上海东方CJ内控管理内网监控及数据库审计平台技术解决方案

上海东方CJ内控管理、内网监控及数据库审计平台技术解决方案上海络安信息技术有限公司2012年02月版权声明丛上海络安信稀息技术有限狼公司袖是一家提供阀全面网络安迅全解决方案董的咨询与服洽务为主的高腥科技企业，盯为中国广大愧的行业用户恶提供具有国管际标准（如菠ISO17蚂799、I枪SO154絮08购、寇BS779坑9等）的网滴络安全全面俊解决方案及锈咨询服务，滥并向客户提做供全面安全惠解决方案中跳所需的各项虽安全工具，轮及提供安全病解决方案管钞理所需的管驶理决策平台保、安全咨询传、教育培训强以及卓越的雕售后服务。冬上海络安信垦息技术有限出公司保留此寒文档的所有有电子、纸张罗类文件资料傍和相关软件例等的所有版萄权。任何单次位和个人未开经许可不得肺复制、转载副或用于任何香商业目的，伍上海络安信解息技术有限窜公司保留追膀究法律责任槽的权利。肉文档修改日促志医日期惹修改理由毒修改章节顺版本毅20批1晓2疗.0茧2饶.蒙0斑7惰原始版本辉1.0目录情第一章旷轿项目综述遭愧堡垒主机棉对各种字符幅终端和图形蹈终端使用的毅协议进行代政理，实现多唇平台的操作河支持和审计让，例如Te承lnet、理SSH、F踩TP、Wi顷ndows另平台的RD固P远程桌面故协议，Li章nux/U幕nix平台劣的XWi司ndow图劫形终端访问变协议等。钩当运维机通惊过堡垒主机爬访问服务器碎时，首先由坊堡垒主机模前拟成远程访趣问的服务端饮，接受运维士机的连接和略通讯，并对请其进行协议姥的还原、解贸析、记录，盈最终获得运惭维机的操作禾行为，之后最堡垒主机模琴拟运维机与园真正的目标帮服务器建立皇通讯并转发袄运维机发送隔的指令信息帅，从而实现灭对各种维护歌协议的代理前转发过程。涉在通讯过程营中，堡垒主贯机会记录各六种指令信息扔，并根据策蜻略对通信过呼程进行控制俱，如发现违娘规操作，则尿不进行代理代转发，并由场堡垒主机反结馈禁止执行怜的回显提示亦。谅产品功能介今绍系统架构衫LanSe终cS（堡垒欧主机）内控浅管理平台采乖用层次化、缎模块化的设幻计，产品整箩体分为认证技层、操作层社、权限层、帖审计层、核青心层。系统磨从可扩展性验、高性能、守系统的松耦妖合性、安全单性等角度进咱行了充分的践考虑，为安纷全信息系统厌的管理提供讯了一个商业孩级、智能化聚的访问管理版平台。露总体结构图啄如下所示：功能描述借LanSe糖cS（堡垒助主机）内控魂管理平台模睬块分为：用超户管理、认南证管理、授认权管理和集印中审计四大袭部分，功能违结构如下图检所示：丙笨统一资源管呀理坛LanSe志cS（堡垒在主机）内控运管理平台实匙现了对自然角人的生命周闪期管理和授纷权管理，围降绕这人员入菜职、换岗、式离职等一系捞列周期过程懂进行从帐号尾的推拉、登阶记访问流程陕的审批、角然色授权、访杀问控制策略起等一整套安蓄全控制措施坏的管理，以潜及提供可大紧大减轻管理筛员工作量的炒用户自服务佣功能。寸LanSe示cS（堡垒氧主机）内控哀管理平台提熔供用户分组亮管理的功能转，所有的帐博号策略、授弹权策略、访凭问控制策略域等均可通过讽组的方式来绑进行批量的蛙设定，同时积也可以对单歉个用户进行讲精细的策略沈授权。用户扩分组的层次间可按需要任谨意设计多级鸦子组，并且私每个组均可狸以设置单独龟的管理员进浇行组内管理离。这可以在溉安全的控制雁范围内，提粘供各业务系循统或子单位候进行内部帐骡号自管理的当能力，并且诊大幅提高帐存号管理的效集率和响应速纳度，也能够材大大减轻网六络运维人员贸的管理维护拴工作量。慢LanSe惨cS（堡垒核主机）内控保管理平台提施供流程引擎键，满足帐号丝申请、审批缩、分配、通膀知等流程管严理制度的需觉要，并且能渐够与BMC糊Reme鬼dy、HP慢OSD、朵CAHe恋lpDes余k等主流电阀子运维流程探进行无缝集睡成，便于企俗业建立统一舱的安全运维猾管理。钉LanSe朋cS（堡垒后主机）内控欧管理平台提怖供角色授权很与访问控制衬等一系列策般略管理功能悦，满足企业旦对人员访问砍安全的各种讽需求，能够夫实现对人员谜、时间、地毙点、被访资老源、操作、卸频率次数等马的授权、访缴问控制和审挣计能力。用户管理威LanSe冷cS（堡垒揉主机）内控蚂管理平台，关用于存储内热部的所有管狱理信息，包敬括所管理的俊设备、系统睁，各设备、陕系统下的所绘有从账号，暗从账号与主歼账号的对应逃关系等。在穿账号管理数脱据库中可以废不存储个人翻信息，而是栗在需要的时式候通过外部严数据接口访广问企业安全沿目录，获取交个人信息。初根据系统资易源的管理实恩现自然人，派集中账号管和理系统角色紫，及设备帐薯号三者之间牛关联；用户绪权限的模型贷应遵从业界防基于角色的英权限控制(壮RBAC)临模型，实现透用户－角色类－权限－资阻源的权限模起型。痛用户管理包蹄含对所有系膨统子系统等泡的账号的集铜中管理，以廊及整个系统服中各种资源喝的集中管理质。账号和资什源的集中管各理是集中授制权、认证和体访问控制的棍基础。集轻中用户管理灶可以完成对退用户整个生提命周期的监痒控和管理，浆而且还降低辅了企业管理古大量用户账稀号的难度和润工作量。同捞时，通过统撇一的管理还喂能够发现帐蹦号中存在的未安全隐患，棕并且制定统窝一的、标准墨的用户帐号浙安全策略。番通过建立集元中用户管理辰，企业还可炕以实现将账办号与具体的姑自然人相关肥联。通过这绣种关联，可铅以实现多级结的用户管理筒和细粒度的洽用户授权。来而且，还可惑以实现针对倍自然人的行拆为审计，以巩满足合规审关计的需要。都灰用户生命周吩期管理腐用户生命周介期管理是指琴对用户从产吃生到删除各波存在状态进狱行管理。包哀括助统一的用户惰创建、维护继、删除等功伐能。统一的阴用户审批管扒理流程(添唉加、修改、佛禁用、启用泊、删除)。蜓制定人员兼棚职、调动、灶离职的管理午机制。袭生命周期管薯理功能项：贷用户信息导隐入脱用户管理子速系统能够从基用户人事管俩理系统中通霜过定制接口断或文件的形樱式导入人员浩信息；财手动添加用愧户信息敲具有相关管默理权限的用欣户可以手动艇添加用户信恢息；用户管寒理子系统还吊可冠以通过定制关开发的接口眉，将新加的霸用户信息同革步到相关人咏事管理系统婆中；就用户信息修酱改唉具有相关管红理权限的用纪户可以对用引户信息进行路修改；前用户信息自杰维护狮用户可以通捎过用户管理俱子系统对自养己信息进行柏维护，同时吊，系统会自沟动霸将修改发布橡到相关系统埋或管理员；用户入职述系统能够根块据用户工作士职能，权限节等，按照预肺定义的相关坡入职策略，暖创建用户信弱息，以及为秆用户建立相臂关账号；修用户职责变纱更浆系统能够根施据用户工作烂职能，权限筑变换等，按剥照预定义的斥相关职责策阳略，修改用越户相关账号立；用户离职蛾系统能够根肆据离职策略色，处理遗留纺在系统中的草用户信息，裳以及对用户陪的相关账号吹执行相关操纽作处理，例鹅如，删除等递。除月主账号管理题主账号与自坟然人（相关名用户及用户迅信息）对应扮系统中每个露主账号只与所一个自然人戏对应，而一夸个自然人可陶以具备多个既主账号；从主账号的基辈本管理滨相关权限管迷理员可以对坡主账号进行菊增删改查；币详细功能描戚述浴这个功能体息现了统一身咐份及访问管绘理系统用户卧的管理，即购主用户的管参理：昼用户按树甚形划分（划驶分方式以管钥理员的理解仓进行，例如萝按部门，业倡务，地域等牵）；要树的每甩个节点，作鹅为一个管理岔单元，包含终若干用户，胀也有各种策勤略属性（如伴登录失败控第制策略、登愚录时间策略无以及资源访埋问策略）；狠每个节点，哀可以指定其麦下的一个或煎多个用户为苹管理员，管禁理员对这个秘节点，节点携下的子节点江，以及节点候和子节点下游的用户进行年管理，如增迎删改用户，惑增删改子节扩点，为用户严或节点设置翁策略；便管理员只能雨对自己管理逼的节点下子贸节点进行操英作。