極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全解決策劃方案

1、 HYPERLINK /極地內(nèi)部網(wǎng)絡(luò)操縱統(tǒng)一安全方案 北京市海淀區(qū)上地安靜莊西路9號院金泰富地大廈808 100085電話真務(wù)熱線錄 TOC o 1-3 h z u 1概述- 1 -1.1背景- 1 -1.2需求分析- 2 -1.2.1政策需求- 2 -1.2.2治理需求- 2 -1.2.3技術(shù)需求- 2 -2解決方案概述- 6 -3終端治理(JD-ESMS)解決方案- 6 -3.1產(chǎn)品概述- 6 -3.2產(chǎn)品基礎(chǔ)功能- 8 -3.2.1策略治理- 8 -3.2.2日志功能- 9 -3.2.3終端資產(chǎn)治理- 9

2、 -3.2.4終端用戶治理- 10 -3.2.5報(bào)警與響應(yīng)治理- 10 -3.3要緊功能- 10 -3.3.1終端準(zhǔn)入治理- 10 -3.3.2終端安全防護(hù)- 12 -3.3.3終端行為治理- 13 -3.3.4系統(tǒng)治理- 14 -4堡壘主機(jī)(JD-FORT)解決方案- 16 -4.1系統(tǒng)架構(gòu)- 16 -4.2執(zhí)行單元功能- 16 -4.2.1統(tǒng)一賬號治理- 16 -4.2.2多種認(rèn)證方式- 17 -4.2.3單點(diǎn)登錄- 17 -4.2.4自動捕獲用戶命令行輸入，智能識不命令和編輯輸入- 17 -4.2.5支持TAB補(bǔ)齊等Readline功能- 17 -4.2.6支持組合命令的動作審計(jì)- 18

3、 -4.3日志服務(wù)功能- 18 -4.4治理單元日志查詢- 18 -4.5執(zhí)行單元實(shí)時監(jiān)控功能- 19 -5集中身份治理(JD-4A)解決方案- 19 -5.1概述- 19 -5.2功能介紹- 20 -5.2.1集中賬號治理- 21 -5.2.2集中身份認(rèn)證- 21 -5.2.3集中訪問授權(quán)- 22 -5.2.4集中安全審計(jì)- 22 -5.2.5單點(diǎn)登錄- 22 -6漏洞掃描(JD-SCAN)解決方案- 23 -6.1網(wǎng)絡(luò)漏洞掃描的必要性- 23 -6.1.1漏洞掃描技術(shù)概述- 23 -6.1.2漏洞掃描產(chǎn)品特點(diǎn)- 24 -6.2用戶現(xiàn)狀分析- 24 -6.3產(chǎn)品部署- 25 -6.4產(chǎn)品特點(diǎn)

4、介紹- 26 -6.4.1強(qiáng)大的檢測分析能力- 26 -6.4.2支持分布式掃描- 27 -6.4.3自身高度安全性- 27 -6.4.4支持WEB掃描- 28 -7內(nèi)部網(wǎng)絡(luò)的統(tǒng)一治理- 28 -7.1統(tǒng)一治理方式- 28 -7.2統(tǒng)一治理功效- 29 -7.2.1無死角- 29 -7.2.2全網(wǎng)安全域治理- 29 -7.2.3遠(yuǎn)程終端與內(nèi)網(wǎng)終端統(tǒng)一治理- 29 -7.2.4統(tǒng)一用戶治理- 29 -7.2.5統(tǒng)一訪問授權(quán)治理- 30 -7.2.6全網(wǎng)實(shí)名審計(jì)與統(tǒng)一事件治理- 30 -8企業(yè)內(nèi)部操縱差不多規(guī)范的要求與解決- 30 -8.1內(nèi)控原則- 30 -8.2技術(shù)要求- 31 -8.3風(fēng)險(xiǎn)評

5、估- 32 -8.4操縱活動- 32 -8.5信息與溝通- 32 -8.6內(nèi)部監(jiān)督- 32 -概述背景信息技術(shù)進(jìn)展到今天，人們的工作和生活差不多越來越依靠于計(jì)算機(jī)和網(wǎng)絡(luò)；然而，自網(wǎng)絡(luò)誕生的那一天起，它就存在著一個重大隱患安全問題，人們在享受著網(wǎng)絡(luò)所帶來的便捷同時，不得不承受著網(wǎng)絡(luò)安全問題帶來的隱痛。講到網(wǎng)絡(luò)安全，人們自然就會想到網(wǎng)絡(luò)邊界安全，然而實(shí)際情況是網(wǎng)絡(luò)的大部分安全風(fēng)險(xiǎn)均來自于內(nèi)部。常規(guī)安全防備手段往往局限于網(wǎng)關(guān)級不、網(wǎng)絡(luò)邊界（防火墻、IDS、漏洞掃描）等方面的防備、重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控，來自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)

6、的安全威脅卻是眾多安全治理人員所面臨的棘手的問題。內(nèi)部網(wǎng)絡(luò)的安全治理分為四個方面：一類是前臺計(jì)算機(jī)，通常指辦公與業(yè)務(wù)的終端計(jì)算機(jī)；另一類是后臺設(shè)備，通常是服務(wù)器或路由器交換機(jī)等網(wǎng)絡(luò)設(shè)備；還有一類確實(shí)是用戶單位內(nèi)部的各種應(yīng)用軟件系統(tǒng)；最后，還有一方面確實(shí)是安全風(fēng)險(xiǎn)治理，它面對所有以上設(shè)備和應(yīng)用，治理是否存在有安全隱患，是否存在安全風(fēng)險(xiǎn)，以及如何應(yīng)對等問題。如何做好內(nèi)部網(wǎng)絡(luò)這四個方面的安全治理，是擺在每一個IT治理者面前的問題。極地內(nèi)部網(wǎng)絡(luò)操縱統(tǒng)一安全方案即針對此情況，為治理者提供一個全面、細(xì)致的解決方案，解決終端、服務(wù)器以及應(yīng)用系統(tǒng)安全治理問題。需求分析政策需求等級愛護(hù)、薩班斯法案(Sarban

7、es-OxleyAct)等政策明確要求內(nèi)網(wǎng)應(yīng)進(jìn)行嚴(yán)格的治理操縱和細(xì)粒度的審計(jì)。國內(nèi)也差不多出臺企業(yè)內(nèi)部操縱差不多規(guī)范，對內(nèi)部網(wǎng)絡(luò)的信息安全治理提出明確要求。治理需求隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和IT應(yīng)用的不斷深入，對安全治理的要求越來越高，企業(yè)內(nèi)部的治理成本越來越高。如何有效降低治理成本、減少安全風(fēng)險(xiǎn)、提高安全治理效能，成為治理者最先考慮的問題。技術(shù)需求前臺計(jì)算機(jī)治理需求：終端治理前臺計(jì)算機(jī)，如前所述，通常被稱為終端（End-Point）。對這些計(jì)算機(jī)的治理也稱為終端治理。終端治理要緊有以下內(nèi)容：資產(chǎn)治理對終端計(jì)算機(jī)的資產(chǎn)情況進(jìn)行治理，對資產(chǎn)變更進(jìn)行治理。準(zhǔn)入治理不安全的計(jì)算機(jī)不應(yīng)接入內(nèi)網(wǎng)之中，以免

8、在內(nèi)網(wǎng)中引發(fā)安全問題。不應(yīng)接觸外網(wǎng)的計(jì)算機(jī)，也不能私自建立對外的網(wǎng)絡(luò)連接。終端防護(hù)包括補(bǔ)丁分發(fā)治理、安全配置治理、外設(shè)治理、終端防火墻、終端文檔愛護(hù)等等。終端行為治理包括移動介質(zhì)治理、程序使用治理、流量治理、網(wǎng)頁訪問治理等等信息防泄漏包括移動介質(zhì)治理、加密優(yōu)盤、文件加密、文檔權(quán)限治理、文件操作審計(jì)等。另外，終端治理通常也包括病毒、木馬的治理。因這方面有成熟的產(chǎn)品和方案，本方案對此不予贅述。后臺計(jì)算機(jī)與設(shè)備治理需求：統(tǒng)一授權(quán)治理針對服務(wù)器的治理，要緊指服務(wù)器的訪問操縱，這是服務(wù)器安全的全然所在。通常服務(wù)器放置在機(jī)房中，由治理員進(jìn)行維護(hù)時，直接登錄到服務(wù)器上，其過程缺乏監(jiān)管，造成授權(quán)復(fù)雜、缺乏過程

