網(wǎng)絡(luò)安全方案

1、目錄 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 網(wǎng)絡(luò)安全問題2 HYPERLINK l bookmark10 o Current Document 設(shè)計(jì)的安全性2 HYPERLINK l bookmark13 o Current Document 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖3 HYPERLINK l bookmark16 o Current Document 設(shè)備選型3 HYPERLINK l bookmark19 o Current Document 安全隔離與信息交換系統(tǒng)4 HYPERLINK l bookmark22 o Curre

2、nt Document 應(yīng)急指揮調(diào)度系統(tǒng)6 HYPERLINK l bookmark25 o Current Document 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)7 HYPERLINK l bookmark28 o Current Document 服務(wù)器群組防護(hù)系統(tǒng)8 HYPERLINK l bookmark31 o Current Document 數(shù)據(jù)庫審計(jì)系統(tǒng)9 HYPERLINK l bookmark34 o Current Document 總結(jié)11網(wǎng)絡(luò)安全問題隨著國內(nèi)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營活動的各種業(yè)務(wù)系統(tǒng)都立足于 Internet/Intranet環(huán)境中.但隨之而來的安全

3、問題也在困擾著用戶。Internet所具有的開放性、國際性和自由 性在增加應(yīng)用自由度的同時，對安全提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅，甚至處于癱瘓 狀態(tài)，將會給企業(yè)、社會、乃至整個國家?guī)砭薮蟮慕?jīng)濟(jì)損失。應(yīng)此如何使企業(yè)信息網(wǎng)絡(luò)系統(tǒng)免受黑客和 病毒的入侵，巳成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一.一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)，主要有WEB、 Email、OA、MIS、財務(wù)系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展，網(wǎng)絡(luò)體系結(jié)構(gòu)也會變得越來越復(fù)雜， 應(yīng)用系統(tǒng)也會越來越多。但從整個網(wǎng)絡(luò)系統(tǒng)的管理上來看，通常包括內(nèi)部用戶，也有外部用戶，以及內(nèi)外網(wǎng) 之間。因此，一般整個企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在三個方面的安

4、全問題：Internet的安全性：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來，計(jì)算機(jī)病毒傳播、蠕蟲攻擊、 垃圾郵件泛濫、敏感信息泄露等巳成為影響最為廣泛的安全威脅。對于企業(yè)級用戶，每當(dāng)遭遇這些威脅時， 往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟(jì)損失也很大。企業(yè)內(nèi)網(wǎng)的安全性:最新調(diào)查顯示，在受調(diào)查的企業(yè)中60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。對網(wǎng) 絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜，或者使得不法員 工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密，從而導(dǎo)致企業(yè)數(shù)千萬美金的損失.所以企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視， 存在的安全隱患主要

5、有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全 策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集 中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全：隨著企業(yè)的發(fā)展壯大及移動辦公的普及，逐漸形成了企業(yè)總 部、各地分支機(jī)構(gòu)、移動辦公人員這樣的新型互動運(yùn)營模式。怎么處理總部與分支機(jī)構(gòu)、移動辦公人員的 信息共享安全，既要保證信息的及時共享，又要防止機(jī)密的泄漏巳經(jīng)成為企業(yè)成長過程中不得不考慮的問 題.各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作.設(shè)計(jì)的安全性設(shè)計(jì)的安全性通過對網(wǎng)絡(luò)系統(tǒng)的風(fēng)險分析及需要解決的安

6、全問題，我們需要制定合理的安全策略及安全 方案來確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。即， 可用性：授權(quán)實(shí)體有權(quán)訪問 數(shù)據(jù) 機(jī)密性：信息不暴露給未授權(quán)實(shí)體或進(jìn)程 完整性：保證數(shù)據(jù)不被未授權(quán)修改 可控性：控 制授權(quán)范圍內(nèi)的信息流向及操作方式可審查性:對出現(xiàn)的安全問題提供依據(jù)與手段 訪問控制：需要由 防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離，對與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù) 進(jìn)行嚴(yán)格的訪問控制。同樣，對內(nèi)部網(wǎng)絡(luò)，由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，也需要使用防火墻將 不同的LAN或網(wǎng)段進(jìn)行隔離，并實(shí)現(xiàn)相互的訪問控制。 數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程