账号管理五从帐号进行仿分类定义并佛做为资源从惯帐号的属性术，包括孤立瘦帐号、交叉币帐号和等，州并且赋予了贯一些基本的州管理功能。浮罗列主要的阻资源从帐号寺属性如下：睛孤立帐号：递任何被管资物源上的从帐肤号如果在没及有被分配给注自然人帐号袋的情况下，岭则标记为孤普立帐号，并桌能够向管理枝员产生报告揉以便及时发群现非法帐号段或滥用帐号医的存在；压共享帐号：循被做为角色必并且分配给压了多个自然幼人的资源从纳帐号，则标诊记为共享帐漫号，并提供颗帐号报告；合直属帐号：虑唯一对应且榆仅仅从属于棍单一自然人钉的资源从帐挨号，则标记递为直属帐号偶，并提供帐仗号报告；王薪用户角色管龄理捧集中账号管促理系统实现赤基于用户角学色的用户管祝理体系，将端自然人与相记关角色和系别统资源进行撤统一的管理借，便于对用教户、角色的搅授权和制定能对资源的访朴问控制策略韵：通过集中介账号管理系踏统创建、撤胡消角色；通百过集中账号丸管理系统分杂配角色权限洋，包括角色正能够访问哪喝些应用，能旁够在应用中数以什么样的炊方式访问哪在些资源。角急色通常与职字权、职位以庆及分担的权绑利和责任有铁关。账号同步欧集中账号管裤理系统能够篮自动发现主圾机、网络设站备、数据库注上的已有账涛号。系统可呈以定期手动法触发或自动皮搜索所有被消管理的系统怀，从中发现缸、收集所有算新创建的账野号。系统还霸可以通过帐贼号推送机制动，通过集中动帐号管理系彼统在被管系玩统中创建新缘的帐号。挎集中帐号管愤理系统还可枝以通过同步祸机制，与用聋户现有的用拆户管理系统蒜，例如、域捕用户系统等株用户管理系芳统实现帐号软的同步。临制定人员信无息导入的机佣制(吴可以骆与HR系统暗的集成)渡。今系统通过客怎户端（账号药同步驱动、技程序或接口州）、迁telne学t泻、监ftp蚂方式获得各陡种主机，网致络设备、安诞全设备、数叮据库和业务授系统账号信销息以及账号平所对应的权塑限。其中主客机包括各版由本的兵Windo史ws啦、UNIX伶、Linu热x等操作系丽统，网络设邀备包括Ci奔sco、华遣为等交换路绑由设备，安叙全系统包括蚂各种防火墙律，防病毒和惰入侵检测系闻统等，S瓜QLSER握VER、O死racle判、DB2、零Infor隙mix等主温流数据库的膝账号，用户夜各种业务系判统如MIS惊C、SAP刷等系统账号粮。政相关权限管泻理员可以在额通过用户管玉理系统为用服户创建相关垃角色，以及琴创建角色账挽号和为账号锣设置相应权黄限，由系统无通过客户端名（账号同步池驱动、程序酸或接口）、印telne稻t惹、员ftp投方式推送到奥相关资源、叉系统中。箭客户端支持支AD、RD膊B、LD碧AP等用户视存储方式。番疑账号策略管皆理栗帐号策略管隔理提供了丰君富的自动化兼帐号管理功势能，能够根近据帐号类型否和相应的管牛理策略满足坝用户多样的锅管理需求。贩这些管理需匀求包括：践自动发现和曾自动监测：酒满足用户对渴各IT资源敏上的帐号监暂控需求，周逆期性的采集录、同步和监材测被管资源仿上的帐号。搭主从帐号一兽致性：满足干用户对授权侮资源内的自杰然人帐号的谣统一与同步冒需求，保证折在授权资源剩范围内对每夺个自然人帐册号维持一套后独有的、一适致性的资源傲从帐号。此志功能不同于牢角色管理模撇式，在角色蚊管理模式下圆，多个自然申人可能共享骨同一套资源吸从帐号。乐特殊帐号一巧致性推拉：居满足用户对具特定用户、咳特定资源范屈围内的应用互系统帐号的味快速推广需症求，满足其终他IT管理页系统对企业拐IT资源的赤自动化监管钉需求。例如骤，网管系统床的自动巡检桨模块需要根园据网管系统丽的值班帐号郑来采集主机钢、网络设备污或系统等的床配置、性能舒等状态数据老。作动态密码计凯划：满足对乳被管资源从计帐号的安全粪保护需求，年对资源从帐便号进行周期歇性的高强度表密码变更，纷维护账号的租安全性。写帐号处理策躲略：满足对蓝各种帐号类盐型的处理需穗求，将帐号腾划分为交叉届帐号、共享宝帐号、孤立坡帐号等：冶交叉帐号：拔交叉帐号是慰被其他系统光内部使用的虚帐号，它的沸密码不能随或意改变。因煤此这类帐号殊不能进入密锯码计划；夹共享账号：侍在内部被授颗予多个用户代使用的帐号跳，这个账号仙的删除不能拒随一个账号放的删除而删博除；遮孤护立帐号：在它内部未被授跨权的用户，踪这类账号会渴一告警的方阶式被告知管价理源扬；资源管理怜这个功能体习现了统一身址份及访问管稻理系统接入染资源的管理贷，即主机，聚网络设备，毒网元，应用贞的管理。毙资源与主账市号（用户）率的对应系统献相关管理员个可以指定主喷账号的资源厚的访问权限邀；售资源按树形奸划分（划分正方式以管理喂员的理解进诵行，例如按拉部门，业务发，地域等）楚；蜜树的每个节绪点，作为一教个管理单元趟，包含若干绸资源；厕每个节点，碧可以指定一撕个或多个用桑户为管理员摊，管理员对路这个节点，财节点下的子赖节点，以及狂节点和子节秆点下的资源锤进行管理，阔如增删改子技节点，增删蚂改资源，对妙资源账号进耍行同步等。密码策略洁实现集中的义密码管理，搁并按照密码葛策略的要求移，自动、集委中、定期修事改系统账号贫的口令，对煌口令强度和覆周期实行统亡一的管理。呢实现集中删毫除一个自然要人的所有或迟者部分系统对账号。兼系统按照S依OX要求设完置了严格的老用户帐号安扫全策略，并萄且可以根据甚需要自行配楚置，策略包嚷括密码强度拘、生存周期麻等，可以根勤据需要自动切定时对从帐跑号口令进行表修改，并且伍能够将结果狠自动同步到哑所有被管理但系统中去。声密码制定策瓶略来用户必须按仔照规定涉及竿相关主、从浪账号密码（狡长度、字符钟等），系统痛还提供多种框密码制定策环略，满足不茶同系统对密莫码安全的需犬要；欢可以设定最监小和最大口欧令长度犬可以设定最惨小和最大字终符数目唤可以设定最妥小和最大数拔字数目已可以设定最牛小和最大标露点符号数目屈可以设定不吵能使用的口赤令（如特定械的词、与账甚号相关的变过种）扬可以进行相郑似口令检查努可以进行连秆续字符检查以可以进行口韵令更改时间杠间隔限制颠可以设置同康一口令的使属用限制羡可以设置导占致账号被锁妻定的尝试失祝败登录次数半可以进行自躬动的口令重辟设迫可以对于管取理员用户和轮普通用户分觉别设置口令萌管理和认证蜻方式的选择丛策略。区密码修改计健划杜功能概述：位这个功能为肠了实现，用百户从账号密百码的定期变米更，提高密春码的安全性宪；糊密码定期检令查垄通过系统定证时任务，或嫁相关管理员使执行密码检纳查，找出系钓统中存在不长满足要求的龄用户口令；私密码失效策衔略胆系统自动使尼不满足要求违的密码失效蜘；晓密码存储策欧略遇密码的存储勾采用加密存愁储，加密方绑式：RSA补或DES；授权管理穴授权内系统贩提供统一的润界面，来对擦用户、角色忆及行为和资恋源进行授权拣管理，以达秧到对权限的猜细粒度控制刊，最大限度宿保护用户资慢源的安全。康集中账号管疏理系统通过只集中授权和饮访问控制可慨以对用户通晕过B/S、家C/S对主般机、网元和肾各业务系统买的访问进行掠审计和阻断镰。集中授权嚼在集中授权吹里强调的坚“掉集中睡”冶是逻辑上的谜集中，而不杂是物理上的畏集中。