大數(shù)據(jù)量報表展現(xiàn)系統(tǒng)建設(shè)方案優(yōu)質(zhì)資料

大數(shù)據(jù)量報表展現(xiàn)系統(tǒng)建設(shè)方案優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）

大數(shù)據(jù)量報表展現(xiàn)系統(tǒng)開發(fā)方案大數(shù)據(jù)量報表展現(xiàn)系統(tǒng)建設(shè)方案優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）三期延續(xù)開發(fā)一、目標(biāo)與需求該系統(tǒng)提出將信息中心建設(shè)成為數(shù)據(jù)集散中心、報表處理中心和決策輔助支持中心，成為信息資源管理體系的中心和樞紐。將分散在各個業(yè)務(wù)處理系統(tǒng)中的數(shù)據(jù)歸集起來，為各級機構(gòu)提供數(shù)據(jù)提取和查詢服務(wù)；開發(fā)管理信息平臺系統(tǒng)，實現(xiàn)綜合查詢與分析，實現(xiàn)綜統(tǒng)報表、監(jiān)管報表、業(yè)務(wù)報表等統(tǒng)計信息的共享，建立聯(lián)動查詢統(tǒng)計。依據(jù)總體規(guī)劃，借鑒經(jīng)驗，廣泛征求意見后，提出立項開發(fā)數(shù)據(jù)分析系統(tǒng)，擬實現(xiàn)下列目標(biāo)：1、進一步的完善業(yè)務(wù)信息庫，通過建立邏輯數(shù)據(jù)模型，按主題整合業(yè)務(wù)數(shù)據(jù)，并建立適合各類專題分析需要的數(shù)據(jù)集市，形成企業(yè)級中央數(shù)據(jù)倉庫，以中央數(shù)據(jù)倉庫為紐帶完成業(yè)務(wù)數(shù)據(jù)向管理信息的過渡；2、“工預(yù)善其事，必先利其器”，引進ETL、前端信息展現(xiàn)工具、系統(tǒng)集成門戶等先進的數(shù)據(jù)倉庫和商業(yè)智能解決方案，進一步完善管理信息平臺技術(shù)架構(gòu)，實現(xiàn)對數(shù)據(jù)的深層次挖掘，為各級信息使用者提供先進適用的分析管理工具，為管理部門提供個性化純WEB信息展示平臺；3、優(yōu)化全報表生成、報送、管理和使用體系，凡是數(shù)據(jù)倉庫可以生成的報表由系統(tǒng)自動生成，實現(xiàn)資產(chǎn)負債分析、經(jīng)營業(yè)績分析、客戶分析、風(fēng)險分析和財務(wù)分析五個方面的專題統(tǒng)計分析，并為將來引進決策分析模型進行決策支持奠定基礎(chǔ)。鑒于在項目整體開發(fā)階段由于企業(yè)的自身業(yè)務(wù)調(diào)整和變化，特別是對前期調(diào)研所擬定的業(yè)務(wù)藍圖及相關(guān)開發(fā)計劃進行了范圍擴大的調(diào)整。導(dǎo)致前兩期項目開發(fā)工作只完成其中一部分，在甲方的要求下此項目增加的開發(fā)范圍作為三期工程（不排除報表業(yè)務(wù)繼續(xù)擴大，項目需求繼續(xù)擴大的可能），同時沿用此方案并需達到此方案中既定的目標(biāo)來完成項目整體，且此項目需在本期結(jié)束后進入維護期。二、應(yīng)用范圍針對用戶的不同級別，分別滿足業(yè)務(wù)人員、管理人員、高級管理人員以及決策者對信息的不同要求。三、與其他系統(tǒng)的關(guān)系數(shù)據(jù)挖掘系統(tǒng)項目完成后管理信息平臺的系統(tǒng)架構(gòu)將如下圖所示，管理信息平臺系統(tǒng)架構(gòu)從大的方面可以分為兩個部分：數(shù)據(jù)倉庫和商業(yè)智能。