7、 中防止非法竊取、篡改信息的有效手段。 安全審計(jì)：是識別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一.具體包括兩方面的內(nèi)容，一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng)，識別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行 為，即時響應(yīng)（如報警）并進(jìn)行阻斷；二是對信息內(nèi)容的審計(jì)，可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖設(shè)備選型傳統(tǒng)的組網(wǎng)已經(jīng)不能滿足現(xiàn)在網(wǎng)絡(luò)應(yīng)用的變化了，在組網(wǎng)的初期必須考慮到安全和網(wǎng)絡(luò)的問 題。免疫網(wǎng)絡(luò)的主要理念是自主防御和管理，它通過源頭抑制、群防群控、全網(wǎng)聯(lián)動使網(wǎng)絡(luò)內(nèi)每 一個節(jié)點(diǎn)都具有安全功能，在面臨攻擊時調(diào)動各種安全資源進(jìn)行應(yīng)對.它具有安全和網(wǎng)絡(luò) 功能融合、全網(wǎng)設(shè)備聯(lián)動、可信接入、深度防御和

8、控制、精細(xì)帶寬管理、業(yè)務(wù)感知、全網(wǎng)監(jiān) 測評估等主要特征.下面讓我們看看這幾個特征的距離內(nèi)容安全和網(wǎng)絡(luò)功能的融合 網(wǎng) 絡(luò)架構(gòu)的融合，主要包括網(wǎng)關(guān)和終端的融合網(wǎng)關(guān)方面：ARP先天免疫原理一NAT表中添加源MAC地址濾窗防火墻-封包檢測，IP分片檢查5 UDP洪水終端方面：驅(qū)動部分一免疫標(biāo)記網(wǎng)絡(luò)協(xié)議的融合-行為特征和網(wǎng)絡(luò)行為 的融合全網(wǎng)設(shè)備的聯(lián)動 驅(qū)動與運(yùn)營中心的聯(lián)動分收策略驅(qū)動與驅(qū)動的聯(lián)動IP地址 沖突網(wǎng)關(guān)和驅(qū)動的聯(lián)動群防群控 運(yùn)營中心和網(wǎng)關(guān)的聯(lián)動（外網(wǎng)攻擊，上下線可信接 入 MAC地址的可信（類似于DNA），生物身份傳輸?shù)目尚牛庖邩?biāo)記）深度防御和 控制深入到每個終端的網(wǎng)卡深入到協(xié)議的最低層深入

9、到二級路由，多級路由器下精 細(xì)帶寬管理 身份精細(xì)一IP/MAC的精確位置精確一終端驅(qū)動路徑細(xì)分（特殊的IP） 流量去向（內(nèi),公網(wǎng)）應(yīng)用流控（QQ,MSN）業(yè)務(wù)感知 協(xié)議區(qū)分和應(yīng)用感知 它與防 火墻（FW）、入侵檢測系統(tǒng)（IDS）、防病毒等“老三樣組成的安全網(wǎng)絡(luò)相比，突破了被動 防御、邊界防護(hù)的局限，著重從內(nèi)網(wǎng)的角度解決攻擊問題，應(yīng)對目前網(wǎng)絡(luò)攻擊復(fù)雜性、多樣 性、更多從內(nèi)網(wǎng)發(fā)起的趨勢，更有效地解決網(wǎng)絡(luò)威脅。 同時,安全和管理密不可分。免疫 網(wǎng)絡(luò)對基于可信身份的帶寬管理、業(yè)務(wù)感知和控制，以及對全網(wǎng)安全問題和工作效能的監(jiān)測、 分析、統(tǒng)計(jì)、評估，保證了企業(yè)網(wǎng)絡(luò)的可管可控，大大提高了通信效率和可靠性。安

10、全架構(gòu)分析根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢，主要安全措施從以下幾個方面進(jìn)行考慮： 網(wǎng)絡(luò)傳輸保護(hù)主要是數(shù)據(jù)加密保護(hù)主要網(wǎng)絡(luò)安全隔離通用措施是采用防火墻網(wǎng)絡(luò)病毒防護(hù)采用網(wǎng)絡(luò)防病毒系統(tǒng) 廣域網(wǎng)接入部分的入侵檢測 采用入侵檢測系統(tǒng) 系統(tǒng)漏洞 分析采用漏洞分析設(shè)備定期安全審計(jì) 主要包括兩部分：內(nèi)容審計(jì)和網(wǎng)絡(luò)通信審計(jì) 重要數(shù)據(jù)的備份 重要信息點(diǎn)的防電磁泄露 網(wǎng)絡(luò)安全結(jié)構(gòu)的可伸縮性 包括安全設(shè) 備的可伸縮性，即能根據(jù)用戶的需要隨時進(jìn)行規(guī)模、功能擴(kuò)展 網(wǎng)絡(luò)防雷（2）網(wǎng)絡(luò)安全 作為企業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)的承載平臺，網(wǎng)絡(luò)系統(tǒng)的安全顯得尤為重要.由于許多重 要的信息都通過網(wǎng)絡(luò)進(jìn)行交換，安全隔離與信息交換系統(tǒng)專網(wǎng)業(yè)務(wù)涉密網(wǎng)與辦公