即在业各网络设备旨、主机系统挖、应用系统胞中可能还拥菠有各自的权足限管理功能渗，管理员也踪由各自的归仰口管理部门果委派，但是蜂这些管理员创从统一的授币权系统进去斩以后，可以眼对各自的管篮理对象进行洽授权，而不雁需要进入每绣一个被管理拉对象才能授直权。帖授权的对象朋包括用户、盐用户角色、涨资源和用户素行为。系统唱不但能够授照权用户可以博通过什么角萄色访问资源修这样基于应彼用边界的粗尿粒度授权，陈对某些应用筛还可以限制缴用户的操作尾，以及在什马么时间进行外操作这样集拖体到应用内构部的细粒度筑授权。授权审批从用户创建帐外号之后，对面于权限的审证批需要通过朗系统内置的逃工单系统来蝇进行权限的朱审批，每一勤步的审批过区程均有详细许的记录，便戒于事后对责趴任的追查。资源授权棉资源授权的荷范围主要包暑括主机、网同络设备、数纤据库、网元错、OMC、皂安全设备和按应用系统（漆业务支撑系未统、网管系少统、信息化宣系统、其他典）等。妖对资源授权损主要包括实锣体授权和资炕源级授权：以实体级集中吊授权，授权仰粒度只精确节到应用、设机备、主机，机就是用户是松否有权连接衰某个概IP剥地址＋端口支。狂实体内部资咬源级集中授执权，授权粒圾度精确到应您用、设备、泉主机内的资通源。资源包茅括应用的功泥能模块、料HTML育页面、数据模库表或字段小；主机内的资文件或目录鸡等。泽集中账号管井理系统通过波对用户授权求，可以定义量用户可以访坐问哪些应用昂，以及以什腐么样的方式仇在什么时间惕访问，可以石防止未被授某权的用户、净角色对资源双的访问。角色授权至集中帐号管耗理系统通过捆对角色授权红，可以用户尾以什么身份揉访问应用，瓣以及可以执殿行的操作。向当在系统中吉对角色进行盖创建、分配闲权限、修改侨、删除后，刃会被同步到废资源，多个仗角色构成一臭个角色组，凑身份及访问扒管理来系统未不直接对应肉用和系统权断限进行管理误，但能够将忍权限授予角链色和从帐号源，应用系统误必须按照角警色进行树立夹，使权限按产照角色进行罪管理。胁对应关系如更下：逃一个自然人揪对应一个主蝇帐号嘉一个主帐号愿对应多个角腔色组或多个趟从帐号妥一个角色组疫对各多个资蜻源上的多个累角色段一个从帐号弹对应一个资精源上的角色稼一个角色对姥应资源上的日多个权限弓主帐号和角隐色组信息在卷身份及访问辛管理系统存阶储，从帐号州和角色在身誉份及访问管掏理系统和资侄源上存储，各权限信息可奋在系统平台蝶和资源上存但储，以便进科行访问控制困。峰塞细粒度授权曲LanSe畅cS（堡垒呈主机）内控番管理平台负斜责构建企业岸资源访问角灵色，并制定朴一系列访问舱控制策略。叉集中授权管篇理可实现完奸善的角色授晃权管理功能也，从用户、陵角色和资源叛进行用户授晓权管理。可我以制定到资嫌源边界的粗睡粒度授权，肉即，用户按屯照角色权限帐和管理资源绳范围的不同疤，能够访问姑的资源IP银和Port康也不同；也颗可以制定针佣对资源操作有的细粒度授柴权，即，能挨够对用户进织行登录时间篮、访问地点屑、目的资源暖、次数、频敬率、失败控猫制、操作命卧令、操作参阁数等等的具站体行为、时舌间、地点、旺目的的精细扰控制。洞提供基于j分ava的a危pi实现授貌权信息的下奔发。包含的简信息：主用徒户，设备地除址（ip，蓝port）宰，从账户，低命令黑白名剃单。交集中授权管星理可实现强贯大的访问控消制能力。对缸于用户对资执源的访问控主制，通过对草其授予不同拿的访问策略疑来实现，例烂如用于登录生失败策略、帽登录时间策包略、堡垒主后机策略等：付利用资源内侦部进行访问猾控制：对自糕然人账号授头权资源从帐璃号，实现了跟自然人账号煤到资源访问跪的基本授权摇，由于从帐左号包含有资害源访问的内减部授权信息召（例如用户衰组、She往ll等），渣可以依靠资镇源内部实现蠢一定粒度的斩访问控制论利用堡垒主逝机进行集中猎的访问控制为：通过对自通然人账号授弓权相应的访劣问策略，并刮通过策略执勾行单元漠――谅堡垒主机的画干预，可以劈对自然人账奋号访问资源津作进一步的挑授权控制，占例如对于字刷符应用，授勺权可以控制搅到命令及命泪令参数和级磁的粒度；对狡于web应捐用可以授权恳到指定的u钩rl，并可校以授权到指船定的时段，俗ip段等。肢集成SSL允VPN方善式的集中接勉入和访问控习制；圾集成反向代锁理（Acc份essM省anage怜r）方式的航集中接入和堵访问控制；双集成堡垒主鼠机方式的集垃中接入和访尽问控制；起利用AAA荷实现的访问再控制：通过见将支持Ra趴dius的乔资源的认证唐指向堡垒主页机内置的R艳adius丧Serv荡er来保证遗资源访问的驶授权。属借集中访问控筒制豪B/S系统境通过访问控款制服务器结萄合相应用户罗B/S访问闭请求，并且身根据访问控肥制策略进行脸阻断、告警漆。脆C/S系统束，可以通过冻堡垒主机对利用户行为进县行细粒度访瞒问控制，例每如teln反et、ft勤p、ssh斯和图形方式楼的应用的审刘计RDP等俭。堡垒主机涌字符堡垒主谦机是应用级从的网关，可屋以对字符应软用的访问做格到命令的访陵问控制，会督话内容的审签计。功能特点：值对各种字符拥应用，Te叨lnet、衣SSH、F雀TP等等作灾应用级的控歪制转发。其席工作原理是饿对堡垒主机姑的Shel基l模块做了礼审计、访问甘控制加强，锡所以其工作躬原理简单可漂靠，其并发点数可吞吐量汤基本和主机篇本身的性能祖成正比。饿访问控制：裤通过和堡垒生主机访问控碰制策略服务抄器进行联动卖，可以对各敬种字符应用狭作基于命令享的访问控制待，例如对于冬用户使用了虚未授权命令匪，可以对命咏令进行阻断盐。名审计：可以石对其转发的衰数据直接记礼录日志，并服记录会话I哥D以形成回滨放能力。优点：灯工作在应用叹层，可以获芹得会话过程斜中的用户名砌信息，IP企信息、端口辞信息。有利径于更加完整沿的获得用户员的会话审计瓣信息，更加智有效的控制栗用户发送的吸操作命令。羡访问控制的晴力度很细，祖能够对用户络发出的命令哑做访问控制堪，可以控制宋到命令本身委，和命令操芳作的对象，驼如目录、文季件、用户、钞组等系统对店象。发RDP堡垒狗主机劣RDP堡垒寄主机能够实负现Wind数owsT臣ermin蹈al、、x告Windo汇ws等图形痰终端的集中辨接入和访问扰控制，可以府做到应用边冠界的访问控基制并且可以辨进行全程录辉像和回放。功能特点：邮访问控制：孕通过和堡垒贪主机访问控愁制策略服务匙器进行联动沾，可以对用娘户所能够访飞问的Win主dows主盆机、Uni某x主机进行敢边界级的访献问控制。博审计：可以糟对用户的整荷个操作过程枯进行录像并巷回放。优点：掀可以满足用冈户对图形化罚终端的使用质需求。定可以做到资餐源边界的访菌问控制。余可以做会话顾录像。缺点：时控制粒度较交粗庙操作过程无坚法控制单点登陆如身份认证和衫访问管理系搭统提供了基粪于B/S的变单点登录系赏统，用户通钩过一次登录厘单点登录系自统后，就可段以无需认证寄的访问包括胆被授权的多仪种基于B/趴S和C/S未的应用和系庄统。单点登必录系统为具坐有多帐号的喊用户提供了芒方便快捷的贞访问途经，沾使用户无需蛙记忆多种登浴录过程、用料户ID和口赖令。它通过羡向用户和客怨户提供对其窗个性化资源冶的快捷访问附提高生产效握率和利润。义同时，由于签单点登录系所统自身是采手用强认证的掏系统，从而衫提高了用户得认证环节的破安全性。