極地內(nèi)部網(wǎng)絡控制統(tǒng)一安全解決方案

極地內(nèi)部網(wǎng)絡控制統(tǒng)一安全方案 北京市海淀區(qū)上地安寧莊西路9號院金泰富地大廈808100085電話真務熱線ttp://

目錄1 概述 -1-1.1 背景 -1-1.2 需求分析 -2-1.2.1 政策需求 -2-1.2.2 管理需求 -2-1.2.3 技術(shù)需求 -2-2 解決方案概述 -6-3 終端管理(JD-ESMS)解決方案 -6-3.1 產(chǎn)品概述 -6-3.2 產(chǎn)品基礎功能 -8-3.2.1 策略管理 -8-3.2.2 日志功能 -9-3.2.3 終端資產(chǎn)管理 -9-3.2.4 終端用戶管理 -10-3.2.5 報警與響應管理 -10-3.3 主要功能 -10-3.3.1 終端準入管理 -10-3.3.2 終端安全防護 -12-3.3.3 終端行為管理 -13-3.3.4 系統(tǒng)管理 -14-4 堡壘主機(JD-FORT)解決方案 -16-4.1 系統(tǒng)架構(gòu) -16-4.2 執(zhí)行單元功能 -16-4.2.1 統(tǒng)一賬號管理 -16-4.2.2 多種認證方式 -17-4.2.3 單點登錄 -17-4.2.4 自動捕獲用戶命令行輸入，智能識別命令和編輯輸入 -17-4.2.5 支持TAB補齊等Readline功能 -17-4.2.6 支持組合命令的動作審計 -18-4.3 日志服務功能 -18-4.4 管理單元日志查詢 -18-4.5 執(zhí)行單元實時監(jiān)控功能 -19-5 集中身份管理(JD-4A)解決方案 -19-5.1 概述 -19-5.2 功能介紹 -20-5.2.1 集中賬號管理 -21-5.2.2 集中身份認證 -21-5.2.3 集中訪問授權(quán) -22-5.2.4 集中安全審計 -22-5.2.5 單點登錄 -22-6 漏洞掃描(JD-SCAN)解決方案 -23-6.1 網(wǎng)絡漏洞掃描的必要性 -23-6.1.1 漏洞掃描技術(shù)概述 -23-6.1.2 漏洞掃描產(chǎn)品特點 -24-6.2 用戶現(xiàn)狀分析 -24-6.3 產(chǎn)品部署 -25-6.4 產(chǎn)品特點介紹 -26-6.4.1 強大的檢測分析能力 -26-6.4.2 支持分布式掃描 -27-6.4.3 自身高度安全性 -27-6.4.4 支持WEB掃描 -28-7 內(nèi)部網(wǎng)絡的統(tǒng)一管理 -28-7.1 統(tǒng)一管理方式 -28-7.2 統(tǒng)一管理功效 -29-7.2.1 無死角 -29-7.2.2 全網(wǎng)安全域管理 -29-7.2.3 遠程終端與內(nèi)網(wǎng)終端統(tǒng)一管理 -29-7.2.4 統(tǒng)一用戶管理 -29-7.2.5 統(tǒng)一訪問授權(quán)管理 -30-7.2.6 全網(wǎng)實名審計與統(tǒng)一事件管理 -30-8 《企業(yè)內(nèi)部控制基本規(guī)范》的要求與解決 -30-8.1 內(nèi)控原則 -30-8.2 技術(shù)要求 -31-8.3 風險評估 -32-8.4 控制活動 -32-8.5 信息與溝通 -32-8.6 內(nèi)部監(jiān)督 -32-概述背景信息技術(shù)發(fā)展到今天，人們的工作和生活已經(jīng)越來越依賴于計算機和網(wǎng)絡；然而，自網(wǎng)絡誕生的那一天起，它就存在著一個重大隱患——安全問題，人們在享受著網(wǎng)絡所帶來的便捷同時，不得不承受著網(wǎng)絡安全問題帶來的隱痛。說到網(wǎng)絡安全，人們自然就會想到網(wǎng)絡邊界安全，但是實際情況是網(wǎng)絡的大部分安全風險均來自于內(nèi)部。常規(guī)安全防御手段往往局限于網(wǎng)關級別、網(wǎng)絡邊界（防火墻、IDS、漏洞掃描）等方面的防御、重要的安全設施大致集中于機房或網(wǎng)絡入口處，在這些設備的嚴密監(jiān)控，來自網(wǎng)絡外部的安全威脅大大減小。相反，來自網(wǎng)絡內(nèi)部的計算機的安全威脅卻是眾多安全管理人員所面臨的棘手的問題。內(nèi)部網(wǎng)絡的安全管理分為四個方面：一類是前臺計算機，通常指辦公與業(yè)務的終端計算機；另一類是后臺設備，通常是服務器或路由器交換機等網(wǎng)絡設備；還有一類就是用戶單位內(nèi)部的各種應用軟件系統(tǒng)；最后，還有一方面就是安全風險管理，它面對所有以上設備和應用，管理是否存在有安全隱患，是否存在安全風險，以及如何應對等問題。如何做好內(nèi)部網(wǎng)絡這四個方面的安全管理，是擺在每一個IT管理者面前的問題。極地內(nèi)部網(wǎng)絡控制統(tǒng)一安全方案即針對此情況，為管理者提供一個全面、細致的解決方案，解決終端、服務器以及應用系統(tǒng)安全管理問題。需求分析政策需求《等級保護》、薩班斯法案(Sarbanes-OxleyAct)等政策明確要求內(nèi)網(wǎng)應進行嚴格的管理控制和細粒度的審計。國內(nèi)也已經(jīng)出臺《企業(yè)內(nèi)部控制基本規(guī)范》，對內(nèi)部網(wǎng)絡的信息安全管理提出明確要求。管理需求隨著網(wǎng)絡規(guī)模的不斷擴大和IT應用的不斷深入，對安全管理的要求越來越高，企業(yè)內(nèi)部的管理成本越來越高。如何有效降低管理成本、減少安全風險、提高安全管理效能，成為管理者最先考慮的問題。技術(shù)需求前臺計算機管理需求：終端管理前臺計算機，如前所述，通常被稱為終端（End-Point）。對這些計算機的管理也稱為終端管理。終端管理主要有以下內(nèi)容：資產(chǎn)管理對終端計算機的資產(chǎn)情況進行管理，對資產(chǎn)變更進行管理。準入管理不安全的計算機不應接入內(nèi)網(wǎng)之中，以免在內(nèi)網(wǎng)中引發(fā)安全問題。不應接觸外網(wǎng)的計算機，也不能私自建立對外的網(wǎng)絡連接。