极地内部网络控制统一安全解决方案

极地内部网络控制统一安全方案 北京市海淀区上地安宁庄西路9号院金泰富地大厦808 电话：010-传真：010-服务热线：010-目录1概述- 1 -1.1背景- 1 -1.2需求分析- 2 -1.2.1政策需求- 2 -1.2.2管理需求- 2 -1.2.3技术需求- 2 -2解决方案概述- 6 -3终端管理(JD-ESMS)解决方案- 6 -3.1产品概述- 6 -3.2产品基础功能- 8 -3.2.1策略管理- 8 -3.2.2日志功能- 9 -3.2.3终端资产管理- 9 -3.2.4终端用户管理- 10 -3.2.5报警与响应管理- 10 -3.3主要功能- 10 -3.3.1终端准入管理- 10 -3.3.2终端安全防护- 12 -3.3.3终端行为管理- 13 -3.3.4系统管理- 14 -4堡垒主机(JD-FORT)解决方案- 16 -4.1系统架构- 16 -4.2执行单元功能- 16 -4.2.1统一账号管理- 16 -4.2.2多种认证方式- 17 -4.2.3单点登录- 17 -4.2.4自动捕获用户命令行输入，智能识别命令和编辑输入- 17 -4.2.5支持TAB补齐等Readline功能- 17 -4.2.6支持组合命令的动作审计- 18 -4.3日志服务功能- 18 -4.4管理单元日志查询- 18 -4.5执行单元实时监控功能- 19 -5集中身份管理(JD-4A)解决方案- 19 -5.1概述- 19 -5.2功能介绍- 20 -5.2.1集中账号管理- 21 -5.2.2集中身份认证- 21 -5.2.3集中访问授权- 22 -5.2.4集中安全审计- 22 -5.2.5单点登录- 22 -6漏洞扫描(JD-SCAN)解决方案- 23 -6.1网络漏洞扫描的必要性- 23 -6.1.1漏洞扫描技术概述- 23 -6.1.2漏洞扫描产品特点- 24 -6.2用户现状分析- 24 -6.3产品部署- 25 -6.4产品特点介绍- 26 -6.4.1强大的检测分析能力- 26 -6.4.2支持分布式扫描- 27 -6.4.3自身高度安全性- 27 -6.4.4支持WEB扫描- 28 -7内部网络的统一管理- 28 -7.1统一管理方式- 28 -7.2统一管理功效- 29 -7.2.1无死角- 29 -7.2.2全网安全域管理- 29 -7.2.3远程终端与内网终端统一管理- 29 -7.2.4统一用户管理- 29 -7.2.5统一访问授权管理- 30 -7.2.6全网实名审计与统一事件管理- 30 -8企业内部控制基本规范的要求与解决- 30 -8.1内控原则- 30 -8.2技术要求- 31 -8.3风险评估- 32 -8.4控制活动- 32 -8.5信息与沟通- 32 -8.6内部监督- 32 -2019整理的各行业企管，经济，房产，策划，方案等工作范文，希望你用得上，不足之处请指正1 概述1.1 背景信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患安全问题，人们在享受着网络所带来的便捷同时，不得不承受着网络安全问题带来的隐痛。说到网络安全，人们自然就会想到网络边界安全，但是实际情况是网络的大部分安全风险均来自于内部。常规安全防御手段往往局限于网关级别、网络边界（防火墙、IDS、漏洞扫描）等方面的防御、重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控，来自网络外部的安全威胁大大减小。相反，来自网络内部的计算机的安全威胁却是众多安全管理人员所面临的棘手的问题。内部网络的安全管理分为四个方面：一类是前台计算机，通常指办公与业务的终端计算机；另一类是后台设备，通常是服务器或路由器交换机等网络设备；还有一类就是用户单位内部的各种应用软件系统；最后，还有一方面就是安全风险管理，它面对所有以上设备和应用，管理是否存在有安全隐患，是否存在安全风险，以及如何应对等问题。如何做好内部网络这四个方面的安全管理，是摆在每一个IT管理者面前的问题。极地内部网络控制统一安全方案即针对此情况，为管理者提供一个全面、细致的解决方案，解决终端、服务器以及应用系统安全管理问题。1.2 需求分析1.2.1 政策需求等级保护、萨班斯法案(Sarbanes-OxleyAct)等政策明确要求内网应进行严格的管理控制和细粒度的审计。国内也已经出台企业内部控制基本规范，对内部网络的信息安全管理提出明确要求。1.2.2 管理需求随着网络规模的不断扩大和IT应用的不断深入，对安全管理的要求越来越高，企业内部的管理成本越来越高。如何有效降低管理成本、减少安全风险、提高安全管理效能，成为管理者最先考虑的问题。