胜集中不同(驳B/S架构南和C/S架喷构)业务应邻用系统(如冬OA，MI滋S，BI，所CRM，E秩RP等)，聪主机系统(险如UNIX当，LINU刘X，WIN裙DOWS等谋)，网络设衣备(如交换唉机，防火墙祸)的用户身头份认证。命单点登录系微统与自身可堡以实现与用省户授权管理内的无缝连接扎，这样可以往通过对用户母、角色、行剩为和资源的开授权，增加盆对资源的保晴护，和对用群户行为的监嘴控及审计。例牛B/S单点麦登录籍B/S单点均登录系统通岭过应用发布其的方式实现孕B/S应用邪的单点登录绕。用户通过恨登录集中应英用发布平台催，然后可以枝直接访问平味台所发布的四B/S应用设。座通过单点登佳录，以及单框点登录账号男（主账号与纷自然人关联补）对用户进指行授权访问估和基于自然疤人的行为审寨计。单点登录：敌通过扬堡垒主机脱Porta摘l漆自动提交表脑单的方式：诊用户访问W洒eb应用系手统时，堡垒锁主机Po尸rtal通殖过构造隐藏梢的登录表单辞并自动提交撤的方式进入告Web应用捐系统。此种叹方式下旬，踢客户端在首牧次通过哭堡垒主机慈Porta予l的强认证脂和单独登录蠢认证后直接欲与Web应西用系统交互电，其访问行必为需要堡垒先主机来进行面授权控制。袭通过尾SSLV户PN盘、反向代理昂表单注入的叫方式泰：捉堡垒主机设府备在作代理抵的过程中当忌发现有登录辆特征的对http学内容始，查自动注入表块单内容痒，睛完成偶web第应用登录。单点登出：践通过SSL到VPN、旺反向代理和忌进行策略联丽动的方式。酒当用户登出鞭堡垒主机援Porta林l时SSL第VPN、反书向代理设备丛收到堡垒主湾机Ser眉ver的联节动策略后，轮断开用户和革WEB应用登的连接，实绢现登出。耽点C/S单点疯登录侄C/S单点大登录系统通棵过应用发布择的方式实现颗C/S应用法的单点登录除。用户通过懂登录集中应藏用发布平台火，然后可以拖直接访问平较台所发布的嫌C/S应用先。LanS贫ecS（堡录垒主机）内睡控管理平台长可以直接将摘C/S应用然发布到中央展管理平台，安系统会根据恭用户的分级祖和对资源（痒应用是对资靠源的访问形部式）授权，哈为用户提供银相关C/S失应用。单点登录：绵通过浏览器沫代填控件进毛行代填：用辰户在通过敲堡垒主机渔Porta汁l的强认证姜后，代填控吸件会被自动舞下载到客户触端浏览器中导，劈控件会对C锣/S的客户购端进行挂钩租，分析特征归事件序列，撞进行窗口控诸件级操作实类现代填动作哪，单独登录既后的立访问行为需逐要堡垒主机姓来进行授权碎控制商。此种方式绩需要客户端处预先安装C苏/S的Cl植ient端但。单点登出：庆通过SSL中VPN，誉堡垒主机，僻Citri纳x等这些C招/S访问控贼制设备，和附进行策略联柿动的方式。起当用户登出援堡垒主机种Porta环l时SSL脚VPN、堡疮垒主机，C掠itrix出收到堡垒主谱机Ser掉ver的联仅动策略后断泽开用户和应焦用的连接，逝实现登出。勤动态短信口物令别认证以提供唱基于短信动墙态密码（S厦MS-OT副P）的认证姨方式为主，讲能够提供符歉合SOX等镰国际标准和烫法规要求的都高强度认证号服务；挨自动判断登览录IP网段茧，能够根据导不同的IP钉网段确定是展否触发短信剂动态密码认塞证；污短信动态密斤码认证服务离器在生成并觉向用户发送蓬动态口令之赴前，必需对猫用户的身份摧进行验证，拌验证通过后城才能向用户瓶注册手机号影码发送生成迫的一次性口驶令；绪触发过程中济，用户的验株证密码（P营IN码等）标不能在网络垂上明文传输鸭；患短信动态密疼码认证服务疑器的触发机堂制必须能够文抵御恶意的惕动态密码触宴发请求，防霜止拒绝服务喇攻击；猴认证平台只冷能接受一次特动态密码的险登录认证请夕求，成功后倡动态密码立啦即失效，此孤后再采用该辈动态密码进蛇行登录均被株视为违法操跃作；零短信动态密俊码具有一定蛙的生命周期阿，即使用户践没有使用该做动态密码进进行登录，超古出时间范围秆后该动态密貌码仍将自动秃过期。审计管理麻审计管理功仪能主要实现激统一身份及舰访问管理系股统内部的管数理审计、用启户统一身份饰及访问管理座系统用户访傍问资源行为旗的审计踪肉内部的审计摧LanSe枝cS（堡垒在主机）内控霜管理平台会屡将系统自身域的所有操作宏进行日志，心并且会将日觉志发送内部熄审计系统。乱用户可以在器内部审计系此统中查看相拴关审计日志惜，以及产生意各种审计报绳表。内部审针计主要包括豪如下部分：痕集中审计管即理主要审计瞧人员的帐号血管理、认证矛、账号分配拦情况、权限玩分配情况、雄账号使用（餐登录、资源揉访问、操作符行为）情况约等。锯对账号分配捧情况的审计韵：包括主账岩号与自然人昆的对应关系架，主账号与塞从账号的对踩应关系，主影账号、角色夹（从账号）性的创建时间散、创建人等养；土对登录过程杯和用户身份乐的审计；释对登录后用随户行为，对编资源的访问效，以及具体窃操作行为的走审计；融对审计的信序息按照严重休、警告、一坚般进行分级撤管理。观按照IP、踪时间主从帐赢号、资源、邀关键操作和坡关键数据进刷行规则过滤晋。审计范围落LanSe劳cS（堡垒尤主机）内控腥管理平台可穿以对以下资置源的访问行辛为进行审计子：们操作系统：用Windo释ws、Li谣nux、U怒nix等；拥网络设备：凝交换机、路械由器；普安全设备：堂防火墙、I衡DS/IP带S、代理服轰务器（网关臭设备）、病滩毒墙等；描应用平台：船.NET、障Websp肺here、历WebLo在gic、T拥omcat藏、TUXE娱DO、Vi澡siBro旬ker等；幻数据库：O话racle头、DB2、余MySQL雕、Syb倡ase、I造nform涂ix、SQ陵LSer扫ver、T为erada目ta等。果应用系统：孟业务支撑系饥统、网管系恩统、企业信库息化系统等安。审计内容却审计的内容食包括如下部剖分：兼能够对本系叠统运行的全反部行为，包攻括任何人（绝含系统管理晚员）的任何茫操作进行记武录；额系统通过单克点登录，统阴一认证方式锻，将某个账称号的操作行波为与自然人使关联，实现榨对自然人行柏为审计的目前的；谎能够对主机欲，网络设备春，数据库等霸的所有用户焰指令操作的族记录；唉对主机、网互络设备、数售据库上的日晚志进行集中炭存储和集中酿审计；话系统能够实哭现对特定信搭息进行统计南关联（某时赤间段内发生佛次数）审计牙。审计查询素审计查询包型括如下查询尼方式：式审计查询支肌持交互式查浇询。自然人刑、信息类型辜（非法登录拆、非法操作缓、重大操作踪、乔敏感数据访涉问）、事件限级别（严重蜘、警告、一笔般）、内容汤、时间进行枕查询，查询毫可以通过与阅、或方式进醉行多级查询象条件组合，罩提高查询准劫确性。例如能查询200殿6-2-2肿023:尽00:00滩至2006球-2-21袜4:00落:00期间菌内，配置过俊10.34兼.56粒.78交换茂机的全部日银志；片提供对查询悬条件的自定芹义设置，将吼查询条件进旧行保存，减梳少查询的操谈作复杂；审计报表芳LanSe宫cS（堡垒呼主机）内控拳管理平台具注有强大的报臣表审计功能化：野系统提供P轻DF、Ex轻cel等多照种形式的报鼠表；坟系统可以按焦照日、星期第、月年产生叛多种形式的花固定报表；畅系统可以按集照用户自定腊义的查询条济件产品自定肆义报表；浩系统可以按玩照用户定义挪条件，以及僵系统自定义猜的报表模板透制定综合报究表；系统可植按照访问者饺、被保护对罚象、行为方曲式、操作内译容（例如数不据库表名称诚）等自动生辆成统计报表递，并能按照并移动的要求怠添加、修改勇报表数量、廊格式及内容摇，以满足S东OX审计的老要求。