終端防護包括補丁分發(fā)管理、安全配置管理、外設管理、終端防火墻、終端文檔保護等等。終端行為管理包括移動介質(zhì)管理、程序使用管理、流量管理、網(wǎng)頁訪問管理等等信息防泄漏包括移動介質(zhì)管理、加密優(yōu)盤、文件加密、文檔權(quán)限管理、文件操作審計等。另外，終端管理通常也包括病毒、木馬的管理。因這方面有成熟的產(chǎn)品和方案，本方案對此不予贅述。后臺計算機與設備管理需求：統(tǒng)一授權(quán)管理針對服務器的管理，主要指服務器的訪問控制，這是服務器安全的根本所在。通常服務器放置在機房中，由管理員進行維護時，直接登錄到服務器上，其過程缺乏監(jiān)管，造成授權(quán)復雜、缺乏過程審計等諸多問題。在安全管理的4個A（賬號Account、認證Authentication、授權(quán)Authorization、審計Audit），賬號和認證沒有統(tǒng)一管理，各服務器單獨管理，管理員登錄各服務器和應用系統(tǒng)時很容易混亂；沒有統(tǒng)一授權(quán)，各服務器單獨對不同賬號進行授權(quán)，工作量大而容易出錯；管理員登錄后的操作也缺乏審計手段，現(xiàn)有手段嚴重不足，導致大量審計缺失。尤其當服務器數(shù)量和應用系統(tǒng)數(shù)量多時，問題尤其嚴重。應將的所有服務器的登錄過程收集到一個統(tǒng)一入口，建立統(tǒng)一的賬號管理和授權(quán)機制，每個服務器應用系統(tǒng)的賬戶與授權(quán)均由此統(tǒng)一平臺進行，避免單獨設置而導致的混亂。由此入口進行統(tǒng)一登錄，登錄確定身份后，可根據(jù)授權(quán)訪問相應的服務器和業(yè)務系統(tǒng)。同時，應對操作做全程審計。應用管理需求：集中身份管理隨著各個行業(yè)大公司業(yè)務的迅速發(fā)展，各種業(yè)務和經(jīng)營支撐系統(tǒng)的不斷增加，網(wǎng)絡規(guī)模迅速擴大，原有的由各個系統(tǒng)分散管理用戶和訪問授權(quán)的管理方式造成了在業(yè)務管理和安全之間的失衡，用戶往往在多個應用中均擁有獨立的賬號和口令，登錄失敗和發(fā)生錯誤的幾率大大上升，許多情況下，為了便于記憶，用戶不得不將賬號和口令寫在紙上，從而使這些賬號和口令的安全性受到了極大影響。同時，用戶忘記口令的事件的增多也增大了管理員的工作負擔。另外管理員需要在不同的應用中維護獨立的用戶身份和存取管理，相當麻煩。例如有新員工加入企業(yè)以后，管理員需要在每一個應用中添加此用戶信息，根據(jù)此用戶的角色分配不同的權(quán)限；當用戶的角色發(fā)生變化時，需要在不同的應用中修改此用戶的權(quán)限。因此原有的賬號口令管理措施已不能滿足企業(yè)目前及未來業(yè)務發(fā)展的要求。用戶面臨以下幾個方面問題：1．企業(yè)的支撐系統(tǒng)中有大量的網(wǎng)絡設備、主機系統(tǒng)和應用系統(tǒng)，分別屬于不同的部門和不同的業(yè)務系統(tǒng)。各應用系統(tǒng)都有一套獨立的賬號體系，用戶為了方便登陸，經(jīng)常有如下情況發(fā)生：多系統(tǒng)使用相同的賬號和密碼，配置強度非常弱的密碼，或者多人共用賬號等。多系統(tǒng)的賬號管理混亂，難于對賬號的擴散范圍進行控制，難于確定賬號的實際使用者，難免造成安全隱患。2．各系統(tǒng)都有一套獨立的認證體系，如果想加強系統(tǒng)的安全性，就需要對各系統(tǒng)的認證進行加強，需要各系統(tǒng)都支持強認證方式，這基本是不現(xiàn)實的。3．各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配權(quán)限，無法嚴格按照最小權(quán)限原則分配權(quán)限。另外，隨著用戶數(shù)量的增加，權(quán)限管理任務越來越重，當維護人員同時對多個系統(tǒng)進行維護時，工作復雜度會成倍增加。安全性無法得到充分保證。4．各支撐系統(tǒng)獨立運行、維護和管理，所以各系統(tǒng)的審計也是相互獨立的。每個網(wǎng)絡設備，每個主機系統(tǒng)，每個業(yè)務系統(tǒng)及每個數(shù)據(jù)庫系統(tǒng)都分別進行審計，安全事故發(fā)生后需要排查各系統(tǒng)的日志，單是往往日志找到了，也不能最終定位到行為人。5．用戶經(jīng)常需要在各個系統(tǒng)之間切換，每次從一個系統(tǒng)切換到另一支撐系統(tǒng)時，都需要輸入用戶名和口令進行登錄。給用戶的工作帶來不便，影響了工作效率。漏洞掃描漏洞掃描就是對計算機系統(tǒng)或者其它網(wǎng)絡設備進行安全相關的檢測，以找出安全隱患和可被黑客利用的漏洞。顯然，漏洞掃描軟件是把雙刃劍，黑客利用它入侵系統(tǒng)，而系統(tǒng)管理員掌握它以后又可以有效的防范黑客入侵。因此，漏洞掃描是保證系統(tǒng)和網(wǎng)絡安全必不可少的手段，必須仔細研究利用。定期的網(wǎng)絡安全自我檢測、評估配備漏洞掃描系統(tǒng)，網(wǎng)絡管理人員可以定期的進行網(wǎng)絡安全檢測服務，安全檢測可幫助客戶最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進行修補，有效的利用已有系統(tǒng)，優(yōu)化資源，提高網(wǎng)絡的運行效率。安裝新軟件、啟動新服務后的檢查由于漏洞和安全隱患的形式多種多樣，安裝新軟件和啟動新服務都有可能使原來隱藏的漏洞暴露出來，因此進行這些操作之后應該重新掃描系統(tǒng)，才能是安全得到保障。網(wǎng)絡建設和網(wǎng)絡改造前后的安全規(guī)劃評估和成效檢驗網(wǎng)絡建設者必須建立整體安全規(guī)劃，以統(tǒng)領全局，高屋建瓴。在可以容忍的風險級別和可以接受的成本之間，取得恰當?shù)钠胶?，在多種多樣的安全產(chǎn)品和技術(shù)之間作出取舍。