1.2.3 技术需求 前台计算机管理需求：终端管理前台计算机，如前所述，通常被称为终端（End-Point）。对这些计算机的管理也称为终端管理。终端管理主要有以下内容： 资产管理对终端计算机的资产情况进行管理，对资产变更进行管理。 准入管理不安全的计算机不应接入内网之中，以免在内网中引发安全问题。不应接触外网的计算机，也不能私自建立对外的网络连接。 终端防护包括补丁分发管理、安全配置管理、外设管理、终端防火墙、终端文档保护等等。 终端行为管理包括移动介质管理、程序使用管理、流量管理、网页访问管理等等 信息防泄漏包括移动介质管理、加密优盘、文件加密、文档权限管理、文件操作审计等。另外，终端管理通常也包括病毒、木马的管理。因这方面有成熟的产品和方案，本方案对此不予赘述。 后台计算机与设备管理需求：统一授权管理针对服务器的管理，主要指服务器的访问控制，这是服务器安全的根本所在。通常服务器放置在机房中，由管理员进行维护时，直接登录到服务器上，其过程缺乏监管，造成授权复杂、缺乏过程审计等诸多问题。在安全管理的4个A（账号Account、认证Authentication、授权Authorization、审计Audit），账号和认证没有统一管理，各服务器单独管理，管理员登录各服务器和应用系统时很容易混乱；没有统一授权，各服务器单独对不同账号进行授权，工作量大而容易出错；管理员登录后的操作也缺乏审计手段，现有手段严重不足，导致大量审计缺失。尤其当服务器数量和应用系统数量多时，问题尤其严重。应将的所有服务器的登录过程收集到一个统一入口，建立统一的账号管理和授权机制，每个服务器应用系统的账户与授权均由此统一平台进行，避免单独设置而导致的混乱。由此入口进行统一登录，登录确定身份后，可根据授权访问相应的服务器和业务系统。同时，应对操作做全程审计。 应用管理需求：集中身份管理随着各个行业大公司业务的迅速发展，各种业务和经营支撑系统的不断增加，网络规模迅速扩大，原有的由各个系统分散管理用户和访问授权的管理方式造成了在业务管理和安全之间的失衡，用户往往在多个应用中均拥有独立的账号和口令，登录失败和发生错误的几率大大上升，许多情况下，为了便于记忆，用户不得不将账号和口令写在纸上，从而使这些账号和口令的安全性受到了极大影响。同时，用户忘记口令的事件的增多也增大了管理员的工作负担。另外管理员需要在不同的应用中维护独立的用户身份和存取管理，相当麻烦。例如有新员工加入企业以后，管理员需要在每一个应用中添加此用户信息，根据此用户的角色分配不同的权限；当用户的角色发生变化时，需要在不同的应用中修改此用户的权限。因此原有的账号口令管理措施已不能满足企业目前及未来业务发展的要求。用户面临以下几个方面问题：1企业的支撑系统中有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的账号体系，用户为了方便登陆，经常有如下情况发生：多系统使用相同的账号和密码，配置强度非常弱的密码，或者多人共用账号等。多系统的账号管理混乱，难于对账号的扩散范围进行控制，难于确定账号的实际使用者，难免造成安全隐患。2各系统都有一套独立的认证体系，如果想加强系统的安全性，就需要对各系统的认证进行加强，需要各系统都支持强认证方式，这基本是不现实的。3各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加。安全性无法得到充分保证。4各支撑系统独立运行、维护和管理，所以各系统的审计也是相互独立的。每个网络设备，每个主机系统，每个业务系统及每个数据库系统都分别进行审计，安全事故发生后需要排查各系统的日志，单是往往日志找到了，也不能最终定位到行为人。5用户经常需要在各个系统之间切换，每次从一个系统切换到另一支撑系统时，都需要输入用户名和口令进行登录。给用户的工作带来不便，影响了工作效率。 漏洞扫描漏洞扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，漏洞扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，漏洞扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。l 定期的网络安全自我检测、评估配备漏洞扫描系统，网络管理人员可以定期的进行网络安全检测服务，安全检测可帮助客户最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效的利用已有系统，优化资源，提高网络的运行效率。l 安装新软件、启动新服务后的检查由于漏洞和安全隐患的形式多种多样，安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来，因此进行这些操作之后应该重新扫描系统，才能是安全得到保障。