把可按照各业常务系统的要屑求添加、修霜改报表数量拿及内容，并雅可分专业生茄成各业务系山统的审计报培表。报表系声统可根据不矮同专业使用菊人员分别显闹示不同的报蓝表，比如短置信审计人员霉只需看到关顾于短信业务撒系统的审计蛮报表。搬可对人员的令操作以及所嗽管辖的业务结系统通过多持种报表展示陆途径，提供杠形象的展示彼方式，方便鲜领导和管理球员查看系统欠授权的合理塔性。还原审计彩堡垒主机的迟审计管理以敞集中的资源妖管理为基础罢，通过各种德堡垒主机、雄网络嗅探能历够实现用户刷资源访问会鹅话的还原审碧计。和对于字符堡雁垒主机，可煮以还原完整遍的用户会话诞内容：用户换对字符应用得的访问是经址过堡垒主机弓的，堡垒主因机在会话层唤转发对对应诵用的各种操志作命令，由作于在会话层认对操作命令脏和执行结果袍作相应的转覆发，因此可充以对这些转界发的内容（咸会话）计入布日志，进行吐审计。馅对于矮R悼DP类堡垒揉主机，可以锤对用户的会艇话进行录像低，完整记录接用户的图形顿操作：RD牛P类堡垒主牢机通过转发廉用户对图形挥应用操作的托各种动作（祸键盘鼠标事磁件）和图形搞应用的各种活绘图操作，垃实现图形应牵用的会话级驻代理。由于剂在会话层对扒操作动作和开绘图操作作惰转发，因此维可以对转发撇的内容进行防录像，并进葬行审计。臂网络嗅探、铃数据库嗅探普：可以对用克户的资源操免作在网络层库做相应的嗅教探分析，对眯协议内容进畅行记录，经瞎过匹配规则栏实现会话还版原。智能告警潜LanSe初cS（堡垒件主机）内控透管理平台提床供智能告警号功能及多样辈化的告警方楼式：上告警内容：办堡垒主机能祥够按照自然米人、信息类删型（非法登玉录、非法操锣作、重大操仗作、敏感数漫据访问）、们事件级别（欺严重、警告惨、一般）、蚂内容、时间鞋进行分析和融处理，并进荣行告警。告警方式：抓提供丰富多魂样的通知方趴式，包括短更信、邮件、则电话和可执庄行命令行程委序等。突提供SNM交PTra数p、Sys减log两种仓公共通讯方授式发送告警示。昨提供与第三狱方统一电子券运维系统的状无缝集成能榴力，派发工故作单到对应秘的管理员或余用户组。膀集中管理平钱台到部署中央管闭理平台，能枣够达到以下殊目的：型将来自不同缠厂家的产品北或功能模块馆整合成为一阵个整体，真销正体现出框杯架各模块之越间的联系；仅使不同级别匙的管理员在喇一个统一的筹管理系统上谜、通过一个恩统一的入口适，就可以行允使不同的管乞理权限；复在统一身份悦及访问管理昏系统其它部岔分出现故障惩时，提供一荐个紧急入口秘，至少能够说通过日志分隐析，找出事导故原因。；堵能够提供B颂/S方式的兼人机接口良娘好的管理界屈面，管理员饱在一点上即贼可对不同系粪统中的账号浆进行管理。半支持以B/血S方式对主济机（Win助dows/轮UNIX/君LINUX零）、网络设谅备、数据库页的定义接入剖和访问，随壳机或定时的捎统一密码修数改；碰支持分级部广署管理配置框，具备统一左平台，分散锋管理的能力洲。能够提供哀中心管理和规分布管理两盗种不同管理衰方式－支持株基于组织结废构平台的管舅理平台实现谨；牙管理单元支胞持分级、层树次化的授权按机制－支持样基于容器的催树状结构管端理，支持L易DAP的树询状管理结构逼；贡安全管理员雷应该可以通丸过方便的图笛形用户界面疏或Web浏限览器与系统属交互，对用棕户及信息资聚源进行管理浪。枪谁子系统管理僻统一身份及臭访问管理系帝统的各子系斥统，包括集猜中账号管理距系统、集中湿授权管理系懒统、集中身在份认证系统少、集中安全眉审计系统等里。账号管理透考虑到中央峰管理平台虽谎然是对整个溪统一身份及锅访问管理系色统进行管理甚，但是又不奸可能完全交景给一个人进移行管理，因办此账号必须白分级，以适萝应分部门、仗分管理层次哄的分级管理橡要求；不同衔级别的账号膊可以行使不知同级别的权欣限，包括对拾不同的模块杏进行管理。仆但是所有级绪别的管理账断号都可以在正一个统一的蹄平台下完成御管理功能。释将用户、主宏从账号、口而令、权限和演资源进行有辜效的统一管窑理。荣云用户自管理侍普通用户可替以登录中央然管理平台对锋自己身份信切息进行维护脊管理。而且卫，系统会根渠据企业的要勉求、特点制闭定用户信息驴自维护的流息程。例如，遣如果需要修黎改流程中应扭该包括审计缴，审批和执就行等，并且别全过程都会镜进行审计备朝案。单点登录毒用户通过登小录中央管理窝平台账号，作可以实现单跌点登录。权限管理量即对不同级始别的账号，党分配账号能菜够管理的子俱系统。数据查询灵能够对管理拜数据进行统赞计、查询，答包括目前有躲哪些子系统智、有哪些账矛号、每个账摧号管理哪些座子系统、每某个子系统受机哪些账号管组理，等等。访问审计睛能够对用户印使用账号对捉资源进行访逗问操作进行并审计。疤为了保证安浪全，所有管涂理过程必须引留下详细的轻日志记录，坡并且提供对障日志的审计劣、备份功能竟。呀匠系统自管理某系统自管理岩功能主要完洞成系统的基败本配置工作昏：把字典管理：姿这个功能对讨各种字典信让息进行维护允，如政治面六貌、省市、锦地区、国籍羡等；阁基本配置信药息：这个功踢能对系统的情一些参数进枣行配置，如经LDAP连岗接信息，数北据库连接信俭息，目录存键储的节点位殖置，列表的凡分页行数等需；可信息发布：膝公告信息的皆发布；中帐号管理疯Accou啄nt味：将自然人魂与其拥有的芝所有系统账括号关联，集巷中进行管理促，包括按照绞密码策略自壁动更改密码忽，不同系统澡间的账号同喷步等。肃认证管理宰Authe恰ntica笼tion耳：实现业务役系统对操作壁者身份的合酷法性检查。呢对信息统中箩的各种服务叠和应用来说挨，身份认证借是一个基本仓的安全考虑筐。身份认证矮的方式可以括有多种，包传括静态口令裁方式、动态岔口令方式、枯基于公钥证油书的认证方掩式以及基于息各种生物特脏征的认证方斑式。胖授权管理以Autho裤rizat渣ion拦：对用户使鞠用业务系统忍资源的具体榴情况进行合神理分配的技得术，实现不烛同用户对系祸统不同部分欧资源的访问络。局审计史Audit灭：指收集、别记录用户对皱支撑系统资兽源的使用情慈况，以便于松统计用户对衔网络资源的胜访问情况，也不仅能够对锻人员的登录粮过程、登录螺后进行的操习作进行审计兄，而且能够模将多个主机病、设备、应喜用日志进行津对比分析，雄从中发现问蹲题。并且在算出现安全事坑故时，可以碎追踪原因，渴追究相关人带员的责任，惨以减少由于鸟内部计算机聪用户滥用网猴络资源造成元的安全危害幅。活与PKI和虽RADIU象S系统的结薄合：着重从誓企业应用系项统的安全性趋出发，为信张息系统提供时高安全的认衣证及加密方注式。绿帐号的生命芽周期管理：拢是指对账号小从产生到删嗓除各存在状称态进行管理龙。包括对账腔号属性的更渗改，口令的沸重设，账号妻使用情况的恒审计等。集征中账号管理随系统必须覆脱盖整个生存鸽期管理。晶自我服务系芹统：自我服作务系统使用披户不需要帮遍助桌面或支沙持人员的帮红助，就能够庭对自己的基荷本信息如部颤门、职务、棉联系方式、炭职责等进行挑管理；能够会在用户忘记己账号口令时礼重设口令，粉并且能够提因供自动提醒析用户修改主首账号口令的明手段等。自舍我服务系统械使得系统的裕安全策略得团以贯彻，并秘能显著减轻妈系统管理人患员的维护负搬担。钻单点登录S些SO：一次宏登录，到处忆通行，即用校户在轻SSO框服务器上进街行一次登录搂后，在从模SSO剑服务器登出板前，访问所闯有纳入杜SSO洗管理范围的闻应用系统、绍主机、网络拼设备时均不丑需要再次手第工登录，而闪是由位SSO凡系统带为登凡录。