數(shù)據(jù)倉庫以方便查詢?yōu)槟康模蚱脐P(guān)系型數(shù)據(jù)庫理論中標(biāo)準(zhǔn)泛式的約束，將業(yè)務(wù)數(shù)據(jù)庫的數(shù)據(jù)重新組織和整理，為查詢，報表，聯(lián)機分析等提供數(shù)據(jù)支持。數(shù)據(jù)倉庫建立起來后，定期的數(shù)據(jù)裝載(ETL)成為數(shù)據(jù)倉庫系統(tǒng)一個主要的日常工作。業(yè)務(wù)應(yīng)用業(yè)務(wù)應(yīng)用資產(chǎn)負債資產(chǎn)負債數(shù)據(jù)庫風(fēng)險管理數(shù)據(jù)庫財務(wù)分析數(shù)據(jù)庫績效考核數(shù)據(jù)庫客戶分析數(shù)據(jù)庫企業(yè)報表數(shù)據(jù)庫信貸管理DCC、ALS外部數(shù)據(jù)人力資源信貸管理DCC、ALS外部數(shù)據(jù)人力資源數(shù)據(jù)抽取、裝入、清洗、質(zhì)量檢查、轉(zhuǎn)換、加載商業(yè)智能應(yīng)用數(shù)據(jù)倉庫建構(gòu)數(shù)據(jù)獲取數(shù)據(jù)組織信息展現(xiàn)圖表查詢多維分析數(shù)據(jù)挖掘報表PORTAL數(shù)據(jù)傳輸層中央數(shù)據(jù)倉庫數(shù)據(jù)抽取、裝入、清洗、質(zhì)量檢查、轉(zhuǎn)換、加載商業(yè)智能應(yīng)用數(shù)據(jù)倉庫建構(gòu)數(shù)據(jù)獲取數(shù)據(jù)組織信息展現(xiàn)圖表查詢多維分析數(shù)據(jù)挖掘報表PORTAL數(shù)據(jù)傳輸層中央數(shù)據(jù)倉庫商業(yè)智能應(yīng)用就是利用現(xiàn)代智能計算技術(shù)進行數(shù)據(jù)挖掘(DataMining)從大量數(shù)據(jù)中發(fā)現(xiàn)潛在規(guī)律、提取有用知識，實現(xiàn)企業(yè)報表的生成與管理，實現(xiàn)資產(chǎn)負債、風(fēng)險管理、財務(wù)分析、客戶關(guān)系分析和績效考核等經(jīng)營管理信息的統(tǒng)計分析。四、項目主要工作內(nèi)容數(shù)據(jù)挖掘系統(tǒng)項目的主要工作內(nèi)容包括：（一）建設(shè)企業(yè)級數(shù)據(jù)倉庫隨著信息技術(shù)運用的不斷深入，積累了大量原始數(shù)據(jù)，而這些數(shù)據(jù)是按照關(guān)系型數(shù)據(jù)庫結(jié)構(gòu)存儲，在更新，刪除，有效存儲(少冗余數(shù)據(jù))方面表現(xiàn)出色，但在復(fù)雜查詢方面效率卻十分低下。為充分利用已有數(shù)據(jù)，提供復(fù)雜查詢，提供更好的決策支持，就需要采用數(shù)據(jù)倉庫(DataWarehouse)技術(shù)。數(shù)據(jù)倉庫與數(shù)據(jù)庫(這里的數(shù)據(jù)庫指關(guān)系型數(shù)據(jù)庫)的區(qū)別在于，數(shù)據(jù)倉庫以方便查詢(或稱為按主題查詢)為目的，打破關(guān)系型數(shù)據(jù)庫理論中標(biāo)準(zhǔn)泛式的約束，將數(shù)據(jù)庫的數(shù)據(jù)重新組織和整理，為查詢，報表，聯(lián)機分析等提供數(shù)據(jù)支持。