9、審計(jì)等諸多問題。在安全治理的4個A（賬號Account、認(rèn)證Authentication、授權(quán)Authorization、審計(jì)Audit），賬號和認(rèn)證沒有統(tǒng)一治理，各服務(wù)器單獨(dú)治理，治理員登錄各服務(wù)器和應(yīng)用系統(tǒng)時專門容易混亂；沒有統(tǒng)一授權(quán)，各服務(wù)器單獨(dú)對不同賬號進(jìn)行授權(quán)，工作量大而容易出錯；治理員登錄后的操作也缺乏審計(jì)手段，現(xiàn)有手段嚴(yán)峻不足，導(dǎo)致大量審計(jì)缺失。尤其當(dāng)服務(wù)器數(shù)量和應(yīng)用系統(tǒng)數(shù)量多時，問題尤其嚴(yán)峻。應(yīng)將的所有服務(wù)器的登錄過程收集到一個統(tǒng)一入口，建立統(tǒng)一的賬號治理和授權(quán)機(jī)制，每個服務(wù)器應(yīng)用系統(tǒng)的賬戶與授權(quán)均由此統(tǒng)一平臺進(jìn)行，幸免單獨(dú)設(shè)置而導(dǎo)致的混亂。由此入口進(jìn)行統(tǒng)一登錄，登錄確定身份后

10、，可依照授權(quán)訪問相應(yīng)的服務(wù)器和業(yè)務(wù)系統(tǒng)。同時，應(yīng)對操作做全程審計(jì)。應(yīng)用治理需求：集中身份治理隨著各個行業(yè)大公司業(yè)務(wù)的迅速進(jìn)展，各種業(yè)務(wù)和經(jīng)營支撐系統(tǒng)的不斷增加，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，原有的由各個系統(tǒng)分散治理用戶和訪問授權(quán)的治理方式造成了在業(yè)務(wù)治理和安全之間的失衡，用戶往往在多個應(yīng)用中均擁有獨(dú)立的賬號和口令，登錄失敗和發(fā)生錯誤的幾率大大上升，許多情況下，為了便于經(jīng)歷，用戶不得不將賬號和口令寫在紙上，從而使這些賬號和口令的安全性受到了極大阻礙。同時，用戶不記得口令的事件的增多也增大了治理員的工作負(fù)擔(dān)。另外治理員需要在不同的應(yīng)用中維護(hù)獨(dú)立的用戶身份和存取治理，相當(dāng)苦惱。例如有新職員加入企業(yè)以后，治理員需

11、要在每一個應(yīng)用中添加此用戶信息，依照此用戶的角色分配不同的權(quán)限；當(dāng)用戶的角色發(fā)生變化時，需要在不同的應(yīng)用中修改此用戶的權(quán)限。因此原有的賬號口令治理措施已不能滿足企業(yè)目前及以后業(yè)務(wù)進(jìn)展的要求。用戶面臨以下幾個方面問題：1企業(yè)的支撐系統(tǒng)中有大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)，分不屬于不同的部門和不同的業(yè)務(wù)系統(tǒng)。各應(yīng)用系統(tǒng)都有一套獨(dú)立的賬號體系，用戶為了方便登陸，經(jīng)常有如下情況發(fā)生：多系統(tǒng)使用相同的賬號和密碼，配置強(qiáng)度特不弱的密碼，或者多人共用賬號等。多系統(tǒng)的賬號治理混亂，難于對賬號的擴(kuò)散范圍進(jìn)行操縱，難于確定賬號的實(shí)際使用者，難免造成安全隱患。2各系統(tǒng)都有一套獨(dú)立的認(rèn)證體系，假如想加強(qiáng)系統(tǒng)的安全性

12、，就需要對各系統(tǒng)的認(rèn)證進(jìn)行加強(qiáng)，需要各系統(tǒng)都支持強(qiáng)認(rèn)證方式，這差不多是不現(xiàn)實(shí)的。3各系統(tǒng)分不治理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配權(quán)限，無法嚴(yán)格按照最小權(quán)限原則分配權(quán)限。另外，隨著用戶數(shù)量的增加，權(quán)限治理任務(wù)越來越重，當(dāng)維護(hù)人員同時對多個系統(tǒng)進(jìn)行維護(hù)時，工作復(fù)雜度會成倍增加。安全性無法得到充分保證。4各支撐系統(tǒng)獨(dú)立運(yùn)行、維護(hù)和治理，因此各系統(tǒng)的審計(jì)也是相互獨(dú)立的。每個網(wǎng)絡(luò)設(shè)備，每個主機(jī)系統(tǒng)，每個業(yè)務(wù)系統(tǒng)及每個數(shù)據(jù)庫系統(tǒng)都分不進(jìn)行審計(jì)，安全事故發(fā)生后需要排查各系統(tǒng)的日志，單是往往日志找到了，也不能最終定位到行為人。5用戶經(jīng)常需要在各個系統(tǒng)之間切換，每次從一個系統(tǒng)切換到另一支撐系統(tǒng)時，都需要輸入用

13、戶名和口令進(jìn)行登錄。給用戶的工作帶來不便，阻礙了工作效率。漏洞掃描漏洞掃描確實(shí)是對計(jì)算機(jī)系統(tǒng)或者其它網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測，以找出安全隱患和可被黑客利用的漏洞。顯然，漏洞掃描軟件是把雙刃劍，黑客利用它入侵系統(tǒng)，而系統(tǒng)治理員掌握它以后又能夠有效的防范黑客入侵。因此，漏洞掃描是保證系統(tǒng)和網(wǎng)絡(luò)安全必不可少的手段，必須認(rèn)真研究利用。定期的網(wǎng)絡(luò)安全自我檢測、評估配備漏洞掃描系統(tǒng)，網(wǎng)絡(luò)治理人員能夠定期的進(jìn)行網(wǎng)絡(luò)安全檢測服務(wù)，安全檢測可關(guān)心客戶最大可能的消除安全隱患，盡可能早地發(fā)覺安全漏洞并進(jìn)行修補(bǔ)，有效的利用已有系統(tǒng)，優(yōu)化資源，提高網(wǎng)絡(luò)的運(yùn)行效率。安裝新軟件、啟動新服務(wù)后的檢查由于漏洞和安全隱患的形式

14、多種多樣，安裝新軟件和啟動新服務(wù)都有可能使原來隱藏的漏洞暴露出來，因此進(jìn)行這些操作之后應(yīng)該重新掃描系統(tǒng)，才能是安全得到保障。網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)改造前后的安全規(guī)劃評估和成效檢驗(yàn)網(wǎng)絡(luò)建設(shè)者必須建立整體安全規(guī)劃，以統(tǒng)領(lǐng)全局，高屋建瓴。在能夠容忍的風(fēng)險(xiǎn)級不和能夠同意的成本之間，取得恰當(dāng)?shù)钠胶?，在多種多樣的安全產(chǎn)品和技術(shù)之間作出取舍。配備網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評估系統(tǒng)能夠讓您專門方便的進(jìn)行安全規(guī)劃評估和成效檢驗(yàn)網(wǎng)絡(luò)的安全系統(tǒng)建設(shè)方案和建設(shè)成效評估網(wǎng)絡(luò)承擔(dān)重要任務(wù)前的安全性測試網(wǎng)絡(luò)承擔(dān)重要任務(wù)前應(yīng)該多采取主動防止出現(xiàn)事故的安全措施，從技術(shù)上和治理上加強(qiáng)對網(wǎng)絡(luò)安全和信息安全的重視，形成立體防護(hù)，由被動修補(bǔ)變成主動的

