器。MX管理效勞器：

數(shù)據(jù)庫代理〔Agent〕SecureSphere?對于特定的需要監(jiān)控數(shù)據(jù)庫本地操作的場景，可以選擇在數(shù)據(jù)庫效勞器上安裝DatabaseAgent，該代理程序可以監(jiān)控所有到達該數(shù)據(jù)庫的各種數(shù)據(jù)庫活動進行監(jiān)控，包括Telnet、SSH、RDP、IPC等各種TCP或UDP隧道。Imperva提供了支持多種操作系統(tǒng)、多種數(shù)據(jù)庫類型的代理程序安裝文件，包括windows、Linux、AIX、HPUnix、Solaris等等。Agent代理程序具備以下主要特性：數(shù)據(jù)庫代理程序采用輕型工作架構(gòu)，對數(shù)據(jù)庫本機影響很小。通常在流量峰值時刻，最高5-7%的CPU峰值，也可以設(shè)置CPU耗用最高上限值。提供高級過濾功能，確保只將需要分析的數(shù)據(jù)庫活動發(fā)送給SecureSphere?網(wǎng)關(guān)。可監(jiān)控所有的數(shù)據(jù)庫活動內(nèi)容，無論是通過本地操作〔Bequeath,namedPipes,等等〕，還是網(wǎng)絡(luò)訪問?？杉信渲煤凸芾鞟gent。代理程序支持注冊到兩個SecureSphere?網(wǎng)關(guān)，實現(xiàn)高可用。數(shù)據(jù)庫代理工作原理圖集中管理架構(gòu)SecureSphere?提供了靈巧的三層管理架構(gòu)，方便用戶可以同時管理多個SecureSphere?網(wǎng)關(guān)，并可以集中策略管理和日志查詢。三層管理架構(gòu)說明：第一層：網(wǎng)頁管理界面，提供https加密管理界面。第二層：SecureSphere?管理效勞器，對所有的網(wǎng)關(guān)設(shè)備提供集中管理，以及日志會聚。第三層：SecureSphere?網(wǎng)關(guān)，執(zhí)行各種數(shù)據(jù)庫活動審計和數(shù)據(jù)庫保護。部署方案嗅探部署方案SecureSphere使用無在線故障點和性能瓶頸的透明網(wǎng)絡(luò)網(wǎng)關(guān)，以確保為部署和集成消除此類平安產(chǎn)品通常所具有的風(fēng)險。阻止是通過發(fā)送TCP重置實現(xiàn)-但這無法保證阻止操作一定成功，因此TCP重置可能：不能到達受保護的效勞器被發(fā)送設(shè)備忽略嗅探網(wǎng)關(guān)是一種被動嗅探設(shè)備。用于連接企業(yè)集線器與交換機，可控制受保護效勞器的通信。通信信息將會被復(fù)制到該設(shè)備，而不會直接通過。因為不是在線的，因此嗅探網(wǎng)關(guān)不會影響性能，也不會影響效勞器的穩(wěn)定性。單個SecureSphere網(wǎng)關(guān)可以輕松監(jiān)控多個網(wǎng)段，因為它包含多個可用于嗅探不同網(wǎng)段的網(wǎng)絡(luò)接口端口。唯一的限制就是其所能處理的通信量。單個網(wǎng)關(guān)可以監(jiān)控不同類型的效勞器〔例如：Web效勞器、數(shù)據(jù)庫和電子郵件效勞器〕。不需要在多個不同網(wǎng)關(guān)之間別離這些任務(wù)。橋接部署方案如果要為數(shù)據(jù)中心提供最高級別的平安性保護，那么可以將SecureSphere網(wǎng)關(guān)部署為橋接模式。在此部署方案中，網(wǎng)關(guān)充當外部網(wǎng)絡(luò)與受保護的網(wǎng)段之間的連接設(shè)備。網(wǎng)關(guān)將阻止在線〔即：丟棄包〕惡意通信。一個在線網(wǎng)關(guān)雖然能夠保護最多兩個網(wǎng)段并擁有六個網(wǎng)絡(luò)接口端口。