配備網(wǎng)絡漏洞掃描/網(wǎng)絡評估系統(tǒng)可以讓您很方便的進行安全規(guī)劃評估和成效檢驗網(wǎng)絡的安全系統(tǒng)建設方案和建設成效評估網(wǎng)絡承擔重要任務前的安全性測試網(wǎng)絡承擔重要任務前應該多采取主動防止出現(xiàn)事故的安全措施，從技術(shù)上和管理上加強對網(wǎng)絡安全和信息安全的重視，形成立體防護，由被動修補變成主動的防范，最終把出現(xiàn)事故的概率降到最低。配備網(wǎng)絡漏洞掃描/網(wǎng)絡評估系統(tǒng)可以讓您很方便的進行安全性測試。網(wǎng)絡安全事故后的分析調(diào)查網(wǎng)絡安全事故后可以通過網(wǎng)絡漏洞掃描/網(wǎng)絡評估系統(tǒng)分析確定網(wǎng)絡被攻擊的漏洞所在，幫助彌補漏洞，盡可能多得提供資料方便調(diào)查攻擊的來源。重大網(wǎng)絡安全事件前的準備重大網(wǎng)絡安全事件前網(wǎng)絡漏洞掃描/網(wǎng)絡評估系統(tǒng)能夠幫助用戶及時的找出網(wǎng)絡中存在的隱患和漏洞，幫助用戶及時的彌補漏洞。解決方案概述根據(jù)以上需求分析，極地安全提出了自己的內(nèi)網(wǎng)安全管理解決方案，此方案由終端管理、內(nèi)控堡壘主機、集中身份管理系統(tǒng)、網(wǎng)絡漏洞掃描這四個解決方案構(gòu)成，可以單獨使用、滿足終端管理或服務器管理、應用管理的需要，也可以協(xié)同使用，滿足全網(wǎng)統(tǒng)一管理的需要。這四個解決方案都基于先進成熟的產(chǎn)品，均由極地安全自行開發(fā)。四個產(chǎn)品所使用的信息可以相互融合，以構(gòu)成一個有機統(tǒng)一的整體，提供全網(wǎng)整體內(nèi)控解決方案。終端管理(JD-ESMS)解決方案極地終端管理解決方案由極地終端安全管理系統(tǒng)實現(xiàn)。產(chǎn)品概述在傳統(tǒng)的網(wǎng)絡體系、硬件體系，軟件體系基礎之上，依靠主動防御技術(shù)、端點準入技術(shù)、漏洞掃描以及補丁修復技術(shù)、智能防火墻技術(shù)、身份認證、設備管理、及數(shù)據(jù)加密技術(shù)等關鍵的技術(shù)手段的支撐下，形成了終端準入管理、終端環(huán)境安全和終端行為監(jiān)控三個子系統(tǒng)，三個子系統(tǒng)的運行、控制和審計都由系統(tǒng)管理平臺統(tǒng)一管理呈現(xiàn)。在三個部分的共同作用下，構(gòu)成終端計算機安全管理平臺。如下圖所示：如圖所示，系統(tǒng)分為終端管理引擎、策略中心、綜合展示三個平臺，其中終端管理引擎做為關鍵支撐平臺，是承載所有終端管理的基礎平臺，向上輸出身份信息、資產(chǎn)信息，并提供基礎的統(tǒng)一的報警與響應引擎供各功能模塊調(diào)用；策略中心負責所有終端管理的功能性模塊，調(diào)用基礎平臺的身份管理信息、資產(chǎn)信息，并對各功能模塊在管理過程中發(fā)生的安全事件進行報警與響應，所有信息上報給綜合展示平臺；綜合展示平臺收集所有終端的資產(chǎn)信息、所有安全事件，并進行統(tǒng)一的展示。同時，通過全網(wǎng)聯(lián)動，將其他安全管理系統(tǒng)的信息和事件聯(lián)動到系統(tǒng)中，在終端上進行統(tǒng)一的報警與響應。如下圖所示：產(chǎn)品基礎功能策略管理系統(tǒng)所有功能，均通過策略方式將指令下發(fā)到客戶端進行執(zhí)行。而策略本身就包含了各個功能的所有管理要求，可以為管理員提供詳細的控制手段，并且通過豐富的默認設置，可以提供完善的便捷性，管理員可以針對各個策略采用大量默認設置而輕松完成策略設定。除以上策略要素之外，還有兩個要素需要詳細說明如下?；诓呗詢?yōu)先級的用戶行為管理功能系統(tǒng)提供了策略優(yōu)先級的管理功能，管理員可以設置不同級別的策略，各種策略可以按照優(yōu)先級進行排序，當策略間發(fā)生沖突時，高優(yōu)先級的策略可以覆蓋低優(yōu)先級的策略?；趫鼍暗墓芾聿呗韵到y(tǒng)提供了基于場景的安全管理策略，管理員可以設置不同的場景，如根據(jù)工作時間和休息時間設定不同的策略，在工作時間設定的策略在休息時間不生效，休息時間場景的策略在工作時間亦不生效。對于違反策略的客戶端操作，可以以多種方式觸發(fā)報警，通知管理員進行處理，例如按文件名、資產(chǎn)類型等信息觸發(fā)警報。極地終端與內(nèi)網(wǎng)安全管理系統(tǒng)可以對終端在線/離線2種狀態(tài)下應用的策略分別予以設置?？蛻舳撕头掌鬟B接能夠進行通信時為在線狀態(tài)，無法和服務器完成通信時即為離線狀態(tài)。通過對在線/離線2種狀態(tài)設置不同的策略，對于經(jīng)常移動辦公的設備（如筆記本）可以提供更加靈活實用的管理。日志功能系統(tǒng)以策略的形式，提供全套日志服務，日志內(nèi)容包括下述所有功能的日志，以及管理員通過控制臺對服務器進行的所有操作等日志，終端資產(chǎn)管理通過自動登記和管理檢查的方法，記錄各類終端計算機資產(chǎn)清單、軟硬件配置信息和使用者用戶信息，作為終端安全管理的基礎依據(jù)。資產(chǎn)內(nèi)容包括：終端名稱、IP地址、MAC地址、硬件配置信息（CPU、內(nèi)存、硬盤、設備接口）、軟件信息（操作系統(tǒng)類型/版本、安裝軟件列表）、用戶信息（姓名、所屬組織機構(gòu)、崗位、聯(lián)系方式），等等。同時，對資產(chǎn)的變更進行管理：及時發(fā)現(xiàn)終端計算機上是否有變更，對非法資產(chǎn)變更行自動處理。終端用戶管理通過建立終端角色和用戶，定義角色的操作和控制權(quán)限，并為用戶分配相應角色的權(quán)限，以此作為制定安全管理策略的基礎依據(jù)。報警與響應管理當終端計算機違反設定的安全策略，或根據(jù)策略設定進行報警響應時，可自動將事件上報服務器，并且在終端上對安全事件進行自動處理。報警與響應做為基礎平臺，供所有功能模塊調(diào)用，實現(xiàn)報警與響應的統(tǒng)一化、標準化、自動化。在終端上進行自動響應，響應手段包括：桌面消息提示、鎖定終端計算機、斷開網(wǎng)絡、彈出指定URL頁面、斷開準入連接等。