15、防范，最終把出現(xiàn)事故的概率降到最低。配備網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評估系統(tǒng)能夠讓您專門方便的進(jìn)行安全性測試。網(wǎng)絡(luò)安全事故后的分析調(diào)查網(wǎng)絡(luò)安全事故后能夠通過網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評估系統(tǒng)分析確定網(wǎng)絡(luò)被攻擊的漏洞所在，關(guān)心彌補(bǔ)漏洞，盡可能多得提供資料方便調(diào)查攻擊的來源。重大網(wǎng)絡(luò)安全事件前的預(yù)備重大網(wǎng)絡(luò)安全事件前網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評估系統(tǒng)能夠關(guān)心用戶及時的找出網(wǎng)絡(luò)中存在的隱患和漏洞，關(guān)心用戶及時的彌補(bǔ)漏洞。解決方案概述依照以上需求分析，極地安全提出了自己的內(nèi)網(wǎng)安全治理解決方案，此方案由終端治理、內(nèi)控堡壘主機(jī)、集中身份治理系統(tǒng)、網(wǎng)絡(luò)漏洞掃描這四個解決方案構(gòu)成，能夠單獨(dú)使用、滿足終端治理或服務(wù)器治理、應(yīng)用治理的需要

16、，也能夠協(xié)同使用，滿足全網(wǎng)統(tǒng)一治理的需要。這四個解決方案都基于先進(jìn)成熟的產(chǎn)品，均由極地安全自行開發(fā)。四個產(chǎn)品所使用的信息能夠相互融合，以構(gòu)成一個有機(jī)統(tǒng)一的整體，提供全網(wǎng)整體內(nèi)控解決方案。終端治理(JD-ESMS)解決方案極地終端治理解決方案由極地終端安全治理系統(tǒng)實(shí)現(xiàn)。產(chǎn)品概述在傳統(tǒng)的網(wǎng)絡(luò)體系、硬件體系，軟件體系基礎(chǔ)之上，依靠主動防備技術(shù)、端點(diǎn)準(zhǔn)入技術(shù)、漏洞掃描以及補(bǔ)丁修復(fù)技術(shù)、智能防火墻技術(shù)、身份認(rèn)證、設(shè)備治理、及數(shù)據(jù)加密技術(shù)等關(guān)鍵的技術(shù)手段的支撐下，形成了終端準(zhǔn)入治理、終端環(huán)境安全和終端行為監(jiān)控三個子系統(tǒng)，三個子系統(tǒng)的運(yùn)行、操縱和審計(jì)都由系統(tǒng)治理平臺統(tǒng)一治理呈現(xiàn)。在三個部分的共同作用下，構(gòu)成

17、終端計(jì)算機(jī)安全治理平臺。如下圖所示：如圖所示，系統(tǒng)分為終端治理引擎、策略中心、綜合展示三個平臺，其中終端治理引擎做為關(guān)鍵支撐平臺，是承載所有終端治理的基礎(chǔ)平臺，向上輸出身份信息、資產(chǎn)信息，并提供基礎(chǔ)的統(tǒng)一的報(bào)警與響應(yīng)引擎供各功能模塊調(diào)用；策略中心負(fù)責(zé)所有終端治理的功能性模塊，調(diào)用基礎(chǔ)平臺的身份治理信息、資產(chǎn)信息，并對各功能模塊在治理過程中發(fā)生的安全事件進(jìn)行報(bào)警與響應(yīng)，所有信息上報(bào)給綜合展示平臺；綜合展示平臺收集所有終端的資產(chǎn)信息、所有安全事件，并進(jìn)行統(tǒng)一的展示。同時，通過全網(wǎng)聯(lián)動，將其他安全治理系統(tǒng)的信息和事件聯(lián)動到系統(tǒng)中，在終端上進(jìn)行統(tǒng)一的報(bào)警與響應(yīng)。如下圖所示：產(chǎn)品基礎(chǔ)功能策略治理系統(tǒng)所有

18、功能，均通過策略方式將指令下發(fā)到客戶端進(jìn)行執(zhí)行。而策略本身就包含了各個功能的所有治理要求，能夠?yàn)橹卫韱T提供詳細(xì)的操縱手段，同時通過豐富的默認(rèn)設(shè)置，能夠提供完善的便捷性，治理員能夠針對各個策略采納大量默認(rèn)設(shè)置而輕松完成策略設(shè)定。除以上策略要素之外，還有兩個要素需要詳細(xì)講明如下?；诓呗詢?yōu)先級的用戶行為治理功能系統(tǒng)提供了策略優(yōu)先級的治理功能，治理員能夠設(shè)置不同級不的策略，各種策略能夠按照優(yōu)先級進(jìn)行排序，當(dāng)策略間發(fā)生沖突時，高優(yōu)先級的策略能夠覆蓋低優(yōu)先級的策略?；趫鼍暗闹卫聿呗韵到y(tǒng)提供了基于場景的安全治理策略，治理員能夠設(shè)置不同的場景，如依照工作時刻和休息時刻設(shè)定不同的策略，在工作時刻設(shè)定的策略在

19、休息時刻不生效，休息時刻場景的策略在工作時刻亦不生效。關(guān)于違反策略的客戶端操作，能夠以多種方式觸發(fā)報(bào)警，通知治理員進(jìn)行處理，例如按文件名、資產(chǎn)類型等信息觸發(fā)警報(bào)。極地終端與內(nèi)網(wǎng)安全治理系統(tǒng)能夠?qū)K端在線/離線2種狀態(tài)下應(yīng)用的策略分不予以設(shè)置?？蛻舳撕头?wù)器連接能夠進(jìn)行通信時為在線狀態(tài)，無法和服務(wù)器完成通信時即為離線狀態(tài)。通過對在線/離線2種狀態(tài)設(shè)置不同的策略，關(guān)于經(jīng)常移動辦公的設(shè)備（如筆記本）能夠提供更加靈活有用的治理。日志功能系統(tǒng)以策略的形式，提供全套日志服務(wù)，日志內(nèi)容包括下述所有功能的日志，以及治理員通過操縱臺對服務(wù)器進(jìn)行的所有操作等日志，終端資產(chǎn)治理通過自動登記和治理檢查的方法，記錄各類

20、終端計(jì)算機(jī)資產(chǎn)清單、軟硬件配置信息和使用者用戶信息，作為終端安全治理的基礎(chǔ)依據(jù)。資產(chǎn)內(nèi)容包括：終端名稱、IP地址、MAC地址、硬件配置信息（CPU、內(nèi)存、硬盤、設(shè)備接口）、軟件信息（操作系統(tǒng)類型/版本、安裝軟件列表）、用戶信息（姓名、所屬組織機(jī)構(gòu)、崗位、聯(lián)系方式），等等。同時，對資產(chǎn)的變更進(jìn)行治理：及時發(fā)覺終端計(jì)算機(jī)上是否有變更，對非法資產(chǎn)變更行自動處理。終端用戶治理通過建立終端角色和用戶，定義角色的操作和操縱權(quán)限，并為用戶分配相應(yīng)角色的權(quán)限，以此作為制定安全治理策略的基礎(chǔ)依據(jù)。報(bào)警與響應(yīng)治理當(dāng)終端計(jì)算機(jī)違反設(shè)定的安全策略，或依照策略設(shè)定進(jìn)行報(bào)警響應(yīng)時，可自動將事件上報(bào)服務(wù)器，同時在終端上對安

21、全事件進(jìn)行自動處理。報(bào)警與響應(yīng)做為基礎(chǔ)平臺，供所有功能模塊調(diào)用，實(shí)現(xiàn)報(bào)警與響應(yīng)的統(tǒng)一化、標(biāo)準(zhǔn)化、自動化。在終端上進(jìn)行自動響應(yīng)，響應(yīng)手段包括：桌面消息提示、鎖定終端計(jì)算機(jī)、斷開網(wǎng)絡(luò)、彈出指定URL頁面、斷開準(zhǔn)入連接等。終端計(jì)算機(jī)自動將安全事件的報(bào)警信息上傳服務(wù)器，并在報(bào)警操縱臺上向治理員進(jìn)行報(bào)警提示。提供報(bào)警信息的查看分析和匯總統(tǒng)計(jì)。支持紅色報(bào)警、橙色報(bào)警、黃色報(bào)警和藍(lán)色報(bào)警等四個級不。要緊功能終端準(zhǔn)入治理通過準(zhǔn)入操縱治理，能夠?qū)λ锌蛻舳诉M(jìn)行合法性檢驗(yàn)和操縱，非法的、不同意治理的客戶端將被隔離在網(wǎng)絡(luò)之外，而合法的客戶端能夠接入網(wǎng)絡(luò)進(jìn)行正常操作。系統(tǒng)提供了最全面的準(zhǔn)入操縱方式，能夠充分滿足用戶網(wǎng)