l 网络建设和网络改造前后的安全规划评估和成效检验网络建设者必须建立整体安全规划，以统领全局，高屋建瓴。在可以容忍的风险级别和可以接受的成本之间，取得恰当的平衡，在多种多样的安全产品和技术之间作出取舍。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全规划评估和成效检验l 网络的安全系统建设方案和建设成效评估l 网络承担重要任务前的安全性测试网络承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全性测试。l 网络安全事故后的分析调查网络安全事故后可以通过网络漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在，帮助弥补漏洞，尽可能多得提供资料方便调查攻击的来源。l 重大网络安全事件前的准备重大网络安全事件前网络漏洞扫描/网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞，帮助用户及时的弥补漏洞。2 解决方案概述根据以上需求分析，极地安全提出了自己的内网安全管理解决方案，此方案由终端管理、内控堡垒主机、集中身份管理系统、网络漏洞扫描这四个解决方案构成，可以单独使用、满足终端管理或服务器管理、应用管理的需要，也可以协同使用，满足全网统一管理的需要。这四个解决方案都基于先进成熟的产品，均由极地安全自行开发。四个产品所使用的信息可以相互融合，以构成一个有机统一的整体，提供全网整体内控解决方案。3 终端管理(JD-ESMS)解决方案极地终端管理解决方案由极地终端安全管理系统实现。3.1 产品概述在传统的网络体系、硬件体系，软件体系基础之上，依靠主动防御技术、端点准入技术、漏洞扫描以及补丁修复技术、智能防火墙技术、身份认证、设备管理、及数据加密技术等关键的技术手段的支撑下，形成了终端准入管理、终端环境安全和终端行为监控三个子系统，三个子系统的运行、控制和审计都由系统管理平台统一管理呈现。在三个部分的共同作用下，构成终端计算机安全管理平台。如下图所示：如图所示，系统分为终端管理引擎、策略中心、综合展示三个平台，其中终端管理引擎做为关键支撑平台，是承载所有终端管理的基础平台，向上输出身份信息、资产信息，并提供基础的统一的报警与响应引擎供各功能模块调用；策略中心负责所有终端管理的功能性模块，调用基础平台的身份管理信息、资产信息，并对各功能模块在管理过程中发生的安全事件进行报警与响应，所有信息上报给综合展示平台；综合展示平台收集所有终端的资产信息、所有安全事件，并进行统一的展示。同时，通过全网联动，将其他安全管理系统的信息和事件联动到系统中，在终端上进行统一的报警与响应。如下图所示：3.2 产品基础功能3.2.1 策略管理系统所有功能，均通过策略方式将指令下发到客户端进行执行。而策略本身就包含了各个功能的所有管理要求，可以为管理员提供详细的控制手段，并且通过丰富的默认设置，可以提供完善的便捷性，管理员可以针对各个策略采用大量默认设置而轻松完成策略设定。除以上策略要素之外，还有两个要素需要详细说明如下。 基于策略优先级的用户行为管理功能系统提供了策略优先级的管理功能，管理员可以设置不同级别的策略，各种策略可以按照优先级进行排序，当策略间发生冲突时，高优先级的策略可以覆盖低优先级的策略。 基于场景的管理策略系统提供了基于场景的安全管理策略，管理员可以设置不同的场景，如根据工作时间和休息时间设定不同的策略，在工作时间设定的策略在休息时间不生效，休息时间场景的策略在工作时间亦不生效。对于违反策略的客户端操作，可以以多种方式触发报警，通知管理员进行处理，例如按文件名、资产类型等信息触发警报。极地终端与内网安全管理系统可以对终端在线/离线2种状态下应用的策略分别予以设置。客户端和服务器连接能够进行通信时为在线状态，无法和服务器完成通信时即为离线状态。通过对在线/离线2种状态设置不同的策略，对于经常移动办公的设备（如笔记本）可以提供更加灵活实用的管理。3.2.2 日志功能系统以策略的形式，提供全套日志服务，日志内容包括下述所有功能的日志，以及管理员通过控制台对服务器进行的所有操作等日志，3.2.3 终端资产管理通过自动登记和管理检查的方法，记录各类终端计算机资产清单、软硬件配置信息和使用者用户信息，作为终端安全管理的基础依据。资产内容包括：终端名称、IP地址、MAC地址、硬件配置信息（CPU、内存、硬盘、设备接口）、软件信息（操作系统类型/版本、安装软件列表）、用户信息（姓名、所属组织机构、岗位、联系方式），等等。同时，对资产的变更进行管理：及时发现终端计算机上是否有变更，对非法资产变更行自动处理。3.2.4 终端用户管理通过建立终端角色和用户，定义角色的操作和控制权限，并为用户分配相应角色的权限，以此作为制定安全管理策略的基础依据。