終端計算機自動將安全事件的報警信息上傳服務器，并在報警控制臺上向管理員進行報警提示。提供報警信息的查看分析和匯總統(tǒng)計。支持紅色報警、橙色報警、黃色報警和藍色報警等四個級別。主要功能終端準入管理通過準入控制管理，可以對所有客戶端進行合法性檢驗和控制，非法的、不接受管理的客戶端將被隔離在網(wǎng)絡之外，而合法的客戶端可以接入網(wǎng)絡進行正常操作。系統(tǒng)提供了最全面的準入控制方式，可以充分滿足用戶網(wǎng)絡各種不同環(huán)境下的準入控制需求。802.1x準入控制：按照802.1x協(xié)議認證內(nèi)部接受管理的終端計算機，標識和審批“合法”終端，通過交換機聯(lián)動方式拒絕未經(jīng)認證的“非法”終端接入網(wǎng)絡。ARP準入控制：在低端網(wǎng)絡環(huán)境中，可使用基于ARP協(xié)議的準入控制方式，對終端進行控制。因ARP方式的特殊性，一般用于要求低成本、效果要求不高的場合。網(wǎng)絡邊界準入控制：通過安全準入網(wǎng)關管理的終端計算機。應用網(wǎng)關準入控制：通過在Portal等關鍵應用上部署應用準入網(wǎng)關，控制不符合準入條件的終端計算機禁止訪問指定的網(wǎng)絡資源、允許符合準入條件的計算機進行訪問。應用準入網(wǎng)關是一個軟件，適用于各種web應用系統(tǒng)。遠程終端準入控制：通過遠程接入網(wǎng)關，對遠程終端進行準入控制。不符合準入條件的終端計算機禁止連入內(nèi)網(wǎng)、允許符合準入條件的計算機可以連入內(nèi)網(wǎng)。終端安全防護終端安全防護的目標是保護終端計算機環(huán)境安全、數(shù)據(jù)安全和關聯(lián)網(wǎng)絡通訊安全，目的是為業(yè)務創(chuàng)造良好的安全運行環(huán)境，保障公司業(yè)務正常運營。系統(tǒng)漏洞修復檢查發(fā)現(xiàn)轄內(nèi)終端計算機操作系統(tǒng)和通用系統(tǒng)軟件安全漏洞，通過自動化的技術(shù)措施及時修復漏洞，規(guī)避系統(tǒng)漏洞被黑客、蠕蟲利用的風險。防病毒檢查檢測終端計算機是否安裝防病毒軟件，避免因防病毒的缺失帶來病毒問題。終端安全配置管理在終端計算機上進行關鍵安全配置的實時檢查，防止用戶隨意修改這些關鍵配置而導致安全問題。主要包括“禁用控制面板”、“禁用網(wǎng)絡屬性”、“禁止‘發(fā)送到’”、“禁止修改IP地址”……等多項操作全面提升客戶端的安全性。同時，支持對ARP病毒的防范。外設管理根據(jù)終端計算機的業(yè)務需要和管理需要，設定是否允許使用外設?？晒芾淼耐庠O包括：軟驅(qū)（Floppy）、光驅(qū)（CD/DVD/HD-DVD/BlueRay）、磁帶機、Flash存儲設備（U盤及MP3播放器）、串口和并口（COM/LPT）、SCSI接口、藍牙設備、紅外線設備、打印機、調(diào)制解調(diào)器、USB接口、火線接口（1394）、PCMCIA插槽等。終端防火墻在終端計算機上部署基于桌面的防火墻技術(shù)措施，通過企業(yè)級的安全策略對訪問活動進行控制，防止外來網(wǎng)絡非法連接訪問、黑客入侵和利用終端對內(nèi)部網(wǎng)絡其它服務系統(tǒng)發(fā)起的網(wǎng)絡攻擊。文檔操作審計與防泄密保護通過文檔訪問操作審計，詳細了解終端上的文件操作情況。通過文檔加密等防泄密的綜合防控措施，有效防范文檔失竊和泄密給公司帶來的業(yè)終端行為管理移動介質(zhì)管理通過對移動介質(zhì)（例如U盤）的使用限制和安全審計，降低引入安全威脅和文檔泄密的風險。系統(tǒng)支持兩類不同的移動介質(zhì)管理，外部介質(zhì)管理和內(nèi)部介質(zhì)管理。外來介質(zhì)一般是普通U盤，在內(nèi)網(wǎng)中的使用管理方式為注冊+授權(quán)。外來移動介質(zhì)必須在管理員處注冊、分配其使用授權(quán)后才能在內(nèi)網(wǎng)計算機中使用。授權(quán)分為允許使用、只讀、禁止使用三種。內(nèi)部介質(zhì)通常只能在內(nèi)網(wǎng)使用，原則上不能在內(nèi)網(wǎng)以外使用。管理方法同樣為注冊+授權(quán)，不同的是注冊時采用加密方式。加密后的介質(zhì)只能由授權(quán)終端讀出，非授權(quán)終端無法讀出介質(zhì)內(nèi)容。介質(zhì)拿到內(nèi)網(wǎng)以外更無法讀出。程序濫用管理通過程序濫用管理策略，可以明確規(guī)定哪些程序可以使用、哪些程序不能使用。由此可以預防終端計算機違規(guī)使用程序可能帶來的風險，并以此協(xié)助公司管理，提高員工勞動生產(chǎn)率。流量管理通過檢查和分析終端計算機的網(wǎng)絡分類流量，發(fā)現(xiàn)異常流量可能帶來的帶寬資源消耗和可疑的網(wǎng)絡攻擊風險，并對異常流量做出控制。非法外聯(lián)控制通過在終端計算機本地的安全策略控制措施，預防終端計算機違規(guī)聯(lián)網(wǎng)可能帶來的安全風險。網(wǎng)頁訪問控制與審計通過在終端計算機本地的安全策略控制措施，監(jiān)控終端計算機違規(guī)訪問危害網(wǎng)站可能帶來的安全風險。并可審計所有網(wǎng)頁訪問。系統(tǒng)管理屏幕監(jiān)控策略通過對終端上的操作屏幕進行及時監(jiān)控和錄像，防止員工違規(guī)操作單位的電腦。終端運維管理能夠?qū)h程終端計算機執(zhí)行鎖定、注銷、重啟、關機等操作。鎖定計算機除非管理員解鎖，否則無論強制重新啟動或者進入安全模式均不能使用。同時，管理人員可以通過控制臺遠程取得客戶機的控制權(quán)，身臨其境般進行操作。對于遠端客戶機出現(xiàn)的問題，管理人員能夠即時、方便的解決。在遠程維護或者遠程操作業(yè)務系統(tǒng)中發(fā)揮多方面的作用。級聯(lián)管理通過級聯(lián)管理，實現(xiàn)上級對下級的管理。級別數(shù)無限。