但不能工作于在線/嗅探混合模式。其中的兩個端口用于管理：一個用于連接管理效勞器，另一個是可選的，可用于連接外部局域網(wǎng)。其他四個端口屬于兩個用于在線檢查的網(wǎng)橋。每個網(wǎng)橋都包含一個外部網(wǎng)絡(luò)端口和一個受保護網(wǎng)絡(luò)端口。代理部署方案通過在數(shù)據(jù)庫效勞器上安裝代理軟件，從而實現(xiàn)本地或者網(wǎng)絡(luò)上數(shù)據(jù)庫訪問的審計。這種方法可以通上面兩種網(wǎng)絡(luò)部署模式進行混合部署。帶程序采用輕量級的代理程序設(shè)計，低CPU使用率(可設(shè)定上限)低內(nèi)存使用率(可設(shè)定上限)極低的I/O開銷加密數(shù)據(jù)傳輸支持兩種工作模式：Local–僅捕捉本地特權(quán)訪問Global–完整的數(shù)據(jù)庫代理審計功能，包括本地訪問和網(wǎng)絡(luò)訪問。

工作原理圖下面的圖形是SecureSphere?各組件協(xié)同工作的工作原理圖。管理員可以通過瀏覽器管理界面將配置信息發(fā)送到管理效勞器，由管理效勞器下發(fā)到SecureSphere?網(wǎng)關(guān)；被監(jiān)控的數(shù)據(jù)被送達SecureSphere?網(wǎng)關(guān)，網(wǎng)關(guān)中的分析引擎會根據(jù)預(yù)定義的審計規(guī)那么和平安規(guī)那么進行匹配。如果需要阻斷，平安檢測引擎將發(fā)送阻斷信息或丟棄數(shù)據(jù)包。相應(yīng)的告警將被發(fā)送到管理效勞器。工作原理圖

SecureSphere?邏輯架構(gòu)層次為了方便客戶理解，我們把SecureSphere?工作層次劃分為6個邏輯層次，每一個層次在數(shù)據(jù)監(jiān)控和平安管理中都有著不同的職責。SecureSphere?工作邏輯層次用戶界面層UserInterfaceLayer用戶界面層位用戶提供了平安的用戶管理界面可以監(jiān)控和管理數(shù)據(jù)庫平安配置、數(shù)據(jù)庫平安事件、數(shù)據(jù)庫審計。用戶界面層無需用戶安裝任何軟件，只需要在普通PC上的瀏覽器就可以進行管理了。管理和報告層Management&ReportingLayerImperva的管理效勞器位于該層工作，并為后臺的系統(tǒng)集中管理和報告提供效勞。所有的系統(tǒng)配置、網(wǎng)關(guān)活動均由管理效勞器來實現(xiàn)管理。分析層AnalysisLayer分析層是由Imperva的網(wǎng)關(guān)構(gòu)成的。分析層的主要工作就是會聚和分析該層獲得或者更底層獲得的SQL交易信息。所有的處理邏輯學(xué)習(xí)、分類、存儲和獲取SQL應(yīng)用流量都是在這一層進行的。如果網(wǎng)關(guān)設(shè)備是串聯(lián)部署的，那么網(wǎng)關(guān)那么可以實時阻斷未授權(quán)的網(wǎng)絡(luò)數(shù)據(jù)庫活動。網(wǎng)關(guān)部署的位置也應(yīng)該是在數(shù)據(jù)庫訪問客戶端和數(shù)據(jù)庫效勞器之間。存儲層StorageLayer存儲層是同時和管理及報告層以及分析層協(xié)同工作的層次。一方面，存儲層可以為網(wǎng)關(guān)設(shè)備提供在線的SQL交易記錄存儲；另一方面，也可以作為管理效勞器外部存檔的存儲空間。Imperva網(wǎng)關(guān)針對數(shù)據(jù)庫審計數(shù)據(jù)巨大的客戶提供SAN〔StorageAreaNetwork〕的擴展，可實時將巨大的審計數(shù)據(jù)記錄到SAN中。