11、業(yè)務(wù)非涉密網(wǎng)間,根據(jù)業(yè)務(wù)及應(yīng)用特點(diǎn)，以需求為導(dǎo)向，以應(yīng)用為核心，以方便群眾為 最終目的，利用先進(jìn)理念和技術(shù)，以提高我機(jī)關(guān)工作效率，充分利用現(xiàn)有資源和技術(shù)力量，實(shí)現(xiàn)系統(tǒng)的計(jì)算機(jī) 網(wǎng)絡(luò)化處理和應(yīng)用，根據(jù)實(shí)際存在數(shù)據(jù)雙向交換的需求和國家相關(guān)主管部門的要求在充分做到安全保證的 前提下，允許非涉密數(shù)據(jù)在兩個網(wǎng)絡(luò)間交換。1.1技術(shù)實(shí)現(xiàn)安全隔離與信息交換系統(tǒng)（網(wǎng)閘）的工作基于人工信息交換的操作模式，即由內(nèi)外網(wǎng)主機(jī)模塊分別負(fù)責(zé)接 收來自所連接網(wǎng)絡(luò)的訪問請求，兩模塊間沒有直接的物理連接，形成一個物理隔斷，從而保證可信網(wǎng)和非可 信網(wǎng)之間沒有數(shù)據(jù)包的交換，沒有網(wǎng)絡(luò)連接的建立。在此前提下，通過專有硬件實(shí)現(xiàn)網(wǎng)絡(luò)間信息的

12、實(shí)時交 換.這種交換并不是數(shù)據(jù)包的轉(zhuǎn)發(fā)，而是應(yīng)用層數(shù)據(jù)的靜態(tài)讀寫操作，因此可信網(wǎng)的用戶可以通過安全隔離 與信息交換系統(tǒng)（網(wǎng)閘）放心的訪問非可信網(wǎng)的資源，而不必?fù)?dān)心可信網(wǎng)的安全受到影響.信息通過網(wǎng)閘傳遞需經(jīng)過多個安全模塊的檢查，以驗(yàn)證被交換信息的合法性.當(dāng)訪問請求到達(dá)內(nèi)外網(wǎng)主機(jī)模 塊時，首先由網(wǎng)閘實(shí)現(xiàn)TCP連接的終結(jié)，確保TCP/IP協(xié)議不會直接或通過代理方式穿透網(wǎng)閘；然后，內(nèi)外 網(wǎng)主機(jī)模塊會依據(jù)安全策略對訪問請求進(jìn)行預(yù)處理，判斷是否符合訪問控制策略，并依據(jù)RFC或定制策略對 數(shù)據(jù)包進(jìn)行應(yīng)用層協(xié)議檢查和內(nèi)容過濾,檢驗(yàn)其有效載荷的合法性和安全性。一旦數(shù)據(jù)包通過了安全檢查， 內(nèi)外網(wǎng)主機(jī)模塊會對數(shù)據(jù)包

13、進(jìn)行格式化，將每個合法數(shù)據(jù)包的傳輸信息和傳輸數(shù)據(jù)分別轉(zhuǎn)換成專有格式數(shù) 據(jù)，存放在緩沖區(qū)等待被隔離交換模塊處理。這種“靜態(tài)”的數(shù)據(jù)形態(tài)不可執(zhí)行，不依賴于任何通用協(xié)議，安全隔離與信息交換系統(tǒng)（網(wǎng)閘）通過專有的隔離交換卡實(shí)現(xiàn)內(nèi)外網(wǎng)主機(jī)模塊的緩沖區(qū)內(nèi)存映射功能，將指定 區(qū)域的數(shù)據(jù)復(fù)制到對端相應(yīng)的區(qū)域，完成數(shù)據(jù)的交換。隔離交換卡內(nèi)嵌安全芯片，采用高速全雙工流水線 設(shè)計(jì)，內(nèi)部吞吐速率達(dá)2Gbps，完全可以滿足高速數(shù)據(jù)交換的需要.隔離交換模塊固化控制邏輯，與內(nèi)外網(wǎng) 模塊間只存在內(nèi)存緩沖區(qū)的讀寫操作，沒有任何網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)包的轉(zhuǎn)發(fā)。隔離交換子系統(tǒng)采用互斥機(jī)制, 在讀寫一端主機(jī)模塊的數(shù)據(jù)前先中止對另一端的操作，