支持策略優(yōu)先級的傳遞。綜合分析呈現(xiàn)通過統(tǒng)一的終端安全管理平臺，提供直觀的、可視化的、全局的終端計算機安全運行狀態(tài)、安全事件分布和安全保護效果，使得高層管理人員能夠據(jù)此全面掌握終端計算機安全狀況、掌控全局，為安全調(diào)度、管理決策以及合規(guī)檢查提供依據(jù)。綜合統(tǒng)計支持按終端資產(chǎn)、按部門、按安全級別、按地域等，進行安全事件的綜合查詢統(tǒng)計，真實有效地展現(xiàn)終端安全現(xiàn)狀。以圖文、報表、統(tǒng)計報告等方式，直觀展示整體安全運行狀態(tài)、安全風險狀態(tài)、從全局上對資源和事件進行全程監(jiān)控和預警，及時體現(xiàn)安全防范的效果。雙機熱備系統(tǒng)支持雙機熱備功能，可在重要網(wǎng)絡中部署兩臺服務器互相備份，實現(xiàn)無間斷運行。堡壘主機(JD-FORT)解決方案極地服務器管理解決方案由極地內(nèi)控堡壘主機實現(xiàn)。系統(tǒng)架構(gòu)極地內(nèi)控堡壘主機由管理單元和執(zhí)行單元兩部分組成。管理單元用于完成用戶管理、授權(quán)管理及策略設置等操作。執(zhí)行單元包含用戶輸入模塊、命令捕獲引擎、策略控制和日志服務。產(chǎn)品組件關系拓撲如下：執(zhí)行單元功能執(zhí)行單元負責完成命令的采集、策略動作執(zhí)行等功能。執(zhí)行單元安裝在服務器上，同用戶使用環(huán)境和習慣相配合，完成對用戶行為的監(jiān)視與控制功能。統(tǒng)一賬號管理管理員通過賬號信息管理界面維護主賬號的整個生命周期，對賬號進行增加、修改、刪除及鎖定、解鎖等操作，同時設置賬號的密碼使用策略及用戶的級別定義。系統(tǒng)用戶可以通過自服務功能管理自身賬號信息，對手機、郵件及密碼等個人信息進行編輯。多種認證方式用戶通過用戶密碼方式登錄到極地內(nèi)控堡壘主機，選擇資產(chǎn)賬號，直接登錄目標資產(chǎn)用戶通過數(shù)字證書、動態(tài)令牌等方式登錄到管理單元，由管理單元向執(zhí)行單元發(fā)放一次性口令登錄目標資產(chǎn)。單點登錄用戶登錄到極地內(nèi)控堡壘主機后，直接選擇目標資產(chǎn)及賬號，由堡壘主機完成賬號及密碼的代填，完成登錄。自動捕獲用戶命令行輸入，智能識別命令和編輯輸入執(zhí)行單元可以自動捕獲用戶命令行輸入，如ls,ps,ifconfig等。執(zhí)行單元支持多行長命令的捕獲，多行命令的編輯操作（如回退，DEL，光標移位等）不影響命令捕獲結(jié)果。執(zhí)行單元智能的支持歷史操作，支持UP，DOWN功能鍵，支持對歷史操作命令的抓取，支持對以“！”方式執(zhí)行歷史命令的控制和相關命令抓取。執(zhí)行單元智能識別編輯狀態(tài)和命令狀態(tài)，支持對所有shell下命令的抓取，支持mysql，telnet，ssh等客戶端程序內(nèi)部呈現(xiàn)命令的捕獲功能。支持TAB補齊等Readline功能執(zhí)行單元支持命令的TAB補全，支持回退鍵，刪除鍵，方向鍵等功能鍵。支持組合命令的動作審計執(zhí)行單元支持命令的組合使用，支持管道“|”，支持邏輯或“||”和與“&&”操作，支持分號命令“；”。執(zhí)行單元支持拒絕和允許兩個策略動作對拒絕的命令，執(zhí)行單元能夠保證該命令不被執(zhí)行，忠實地履行安全策略執(zhí)行動作。 日志服務功能執(zhí)行單元日志服務負責記錄服務器上發(fā)生過的命令，輸出屏幕和原始硬拷貝流，以供事后分析和調(diào)查取證。極地內(nèi)控堡壘主機日志服務將日志記錄為文本文件，同時可以向其他日志服務器發(fā)送SYSLOG日志。執(zhí)行單元日志服務記錄每個用戶登錄系統(tǒng)的用戶名，登陸IP地址，登陸時間以及在服務器上操作的所有命令。執(zhí)行單元日志服務和管理單元配合，完成對日志的記錄、分析和查詢等工作。管理單元日志查詢支持按服務器方式進行查詢通過對特定服務器地址進行查詢，可以發(fā)現(xiàn)該服務器上發(fā)生的命令和行為。支持按用戶名方式進行查詢通過對用戶名進行查詢，可以發(fā)現(xiàn)該用戶的所有行為。支持按登陸地址方式進行查詢通過對特定IP地址進行查詢，可以發(fā)現(xiàn)該地址對應主機及其用戶在服務器上進行的所有操作。支持按照登陸時間進行查詢通過對登錄時間進行查詢，可以發(fā)現(xiàn)特定時間內(nèi)登錄服務器的用戶及其進行過的所有操作。支持對命令發(fā)生時間進行查詢可以通過對命令發(fā)生的時間進行查詢，可以查詢到特定時間段服務器上發(fā)生過的所有行為。支持對命令名稱進行查詢通過查詢特定命令如ls，可以查詢到使用過該命令的所有用戶及其使用的時間等。支持上述六個查詢條件的任意組合查詢?nèi)?，可以查詢“誰（用戶名）”“什么時間登錄（登錄時間）”服務器并在“什么時間（命令發(fā)生時間）”在“服務器（目標服務器）”上執(zhí)行過“什么操作（命令）”。支持對日志的備份操作處理支持對日志的刪除處理執(zhí)行單元實時監(jiān)控功能執(zhí)行單元實時監(jiān)視服務器上正在發(fā)生的行為，可以實時察看用戶執(zhí)行的命令、執(zhí)行結(jié)果等；實時查看用戶行為支持查看用戶的實時切換支持對用戶歷史命令的查看集中身份管理(JD-4A)解決方案概述極地集中身份管理系統(tǒng)是集賬號（Account）管理、授權(quán)（Authorization）管理、認證（Authentication）管理和綜合審計（Audit）于一體的集中賬號管理系統(tǒng)。極地集中身份管理系統(tǒng)采用模塊化設計，不但可以根據(jù)用戶需要和環(huán)境特點進行選擇、組合，而且可以提供定制化的開發(fā)，能夠方便地實現(xiàn)與用戶應用的有機結(jié)合。同時，極地集中身份管理系統(tǒng)產(chǎn)品的每個模塊采用開放接口，便于用戶按照網(wǎng)絡和應用需要整合符合用戶需求的4A管理平臺，達到以下目的：1．統(tǒng)一的資源訪問入口。