3.2.5 报警与响应管理当终端计算机违反设定的安全策略，或根据策略设定进行报警响应时，可自动将事件上报服务器，并且在终端上对安全事件进行自动处理。报警与响应做为基础平台，供所有功能模块调用，实现报警与响应的统一化、标准化、自动化。在终端上进行自动响应，响应手段包括：桌面消息提示、锁定终端计算机、断开网络、弹出指定URL页面、断开准入连接等。终端计算机自动将安全事件的报警信息上传服务器，并在报警控制台上向管理员进行报警提示。提供报警信息的查看分析和汇总统计。支持红色报警、橙色报警、黄色报警和蓝色报警等四个级别。3.3 主要功能3.3.1 终端准入管理通过准入控制管理，可以对所有客户端进行合法性检验和控制，非法的、不接受管理的客户端将被隔离在网络之外，而合法的客户端可以接入网络进行正常操作。系统提供了最全面的准入控制方式，可以充分满足用户网络各种不同环境下的准入控制需求。 802.1x准入控制：按照802.1x协议认证内部接受管理的终端计算机，标识和审批“合法”终端，通过交换机联动方式拒绝未经认证的“非法”终端接入网络。 ARP准入控制：在低端网络环境中，可使用基于ARP协议的准入控制方式，对终端进行控制。因ARP方式的特殊性，一般用于要求低成本、效果要求不高的场合。 网络边界准入控制：通过安全准入网关管理的终端计算机。 应用网关准入控制：通过在Portal等关键应用上部署应用准入网关，控制不符合准入条件的终端计算机禁止访问指定的网络资源、允许符合准入条件的计算机进行访问。应用准入网关是一个软件，适用于各种web应用系统。 远程终端准入控制：通过远程接入网关，对远程终端进行准入控制。不符合准入条件的终端计算机禁止连入内网、允许符合准入条件的计算机可以连入内网。3.3.2 终端安全防护终端安全防护的目标是保护终端计算机环境安全、数据安全和关联网络通讯安全，目的是为业务创造良好的安全运行环境，保障公司业务正常运营。 系统漏洞修复检查发现辖内终端计算机操作系统和通用系统软件安全漏洞，通过自动化的技术措施及时修复漏洞，规避系统漏洞被黑客、蠕虫利用的风险。 防病毒检查检测终端计算机是否安装防病毒软件，避免因防病毒的缺失带来病毒问题。 终端安全配置管理在终端计算机上进行关键安全配置的实时检查，防止用户随意修改这些关键配置而导致安全问题。主要包括“禁用控制面板”、“禁用网络属性”、“禁止发送到”、“禁止修改IP地址”等多项操作全面提升客户端的安全性。同时，支持对ARP病毒的防范。 外设管理根据终端计算机的业务需要和管理需要，设定是否允许使用外设。可管理的外设包括：软驱（Floppy）、光驱（CD/DVD/HD-DVD/BlueRay）、磁带机、Flash存储设备（U盘及MP3播放器）、串口和并口（COM/LPT）、SCSI接口、蓝牙设备、红外线设备、打印机、调制解调器、USB接口、火线接口（1394）、PCMCIA插槽等。 终端防火墙在终端计算机上部署基于桌面的防火墙技术措施，通过企业级的安全策略对访问活动进行控制，防止外来网络非法连接访问、黑客入侵和利用终端对内部网络其它服务系统发起的网络攻击。 文档操作审计与防泄密保护通过文档访问操作审计，详细了解终端上的文件操作情况。通过文档加密等防泄密的综合防控措施，有效防范文档失窃和泄密给公司带来的业3.3.3 终端行为管理 移动介质管理通过对移动介质（例如U盘）的使用限制和安全审计，降低引入安全威胁和文档泄密的风险。系统支持两类不同的移动介质管理，外部介质管理和内部介质管理。外来介质一般是普通U盘，在内网中的使用管理方式为注册+授权。外来移动介质必须在管理员处注册、分配其使用授权后才能在内网计算机中使用。授权分为允许使用、只读、禁止使用三种。内部介质通常只能在内网使用，原则上不能在内网以外使用。管理方法同样为注册+授权，不同的是注册时采用加密方式。加密后的介质只能由授权终端读出，非授权终端无法读出介质内容。介质拿到内网以外更无法读出。 程序滥用管理通过程序滥用管理策略，可以明确规定哪些程序可以使用、哪些程序不能使用。由此可以预防终端计算机违规使用程序可能带来的风险，并以此协助公司管理，提高员工劳动生产率。 流量管理通过检查和分析终端计算机的网络分类流量，发现异常流量可能带来的带宽资源消耗和可疑的网络攻击风险，并对异常流量做出控制。 非法外联控制通过在终端计算机本地的安全策略控制措施，预防终端计算机违规联网可能带来的安全风险。 网页访问控制与审计通过在终端计算机本地的安全策略控制措施，监控终端计算机违规访问危害网站可能带来的安全风险。并可审计所有网页访问。3.3.4 系统管理 屏幕监控策略通过对终端上的操作屏幕进行及时监控和录像，防止员工违规操作单位的电脑。 终端运维管理能够对对远程终端计算机执行锁定、注销、重启、关机等操作。