14、確保隔離交換系統(tǒng)不會同時對內(nèi)外網(wǎng)主機(jī)模塊的數(shù) 據(jù)進(jìn)行處理，以保證在任意時刻可信網(wǎng)與非可信網(wǎng)間不存在鏈路層通路，實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離.當(dāng)內(nèi)外網(wǎng)主 機(jī)模塊通過隔離交換模塊接收到來自另一端的格式化數(shù)據(jù)，可根據(jù)本端的安全策略進(jìn)行進(jìn)一步的應(yīng)用層安 全檢查.經(jīng)檢驗(yàn)合格，則進(jìn)行逆向轉(zhuǎn)換，將格式化數(shù)據(jù)轉(zhuǎn)換成符合RFC標(biāo)準(zhǔn)的TCP/IP數(shù)據(jù)包，將數(shù)據(jù)包發(fā)送 到 目 的 計(jì) 算 機(jī)， 完 成 數(shù) 據(jù) 的 安 全 交安全隔離網(wǎng)閘（從硬件上來分主要包括三部分，分別是專用安全隔離切換裝置（數(shù)據(jù)暫存區(qū)）、內(nèi)部處理單元 和外部處理單元。系統(tǒng)中的專用安全隔離切換裝置分別連接內(nèi)部處理單元和外部處理單元，這種獨(dú)特設(shè)計(jì) 保證了安全隔

15、離切換裝置中的數(shù)據(jù)暫存區(qū)在任一時刻僅連通內(nèi)部或者外部處理單元，從而實(shí)現(xiàn)內(nèi)外網(wǎng)的安 全隔離。應(yīng)急指揮調(diào)度系統(tǒng)應(yīng)急指揮調(diào)度平臺系統(tǒng)是一個構(gòu)架于通用軟、硬件環(huán)境之上的成熟、開放、可快速定制的產(chǎn)品化平臺系 統(tǒng)。通過它可以迅速整合用戶現(xiàn)有資源如：網(wǎng)絡(luò)、有線無線通訊、視頻監(jiān)控、GIS電子地圖、GPS跟蹤定位、 SMS、預(yù)案與應(yīng)急知識庫等，適應(yīng)用戶業(yè)務(wù)特色，形成一個穩(wěn)定而且專業(yè)的應(yīng)急指揮系統(tǒng)，極大的縮短了用 戶應(yīng)急指揮系統(tǒng)的建設(shè)周期，規(guī)避了項(xiàng)目開發(fā)潛在的風(fēng)險，有效的保護(hù)了用戶投應(yīng)急指揮調(diào)度系統(tǒng)二、平臺系統(tǒng)功能1、支持多級指揮管理系統(tǒng)搭建2、應(yīng)急資源與事件管理3、突發(fā)事件的快速響應(yīng)與智能指揮4、應(yīng)急預(yù)案、輔助

16、決策支持和GIS系統(tǒng)管理5、智能調(diào)度和多媒體融合通訊網(wǎng)絡(luò)安全審計(jì)系統(tǒng)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是針對業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理系統(tǒng).它 通過對被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行解析、分析、記錄、匯報，以幫助用戶事前規(guī)劃預(yù) 防、事中實(shí)時監(jiān)視、違規(guī)行為響應(yīng)、事后合規(guī)報告、事故追蹤溯源，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān) 管、促進(jìn)核心資產(chǎn)（數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等）的正常運(yùn)營.網(wǎng)絡(luò)安全審計(jì)系統(tǒng)完善業(yè)務(wù)系統(tǒng)的安全防范體系，滿足組織機(jī)構(gòu)內(nèi)外部合規(guī)性要求，全面體 現(xiàn)管理者對業(yè)務(wù)系統(tǒng)信息資源的全局把控和調(diào)度能力。主要表現(xiàn)在：1、如同不知疲倦的 網(wǎng)絡(luò)警察，時刻監(jiān)視著對重要資源的訪問；2、當(dāng)出現(xiàn)安全事件后，能根據(jù)

17、翔實(shí)的審計(jì)記 錄，一步步地追查出攻擊者;3、找出導(dǎo)致安全事件、性能波動的真正原因4、幫助用戶加 強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、滿足企業(yè)內(nèi)部控制或者外部政策等合規(guī)性要求。DDL:Create，響應(yīng)。SQL語句的支持SQL92標(biāo)準(zhǔn)，DDL:Create，Drop， Grant， RevokeDML： Update， Insert， Delete DCL： Commit， Rollback，Savapoint其他：Alter System，Connect，Allocate存儲過程目前，天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持以下數(shù)據(jù)庫系統(tǒng)的審計(jì)Oracle SQL-Server DB2 InformixSybase Ter