為集中管理各個業(yè)務系統(tǒng)、應用、主機、網(wǎng)絡設備提供了技術(shù)手段，可以集中管理、登陸各個業(yè)務系統(tǒng)，包括各種C/S應用和B/S應用，主機和網(wǎng)絡設備，在未來增加新業(yè)務系統(tǒng)時也能迅速、方便的通過該系統(tǒng)進行發(fā)布。用戶訪問4A系統(tǒng)時，可以根據(jù)用戶的訪問權(quán)限，系統(tǒng)為每個用戶提供自己的操作平臺，顯示所有所能訪問的業(yè)務系統(tǒng)、主機系統(tǒng)和網(wǎng)絡設備。2．集中賬號管理。管理員在一點上即可對不同系統(tǒng)中的賬號進行管理，不同系統(tǒng)下都能自動收集賬號和推送賬號，另外賬號創(chuàng)建、分配過程均有審計日志。3．集中身份認證。管理員可以根據(jù)賬號身份，選擇不同的身份認證方式。可以在不更改或只進行有限更改的情況下，對原有系統(tǒng)增加強身份認證手段，提高系統(tǒng)安全性。4．集中訪問授權(quán)。對企業(yè)資產(chǎn)進行集中授權(quán)，防止私自授權(quán)或權(quán)限未及時收回對企業(yè)信息資產(chǎn)造成的安全損害。在人員離職、崗位變動時，只需要在一處進行更改，即可在所有應用中改變權(quán)限。可以細粒度授權(quán)，如只有在規(guī)定的時間段或是特定的人員才能訪問指定的資源。5．集中安全審計。能夠?qū)θ藛T的所有操作進行審計，所有審計信息可以關聯(lián)到行為人，達到實名審計的效果。6．單點登錄。訪問授權(quán)資源時，只需要登錄極地集中身份管理平臺。7．細粒度訪問控制。通過堡壘主機實現(xiàn)內(nèi)部網(wǎng)絡行為細粒度策略控制，即時操作“現(xiàn)場直播”，實時監(jiān)控，實時操作回放。功能介紹極地集中身份管理系統(tǒng)功能模塊分為：集中賬號管理、集中身份認證、集中訪問授權(quán)、集中安全審計、單點登錄五大部分。集中賬號管理集中賬號管理包含對所有子系統(tǒng)賬號的集中管理。賬號和資源的集中管理是集中授權(quán)、認證和審計的基礎。集中賬號管理可以完成對用戶整個生命周期的監(jiān)控和管理，而且還降低了企業(yè)管理大量用戶賬號的難度和工作量。同時，通過統(tǒng)一的管理還能夠發(fā)現(xiàn)賬號中存在的安全隱患，并且制定統(tǒng)一的、標準的用戶賬號安全策略。通過建立集中賬號管理，企業(yè)可以實現(xiàn)將賬號與具體的自然人相關聯(lián)。通過這種關聯(lián)，可以實現(xiàn)多級的用戶管理和細粒度的用戶授權(quán)。而且，還可以實現(xiàn)針對自然人的行為審計，以滿足合規(guī)審計的需要。集中賬號管理系統(tǒng)能夠自動發(fā)現(xiàn)主機、網(wǎng)絡設備、數(shù)據(jù)庫上的已有賬號。系統(tǒng)可以定期手動觸發(fā)或自動搜索所有被管理的系統(tǒng)，從中發(fā)現(xiàn)、收集所有新創(chuàng)建的賬號。系統(tǒng)還可以通過賬號推送機制，通過集中賬號管理系統(tǒng)在被管系統(tǒng)中創(chuàng)建新的賬號。 集中賬號管理對賬號的產(chǎn)生到刪除的各種狀態(tài)進行管理。包括統(tǒng)一的用戶創(chuàng)建、維護、刪除等功能。統(tǒng)一的用戶審批管理流程（添加、修改、禁用、啟用、刪除）。制定人員兼職、調(diào)動、離職的管理機制。集中身份認證極地集中身份管理系統(tǒng)為用戶提供統(tǒng)一的認證接口。采用統(tǒng)一的認證接口不但便于對用戶認證的管理，而且能夠采用更加安全的認證模式，提高認證的安全性和可靠性。集中身份認證提供靜態(tài)密碼、Windows域、WindowsKerberos、雙因素、一次性口令和生物特征等多種認證方式，而且系統(tǒng)具有靈活的定制接口，可以方便的與其它第三方認證服務器之間結(jié)合。集中訪問授權(quán)極地集中身份管理系統(tǒng)提供統(tǒng)一的界面，對用戶、角色及行為和資源進行授權(quán)，以達到對權(quán)限的細粒度控制，最大限度保護用戶資源的安全。通過集中訪問授權(quán)和訪問控制可以對用戶通過B/S、C/S對主機、網(wǎng)元和各業(yè)務系統(tǒng)的訪問進行審計和阻斷。在集中訪問授權(quán)里強調(diào)的“集中”是邏輯上的集中，而不是物理上的集中。即在各網(wǎng)絡設備、主機系統(tǒng)、應用系統(tǒng)中可能擁有各自的權(quán)限管理功能，管理員也由各自的歸口管理部門委派，但是這些管理員在極地集中身份管理系統(tǒng)上，可以對各自的管理對象進行授權(quán)，而不需要進入每一個被管理對象才能授權(quán)。授權(quán)的對象包括用戶、用戶角色、資源和用戶行為。系統(tǒng)不但能夠授權(quán)用戶可以通過什么角色訪問資源這樣基于應用邊界的粗粒度授權(quán)，對某些應用還可以限制用戶的操作，以及在什么時間進行操作這樣應用內(nèi)部的細粒度授權(quán)。集中安全審計集中安全審計管理主要審計人員的賬號分配情況、權(quán)限分配情況、賬號使用（登錄、資源訪問）情況、資源使用情況等。在各主機、網(wǎng)絡設備、應用系統(tǒng)的訪問日志記錄都采用統(tǒng)一的賬號、資源進行標識后，集中審計能更好地對賬號的完整使用過程進行追蹤。極地集中身份管理系統(tǒng)通過系統(tǒng)自身的用戶認證系統(tǒng)、用戶授權(quán)系統(tǒng)，以及訪問控制和堡壘主機等詳細記錄整個會話過程中用戶的全部行為日志。還可以通過遠程日志，文件等形式獲得其它系統(tǒng)產(chǎn)生的日志。單點登錄極地集中身份管理系統(tǒng)提供了基于B/S的單點登錄系統(tǒng)，用戶通過一次登錄系統(tǒng)后，就可以無需認證的訪問包括被授權(quán)的多種基于B/S和C/S的應用系統(tǒng)。單點登錄為具有多賬號的用戶提供了方便快捷的訪問途經(jīng)，使用戶無需記憶多種登錄用戶ID和口令。