锁定计算机除非管理员解锁，否则无论强制重新启动或者进入安全模式均不能使用。同时，管理人员可以通过控制台远程取得客户机的控制权，身临其境般进行操作。对于远端客户机出现的问题，管理人员能够即时、方便的解决。在远程维护或者远程操作业务系统中发挥多方面的作用。 级联管理通过级联管理，实现上级对下级的管理。级别数无限。支持策略优先级的传递。 综合分析呈现通过统一的终端安全管理平台，提供直观的、可视化的、全局的终端计算机安全运行状态、安全事件分布和安全保护效果，使得高层管理人员能够据此全面掌握终端计算机安全状况、掌控全局，为安全调度、管理决策以及合规检查提供依据。综合统计支持按终端资产、按部门、按安全级别、按地域等，进行安全事件的综合查询统计，真实有效地展现终端安全现状。以图文、报表、统计报告等方式，直观展示整体安全运行状态、安全风险状态、从全局上对资源和事件进行全程监控和预警，及时体现安全防范的效果。 双机热备系统支持双机热备功能，可在重要网络中部署两台服务器互相备份，实现无间断运行。4 堡垒主机(JD-FORT)解决方案极地服务器管理解决方案由极地内控堡垒主机实现。4.1 系统架构极地内控堡垒主机由管理单元和执行单元两部分组成。 管理单元用于完成用户管理、授权管理及策略设置等操作。 执行单元包含用户输入模块、命令捕获引擎、策略控制和日志服务。产品组件关系拓扑如下：4.2 执行单元功能执行单元负责完成命令的采集、策略动作执行等功能。执行单元安装在服务器上，同用户使用环境和习惯相配合，完成对用户行为的监视与控制功能。4.2.1 统一账号管理管理员通过账号信息管理界面维护主账号的整个生命周期，对账号进行增加、修改、删除及锁定、解锁等操作，同时设置账号的密码使用策略及用户的级别定义。系统用户可以通过自服务功能管理自身账号信息，对手机、邮件及密码等个人信息进行编辑。4.2.2 多种认证方式用户通过用户密码方式登录到极地内控堡垒主机，选择资产账号，直接登录目标资产用户通过数字证书、动态令牌等方式登录到管理单元，由管理单元向执行单元发放一次性口令登录目标资产。4.2.3 单点登录用户登录到极地内控堡垒主机后，直接选择目标资产及账号，由堡垒主机完成账号及密码的代填，完成登录。4.2.4 自动捕获用户命令行输入，智能识别命令和编辑输入执行单元可以自动捕获用户命令行输入，如ls,ps,ifconfig等。执行单元支持多行长命令的捕获，多行命令的编辑操作（如回退，DEL，光标移位等）不影响命令捕获结果。执行单元智能的支持历史操作，支持UP，DOWN功能键，支持对历史操作命令的抓取，支持对以“！”方式执行历史命令的控制和相关命令抓取。执行单元智能识别编辑状态和命令状态，支持对所有shell下命令的抓取，支持mysql，telnet，ssh等客户端程序内部呈现命令的捕获功能。4.2.5 支持TAB补齐等Readline功能执行单元支持命令的TAB补全，支持回退键，删除键，方向键等功能键。4.2.6 支持组合命令的动作审计执行单元支持命令的组合使用，支持管道“|”，支持逻辑或“|”和与“&”操作，支持分号命令“；”。执行单元支持拒绝和允许两个策略动作对拒绝的命令，执行单元能够保证该命令不被执行，忠实地履行安全策略执行动作。4.3 日志服务功能执行单元日志服务负责记录服务器上发生过的命令，输出屏幕和原始硬拷贝流，以供事后分析和调查取证。极地内控堡垒主机日志服务将日志记录为文本文件，同时可以向其他日志服务器发送SYSLOG日志。执行单元日志服务记录每个用户登录系统的用户名，登陆IP地址，登陆时间以及在服务器上操作的所有命令。执行单元日志服务和管理单元配合，完成对日志的记录、分析和查询等工作。4.4 管理单元日志查询 支持按服务器方式进行查询通过对特定服务器地址进行查询，可以发现该服务器上发生的命令和行为。 支持按用户名方式进行查询通过对用户名进行查询，可以发现该用户的所有行为。 支持按登陆地址方式进行查询通过对特定IP地址进行查询，可以发现该地址对应主机及其用户在服务器上进行的所有操作。 支持按照登陆时间进行查询通过对登录时间进行查询，可以发现特定时间内登录服务器的用户及其进行过的所有操作。 支持对命令发生时间进行查询可以通过对命令发生的时间进行查询，可以查询到特定时间段服务器上发生过的所有行为。 支持对命令名称进行查询通过查询特定命令如ls，可以查询到使用过该命令的所有用户及其使用的时间等。 支持上述六个查询条件的任意组合查询如，可以查询“谁（用户名）”“什么时间登录（登录时间）”服务器并在“什么时间（命令发生时间）”在“服务器（目标服务器）”上执行过“什么操作（命令）”。 