對于需要定期存檔的審計數(shù)據(jù)，那么可以通過管理效勞器定期歸檔到外部的NAS上。收集層CollectionLayer收集層主要是收集所有需要分析和審計的數(shù)據(jù)庫活動。一方面，我們可以通過網(wǎng)關(guān)設(shè)備直接采用旁路監(jiān)聽或者串聯(lián)接入的方式，無需在DB上安裝組件，就可以收集到需要監(jiān)控和分析的數(shù)據(jù)；但是，另一方面，對于一些非網(wǎng)絡(luò)或者SSH、RDP之類的無法進行網(wǎng)絡(luò)分析的場景進行監(jiān)控，我們可以采用數(shù)據(jù)庫代理的方式來收集數(shù)據(jù)庫本地活動信息。我們可以混合使用這兩種方式來進行數(shù)據(jù)庫活動收集。數(shù)據(jù)庫訪問層DBAccessLayer數(shù)據(jù)庫訪問層代表了所有可能訪問數(shù)據(jù)庫的主機、中間件、應(yīng)用等等。這個層次代表了數(shù)據(jù)庫平安系統(tǒng)需要管理的IP地址、主機名、用戶名、應(yīng)用程序等等。數(shù)據(jù)捕獲SecureSphere?對數(shù)據(jù)庫活動數(shù)據(jù)的捕獲并不是通過數(shù)據(jù)庫本身的審計日志、觸發(fā)器、交易記錄等，而是完全通過分析網(wǎng)絡(luò)數(shù)據(jù)或者本地通訊數(shù)據(jù)本身。通過對數(shù)據(jù)庫協(xié)議和應(yīng)用本身的理解，了解其中的具體數(shù)據(jù)和內(nèi)容。而采用其他方法那么存在了許多弊?。涸斐蓴?shù)據(jù)庫額外的負載開啟數(shù)據(jù)庫自身的審計功能，通常會造成10-25%的性能下降，這會大大影響數(shù)據(jù)庫的自身性能，而且如果需要分析交易日志以及其關(guān)聯(lián)的邏輯聯(lián)系那么需要更大的性能開銷。篡改的問題數(shù)據(jù)庫自身的審計功能，通常仍然由DBA管理，這樣審計的獨立性很難保證，可能會出現(xiàn)DBA篡改審計日志的問題。缺失的操作信息數(shù)據(jù)庫自身的交易記錄是不提供DCL操作的內(nèi)容的，例如，SHUTDOWN，GRANTs等缺失的用戶信息一些數(shù)據(jù)庫是不會提供SYSDBA的操作審計日志的，例如，Oracle。同時，交易日志也無法提供訪問者的詳細用戶信息〔OS用戶名、主機名、IP、通過何種應(yīng)用程序訪問的，等〕SecureSphere?多層平安檢查機制SecureSphere?產(chǎn)品充分考慮到目前的復(fù)雜平安環(huán)境，需要在多個層次對各種平安威脅檢查才可以對數(shù)據(jù)庫提供足夠的平安保障。SecureSphere?的平安模型中提供了包括防火墻、簽名、協(xié)議檢查、Profile、攻擊關(guān)聯(lián)等多種檢查機制來綜合驗證可疑的訪問行為。SecureSphere?平安檢測引擎數(shù)據(jù)庫IPSSecureSphere?數(shù)據(jù)庫IPS基于特征來識別以數(shù)據(jù)庫平臺軟件漏洞為攻擊目標的攻擊。通過將與Snort?兼容的特征數(shù)據(jù)庫和由Imperva的國際平安研究機構(gòu)－應(yīng)用防御中心(ADC)開發(fā)的特定于專用數(shù)據(jù)庫的特征相組合，SecureSphere的獨有IPS技術(shù)完全滿足數(shù)據(jù)庫部署的要求。ADC還利用上下文屬性〔如受影響的系統(tǒng)、風(fēng)險、準確度和攻擊頻率〕對每個特征進行優(yōu)化。用戶可利用這些屬性自定義IPS策略，使其符合特定環(huán)境。最后，Imperva的數(shù)據(jù)中心平安更新效勞每周自動進行特征更新，以確保持斷實施最新保護。集成防火墻功能Secur