22、絡(luò)各種不同環(huán)境下的準(zhǔn)入操縱需求。802.1x準(zhǔn)入操縱：按照802.1x協(xié)議認(rèn)證內(nèi)部同意治理的終端計(jì)算機(jī)，標(biāo)識和審批“合法”終端，通過交換機(jī)聯(lián)動方式拒絕未經(jīng)認(rèn)證的“非法”終端接入網(wǎng)絡(luò)。ARP準(zhǔn)入操縱：在低端網(wǎng)絡(luò)環(huán)境中，可使用基于ARP協(xié)議的準(zhǔn)入操縱方式，對終端進(jìn)行操縱。因ARP方式的專門性，一般用于要求低成本、效果要求不高的場合。網(wǎng)絡(luò)邊界準(zhǔn)入操縱：通過安全準(zhǔn)入網(wǎng)關(guān)治理的終端計(jì)算機(jī)。應(yīng)用網(wǎng)關(guān)準(zhǔn)入操縱：通過在Portal等關(guān)鍵應(yīng)用上部署應(yīng)用準(zhǔn)入網(wǎng)關(guān)，操縱不符合準(zhǔn)入條件的終端計(jì)算機(jī)禁止訪問指定的網(wǎng)絡(luò)資源、同意符合準(zhǔn)入條件的計(jì)算機(jī)進(jìn)行訪問。應(yīng)用準(zhǔn)入網(wǎng)關(guān)是一個軟件，適用于各種web應(yīng)用系統(tǒng)。遠(yuǎn)程終端準(zhǔn)入操

23、縱：通過遠(yuǎn)程接入網(wǎng)關(guān)，對遠(yuǎn)程終端進(jìn)行準(zhǔn)入操縱。不符合準(zhǔn)入條件的終端計(jì)算機(jī)禁止連入內(nèi)網(wǎng)、同意符合準(zhǔn)入條件的計(jì)算機(jī)能夠連入內(nèi)網(wǎng)。終端安全防護(hù)終端安全防護(hù)的目標(biāo)是愛護(hù)終端計(jì)算機(jī)環(huán)境安全、數(shù)據(jù)安全和關(guān)聯(lián)網(wǎng)絡(luò)通訊安全，目的是為業(yè)務(wù)制造良好的安全運(yùn)行環(huán)境，保障公司業(yè)務(wù)正常運(yùn)營。系統(tǒng)漏洞修復(fù)檢查發(fā)覺轄內(nèi)終端計(jì)算機(jī)操作系統(tǒng)和通用系統(tǒng)軟件安全漏洞，通過自動化的技術(shù)措施及時修復(fù)漏洞，規(guī)避系統(tǒng)漏洞被黑客、蠕蟲利用的風(fēng)險(xiǎn)。防病毒檢查檢測終端計(jì)算機(jī)是否安裝防病毒軟件，幸免因防病毒的缺失帶來病毒問題。終端安全配置治理在終端計(jì)算機(jī)上進(jìn)行關(guān)鍵安全配置的實(shí)時檢查，防止用戶隨意修改這些關(guān)鍵配置而導(dǎo)致安全問題。要緊包括“禁用操縱面

24、板”、“禁用網(wǎng)絡(luò)屬性”、“禁止發(fā)送到”、“禁止修改IP地址”等多項(xiàng)操作全面提升客戶端的安全性。同時，支持對ARP病毒的防范。外設(shè)治理依照終端計(jì)算機(jī)的業(yè)務(wù)需要和治理需要，設(shè)定是否同意使用外設(shè)?？芍卫淼耐庠O(shè)包括：軟驅(qū)（Floppy）、光驅(qū)（CD/DVD/HD-DVD/BlueRay）、磁帶機(jī)、Flash存儲設(shè)備（U盤及MP3播放器）、串口和并口（COM/LPT）、SCSI接口、藍(lán)牙設(shè)備、紅外線設(shè)備、打印機(jī)、調(diào)制解調(diào)器、USB接口、火線接口（1394）、PCMCIA插槽等。終端防火墻在終端計(jì)算機(jī)上部署基于桌面的防火墻技術(shù)措施，通過企業(yè)級的安全策略對訪問活動進(jìn)行操縱，防止外來網(wǎng)絡(luò)非法連接訪問、黑客入侵

25、和利用終端對內(nèi)部網(wǎng)絡(luò)其它服務(wù)系統(tǒng)發(fā)起的網(wǎng)絡(luò)攻擊。文檔操作審計(jì)與防泄密愛護(hù)通過文檔訪問操作審計(jì)，詳細(xì)了解終端上的文件操作情況。通過文檔加密等防泄密的綜合防控措施，有效防范文檔失竊和泄密給公司帶來的業(yè)終端行為治理移動介質(zhì)治理通過對移動介質(zhì)（例如U盤）的使用限制和安全審計(jì)，降低引入安全威脅和文檔泄密的風(fēng)險(xiǎn)。系統(tǒng)支持兩類不同的移動介質(zhì)治理，外部介質(zhì)治理和內(nèi)部介質(zhì)治理。外來介質(zhì)一般是一般U盤，在內(nèi)網(wǎng)中的使用治理方式為注冊+授權(quán)。外來移動介質(zhì)必須在治理員處注冊、分配其使用授權(quán)后才能在內(nèi)網(wǎng)計(jì)算機(jī)中使用。授權(quán)分為同意使用、只讀、禁止使用三種。內(nèi)部介質(zhì)通常只能在內(nèi)網(wǎng)使用，原則上不能在內(nèi)網(wǎng)以外使用。治理方法同樣為

26、注冊+授權(quán)，不同的是注冊時采納加密方式。加密后的介質(zhì)只能由授權(quán)終端讀出，非授權(quán)終端無法讀出介質(zhì)內(nèi)容。介質(zhì)拿到內(nèi)網(wǎng)以外更無法讀出。程序?yàn)E用治理通過程序?yàn)E用治理策略，能夠明確規(guī)定哪些程序能夠使用、哪些程序不能使用。由此能夠預(yù)防終端計(jì)算機(jī)違規(guī)使用程序可能帶來的風(fēng)險(xiǎn)，并以此協(xié)助公司治理，提高職員勞動生產(chǎn)率。流量治理通過檢查和分析終端計(jì)算機(jī)的網(wǎng)絡(luò)分類流量，發(fā)覺異常流量可能帶來的帶寬資源消耗和可疑的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，并對異常流量做出操縱。非法外聯(lián)操縱通過在終端計(jì)算機(jī)本地的安全策略操縱措施，預(yù)防終端計(jì)算機(jī)違規(guī)聯(lián)網(wǎng)可能帶來的安全風(fēng)險(xiǎn)。網(wǎng)頁訪問操縱與審計(jì)通過在終端計(jì)算機(jī)本地的安全策略操縱措施，監(jiān)控終端計(jì)算機(jī)違規(guī)訪問

27、危害網(wǎng)站可能帶來的安全風(fēng)險(xiǎn)。并可審計(jì)所有網(wǎng)頁訪問。系統(tǒng)治理屏幕監(jiān)控策略通過對終端上的操作屏幕進(jìn)行及時監(jiān)控和錄像，防止職員違規(guī)操作單位的電腦。終端運(yùn)維治理能夠?qū)h(yuǎn)程終端計(jì)算機(jī)執(zhí)行鎖定、注銷、重啟、關(guān)機(jī)等操作。鎖定計(jì)算機(jī)除非治理員解鎖，否則不管強(qiáng)制重新啟動或者進(jìn)入安全模式均不能使用。同時，治理人員能夠通過操縱臺遠(yuǎn)程取得客戶機(jī)的操縱權(quán)，身臨其境般進(jìn)行操作。關(guān)于遠(yuǎn)端客戶機(jī)出現(xiàn)的問題，治理人員能夠即時、方便的解決。在遠(yuǎn)程維護(hù)或者遠(yuǎn)程操作業(yè)務(wù)系統(tǒng)中發(fā)揮多方面的作用。級聯(lián)治理通過級聯(lián)治理，實(shí)現(xiàn)上級對下級的治理。級不數(shù)無限。支持策略優(yōu)先級的傳遞。綜合分析呈現(xiàn)通過統(tǒng)一的終端安全治理平臺，提供直觀的、可視化的、