它通過向用戶和客戶提供對其個性化資源的快捷訪問提高生產(chǎn)效率。同時，由于系統(tǒng)自身是采用強認證的系統(tǒng)，從而提高了用戶認證環(huán)節(jié)的安全性。集中不同(B/S架構(gòu)和C/S架構(gòu))業(yè)務應用系統(tǒng)(如OA，ERP，MIS等)，主機系統(tǒng)(如UNIX，LINUX，WINDOWS等)，網(wǎng)絡設備（如交換機，防火墻）的用戶身份認證。單點登錄可以實現(xiàn)與用戶授權(quán)管理的無縫連接，這樣可以通過對用戶、角色、行為和資源的授權(quán)，增加對資源的保護，和對用戶行為的監(jiān)控及審計。漏洞掃描(JD-SCAN)解決方案網(wǎng)絡漏洞掃描的必要性內(nèi)部網(wǎng)絡的統(tǒng)一管理，必須對內(nèi)網(wǎng)的安全及時作出安全風險評估，這里可以采用極地網(wǎng)絡漏洞掃描（JD-SCAN）來實現(xiàn)。通過風險評估，可以更有針對性的采取內(nèi)控安全管理措施。漏洞掃描技術(shù)概述漏洞掃描通常采用兩種策略，第一種是被動式策略，第二種是主動式策略。所謂被動式策略就是基于主機之上，對系統(tǒng)中不合適的設置，脆弱的口令以及其他同安全規(guī)則抵觸的對象進行檢查；而主動式策略是基于網(wǎng)絡的，它通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應，從而發(fā)現(xiàn)其中的漏洞。利用被動式策略掃描稱為系統(tǒng)安全掃描，利用主動式策略掃描稱為網(wǎng)絡安全掃描。

現(xiàn)有的信息安全產(chǎn)品中主要包括以下五大件：防火墻、入侵檢測、安全評估（漏洞掃描或者脆弱性分析）、身份認證、數(shù)據(jù)備份。這樣，在部署安全策略時，有許多其它的安全基礎設施要考慮進來，如防火墻，防病毒，認證與識別產(chǎn)品，訪問控制產(chǎn)品，加密產(chǎn)品，虛擬專用網(wǎng)等等。如何管理這些設備，是安全掃描系統(tǒng)和入侵檢測系統(tǒng)的職責。通過監(jiān)視事件日志，系統(tǒng)受到攻擊后的行為和這些設備的信號，作出反應。這樣，漏洞掃描系統(tǒng)就把這些設備有機地結(jié)合在一起。因此，而漏洞掃描是一個完整的安全解決方案中的一個關鍵部分，在企業(yè)部署安全策略中處于非常重要的地位。

防火墻和漏洞掃描的必須同時存在，這是因為僅有防火墻是不夠的。防火墻充當了外部網(wǎng)和內(nèi)部網(wǎng)的一個屏障，但是并不是所有的外部訪問都是通過防火墻的。比如，一個未經(jīng)認證的調(diào)制解調(diào)器把內(nèi)部網(wǎng)連到了外部網(wǎng)，就對系統(tǒng)的安全構(gòu)成了威脅。此外，安全威脅往往并不全來自外部，很大一部分來自內(nèi)部。另外，防火墻本身也很有可能被黑客攻破。

結(jié)合了入侵檢測功能后，漏洞掃描系統(tǒng)具有以下功能：①

協(xié)調(diào)了其它的安全設備；②

使枯燥的系統(tǒng)安全信息易于理解，告訴了你系統(tǒng)發(fā)生的事情；③

跟蹤用戶進入，在系統(tǒng)中的行為和離開的信息；④

可以報告和識別文件的改動；⑤

糾正系統(tǒng)的錯誤設置；⑥

識別正在受到的攻擊；⑦

減輕系統(tǒng)管理員搜索最近黑客行為的負擔；⑧

使得安全管理可由普通用戶來負責；⑨

為制定安全規(guī)則提供依據(jù)。漏洞掃描產(chǎn)品特點模擬攻擊黑客的攻擊一般分為3步：第一步，掃描端口，探測那些端口是開放的；第二步，發(fā)現(xiàn)漏洞，對開放的端口調(diào)用測試程序或數(shù)據(jù)串，通過特定的反應檢測是否存在漏洞。第三步，發(fā)起攻擊，發(fā)現(xiàn)漏洞后，黑客就查找相關的攻擊工具進行攻擊。漏洞掃描系統(tǒng)的前兩步和黑客的攻擊很相似，不同的是在第三步，發(fā)現(xiàn)漏洞后會立即向用戶提示漏洞的存在和解決辦法，而不是發(fā)起攻擊。因為前兩布的相似性，漏洞掃描系統(tǒng)也稱為模擬攻擊測試。進攻是最好的防守，傳統(tǒng)的安全產(chǎn)品都是單純從防御的角度來達到目的，而漏洞掃描產(chǎn)品是唯一從進攻的角度檢測系統(tǒng)安全性的安全工具，可以發(fā)揮其他安全產(chǎn)品無法發(fā)揮的作用未雨綢繆通過事前的模擬攻擊測試，漏洞掃描系統(tǒng)可以在黑客發(fā)起進攻之前就發(fā)現(xiàn)黑客可能發(fā)起攻擊的隱患，提示用戶修補漏洞和采取防范措施，防范于未然。事前防范比事件發(fā)生時的防范更從容完整的入侵檢測技術(shù)包括事前的檢測，事中的探測和報警，事后的分析和應對。漏洞掃描系統(tǒng)在攻擊發(fā)起之前進行自我防護和積極應對，比事中、事后的措施更有效。直接保護被攻擊對象傳統(tǒng)手段是通過層層設防，防止黑客接觸到主機（或其他被保護節(jié)點），但是一旦各種保護層被突破，主機仍然要承受攻擊。漏洞掃描是直接加強被攻擊對象的強壯性，即使外部的保護措施失效，本身強壯的主機仍然可以保證安全。性價比高在目前的安全產(chǎn)品中，漏洞掃描產(chǎn)品的價位比防火墻稍高，遠遠低于其他安全產(chǎn)品的投資。漏洞掃描產(chǎn)品的安裝運行簡單、效果好、見效快，同時該類產(chǎn)品網(wǎng)絡運行相對獨立，不會影響到正常的業(yè)務，具有很高的性能價格比。使用方便安全掃描產(chǎn)品不僅能發(fā)現(xiàn)漏洞，還裝載了大量的信息安全知識。通過使用安全掃描產(chǎn)品，系統(tǒng)管理員可以借鑒專業(yè)安全工程師的知識和信息積累，大大減輕了自己的勞動強度，有利于全網(wǎng)安全策略的統(tǒng)一和穩(wěn)定。產(chǎn)品部署通常在核心交換機上部署一臺機架式漏洞掃描服務器，同時在其他的各個不同的網(wǎng)段配置一臺分布式漏洞掃描儀，定期地對網(wǎng)絡中多個不同的網(wǎng)段的主機進行檢測，同時給出相應的解決建議，用戶根據(jù)這些解決建議來做出相應的防護。