一次登井出，全部登的出。即用户少如果从锯SSO股服务器登出碑，则当前所前有已经登录低的、被纳入心SSO预管理范围的室应用系统、霜主机、网络两设备均同时忌登出。秋基于堡垒主纲机技术进行茶安全访问控犁制：在知道雾了使用者的软身份并规定兆了系统范围语内的权限，却具备了对该恭用户身份的饮操作检查审设计机制后，顺通过使用堡红垒主机或安箱全网关技术粱，对使用者匆的合法系统恭操作进行协凉议级层面的谎控制是系统风不可或缺的燕功能补充。纽身份管理同寒步驱动与统辩一企业安全肠目录：能够逢实现对常见陕操作系统、搞数据库系统锄、网络设备附、应用系统袍、业务系统在等IT资源浸系统的帐号宽拉、推、删售除、修改和糊同步管理，紫建立企业统捞一安全目录迟，梳理用户捕树（包含主斥帐号、丛帐租号）和资源屠树的管理关假系。顾产品那优势及唐部署丽LanSe译cS堡垒主手机特色挨统一的we池b管理方式贴支持B/尤S架构加密籍方式，管理取LanSe胃cS（堡垒译主机）内控溪管理平台；广W窃eb方式访赖问资源，用置户登录堡垒瓜主机后可以蜘看到所有授债权资源列表显，访问资源洪时不用再输怖入帐号和密变码，做到真蚊正意义上的炼单点登录。御内含认证组沈件涨平台内部提典供认证服务绩器组件，所尘有对资源的辜访问都是认怒证服务器提肝供的临时会住话号，即使默会话号被截滤获，也无法融通过此会话括号再次访问锯资源，提高饺资源访问的气安全性。忍支持强认证板方式煌平台集成多和种强认证方葛式：证书认证智能卡认证短信认证盏生物特征认蛾证（指纹、巨视网膜等）富动态口令认纱证……..皇简单易用的狂访问控制策云略经主机命令延策略各访问时间械策略叶客户端地怀址策略躺访问锁定何策略娇强大的查询挥与审计忽平台提供强畜大的查询功越能，可以灵柔活的按照各突种查询条件毒进行查询统泰计，查询用摊户的操作行苹为；对于主惯机命令查询蓝，一次可以扩配置多条主枕机命令，查姨询的结果可哥方便的形成心报表。扩展与集成钱楚在滋4A半项目中，放冒弃帐号、认颂证、授权的聪集中管理，啊只提供执行损单元，完成撤基础访问控份制和操作审雄计功能。密萍在非4A码项目中除提椒供基础的访售问控制和操寄作审计功能遥外，还提供械精简的帐号务、认证、授堵权集中管理鼓功能。脉LanSe柔cS产品功患能优势可定制性册统一身份及宏访问管理系漠统除了满足洁标准的设备魄之外，由于跟各个用户的倾环境不同，刊主要的工作跃是在定制层杀面；耀拥有一支沈资深的软件豆研发队伍，目拥有强大的稿研发实力，记对系统定制醋能得到迅速暗和有效的支弓持；今有很多对锁客户业务系海统符合性修渠改的经验，耍能快速的满冲足客户在业虹务逻辑方面吓的需求。可扩展性旗统一身份及稻访问管理系贱统完全采用泥模块化的开弊发模式，系辜统各模块之用间可以灵活己的组合与对否接，而且可泡以通过通用册接口与第三公方的产品进禁行对接；弓系统支持球现有主流的工各种主机设胁备、操作系踢统和应用系东统；梨系统能够耍提供快捷的栋开发平台，身方便用户针腊对一些特有乘系统的二次喂开发；可硬件系统熟采用模块化拐结构，以保时证系统内存蹦、CPU及屯储存容量的怖扩展；勤在软件系墓统的开发中董保持高聚合著低耦合原则那，模块复用瑞率高，减少谊系统扩展的锤复杂性。高安全性古自身系统设劝置了严格的取用户帐号安惊全策略，防剥止弱口令以仁及修改口令取策略等；慧用户登录凉采用强身份棚认证，而且毛可以进行各帮种组合级联丈认证：如，疾用户名/密击码与RSA厘Secu雁rID令牌闻；穴数据传输河采用SSL方加密传输躲,亲包括系统维代护，用户登验录和日志记殖录等，保证玉在传输过程啊中数据不被姜窃听；晚全面、强顾大的自身审椅计功能，并弃且对审计的慧数据进行完乒整性校验，滚保证审计数环据不被篡改迅。高可靠性辜系统提供硬红件和软件的勉容错、数据码存储的备份涉等系统可靠夸性措施；巧重要模块狸具有自检功挣能对系统内正各功能模块坡和子系统进乱行监控；乞本系统提赴供热备份和克负载均衡特荷性，可以满罗足大型分布宫式网络的需暑求，扩展服乱务器带宽和帐增加吞吐量渔，加强数据姥处理能力；予系统提供哗分级，旁路自等灵活的部吸署方式，减顾少对用户现诚有系统的影朗响；易用性格系统提供详姻细的帮助手作册，并且系盟统还提供了智在线帮助功旗能，用户直讲接在界面上秀可以查看帮丢助信息；升提供通用欺的用户界面铃，操作及选释择键的功能寻定义在全系游统保持一致漠；滩LanSe烧cS内控堡载垒主机典型站部署粒单区域堡垒回机部署义多区域堡垒该机部署描Imper畜va数据库梦安全审计解胃决方案们Imper狼va公司数造据库安全解他决方案渔耍Secur踪eSphe连re爆®径Data熔base俱Activ跳ityM侨onito牢ring万Gatew隔ay叮Secur众eSphe走re®D抹ataba渗seAc殖tivit穗yMon片itori飞ngGa缝teway键提供了数据胶库审计的自露动化工具，陶可以帮助用男户完美的完播成法规遵从疑的各种要求扯，包括初始钥化、持续的央数据库评估铺、控制、审基计、监控以三及风险衡量阴等。懒Secur葡eSphe宗re®岁将提供独立释、详尽的数任据库访问记聋录，包括通恰过蛾Oracl用eE-B余usine捡ssSu勾ite,悔SAP,笨Peopl辉eSoft助等著名第三布方应用，或城者自定义的岔应用对数据踢库的访问，棉也包括数据截库管理员对叠数据库的本邻地直接访问恋。所有的审天计和报告功自能都由独立闹的规Secur牌eSphe斩re®渔设备完成，余对于数据库默性能没有任研何的影响；荷也无需用户劳不断手工调发整各种审计柱参数，冲Secur慌eSphe怪re®摧提供了大量莫缺省的审计哀策略模板和莫法规遵从模震板。DAM欣网关可选择微使用专用硬郑件网关，也俯提供虚拟网内关。帽有Secur选eSphe式re筐槐Datab牵aseF槐irewa项llGa得teway钢Secur裤eSphe议re®D栗ataba足seFi峡rewal善lGat煮eway役提供了DA疾M的所有功扫能，同时还善可以对数据碗库架构以及充敏感数据的机访问提供保页护和控制。功Secur惜eSphe途re®粉采用自动建田模的方法以钻及各种安全曾策略，可将擦控制范围细袜化到每一个车应用程序、颂每一个用户伙、每一个查棋询来进行安尖全保护。并辉对数据库的涌各种安全漏男洞提供了多用层次的防御轿保护，包括拨安全威胁签讨名、攻击关猜联检查、数泉据库协议分阻析等等。D伏BF网关也肝同时提供硬宿件和虚拟设岔备两种选择蛋。列半Secur酬eSphe踢reDi车scove售ryan娱dAss驰essme论ntSe爹rver丰Secur谢eSphe姿re®D陷iscov搂erya盲ndAs龙sessm旅entS列erver膜为企业提供科了简单有效锄的发现数据责资产、归属桥数据来源、寺分类数据属如性、评估数些据库缺陷、菜发现错误数替据库配置以抹及潜在漏洞负的工具。头Secur斩eSphe平re®D详iscov故erya栋ndAs动sessm糠entS跨erver占为客户提供棉了自动化的尖评估工具，杯大大减少了勺客户繁重、遣重复的人工先审核评估流洞程。另外，诞该工具还提苍供了图形视性图的风险分奸析工具，为颠用户提供了宴各种风险分窑布及情况的球关键视图，饶为用户优化池安全方案，虫加强法规遵持从提供了指握导依据。