數(shù)據(jù)挖掘系統(tǒng)將以業(yè)務(wù)信息庫歸集的核心業(yè)務(wù)系統(tǒng)、ERP、CRM和一些外部數(shù)據(jù)等系統(tǒng)的原始數(shù)據(jù)為基礎(chǔ)，以先進的數(shù)據(jù)建模理論對業(yè)務(wù)信息庫進行重新規(guī)劃，建立包括客戶、產(chǎn)品、賬戶、交易、渠道和機構(gòu)六大主題的基礎(chǔ)業(yè)務(wù)信息庫做為信息管理的基礎(chǔ)數(shù)據(jù)支持平臺。1、數(shù)據(jù)倉庫的邏輯結(jié)構(gòu)數(shù)據(jù)挖掘項目完成后的管理信息平臺的邏輯架構(gòu)將如下圖所示。中央數(shù)據(jù)倉庫的數(shù)據(jù)組織是商業(yè)智能中最重要的課題，中央數(shù)據(jù)倉庫不是各系統(tǒng)數(shù)據(jù)簡單的堆積，而是業(yè)務(wù)數(shù)據(jù)的有組織的存儲。因此它不可能通過分析源系統(tǒng)來生成，而必須提前引入已成型的數(shù)據(jù)模型。這一數(shù)據(jù)模型在數(shù)據(jù)倉庫范疇稱為邏輯數(shù)據(jù)模型（LDM），它必須具有靈活性和可擴展性，適應(yīng)將來的業(yè)務(wù)需求的增加和變動。管理信息平臺邏輯體系架構(gòu)示意圖管理信息平臺邏輯體系架構(gòu)示意圖數(shù)據(jù)源數(shù)據(jù)源元數(shù)據(jù)AdminToolsETL數(shù)據(jù)建模工具數(shù)據(jù)集市RDB數(shù)據(jù)集市RDB數(shù)據(jù)層中央數(shù)據(jù)倉庫倉RDBMDB報表服務(wù)器應(yīng)用服務(wù)器OLAP服務(wù)器應(yīng)用層WEBServerPortalServerWEB層用戶在數(shù)據(jù)層前是數(shù)據(jù)源和轉(zhuǎn)換區(qū)，數(shù)據(jù)源是業(yè)務(wù)信息庫中的原始數(shù)據(jù)，轉(zhuǎn)換區(qū)用于存放從數(shù)據(jù)源抽取到的數(shù)據(jù)，并在轉(zhuǎn)換區(qū)進行轉(zhuǎn)換，是ETL的工作區(qū)域。數(shù)據(jù)層負責(zé)所有數(shù)據(jù)的持久存儲，包含中央數(shù)據(jù)倉庫（DW），數(shù)據(jù)集市（DM）和多維模型OLAP(MDB)。中央數(shù)據(jù)倉庫(DM)存放從各個數(shù)據(jù)源抽取的數(shù)據(jù)，是經(jīng)過轉(zhuǎn)換后的細節(jié)數(shù)據(jù)。數(shù)據(jù)集市（DM)存放的是面向業(yè)務(wù)應(yīng)用宏觀的匯總數(shù)據(jù),基于實用化和運行效率的考慮，數(shù)據(jù)集市ETL采用數(shù)據(jù)庫存儲過程來實現(xiàn)。多維模型（MDB)是將數(shù)據(jù)數(shù)據(jù)集市中的數(shù)據(jù)加載到OLAPSERVER中,為多維分析提供數(shù)據(jù)。2、邏輯數(shù)據(jù)模型邏輯數(shù)據(jù)模型LDM是信息平臺/數(shù)據(jù)倉庫體系結(jié)構(gòu)的基礎(chǔ)。