28、全局的終端計(jì)算機(jī)安全運(yùn)行狀態(tài)、安全事件分布和安全愛護(hù)效果，使得高層治理人員能夠據(jù)此全面掌握終端計(jì)算機(jī)安全狀況、掌控全局，為安全調(diào)度、治理決策以及合規(guī)檢查提供依據(jù)。綜合統(tǒng)計(jì)支持按終端資產(chǎn)、按部門、按安全級不、按地域等，進(jìn)行安全事件的綜合查詢統(tǒng)計(jì)，真實(shí)有效地展現(xiàn)終端安全現(xiàn)狀。以圖文、報(bào)表、統(tǒng)計(jì)報(bào)告等方式，直觀展示整體安全運(yùn)行狀態(tài)、安全風(fēng)險(xiǎn)狀態(tài)、從全局上對資源和事件進(jìn)行全程監(jiān)控和預(yù)警，及時體現(xiàn)安全防范的效果。雙機(jī)熱備系統(tǒng)支持雙機(jī)熱備功能，可在重要網(wǎng)絡(luò)中部署兩臺服務(wù)器互相備份，實(shí)現(xiàn)無間斷運(yùn)行。堡壘主機(jī)(JD-FORT)解決方案極地服務(wù)器治理解決方案由極地內(nèi)控堡壘主機(jī)實(shí)現(xiàn)。系統(tǒng)架構(gòu)極地內(nèi)控堡壘主機(jī)由治理

29、單元和執(zhí)行單元兩部分組成。治理單元用于完成用戶治理、授權(quán)治理及策略設(shè)置等操作。執(zhí)行單元包含用戶輸入模塊、命令捕獲引擎、策略操縱和日志服務(wù)。產(chǎn)品組件關(guān)系拓?fù)淙缦拢簣?zhí)行單元功能執(zhí)行單元負(fù)責(zé)完成命令的采集、策略動作執(zhí)行等功能。執(zhí)行單元安裝在服務(wù)器上，同用戶使用環(huán)境和適應(yīng)相配合，完成對用戶行為的監(jiān)視與操縱功能。統(tǒng)一賬號治理治理員通過賬號信息治理界面維護(hù)主賬號的整個生命周期，對賬號進(jìn)行增加、修改、刪除及鎖定、解鎖等操作，同時設(shè)置賬號的密碼使用策略及用戶的級不定義。系統(tǒng)用戶能夠通過自服務(wù)功能治理自身賬號信息，對手機(jī)、郵件及密碼等個人信息進(jìn)行編輯。多種認(rèn)證方式用戶通過用戶密碼方式登錄到極地內(nèi)控堡壘主機(jī)，選擇

30、資產(chǎn)賬號，直接登錄目標(biāo)資產(chǎn)用戶通過數(shù)字證書、動態(tài)令牌等方式登錄到治理單元，由治理單元向執(zhí)行單元發(fā)放一次性口令登錄目標(biāo)資產(chǎn)。單點(diǎn)登錄用戶登錄到極地內(nèi)控堡壘主機(jī)后，直接選擇目標(biāo)資產(chǎn)及賬號，由堡壘主機(jī)完成賬號及密碼的代填，完成登錄。自動捕獲用戶命令行輸入，智能識不命令和編輯輸入執(zhí)行單元能夠自動捕獲用戶命令行輸入，如ls,ps,ifconfig等。執(zhí)行單元支持多行長命令的捕獲，多行命令的編輯操作（如回退，DEL，光標(biāo)移位等）不阻礙命令捕獲結(jié)果。執(zhí)行單元智能的支持歷史操作，支持UP，DOWN功能鍵，支持對歷史操作命令的抓取，支持對以“！”方式執(zhí)行歷史命令的操縱和相關(guān)命令抓取。執(zhí)行單元智能識不編輯狀態(tài)和命

31、令狀態(tài)，支持對所有shell下命令的抓取，支持mysql，telnet，ssh等客戶端程序內(nèi)部呈現(xiàn)命令的捕獲功能。支持TAB補(bǔ)齊等Readline功能執(zhí)行單元支持命令的TAB補(bǔ)全，支持回退鍵，刪除鍵，方向鍵等功能鍵。支持組合命令的動作審計(jì)執(zhí)行單元支持命令的組合使用，支持管道“|”，支持邏輯或“|”和與“&”操作，支持分號命令“；”。執(zhí)行單元支持拒絕和同意兩個策略動作對拒絕的命令，執(zhí)行單元能夠保證該命令不被執(zhí)行，忠實(shí)地履行安全策略執(zhí)行動作。日志服務(wù)功能執(zhí)行單元日志服務(wù)負(fù)責(zé)記錄服務(wù)器上發(fā)生過的命令，輸出屏幕和原始硬拷貝流，以供事后分析和調(diào)查取證。極地內(nèi)控堡壘主機(jī)日志服務(wù)將日志記錄為文本文件，同時能

32、夠向其他日志服務(wù)器發(fā)送SYSLOG日志。執(zhí)行單元日志服務(wù)記錄每個用戶登錄系統(tǒng)的用戶名，登陸IP地址，登陸時刻以及在服務(wù)器上操作的所有命令。執(zhí)行單元日志服務(wù)和治理單元配合，完成對日志的記錄、分析和查詢等工作。治理單元日志查詢支持按服務(wù)器方式進(jìn)行查詢通過對特定服務(wù)器地址進(jìn)行查詢，能夠發(fā)覺該服務(wù)器上發(fā)生的命令和行為。支持按用戶名方式進(jìn)行查詢通過對用戶名進(jìn)行查詢，能夠發(fā)覺該用戶的所有行為。支持按登陸地址方式進(jìn)行查詢通過對特定IP地址進(jìn)行查詢，能夠發(fā)覺該地址對應(yīng)主機(jī)及其用戶在服務(wù)器上進(jìn)行的所有操作。支持按照登陸時刻進(jìn)行查詢通過對登錄時刻進(jìn)行查詢，能夠發(fā)覺特定時刻內(nèi)登錄服務(wù)器的用戶及其進(jìn)行過的所有操作。支

33、持對命令發(fā)生時刻進(jìn)行查詢能夠通過對命令發(fā)生的時刻進(jìn)行查詢，能夠查詢到特定時刻段服務(wù)器上發(fā)生過的所有行為。支持對命令名稱進(jìn)行查詢通過查詢特定命令如ls，能夠查詢到使用過該命令的所有用戶及其使用的時刻等。支持上述六個查詢條件的任意組合查詢?nèi)?，能夠查詢“誰（用戶名）”“什么時刻登錄（登錄時刻）”服務(wù)器并在“什么時刻（命令發(fā)生時刻）”在“服務(wù)器（目標(biāo)服務(wù)器）”上執(zhí)行過“什么操作（命令）”。支持對日志的備份操作處理支持對日志的刪除處理執(zhí)行單元實(shí)時監(jiān)控功能執(zhí)行單元實(shí)時監(jiān)視服務(wù)器上正在發(fā)生的行為，能夠?qū)崟r察看用戶執(zhí)行的命令、執(zhí)行結(jié)果等；實(shí)時查看用戶行為支持查看用戶的實(shí)時切換支持對用戶歷史命令的查看 HYPE