利User鼓Right令sMan惕ageme荡nt（UR脑M）也可以垫作为毙Secur姥eSphe只re®D叙iscov姻erya梁ndAs捷sessm引entS父erver欧（DAS）望产品的一个吗附加模块。完URM可以枪帮助用户集乡中化管理各限种数据库权弹限。帮助企瞎业安全管理充员、数据库猜管理员、审面计团队了解句各种权限和木敏感数据的碌关系、是否纽存在权限滥球用的或者冬估眠的权限账队号。使用U馆RM，企业五可以很好的荐遵从SOX源、PCI以7、PCI坦8.5中得相关审计的倍需求。秒反Secur旗eSphe磨re倾肚MXMa笑nagem傲entS诵erver猜Secur犯eSphe习re®M泉XMan眨ageme棍ntSe锐rver扩提供了集中狡化管理、报往告多个网关陶的功能。可澡统一为多个头网关设备设任定策略、实誓时监控、日历志、报告。贫MX管理服晃务器也同样轿可提供硬件叹和虚拟两种蚕平台。猜背Imper派vaAp昨plica雄tion款Defen捐ceCe宰ntre级(ADC)蔽Imper货vaAp营plica欣tion姨Defen致ceCe溉ntre井是Impe承rva公司岸全球安全研替究机构，该撤机构每日扫榴描和发现全贵球最新的应虫用安全威胁钟，并及时将短研究结果更菜新给用户。午目前Sec蛾ureSp产here系皮列产品中的料签名信息超究过了600您0多种。这房些签名信息抚，包括了对瞒数据库的后看门、缓冲区话溢出、敏感糟数据泄露、乱蠕虫以及其脊他的重大数圾据库安全漏扒洞。蹲该研究中心爱由Impe选rva公司黄CTO，A戒micha础iShu档lman先激生带领（2脚006年被棉InfoW宿orld评傻为年度最佳饱CTO）。垦ADC专注绑于研究和发玻现最新的网征页应用、数恩据库应用的宋最新安全威疫胁和风险，证并将这些研胁究成功及时夺更新到Se秃cureS添phere屋产品中。笑更多详细信纠息可以参考点，枣ADC官方榆主页：设http:诞//www架.impe棋rva.c夸om/re狼sourc她es/ad肚c/adc晓.html纽ADC最新污研究结果公拿布：抵http:晴//www铜.impe涉rva.c插om/re谣sourc蔬es/ad胸c/adc跟_advi黑sorie披s.htm振l文ADC发布事白皮书：转http:沈//www惰.impe水rva.c粒om/re难sourc单es/wh然itepa店pers.勉asp?t堪=ADC雁劲Secur严eSphe颠re寄优势（专利绳）技术合Imper窜va幼Secur鲁eSphe伪re®寺产品在行业塑中拥有着绝沫对领先的优踪势技术：界动态建模技像术Dyn萝amic瓜Profi裁ling谈该技术可以削通过分析实竖时流量，自税动的侦测和槽学习各种应妻用的行为和兼使用模型，福从而为每一杨个用户形成霜一个正确使冻用数据的安培全基线（P蚊rofil遮e），这种垫安全基线（酸Profi慌le）将不锹断根据使用奋情况的变化室而动态调整鄙。阳Secur雷eSphe炮re®将可将用户的怎各种使用活洞动比对安全捐基线（Pr独ofile块）信息，从乖而在发现未扎授权的使用今行为或者异已常的访问活田动时实时发宋出警告并阻嗓断。抵全局用户跟意踪痒Unive该rsal忘User问Track踢ing郊该技术可将队数据库访问眯的各种活动宣同各个用户汗关联起来，管从而帮助企钳业方便的审翼计和控制用乳户访问敏感情数据。无论咏用户是通过学网页应用访回问数据库还疏是通过本地黎控制台，凉Secur艘eSphe态re®险都可以准确滔的最终用户薄信息，而且餐该技术无需翅修改数据库纱配置或者应陷用程序参数逗。头透明检测律Trans书paren固tIns遭pecti总on疮该技术实现般了透明的分狮析应用逻辑创和数据使用蹈，无需修改亏任何应用、用数据库或者大是网络架构伴，并且可高么性能的处理职几个G的业迫务流量，延膜迟仅在亚毫奔秒级别（串托联模式下）专。单相关攻击验郊证没Corre淋lated水Atta洽ckVa释lidat宣ion活该技术可识娇别各种复杂米高超的渗透港攻击技术，哭为数据库系脱统提供最高侍级别的安全以防御。鞠Secur钟eSphe锈re®鸽将观察一段熔时间内的、浓贯穿应用使要用各个层次闲的相关信息寻，确定可疑缴行为是否确括实是一个攻挽击行为，最剃终可以实现峰阻断并保护有数据库。技术实现浓的Secur亿eSphe搁re专用屋硬件平台钱Imper经va黑Secur燃eSphe可re®耽硬件平台提扮供了卓越的蚕性能和高可接靠性，适合己于各种网络袖环境。硬件冒平台提供F愉ailO火pen的网铲卡，可在出滨现故障时快都速实现故障桨切换。设备类还提供带外偶管理接口，滚提高了管理开的安全性。循前面板的各毒种提示信息休也方便用户搁快速了解设晶备运行状态翠。用户可以欲根据需要监竟测的数据库岸流量来选择背合适的硬件炼网关。谜X系列硬件悟网关：端如果环境中誉有多台网关坏，或者需要萄获得更佳的感网关工作性蠢能，还可以妇选择专用的色管理服务器翻。晋MX管理服叠务器：滔历数据库代理残（Agen裹t）拿Secur帖eSphe登re®滩对于特定的侧需要监控数柱据库本地操活作的场景，膝可以选择在里数据库服务宗器上安装D肿ataba恋seAg庆ent，该虚代理程序可抓以监控所有悉到达该数据优库的各种数风据库活动进欧行监控，包帽括Teln为et、SS聋H、RDP抵、IPC等诊各种TCP睡或UDP隧篮道。安Imper辅va提供了镇支持多种操闷作系统、多列种数据库类腐型的代理程丈序安装文件杂，包括wi屋ndows寄、Linu席x、AIX穴、HPUn议ix、So凑laris捏等等。毕Agent窜代理程序具帆备以下主要尊特性：稼数据库代理荐程序采用轻慰型工作架构哨，对数据库政本机影响很竿小。通常在鬼流量峰值时探刻，最高5似-7%的C音PU峰值，局也可以设置彩CPU耗用狡最高上限值映。旬提供高级过烂滤功能，确调保只将需要醒分析的数据养库活动发送趣给医Secur可eSphe咬re®右网关。圣可监控所有微的数据库活跃动内容，无双论是通过本声地操作（B胸equea厕th,n皂amed汪Pipes压,等等），员还是网络访虚问。速可集中配置练和管理Ag隙ent。职代理程序支德持注册到两炊个馆Secur为eSphe呜re®蕉网关，实现察高可用。毁数据库代理拘工作原理图殊式集中管理架抓构叠Secur质eSphe筑re®则提供了灵活励的三层管理券架构，方便止用户可以同犹时管理多个鸭Secur险eSphe懒re®锈网关，并可合以集中策略规管理和日志约查询。厉三层管理架添构说明：与第一层：网烟页管理界面站，提供ht脊tps加密蝴管理界面。凶第二层：闸Secur毯eSphe骆re®率管理服务器揪，对所有的遗网关设备提称供集中管理衔，以及日志捡汇聚。焰第三层：启Secur而eSphe叮re®恨网关，执行淡各种数据库马活动审计和内数据库保护把。部署方案诵嫁嗅探部署方现案军Secur干eSphe报re使用崭无在线故障楚点和性能瓶椅颈的透明网闯络网关，以访确保为部署挖和集成消除清此类安全产妇品通常所具慧有的风险。虹阻止是通过晋发送TC膊P重置实呜现-但趟这无法保证户阻止操作一五定成功，因酸此TCP誉重置可能亡：昂不能到达受葬保护的服务魄器买被发送设备价忽略下嗅探网关是御一种被动嗅仔探设备。用梁于连接企业残集线器与交盼换机，可控垒制受保护服债务器的通信掉。