根據(jù)管理信息平臺的建設(shè)目標(biāo)和建設(shè)原則，結(jié)合本項目的具體特點確定以下數(shù)據(jù)模型的設(shè)計原則：數(shù)據(jù)模型的設(shè)計既要滿足本項目的業(yè)務(wù)需求，同時要充分考慮未來業(yè)務(wù)發(fā)展的需要，也就是說，數(shù)據(jù)模型應(yīng)具有較強的擴展性；數(shù)據(jù)模型的設(shè)計應(yīng)充分考慮最終用戶的查詢/分析效率和數(shù)據(jù)抽取、轉(zhuǎn)換和加載的速度，保證系統(tǒng)具有較高的運行效率；數(shù)據(jù)模型的設(shè)計應(yīng)充分考慮當(dāng)今數(shù)據(jù)庫技術(shù)和數(shù)據(jù)建模技術(shù)的發(fā)展動態(tài)，保證數(shù)據(jù)模型的設(shè)計方法、設(shè)計過程、設(shè)計結(jié)果的科學(xué)性和先進性；數(shù)據(jù)模型的設(shè)計應(yīng)具有較強的可讀性，數(shù)據(jù)模型應(yīng)便于業(yè)務(wù)人員和技術(shù)人員理解，項目投入運行后，數(shù)據(jù)模型便于技術(shù)人員維護。中央數(shù)據(jù)倉庫存儲所有最詳細的業(yè)務(wù)數(shù)據(jù)，數(shù)據(jù)的組織方式依關(guān)系型數(shù)據(jù)庫的第三范式規(guī)則。數(shù)據(jù)倉庫邏輯數(shù)據(jù)模型主要包括六個主題域：客戶、產(chǎn)品、帳戶、交易、渠道和機構(gòu)。3、數(shù)據(jù)集市模型根據(jù)業(yè)務(wù)需求將中央數(shù)據(jù)倉庫數(shù)據(jù)分類成幾個不同的數(shù)據(jù)集市，每個數(shù)據(jù)集市完成不同的分析和查詢需求，數(shù)據(jù)集市中的數(shù)據(jù)通常由中央數(shù)據(jù)倉庫的數(shù)據(jù)聚合而來，根據(jù)數(shù)據(jù)聚合程度的不同包含輕度聚合、中度聚合和高度聚合三種不同的層次。匯總的方式將依據(jù)數(shù)據(jù)量的大小和使用頻率綜合考慮。4、數(shù)據(jù)倉庫ETL的設(shè)計ETL指源系統(tǒng)數(shù)據(jù)經(jīng)過數(shù)據(jù)抽取、轉(zhuǎn)換和加載處理進入數(shù)據(jù)倉庫的整個過程。ETL流程主要包括以下主要步驟：數(shù)據(jù)抽?。簲?shù)據(jù)抽取就是將數(shù)據(jù)倉庫需要的業(yè)務(wù)數(shù)據(jù)抽取到數(shù)據(jù)轉(zhuǎn)換區(qū)的過程；數(shù)據(jù)檢查和出錯處理：在數(shù)據(jù)轉(zhuǎn)換區(qū)中，對源系統(tǒng)數(shù)據(jù)質(zhì)量進行檢查，形成檢查報告，并進行相應(yīng)的出錯處理，對于嚴(yán)重錯誤，需要系統(tǒng)維護人員現(xiàn)場做出相應(yīng)的處理。數(shù)據(jù)轉(zhuǎn)換：數(shù)據(jù)轉(zhuǎn)換包括對源系統(tǒng)數(shù)據(jù)進行整理、剔除、合并、驗證等一系列轉(zhuǎn)換工作，最后形成數(shù)據(jù)倉庫物理數(shù)據(jù)結(jié)構(gòu)所需的數(shù)據(jù)，存放在轉(zhuǎn)換區(qū)的數(shù)據(jù)表中。數(shù)據(jù)加載：數(shù)據(jù)加載將數(shù)據(jù)轉(zhuǎn)換的結(jié)果數(shù)據(jù)加載到數(shù)據(jù)倉庫，并形成數(shù)據(jù)加載情況的報告。ETL工具需包括下列模塊：EXTRACT模塊（數(shù)據(jù)抽取），TXTLOAD模塊（文本裝載），TRANSFER模塊（數(shù)據(jù)轉(zhuǎn)換），DWLOAD模塊（數(shù)據(jù)倉庫裝載），QUALITY模塊(質(zhì)量檢查），CODEMANAGER模塊（標(biāo)準(zhǔn)代碼管理）和WADMIN模塊(總控）。