產(chǎn)品特點介紹強大的檢測分析能力能夠?qū)Σ僮飨到y(tǒng)、網(wǎng)絡設備和數(shù)據(jù)庫進行掃描，指出有關網(wǎng)絡的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)，給出詳細的檢測報告和相應的修補措施，安全建議；能夠通過本機掃描插件下載的方式，下載插件進行本地補丁掃描，突破防火墻的限制，或者最準確的主機漏洞信息。軟件設計采用了最先進的層次化軟件體系結(jié)構(gòu)，框架清晰、運行穩(wěn)定；漏洞庫的升級不會影響到程序的穩(wěn)定，從而使先進性和可靠性得到了完美的統(tǒng)一。綜合了國外著名安全產(chǎn)品的優(yōu)點和思路，起點高技術(shù)先進，檢測范圍廣，可覆蓋Internet/Intranet的所有主流部件。擁有強大的檢測漏洞庫，根據(jù)服務分為19大類別，現(xiàn)有漏洞數(shù)量20000余條（2009年11月）。每條漏洞都包含詳細漏洞描述和可操作性強的解決方案。通過網(wǎng)絡和本地數(shù)據(jù)包，每周至少升級更新漏洞庫一次，以保證能夠檢測最新的漏洞；擁有強大的結(jié)果文件分析能力，可以預定義、自定義和多角度多層次的分析結(jié)果文件，提供html、doc等多種格式。支持分布式掃描隨著網(wǎng)絡規(guī)模的逐步龐大、逐步復雜，核心級網(wǎng)絡、部門級網(wǎng)絡、終端/個人用戶級網(wǎng)絡的建設，各個網(wǎng)絡之間存在著防火墻、交換機等過濾機制的存在，漏洞掃描發(fā)送的數(shù)據(jù)包大部分將被這些設備過濾，降低了掃描的時效性和準確性。針對這種分布式的復雜網(wǎng)絡，不能依舊采用傳統(tǒng)的軟件安裝方式或者機架方式那種不易移動的產(chǎn)品，漏洞掃描系統(tǒng)能夠充分發(fā)揮自身可移動的優(yōu)勢，能夠很好的適應這種分布式網(wǎng)絡掃描。自身高度安全性IP地址限定每個掃描系統(tǒng)所能掃描的IP地址范圍被嚴格鎖定和限制，并在國家授權(quán)機關進行安全備案，杜絕了網(wǎng)絡漏洞掃描系統(tǒng)被惡意使用的可能?？构粼O計掃描系統(tǒng)運行的操作系統(tǒng)是經(jīng)過專門優(yōu)化的LINUX系統(tǒng)，對操作系統(tǒng)的漏洞進行了全面的修補，并對掃描系統(tǒng)本身進行了各種攻擊下的防范測試。多級的安全權(quán)限系統(tǒng)有完備的安全設計，防止超越權(quán)限操作現(xiàn)象發(fā)生；系統(tǒng)分級分層授權(quán)，以保證信息的安全和保密；充分考慮在網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、應用等方面的安全性傳輸數(shù)據(jù)的加密采用多種數(shù)據(jù)加密方法對重要數(shù)據(jù)進行加密，保證數(shù)據(jù)的安全讀取與傳輸。不論是掃描腳本還是用戶的掃描結(jié)果，都以嚴格加密的形式進行傳送。既保證了測試腳本不會被竊取，也保證了用戶的評估情況不會泄漏。支持WEB掃描Web漏洞掃描方法主要有兩類：信息獲取和模擬攻擊。信息獲取就是通過與目標主機TCP／IP的Http服務端口發(fā)送連接請求，記錄目標主機的應答。通過目標主機應答信息中狀態(tài)碼和返回數(shù)據(jù)與Http協(xié)議相關狀態(tài)碼和預定義返回信息做匹配，如果匹配條件則視為漏洞存在。模擬攻擊就是通過使用模擬黑客攻擊的方法，對目標主機Web系統(tǒng)進行攻擊性的安全漏洞掃描，比如認證與授權(quán)攻擊、支持文件攻擊、包含文件攻擊、SQL注入攻擊和利用編碼技術(shù)攻擊等對目標系統(tǒng)可能存在的已知漏洞進行逐項進行檢查，從而發(fā)現(xiàn)系統(tǒng)的漏洞。遠程字典攻擊也是漏洞掃描中模擬攻擊的一種，其原理與其他攻擊相差較大，若攻擊成功，可以直接得到登陸目標主機系統(tǒng)的用戶名和口令。Web漏洞掃描原理就是利用上面的掃描方法，通過分析掃描返回信息，來判斷在目標系統(tǒng)上與測試代碼相關的漏洞是否存在或者相關文件是否可以在某種程度上得以改進，然后把結(jié)果反饋給用戶端(即瀏覽端)，并給出相關的改進意見。內(nèi)部網(wǎng)絡的統(tǒng)一管理統(tǒng)一管理方式在用戶內(nèi)網(wǎng)中，統(tǒng)一部署極地終端與內(nèi)網(wǎng)安全管理系統(tǒng)、極地內(nèi)控堡壘主機、極地網(wǎng)絡漏洞掃描系統(tǒng)后，可與用戶已經(jīng)部署的防火墻、IDS、VPN等設備聯(lián)動，聯(lián)動接口為標準規(guī)范。實施聯(lián)動后，所有設備實現(xiàn)信息共享，并按照統(tǒng)一的原則和策略實現(xiàn)統(tǒng)一管理。例如IDS檢測到某終端有攻擊行為后向終端管理系統(tǒng)報告，終端管理系統(tǒng)立即禁止此終端所有網(wǎng)絡連接，防止攻擊行為對內(nèi)網(wǎng)產(chǎn)生影響。統(tǒng)一管理功效有了針對終端計算機和服務器的管理系統(tǒng)以后，結(jié)合用戶已經(jīng)建設的防火墻、IDS、VPN等系統(tǒng)，可以實現(xiàn)真正意義上的全網(wǎng)統(tǒng)一管理：無死角通過抓住所有安全事件的源頭：終端與服務器，可以將全網(wǎng)所有事件納入管理范圍，無論安全事件從哪里發(fā)生都能準確定位和處理。全網(wǎng)安全域管理通過終端虛擬安全域，可劃分更細粒度的安全域，將安全域由傳統(tǒng)的網(wǎng)絡邊界粒度擴展到單臺終端，與傳統(tǒng)的基于網(wǎng)絡邊界訪問控制的安全域結(jié)合，實現(xiàn)更細粒度、更自由的安全域管理。遠程終端與內(nèi)網(wǎng)終端統(tǒng)一管理通過遠程終端安全準入控制，終端計算機不再區(qū)分遠程接入或局域網(wǎng)接入，可以按相同的管理策略進行管理。統(tǒng)一用戶管理全網(wǎng)