18、adata Mysql PostgreSQL Cache,網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持常用的運(yùn)維協(xié)議，比如Telnet、FTP、Rlogin、X11、Radius等協(xié)議 的審計(jì)，能夠全程記錄用戶在服務(wù)器上的各種操作（包括命令行操作、交互菜單操作、業(yè)務(wù) 系統(tǒng)操作），并且可以實(shí)現(xiàn)類似窗口錄像回放形式的還原。OA審計(jì)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持HTTP、POP3、SMTP、Netbios、NFS協(xié)議的審計(jì)，能夠記錄網(wǎng)頁URL、內(nèi)容、 發(fā)件人、收件人、郵件內(nèi)容、網(wǎng)絡(luò)鄰居的各種操作等信息3。2數(shù)據(jù)庫響應(yīng)時間及返回碼 的審計(jì) 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持對SQL Server、DB2、Oracle Informix等數(shù)據(jù)庫系統(tǒng)的

19、SQL 操作響應(yīng)時間和返回碼的審計(jì).通過對響應(yīng)時間和返回碼的審計(jì)，可以幫助用戶對數(shù)據(jù)庫的 使用狀態(tài)全面掌握、及時響應(yīng)故障信息，特別是當(dāng)新業(yè)務(wù)系統(tǒng)上線、業(yè)務(wù)繁忙、業(yè)務(wù)模塊更 新時，通過網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對超長時間和關(guān)鍵返回碼進(jìn)行審計(jì)并實(shí)時報警有助于提高服務(wù)器群組防護(hù)系統(tǒng)服務(wù)器群組防護(hù)系統(tǒng)，實(shí)現(xiàn)服務(wù)器網(wǎng)絡(luò)的隔離，建立服務(wù)器群組的安全域，系統(tǒng)針對Web 應(yīng)用特點(diǎn)，有效的集成了網(wǎng)絡(luò)層、傳輸層、應(yīng)用層的攻擊防范技術(shù),建立起多層防范體系，實(shí) 現(xiàn)對服務(wù)器的安全防護(hù)；（1）系統(tǒng)將消極安全模型與積極安全模型相結(jié)合，根據(jù)Web應(yīng)用系統(tǒng)，HTTP協(xié)議特點(diǎn)， 將協(xié)議完整性檢測、基于特征的應(yīng)用層攻擊檢測、基于訪問行為的攻

20、擊檢測等技術(shù)有機(jī)結(jié)合, 有效地對各種安全攻擊進(jìn)行防護(hù)，提高電力系統(tǒng)Web應(yīng)用系統(tǒng)的安全性；（2 ）系統(tǒng)根據(jù)用戶身份信息、權(quán)限信息，實(shí)現(xiàn)網(wǎng)絡(luò)層、應(yīng)用層的安全接入控制、訪問控制及 細(xì)粒度的權(quán)限管理.系統(tǒng)支持多種認(rèn)證方式，在無需改變現(xiàn)有的應(yīng)用系統(tǒng)的情況下，可整合 多個業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)單點(diǎn)登錄。此外，系統(tǒng)可以根據(jù)用戶信息，實(shí)現(xiàn)基于URL的細(xì)粒度授權(quán) 及SSLVPN訪問；（3）系統(tǒng)包括了多種日志，如：登錄日志、安全日志、訪問日志，可詳細(xì)記錄用戶登錄情 況、用戶對各種資源的訪問情況以及各種安全攻擊，增強(qiáng)了管理員對事件的審計(jì)及事后追查 能力.數(shù)據(jù)庫審計(jì)系統(tǒng)數(shù)據(jù)庫審計(jì)對“業(yè)務(wù)層面、技術(shù)層面、管理層面”的安全需求調(diào)研與分析，形成了一套獨(dú)有 的數(shù)據(jù)庫審計(jì)安全解決方案.別名設(shè)置：對主客體進(jìn)行別名設(shè)置，可以直觀顯示內(nèi)容方便非專業(yè)人員的查看.隱秘數(shù)據(jù)：對敏感數(shù)據(jù)隱秘，非授權(quán)的用戶不能正常查看隱秘數(shù)據(jù)。全方位的實(shí)時審計(jì)：實(shí)時監(jiān)控來自各個層面的所有數(shù)據(jù)庫活動。細(xì)粒度的行為檢索:一旦發(fā)生安全事件，提供完全自定義審計(jì)查詢及審計(jì)數(shù)據(jù)展