支持对日志的备份操作处理 支持对日志的删除处理4.5 执行单元实时监控功能执行单元实时监视服务器上正在发生的行为，可以实时察看用户执行的命令、执行结果等； 实时查看用户行为 支持查看用户的实时切换 支持对用户历史命令的查看5 集中身份管理(JD-4A)解决方案5.1 概述极地集中身份管理系统是集账号（Account）管理、授权（Authorization）管理、认证（Authentication）管理和综合审计（Audit）于一体的集中账号管理系统。极地集中身份管理系统采用模块化设计，不但可以根据用户需要和环境特点进行选择、组合，而且可以提供定制化的开发，能够方便地实现与用户应用的有机结合。同时，极地集中身份管理系统产品的每个模块采用开放接口，便于用户按照网络和应用需要整合符合用户需求的4A管理平台，达到以下目的：1统一的资源访问入口。为集中管理各个业务系统、应用、主机、网络设备提供了技术手段，可以集中管理、登陆各个业务系统，包括各种C/S应用和B/S应用，主机和网络设备，在未来增加新业务系统时也能迅速、方便的通过该系统进行发布。用户访问4A系统时，可以根据用户的访问权限，系统为每个用户提供自己的操作平台，显示所有所能访问的业务系统、主机系统和网络设备。2集中账号管理。管理员在一点上即可对不同系统中的账号进行管理，不同系统下都能自动收集账号和推送账号，另外账号创建、分配过程均有审计日志。3集中身份认证。管理员可以根据账号身份，选择不同的身份认证方式。可以在不更改或只进行有限更改的情况下，对原有系统增加强身份认证手段，提高系统安全性。4集中访问授权。对企业资产进行集中授权，防止私自授权或权限未及时收回对企业信息资产造成的安全损害。在人员离职、岗位变动时，只需要在一处进行更改，即可在所有应用中改变权限。可以细粒度授权，如只有在规定的时间段或是特定的人员才能访问指定的资源。5集中安全审计。能够对人员的所有操作进行审计，所有审计信息可以关联到行为人，达到实名审计的效果。6单点登录。访问授权资源时，只需要登录极地集中身份管理平台。7细粒度访问控制。通过堡垒主机实现内部网络行为细粒度策略控制，即时操作“现场直播”，实时监控，实时操作回放。5.2 功能介绍极地集中身份管理系统功能模块分为：集中账号管理、集中身份认证、集中访问授权、集中安全审计、单点登录五大部分。5.2.1 集中账号管理集中账号管理包含对所有子系统账号的集中管理。账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对用户整个生命周期的监控和管理，而且还降低了企业管理大量用户账号的难度和工作量。同时，通过统一的管理还能够发现账号中存在的安全隐患，并且制定统一的、标准的用户账号安全策略。通过建立集中账号管理，企业可以实现将账号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足合规审计的需要。集中账号管理系统能够自动发现主机、网络设备、数据库上的已有账号。系统可以定期手动触发或自动搜索所有被管理的系统，从中发现、收集所有新创建的账号。系统还可以通过账号推送机制，通过集中账号管理系统在被管系统中创建新的账号。集中账号管理对账号的产生到删除的各种状态进行管理。包括统一的用户创建、维护、删除等功能。统一的用户审批管理流程（添加、修改、禁用、启用、删除）。制定人员兼职、调动、离职的管理机制。5.2.2 集中身份认证极地集中身份管理系统为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。集中身份认证提供静态密码、Windows域、Windows Kerberos、双因素、一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口，可以方便的与其它第三方认证服务器之间结合。5.2.3 集中访问授权极地集中身份管理系统提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对主机、网元和各业务系统的访问进行审计和阻断。在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、主机系统、应用系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员在极地集中身份管理系统上，可以对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作这样应用内部的细粒度授权。5.2.4 集中安全审计集中安全审计管理主要审计人员的账号分配情况、权限分配情况、账号使用（登录、资源访问）情况、资源使用情况等。在各主机、网络设备、应用系统的访问日志记录都采用统一的账号、资源进行标识后，集中审计能更好地对账号的完整使用过程进行追踪。极地集中身份管理系统通过系统自身的用户认证系统、用户授权系统，以及访问控制和堡垒主机等详细记录整个会话过程中用户的全部行为日志。