34、RLINK mailto:UltrAMS集中身份治理(JD-4A)解決方案概述極地集中身份治理系統(tǒng)是集賬號（Account）治理、授權(quán)（Authorization）治理、認(rèn)證（Authentication）治理和綜合審計(jì)（Audit）于一體的集中賬號治理系統(tǒng)。極地集中身份治理系統(tǒng)采納模塊化設(shè)計(jì)，不但能夠依照用戶需要和環(huán)境特點(diǎn)進(jìn)行選擇、組合，而且能夠提供定制化的開發(fā)，能夠方便地實(shí)現(xiàn)與用戶應(yīng)用的有機(jī)結(jié)合。同時，極地集中身份治理系統(tǒng)產(chǎn)品的每個模塊采納開放接口，便于用戶按照網(wǎng)絡(luò)和應(yīng)用需要整合符合用戶需求的4A治理平臺，達(dá)到以下目的：1統(tǒng)一的資源訪問入口。為集中治理各個業(yè)務(wù)系統(tǒng)、應(yīng)用、主機(jī)、網(wǎng)絡(luò)設(shè)備提供

35、了技術(shù)手段，能夠集中治理、登陸各個業(yè)務(wù)系統(tǒng)，包括各種C/S應(yīng)用和B/S應(yīng)用，主機(jī)和網(wǎng)絡(luò)設(shè)備，在以后增加新業(yè)務(wù)系統(tǒng)時也能迅速、方便的通過該系統(tǒng)進(jìn)行公布。用戶訪問4A系統(tǒng)時，能夠依照用戶的訪問權(quán)限，系統(tǒng)為每個用戶提供自己的操作平臺，顯示所有所能訪問的業(yè)務(wù)系統(tǒng)、主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備。2集中賬號治理。治理員在一點(diǎn)上即可對不同系統(tǒng)中的賬號進(jìn)行治理，不同系統(tǒng)下都能自動收集賬號和推送賬號，另外賬號創(chuàng)建、分配過程均有審計(jì)日志。3集中身份認(rèn)證。治理員能夠依照賬號身份，選擇不同的身份認(rèn)證方式。能夠在不更改或只進(jìn)行有限更改的情況下，對原有系統(tǒng)增加強(qiáng)身份認(rèn)證手段，提高系統(tǒng)安全性。4集中訪問授權(quán)。對企業(yè)資產(chǎn)進(jìn)行集中授權(quán)，

36、防止私自授權(quán)或權(quán)限未及時收回對企業(yè)信息資產(chǎn)造成的安全損害。在人員離職、崗位變動時，只需要在一處進(jìn)行更改，即可在所有應(yīng)用中改變權(quán)限。能夠細(xì)粒度授權(quán)，如只有在規(guī)定的時刻段或是特定的人員才能訪問指定的資源。5集中安全審計(jì)。能夠?qū)θ藛T的所有操作進(jìn)行審計(jì)，所有審計(jì)信息能夠關(guān)聯(lián)到行為人，達(dá)到實(shí)名審計(jì)的效果。6單點(diǎn)登錄。訪問授權(quán)資源時，只需要登錄極地集中身份治理平臺。7細(xì)粒度訪問操縱。通過堡壘主機(jī)實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)行為細(xì)粒度策略操縱，即時操作“現(xiàn)場直播”，實(shí)時監(jiān)控，實(shí)時操作回放。功能介紹極地集中身份治理系統(tǒng)功能模塊分為：集中賬號治理、集中身份認(rèn)證、集中訪問授權(quán)、集中安全審計(jì)、單點(diǎn)登錄五大部分。集中賬號治理集中賬號

37、治理包含對所有子系統(tǒng)賬號的集中治理。賬號和資源的集中治理是集中授權(quán)、認(rèn)證和審計(jì)的基礎(chǔ)。集中賬號治理能夠完成對用戶整個生命周期的監(jiān)控和治理，而且還降低了企業(yè)治理大量用戶賬號的難度和工作量。同時，通過統(tǒng)一的治理還能夠發(fā)覺賬號中存在的安全隱患，同時制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶賬號安全策略。通過建立集中賬號治理，企業(yè)能夠?qū)崿F(xiàn)將賬號與具體的自然人相關(guān)聯(lián)。通過這種關(guān)聯(lián)，能夠?qū)崿F(xiàn)多級的用戶治理和細(xì)粒度的用戶授權(quán)。而且，還能夠?qū)崿F(xiàn)針對自然人的行為審計(jì)，以滿足合規(guī)審計(jì)的需要。集中賬號治理系統(tǒng)能夠自動發(fā)覺主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫上的已有賬號。系統(tǒng)能夠定期手動觸發(fā)或自動搜索所有被治理的系統(tǒng)，從中發(fā)覺、收集所有新創(chuàng)建的賬號。

38、系統(tǒng)還能夠通過賬號推送機(jī)制，通過集中賬號治理系統(tǒng)在被管系統(tǒng)中創(chuàng)建新的賬號。集中賬號治理對賬號的產(chǎn)生到刪除的各種狀態(tài)進(jìn)行治理。包括統(tǒng)一的用戶創(chuàng)建、維護(hù)、刪除等功能。統(tǒng)一的用戶審批治理流程（添加、修改、禁用、啟用、刪除）。制定人員兼職、調(diào)動、離職的治理機(jī)制。集中身份認(rèn)證極地集中身份治理系統(tǒng)為用戶提供統(tǒng)一的認(rèn)證接口。采納統(tǒng)一的認(rèn)證接口不但便于對用戶認(rèn)證的治理，而且能夠采納更加安全的認(rèn)證模式，提高認(rèn)證的安全性和可靠性。集中身份認(rèn)證提供靜態(tài)密碼、Windows域、Windows Kerberos、雙因素、一次性口令和生物特征等多種認(rèn)證方式，而且系統(tǒng)具有靈活的定制接口，能夠方便的與其它第三方認(rèn)證服務(wù)器之間

39、結(jié)合。集中訪問授權(quán)極地集中身份治理系統(tǒng)提供統(tǒng)一的界面，對用戶、角色及行為和資源進(jìn)行授權(quán)，以達(dá)到對權(quán)限的細(xì)粒度操縱，最大限度愛護(hù)用戶資源的安全。通過集中訪問授權(quán)和訪問操縱能夠?qū)τ脩敉ㄟ^B/S、C/S對主機(jī)、網(wǎng)元和各業(yè)務(wù)系統(tǒng)的訪問進(jìn)行審計(jì)和阻斷。在集中訪問授權(quán)里強(qiáng)調(diào)的“集中”是邏輯上的集中，而不是物理上的集中。即在各網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)中可能擁有各自的權(quán)限治理功能，治理員也由各自的歸口治理部門委派，然而這些治理員在極地集中身份治理系統(tǒng)上，能夠?qū)Ω髯缘闹卫韺ο筮M(jìn)行授權(quán)，而不需要進(jìn)入每一個被治理對象才能授權(quán)。授權(quán)的對象包括用戶、用戶角色、資源和用戶行為。系統(tǒng)不但能夠授權(quán)用戶能夠通過什么角色訪問

40、資源如此基于應(yīng)用邊界的粗粒度授權(quán)，對某些應(yīng)用還能夠限制用戶的操作，以及在什么時刻進(jìn)行操作如此應(yīng)用內(nèi)部的細(xì)粒度授權(quán)。集中安全審計(jì)集中安全審計(jì)治理要緊審計(jì)人員的賬號分配情況、權(quán)限分配情況、賬號使用（登錄、資源訪問）情況、資源使用情況等。在各主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)的訪問日志記錄都采納統(tǒng)一的賬號、資源進(jìn)行標(biāo)識后，集中審計(jì)能更好地對賬號的完整使用過程進(jìn)行追蹤。極地集中身份治理系統(tǒng)通過系統(tǒng)自身的用戶認(rèn)證系統(tǒng)、用戶授權(quán)系統(tǒng)，以及訪問操縱和堡壘主機(jī)等詳細(xì)記錄整個會話過程中用戶的全部行為日志。還能夠通過遠(yuǎn)程日志，文件等形式獲得其它系統(tǒng)產(chǎn)生的日志。單點(diǎn)登錄極地集中身份治理系統(tǒng)提供了基于B/S的單點(diǎn)登錄系統(tǒng)，用戶