通信信息混将会被复制锡到该设备，崭而不会直接累通过。因为不不是在线的处，因此嗅探茎网关不会影程响性能，也矿不会影响服腔务器的稳定鞭性。次单个Se手cureS际phere咬网关可以率轻松监控多笼个网段，因市为它包含多造个可用于嗅谁探不同网段否的网络接口宁端口。唯一作的限制就是淋其所能处理粮的通信量。调单个网关可师以监控不同赞类型的服务禽器（例如：诱Web服捷务器、数据贼库和电子邮劈件服务器）狠。不需要在飘多个不同网微关之间分离斥这些任务。炮谁桥接部署方令案君如果要为数歇据中心提供硬最高级别的北安全性保护着，则可以将鹿Secu催reSph咽ere网衬关部署为桥猜接模式。在遍此部署方案焰中，网关充鄙当外部网络半与受保护的尼网段之间的休连接设备。恰网关将阻止掏在线（即：衣丢弃包）恶彩意通信。哑一个在线网烛关虽然能够泄保护最多两果个网段并拥怀有六个网络偿接口端口。响但不能工作目于在线/嗅苍探混合模式知。摸其中的两个更端口用于管教理：一个用键于连接管理就服务器，另泪一个是可选极的，可用于乓连接外部局留域网。其他族四个端口属权于两个用于查在线检查的喇网桥。每个册网桥都包含女一个外部网义络端口和一狡个受保护网雅络端口。箭泰代理部署方情案昂通过在数据扭库服务器上票安装代理软屠件，从而实雹现本地或者循网络上数据欢库访问的审饥计。这种方顺法可以通上华面两种网络秆部署模式进坑行混合部署饰。厘带程序采用炕轻量级的代抓理程序设计匀，增低CPU辛使用率寨(可设定上雄限)此低内存使用盯率(可设风定上限)番极低的I存/O开销晃加密数据传针输为支持两种工日作模式：净Local贸央–悄仅捕捉本盾地特权访问跟Globa雾l纲–我完整的数梳据库代理审晃计功能，包搞括本地访问瓶和网络访问快。工作原理图谋下面的图形熄是虾Secur裁eSphe扩re®捷各组件协同购工作的工作闭原理图。管疼理员可以通厅过浏览器管呆理界面将配宅置信息发送钻到管理服务婶器，由管理貌服务器下发海到疏Secur邪eSphe长re®帐网关；被监筋控的数据被逼送达唤Secur嫂eSphe预re®历网关，网关芳中的分析引糖擎会根据预雨定义的审计义规则和安全间规则进行匹智配。如果需书要阻断，安搁全检测引擎序将发送阻断扇信息或丢弃联数据包。相勿应的告警将个被发送到管要理服务器。工作原理图户Secur保eSphe喘re骗®政逻辑架构层忘次族为了方便客执户理解，我红们把睛Secur详eSphe徐re®为工作层次划差分为6个逻消辑层次，每缎一个层次在锻数据监控和痛安全管理中宜都有着不同纵的职责。私Secur泰eSphe暖re®向工作逻辑层闻次福群用户界面层说User笔Inter延face依Layer兽用户界面层朽位用户提供发了安全的用侨户管理界面府可以监控和彻管理数据库葵安全配置、卖数据库安全倾事件、数据虑库审计。用转户界面层无杰需用户安装安任何软件，等只需要在普洞通PC上的互浏览器就可谁以进行管理和了。弟栽管理和报告纠层杜Manag防ement味&Re捕porti针ngLa伶yer苏Imper等va的管理闻服务器位于牲该层工作，霜并为后台的思系统集中乡管理和报告蝇提供服务。输所有的系统梳配置、网关慈活动均由管托理服务器来语实现管理。次刑分析层类Analy摊sisL测ayer劫分析层是由暑Imper殿va的网关里构成的。分宝析层的主要喘工作就是汇点聚和分析该之层获得或者析更底层获得涝的SQL交汽易信息。所歇有的处理逻比辑学习、分低类、存储和锯获取SQL合应用流量都铁是在这一层肤进行的。粪如果网关设铲备是串联部假署的，那么巨网关则可以疑实时阻断未贿授权的网络徐数据库活动兔。网关部署遭的位置也应围该是在数据蓝库访问客户哑端和数据库蜡服务器之间辅。纠稼存储层麻Stora勾geLa目yer装存储层是同脑时和管理及盖报告层以及拦分析层协同捕工作的层次让。一方面，萝存储层可以亭为网关设备耐提供在线的教SQL交易免记录存储；档另一方面，禽也可以作为酬管理服务器蒸外部存档的宰存储空间。惭Imper胁va网关针灯对数据库审徐计数据巨大馒的客户提供秃SAN（S慧torag降eAre疾aNet秒work）吧的扩展，可帖实时将巨大首的审计数据晚记录到SA收N中。腿对于需要定务期存档的审溉计数据，则图可以通过管压理服务器定雁期归档到外间部的NAS推上。竭暗收集层Co荡llect络ionL根ayer档收集层主要魄是收集所有眼需要分析和倘审计的数据遗库活动。一喘方面，我们蜜可以通过网傲关设备直接犯采用旁路监臂听或者串联近接入的方式铁，无需在D津B上安装组弟件，就可以承收集到需要嫩监控和分析芝的数据；但应是，另一方以面，对于一刺些非网络或招者SSH、嗓RDP之类持的无法进行壳网络分析的爷场景进行监碎控，我们可晒以采用数据纪库代理的方垄式来收集数锯据库本地活寸动信息。我电们可以混合壁使用这两种啦方式来进行岸数据库活动俭收集。炒食数据库访问妄层DBA突ccess鞋Laye陡r灭数据库访问镰层代表了所深有可能访问旨数据库的主泉机、中间件旷、应用等等泰。这个层次抖代表了数据废库安全系统劣需要管理的篇IP地址、蝇主机名、用掠户名、应用虹程序等等。数据捕获撞Secur恼eSphe健re®外对数据库活疮动数据的捕饲获并不是通惹过数据库本社身的审计日狱志、触发器庭、交易记录孩等，而是完功全通过分析践网络数据或近者本地通讯洒数据本身。棕通过对数据义库协议和应集用本身的理侨解，了解其合中的具体数卡据和内容。托而采用其他粉方法则存在笑了许多弊病晌：路造成数据库套额外的负载像开启数据库找自身的审计睬功能，通常衔会造成10会-25%的彩性能下降，损这会大大影爸响数据库的盆自身性能，搏而且如果需铲要分析交易鄙日志以及其航关联的逻辑尾联系则需要梳更大的性能呜开销。篡改的问题荣数据库自身扬的审计功能灭，通常仍然缴由DBA管填理，这样审殖计的独立性管很难保证，鼠可能会出现般DBA篡改泥审计日志的摇问题。趴缺失的操作朽信息挡数据库自身修的交易记录载是不提供D这CL操作的璃内容的，例隶如，SHU检TDOWN猫，GRAN姥Ts等锄缺失的用户堵信息谦一些数据库厘是不会提供槽SYSDB啦A的操作审顺计日志的，束例如，Or绪acle。梨同时，交易廊日志也无法谁提供访问者滔的详细用户敲信息（OS晴用户名、主御机名、IP京、通过何种雄应用程序访害问的，等）巨Secur悉eSphe但re梁®费多层安全检拢查机制储Secur稻eSphe第re®阴产品充分考重虑到目前的晴复杂安全环绸境，需要在店多个层次对惑各种安全威劫胁检查才可早以对数据库字提供足够的互安全保障。享Secur列eSphe芬re®惩的安全模型馆中提供了包性括防火墙、鱼签名、协议阅检查、Pr破ofile策、攻击关联液等多种检查车机制来综合属验证可疑的羡访问行为。诱Secur瘦eSphe解re®衣安全检测引领擎素婚数据库I精PS认Secur普eSphe爬re®灾数据库I犹PS基于跑特征来识别音以已知数据运库平台软件酸漏洞为攻击握目标的攻击摆。通过将与友Snor湖t非®冈兼容的特妥征数据库和苦由Imp哑erva音的国际安全河研究机构芝－应用防税御中心(扔ADC)策开发的特定蚁于专用数据继库的特征相很组合，Se顷cureS拘phere代的独有卡IPS技叹术完全满足州数据库部署琴的要求。赞杏ADC还乔利用上下文豪属性（如受途影响的系统洁、风险、准矩确度和攻击贼频率）对每石个特征进行泽优化。用户骨可利用这些勾属性自定义暮IPS惕策略，使其团符合特定环