还可以通过远程日志，文件等形式获得其它系统产生的日志。5.2.5 单点登录极地集中身份管理系统提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多账号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高生产效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。集中不同(B/S架构和C/S架构)业务应用系统(如OA，ERP，MIS等)，主机系统(如UNIX，LINUX，WINDOWS等)，网络设备（如交换机，防火墙）的用户身份认证。单点登录可以实现与用户授权管理的无缝连接，这样可以通过对用户、角色、行为和资源的授权，增加对资源的保护，和对用户行为的监控及审计。6 漏洞扫描(JD-SCAN)解决方案6.1 网络漏洞扫描的必要性内部网络的统一管理，必须对内网的安全及时作出安全风险评估，这里可以采用极地网络漏洞扫描（JD-SCAN）来实现。通过风险评估，可以更有针对性的采取内控安全管理措施。6.1.1 漏洞扫描技术概述漏洞扫描通常采用两种策略，第一种是被动式策略，第二种是主动式策略。所谓被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查；而主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。利用被动式策略扫描称为系统安全扫描，利用主动式策略扫描称为网络安全扫描。现有的信息安全产品中主要包括以下五大件：防火墙、入侵检测、安全评估（漏洞扫描或者脆弱性分析）、身份认证、数据备份。这样，在部署安全策略时，有许多其它的安全基础设施要考虑进来，如防火墙，防病毒，认证与识别产品，访问控制产品，加密产品，虚拟专用网等等。如何管理这些设备，是安全扫描系统和入侵检测系统的职责。通过监视事件日志，系统受到攻击后的行为和这些设备的信号，作出反应。这样，漏洞扫描系统就把这些设备有机地结合在一起。因此，而漏洞扫描是一个完整的安全解决方案中的一个关键部分，在企业部署安全策略中处于非常重要的地位。防火墙和漏洞扫描的必须同时存在，这是因为仅有防火墙是不够的。防火墙充当了外部网和内部网的一个屏障，但是并不是所有的外部访问都是通过防火墙的。比如，一个未经认证的调制解调器把内部网连到了外部网，就对系统的安全构成了威胁。此外，安全威胁往往并不全来自外部，很大一部分来自内部。另外，防火墙本身也很有可能被黑客攻破。结合了入侵检测功能后，漏洞扫描系统具有以下功能：协调了其它的安全设备；使枯燥的系统安全信息易于理解，告诉了你系统发生的事情；跟踪用户进入，在系统中的行为和离开的信息；可以报告和识别文件的改动；纠正系统的错误设置；识别正在受到的攻击；减轻系统管理员搜索最近黑客行为的负担；使得安全管理可由普通用户来负责；为制定安全规则提供依据。6.1.2 漏洞扫描产品特点l 模拟攻击黑客的攻击一般分为3步：第一步，扫描端口，探测那些端口是开放的；第二步，发现漏洞，对开放的端口调用测试程序或数据串，通过特定的反应检测是否存在漏洞。第三步，发起攻击，发现漏洞后，黑客就查找相关的攻击工具进行攻击。漏洞扫描系统的前两步和黑客的攻击很相似，不同的是在第三步，发现漏洞后会立即向用户提示漏洞的存在和解决办法，而不是发起攻击。因为前两布的相似性，漏洞扫描系统也称为模拟攻击测试。进攻是最好的防守，传统的安全产品都是单纯从防御的角度来达到目的，而漏洞扫描产品是唯一从进攻的角度检测系统安全性的安全工具，可以发挥其他安全产品无法发挥的作用l 未雨绸缪通过事前的模拟攻击测试，漏洞扫描系统可以在黑客发起进攻之前就发现黑客可能发起攻击的隐患，提示用户修补漏洞和采取防范措施，防范于未然。事前防范比事件发生时的防范更从容完整的入侵检测技术包括事前的检测，事中的探测和报警，事后的分析和应对。漏洞扫描系统在攻击发起之前进行自我防护和积极应对，比事中、事后的措施更有效。l 直接保护被攻击对象传统手段是通过层层设防，防止黑客接触到主机（或其他被保护节点），但是一旦各种保护层被突破，主机仍然要承受攻击。漏洞扫描是直接加强被攻击对象的强壮性，即使外部的保护措施失效，本身强壮的主机仍然可以保证安全。l 性价比高在目前的安全产品中，漏洞扫描产品的价位比防火墙稍高，远远低于其他安全产品的投资。漏洞扫描产品的安装运行简单、效果好、见效快，同时该类产品网络运行相对独立，不会影响到正常的业务，具有很高的性能价格比。l 使用方便安全扫描产品不仅能发现漏洞，还装载了大量的信息安全知识。通过使用安全扫描产品，系统管理员可以借鉴专业安全工程师的知识和信息积累，大大减轻了自己的劳动强度，有利于全网安全策略的统一和稳定。