41、通過一次登錄系統(tǒng)后，就能夠無需認(rèn)證的訪問包括被授權(quán)的多種基于B/S和C/S的應(yīng)用系統(tǒng)。單點(diǎn)登錄為具有多賬號的用戶提供了方便快捷的訪問途經(jīng)，使用戶無需經(jīng)歷多種登錄用戶ID和口令。它通過向用戶和客戶提供對其個性化資源的快捷訪問提高生產(chǎn)效率。同時，由于系統(tǒng)自身是采納強(qiáng)認(rèn)證的系統(tǒng)，從而提高了用戶認(rèn)證環(huán)節(jié)的安全性。集中不同(B/S架構(gòu)和C/S架構(gòu))業(yè)務(wù)應(yīng)用系統(tǒng)(如OA，ERP，MIS等)，主機(jī)系統(tǒng)(如UNIX，LINUX，WINDOWS等)，網(wǎng)絡(luò)設(shè)備（如交換機(jī)，防火墻）的用戶身份認(rèn)證。單點(diǎn)登錄能夠?qū)崿F(xiàn)與用戶授權(quán)治理的無縫連接，如此能夠通過對用戶、角色、行為和資源的授權(quán)，增加對資源的愛護(hù)，和對用戶行為的監(jiān)

42、控及審計(jì)。漏洞掃描(JD-SCAN)解決方案網(wǎng)絡(luò)漏洞掃描的必要性內(nèi)部網(wǎng)絡(luò)的統(tǒng)一治理，必須對內(nèi)網(wǎng)的安全及時作出安全風(fēng)險(xiǎn)評估，那個地點(diǎn)能夠采納極地網(wǎng)絡(luò)漏洞掃描（JD-SCAN）來實(shí)現(xiàn)。通過風(fēng)險(xiǎn)評估，能夠更有針對性的采取內(nèi)控安全治理措施。漏洞掃描技術(shù)概述漏洞掃描通常采納兩種策略，第一種是被動式策略，第二種是主動式策略。所謂被動式策略確實(shí)是基于主機(jī)之上，對系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對象進(jìn)行檢查；而主動式策略是基于網(wǎng)絡(luò)的，它通過執(zhí)行一些腳本文件模擬對系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)覺其中的漏洞。利用被動式策略掃描稱為系統(tǒng)安全掃描，利用主動式策略掃描稱為網(wǎng)絡(luò)安全掃描。

43、現(xiàn)有的信息安全產(chǎn)品中要緊包括以下五大件：防火墻、入侵檢測、安全評估（漏洞掃描或者脆弱性分析）、身份認(rèn)證、數(shù)據(jù)備份。如此，在部署安全策略時，有許多其它的安全基礎(chǔ)設(shè)施要考慮進(jìn)來，如防火墻，防病毒，認(rèn)證與識不產(chǎn)品，訪問操縱產(chǎn)品，加密產(chǎn)品，虛擬專用網(wǎng)等等。如何治理這些設(shè)備，是安全掃描系統(tǒng)和入侵檢測系統(tǒng)的職責(zé)。通過監(jiān)視事件日志，系統(tǒng)受到攻擊后的行為和這些設(shè)備的信號，作出反應(yīng)。如此，漏洞掃描系統(tǒng)就把這些設(shè)備有機(jī)地結(jié)合在一起。因此，而漏洞掃描是一個完整的安全解決方案中的一個關(guān)鍵部分，在企業(yè)部署安全策略中處于特不重要的地位。防火墻和漏洞掃描的必須同時存在，這是因?yàn)閮H有防火墻是不夠的。防火墻充當(dāng)了外部網(wǎng)和內(nèi)部網(wǎng)

44、的一個屏障，然而并不是所有的外部訪問差不多上通過防火墻的。比如，一個未經(jīng)認(rèn)證的調(diào)制解調(diào)器把內(nèi)部網(wǎng)連到了外部網(wǎng)，就對系統(tǒng)的安全構(gòu)成了威脅。此外，安全威脅往往并不全來自外部，專門大一部分來自內(nèi)部。另外，防火墻本身也專門有可能被黑客攻破。結(jié)合了入侵檢測功能后，漏洞掃描系統(tǒng)具有以下功能：協(xié)調(diào)了其它的安全設(shè)備；使枯燥的系統(tǒng)安全信息易于理解，告訴了你系統(tǒng)發(fā)生的情況；跟蹤用戶進(jìn)入，在系統(tǒng)中的行為和離開的信息；能夠報(bào)告和識不文件的改動；糾正系統(tǒng)的錯誤設(shè)置；識不正在受到的攻擊；減輕系統(tǒng)治理員搜索最近黑客行為的負(fù)擔(dān)；使得安全治理可由一般用戶來負(fù)責(zé)；為制定安全規(guī)則提供依據(jù)。漏洞掃描產(chǎn)品特點(diǎn)模擬攻擊黑客的攻擊一般分為

45、3步：第一步，掃描端口，探測那些端口是開放的；第二步，發(fā)覺漏洞，對開放的端口調(diào)用測試程序或數(shù)據(jù)串，通過特定的反應(yīng)檢測是否存在漏洞。第三步，發(fā)起攻擊，發(fā)覺漏洞后，黑客就查找相關(guān)的攻擊工具進(jìn)行攻擊。漏洞掃描系統(tǒng)的前兩步和黑客的攻擊專門相似，不同的是在第三步，發(fā)覺漏洞后會立即向用戶提示漏洞的存在和解決方法，而不是發(fā)起攻擊。因?yàn)榍皟刹嫉南嗨菩裕┒磼呙柘到y(tǒng)也稱為模擬攻擊測試。進(jìn)攻是最好的防守，傳統(tǒng)的安全產(chǎn)品差不多上單純從防備的角度來達(dá)到目的，而漏洞掃描產(chǎn)品是唯一從進(jìn)攻的角度檢測系統(tǒng)安全性的安全工具，能夠發(fā)揮其他安全產(chǎn)品無法發(fā)揮的作用未雨綢繆通過事前的模擬攻擊測試，漏洞掃描系統(tǒng)能夠在黑客發(fā)起進(jìn)攻之前就發(fā)

46、覺黑客可能發(fā)起攻擊的隱患，提示用戶修補(bǔ)漏洞和采取防范措施，防范于未然。事前防范比事件發(fā)生時的防范更從容完整的入侵檢測技術(shù)包括事前的檢測，事中的探測和報(bào)警，事后的分析和應(yīng)對。漏洞掃描系統(tǒng)在攻擊發(fā)起之前進(jìn)行自我防護(hù)和積極應(yīng)對，比事中、事后的措施更有效。直接愛護(hù)被攻擊對象傳統(tǒng)手段是通過層層設(shè)防，防止黑客接觸到主機(jī)（或其他被愛護(hù)節(jié)點(diǎn)），然而一旦各種愛護(hù)層被突破，主機(jī)仍然要承受攻擊。漏洞掃描是直接加強(qiáng)被攻擊對象的強(qiáng)壯性，即使外部的愛護(hù)措施失效，本身強(qiáng)壯的主機(jī)仍然能夠保證安全。性價比高在目前的安全產(chǎn)品中，漏洞掃描產(chǎn)品的價位比防火墻稍高，遠(yuǎn)遠(yuǎn)低于其他安全產(chǎn)品的投資。漏洞掃描產(chǎn)品的安裝運(yùn)行簡單、效果好、見效快

47、，同時該類產(chǎn)品網(wǎng)絡(luò)運(yùn)行相對獨(dú)立，可不能阻礙到正常的業(yè)務(wù)，具有專門高的性能價格比。使用方便安全掃描產(chǎn)品不僅能發(fā)覺漏洞，還裝載了大量的信息安全知識。通過使用安全掃描產(chǎn)品，系統(tǒng)治理員能夠借鑒專業(yè)安全工程師的知識和信息積存，大大減輕了自己的勞動強(qiáng)度，有利于全網(wǎng)安全策略的統(tǒng)一和穩(wěn)定。產(chǎn)品部署通常在核心交換機(jī)上部署一臺機(jī)架式漏洞掃描服務(wù)器，同時在其他的各個不同的網(wǎng)段配置一臺分布式漏洞掃描儀，定期地對網(wǎng)絡(luò)中多個不同的網(wǎng)段的主機(jī)進(jìn)行檢測，同時給出相應(yīng)的解決建議，用戶依照這些解決建議來做出相應(yīng)的防護(hù)。產(chǎn)品特點(diǎn)介紹強(qiáng)大的檢測分析能力能夠?qū)Σ僮飨到y(tǒng)、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫進(jìn)行掃描，指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測系統(tǒng)的薄弱環(huán)