6.2 产品部署通常在核心交换机上部署一台机架式漏洞扫描服务器，同时在其他的各个不同的网段配置一台分布式漏洞扫描仪，定期地对网络中多个不同的网段的主机进行检测，同时给出相应的解决建议，用户根据这些解决建议来做出相应的防护。6.3 产品特点介绍6.3.1 强大的检测分析能力l 能够对操作系统、网络设备和数据库进行扫描，指出有关网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告和相应的修补措施，安全建议；l 能够通过本机扫描插件下载的方式，下载插件进行本地补丁扫描，突破防火墙的限制，或者最准确的主机漏洞信息。l 软件设计采用了最先进的层次化软件体系结构，框架清晰、运行稳定；漏洞库的升级不会影响到程序的稳定，从而使先进性和可靠性得到了完美的统一。综合了国外著名安全产品的优点和思路，起点高技术先进，检测范围广，可覆盖Internet/Intranet的所有主流部件。l 拥有强大的检测漏洞库，根据服务分为19大类别，现有漏洞数量20000余条（2009年11月）。每条漏洞都包含详细漏洞描述和可操作性强的解决方案。通过网络和本地数据包，每周至少升级更新漏洞库一次，以保证能够检测最新的漏洞；l 拥有强大的结果文件分析能力，可以预定义、自定义和多角度多层次的分析结果文件，提供html、doc等多种格式。6.3.2 支持分布式扫描随着网络规模的逐步庞大、逐步复杂，核心级网络、部门级网络、终端/个人用户级网络的建设，各个网络之间存在着防火墙、交换机等过滤机制的存在，漏洞扫描发送的数据包大部分将被这些设备过滤，降低了扫描的时效性和准确性。针对这种分布式的复杂网络，不能依旧采用传统的软件安装方式或者机架方式那种不易移动的产品，漏洞扫描系统能够充分发挥自身可移动的优势，能够很好的适应这种分布式网络扫描。6.3.3 自身高度安全性l IP地址限定每个扫描系统所能扫描的IP地址范围被严格锁定和限制，并在国家授权机关进行安全备案，杜绝了网络漏洞扫描系统被恶意使用的可能。l 抗攻击设计扫描系统运行的操作系统是经过专门优化的LINUX系统，对操作系统的漏洞进行了全面的修补，并对扫描系统本身进行了各种攻击下的防范测试。l 多级的安全权限系统有完备的安全设计，防止超越权限操作现象发生；系统分级分层授权，以保证信息的安全和保密；充分考虑在网络、操作系统、数据库、应用等方面的安全性l 传输数据的加密采用多种数据加密方法对重要数据进行加密，保证数据的安全读取与传输。不论是扫描脚本还是用户的扫描结果，都以严格加密的形式进行传送。既保证了测试脚本不会被窃取，也保证了用户的评估情况不会泄漏。6.3.4 支持WEB扫描Web漏洞扫描方法主要有两类：信息获取和模拟攻击。信息获取就是通过与目标主机TCPIP的Http服务端口发送连接请求，记录目标主机的应答。通过目标主机应答信息中状态码和返回数据与Http协议相关状态码和预定义返回信息做匹配，如果匹配条件则视为漏洞存在。模拟攻击就是通过使用模拟黑客攻击的方法，对目标主机Web系统进行攻击性的安全漏洞扫描，比如认证与授权攻击、支持文件攻击、包含文件攻击、SQL注入攻击和利用编码技术攻击等对目标系统可能存在的已知漏洞进行逐项进行检查，从而发现系统的漏洞。远程字典攻击也是漏洞扫描中模拟攻击的一种，其原理与其他攻击相差较大，若攻击成功，可以直接得到登陆目标主机系统的用户名和口令。Web漏洞扫描原理就是利用上面的扫描方法，通过分析扫描返回信息，来判断在目标系统上与测试代码相关的漏洞是否存在或者相关文件是否可以在某种程度上得以改进，然后把结果反馈给用户端(即浏览端)，并给出相关的改进意见。7 内部网络的统一管理7.1 统一管理方式在用户内网中，统一部署极地终端与内网安全管理系统、极地内控堡垒主机、极地网络漏洞扫描系统后，可与用户已经部署的防火墙、IDS、VPN等设备联动，联动接口为标准规范。实施联动后，所有设备实现信息共享，并按照统一的原则和策略实现统一管理。例如IDS检测到某终端有攻击行为后向终端管理系统报告，终端管理系统立即禁止此终端所有网络连接，防止攻击行为对内网产生影响。7.2 统一管理功效有了针对终端计算机和服务器的管理系统以后，结合用户已经建设的防火墙、IDS、VPN等系统，可以实现真正意义上的全网统一管理：7.2.1 无死角通过抓住所有安全事件的源头：终端与服务器，可以将全网所有事件纳入管理范围，无论安全事件从哪里发生都能准确定位和处理。7.2.2 全网安全域管理通过终端虚拟安全域，可划分更细粒度的安全域，将安全域由传统的网络边界粒度扩展到单台终端，与传统的基于网络边界访问控制的安全域结合，实现更细粒度、更自由的安全域管理。7.2.3 远程终端与内网终端统一管理通过远程终端安全准入控制，终端计算机不再区分远程接入或局域网接入，可以按相同的管理策略进行管理。7.2.4 统一用户管理