48、節(jié)，給出詳細(xì)的檢測報(bào)告和相應(yīng)的修補(bǔ)措施，安全建議；能夠通過本機(jī)掃描插件下載的方式，下載插件進(jìn)行本地補(bǔ)丁掃描，突破防火墻的限制，或者最準(zhǔn)確的主機(jī)漏洞信息。軟件設(shè)計(jì)采納了最先進(jìn)的層次化軟件體系結(jié)構(gòu)，框架清晰、運(yùn)行穩(wěn)定；漏洞庫的升級可不能阻礙到程序的穩(wěn)定，從而使先進(jìn)性和可靠性得到了完美的統(tǒng)一。綜合了國外聞名安全產(chǎn)品的優(yōu)點(diǎn)和思路，起點(diǎn)高技術(shù)先進(jìn)，檢測范圍廣，可覆蓋Internet/Intranet的所有主流部件。擁有強(qiáng)大的檢測漏洞庫，依照服務(wù)分為19大類不，現(xiàn)有漏洞數(shù)量20000余條（2009年11月）。每條漏洞都包含詳細(xì)漏洞描述和可操作性強(qiáng)的解決方案。通過網(wǎng)絡(luò)和本地?cái)?shù)據(jù)包，每周至少升級更新漏洞庫一次

49、，以保證能夠檢測最新的漏洞；擁有強(qiáng)大的結(jié)果文件分析能力，能夠預(yù)定義、自定義和多角度多層次的分析結(jié)果文件，提供html、doc等多種格式。支持分布式掃描隨著網(wǎng)絡(luò)規(guī)模的逐步龐大、逐步復(fù)雜，核心級網(wǎng)絡(luò)、部門級網(wǎng)絡(luò)、終端/個人用戶級網(wǎng)絡(luò)的建設(shè)，各個網(wǎng)絡(luò)之間存在著防火墻、交換機(jī)等過濾機(jī)制的存在，漏洞掃描發(fā)送的數(shù)據(jù)包大部分將被這些設(shè)備過濾，降低了掃描的時效性和準(zhǔn)確性。針對這種分布式的復(fù)雜網(wǎng)絡(luò)，不能依舊采納傳統(tǒng)的軟件安裝方式或者機(jī)架方式那種不易移動的產(chǎn)品，漏洞掃描系統(tǒng)能夠充分發(fā)揮自身可移動的優(yōu)勢，能夠?qū)ｉT好的適應(yīng)這種分布式網(wǎng)絡(luò)掃描。自身高度安全性IP地址限定每個掃描系統(tǒng)所能掃描的IP地址范圍被嚴(yán)格鎖定和限制

50、，并在國家授權(quán)機(jī)關(guān)進(jìn)行安全備案，杜絕了網(wǎng)絡(luò)漏洞掃描系統(tǒng)被惡意使用的可能?？构粼O(shè)計(jì)掃描系統(tǒng)運(yùn)行的操作系統(tǒng)是通過專門優(yōu)化的LINUX系統(tǒng)，對操作系統(tǒng)的漏洞進(jìn)行了全面的修補(bǔ)，并對掃描系統(tǒng)本身進(jìn)行了各種攻擊下的防范測試。多級的安全權(quán)限系統(tǒng)有完備的安全設(shè)計(jì)，防止超越權(quán)限操作現(xiàn)象發(fā)生；系統(tǒng)分級分層授權(quán)，以保證信息的安全和保密；充分考慮在網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用等方面的安全性傳輸數(shù)據(jù)的加密采納多種數(shù)據(jù)加密方法對重要數(shù)據(jù)進(jìn)行加密，保證數(shù)據(jù)的安全讀取與傳輸。不論是掃描腳本依舊用戶的掃描結(jié)果，都以嚴(yán)格加密的形式進(jìn)行傳送。既保證了測試腳本可不能被竊取，也保證了用戶的評估情況可不能泄漏。支持WEB掃描Web漏洞

51、掃描方法要緊有兩類：信息獵取和模擬攻擊。信息獵取確實(shí)是通過與目標(biāo)主機(jī)TCPIP的Http服務(wù)端口發(fā)送連接請求，記錄目標(biāo)主機(jī)的應(yīng)答。通過目標(biāo)主機(jī)應(yīng)答信息中狀態(tài)碼和返回?cái)?shù)據(jù)與Http協(xié)議相關(guān)狀態(tài)碼和預(yù)定義返回信息做匹配，假如匹配條件則視為漏洞存在。模擬攻擊確實(shí)是通過使用模擬黑客攻擊的方法，對目標(biāo)主機(jī)Web系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，比如認(rèn)證與授權(quán)攻擊、支持文件攻擊、包含文件攻擊、SQL注入攻擊和利用編碼技術(shù)攻擊等對目標(biāo)系統(tǒng)可能存在的已知漏洞進(jìn)行逐項(xiàng)進(jìn)行檢查，從而發(fā)覺系統(tǒng)的漏洞。遠(yuǎn)程字典攻擊也是漏洞掃描中模擬攻擊的一種，其原理與其他攻擊相差較大，若攻擊成功，能夠直接得到登陸目標(biāo)主機(jī)系統(tǒng)的用戶名和口

52、令。Web漏洞掃描原理確實(shí)是利用上面的掃描方法，通過分析掃描返回信息，來推斷在目標(biāo)系統(tǒng)上與測試代碼相關(guān)的漏洞是否存在或者相關(guān)文件是否能夠在某種程度上得以改進(jìn)，然后把結(jié)果反饋給用戶端(即掃瞄端)，并給出相關(guān)的改進(jìn)意見。內(nèi)部網(wǎng)絡(luò)的統(tǒng)一治理統(tǒng)一治理方式在用戶內(nèi)網(wǎng)中，統(tǒng)一部署極地終端與內(nèi)網(wǎng)安全治理系統(tǒng)、極地內(nèi)控堡壘主機(jī)、極地網(wǎng)絡(luò)漏洞掃描系統(tǒng)后，可與用戶差不多部署的防火墻、IDS、VPN等設(shè)備聯(lián)動，聯(lián)動接口為標(biāo)準(zhǔn)規(guī)范。實(shí)施聯(lián)動后，所有設(shè)備實(shí)現(xiàn)信息共享，并按照統(tǒng)一的原則和策略實(shí)現(xiàn)統(tǒng)一治理。例如IDS檢測到某終端有攻擊行為后向終端治理系統(tǒng)報(bào)告，終端治理系統(tǒng)立即禁止此終端所有網(wǎng)絡(luò)連接，防止攻擊行為對內(nèi)網(wǎng)產(chǎn)生阻

53、礙。統(tǒng)一治理功效有了針對終端計(jì)算機(jī)和服務(wù)器的治理系統(tǒng)以后，結(jié)合用戶差不多建設(shè)的防火墻、IDS、VPN等系統(tǒng)，能夠?qū)崿F(xiàn)真正意義上的全網(wǎng)統(tǒng)一治理：無死角通過抓住宅有安全事件的源頭：終端與服務(wù)器，能夠?qū)⑷W(wǎng)所有事件納入治理范圍，不管安全事件從哪里發(fā)生都能準(zhǔn)確定位和處理。全網(wǎng)安全域治理通過終端虛擬安全域，可劃分更細(xì)粒度的安全域，將安全域由傳統(tǒng)的網(wǎng)絡(luò)邊界粒度擴(kuò)展到單臺終端，與傳統(tǒng)的基于網(wǎng)絡(luò)邊界訪問操縱的安全域結(jié)合，實(shí)現(xiàn)更細(xì)粒度、更自由的安全域治理。遠(yuǎn)程終端與內(nèi)網(wǎng)終端統(tǒng)一治理通過遠(yuǎn)程終端安全準(zhǔn)入操縱，終端計(jì)算機(jī)不再區(qū)分遠(yuǎn)程接入或局域網(wǎng)接入，能夠按相同的治理策略進(jìn)行治理。統(tǒng)一用戶治理全網(wǎng)統(tǒng)一身份，服務(wù)器與終端基于統(tǒng)一的