從各個數(shù)據(jù)源到中央數(shù)據(jù)倉庫的ETL可以由ETL工具實現(xiàn)。首先在各個源系統(tǒng)安裝extract模塊，將源數(shù)據(jù)抽取為文本數(shù)據(jù)，打包后通過ftp傳送到數(shù)據(jù)倉庫主機上。在數(shù)據(jù)倉庫主機上通過txtload將文本數(shù)據(jù)裝入交換區(qū)，然后通過在交換區(qū)內(nèi)通過Transfer模塊進行數(shù)據(jù)轉(zhuǎn)換，最后將交換區(qū)的數(shù)據(jù)通過dwload裝入中央數(shù)據(jù)倉庫。ETL每個模塊都是現(xiàn)了參數(shù)化配置，通過配置相應(yīng)的ini配置文件實現(xiàn)。從中央數(shù)據(jù)倉庫到數(shù)據(jù)集市的數(shù)據(jù)裝載利用存儲過程實現(xiàn)。在開發(fā)過程中針對每個數(shù)據(jù)集市設(shè)計相應(yīng)的存儲過程，實現(xiàn)數(shù)據(jù)從中央數(shù)據(jù)倉庫到數(shù)據(jù)集市的裝載。（二）引入先進的商業(yè)智能工具通過引入先進的商業(yè)智能工具，提高數(shù)據(jù)挖掘水平，是迅速改變信息工作無法滿足業(yè)務(wù)發(fā)展需要的必由之路，這也是科技規(guī)劃所倡導(dǎo)的，即通過引入國內(nèi)外先進成熟的系統(tǒng)和經(jīng)驗，迅速提高科技應(yīng)用水平。通過數(shù)據(jù)挖掘工具將達到以下目標(biāo)：1）企業(yè)級報表提供五種常用形式的企業(yè)報表：給領(lǐng)導(dǎo)的KPI計分卡和儀表盤、給基層經(jīng)營管理人員的運營報表、給客戶經(jīng)理和業(yè)務(wù)經(jīng)理的典型業(yè)務(wù)報表、給業(yè)務(wù)部門領(lǐng)導(dǎo)的管理指標(biāo)報表、給客戶和合作伙伴的結(jié)算清單。提供塊狀布局和傳統(tǒng)條帶狀組合方式布局。提供用戶自定義WEB報表功能：參數(shù)化報表，讓用戶自己定義報表內(nèi)容、報表布局和工作流；自動客戶化報表內(nèi)容，創(chuàng)建一個報表，系統(tǒng)自動基于不同用戶生成用戶所屬內(nèi)容的報表；基于用戶檔案的個性化用戶界面，為高級用戶和普通用戶提供不同的使用界面。提供靈活的報表分發(fā)功能：可將報表分發(fā)到WEB瀏覽器、網(wǎng)絡(luò)打印機、email、文件服務(wù)器和企業(yè)管理信息門戶；可以根據(jù)請求、計劃、事件等方式分發(fā)報表。無需編程設(shè)計出達到象素精度和印刷品質(zhì)的報表。2）立方體分析立方體就是指預(yù)先組織好高度相關(guān)的一個數(shù)據(jù)子集，用戶可以組合任何立方體中的實體（如客戶、賬戶、產(chǎn)品、渠道、機構(gòu)、交易等）和度量（如存款、貸款、利潤等）來建立多于二維的視圖或者切片，并在計算機屏幕上顯示出來。立方體分析就是使用標(biāo)準(zhǔn)的多維分析功能，如分頁、旋轉(zhuǎn)、排序、篩選和向上下鉆取來瀏覽報表。立方體分析適用于對指標(biāo)變化的根本原因或潛在原因比較關(guān)注而對數(shù)據(jù)庫技巧不是非常熟悉的業(yè)務(wù)經(jīng)理。MSTR使用關(guān)系型OLAP(ROLAP)技術(shù)把關(guān)系型數(shù)據(jù)庫建模成虛擬多維立方體來實現(xiàn)聯(lián)機分析（OLAP），能做到快速的報表分析和操作、個性化和安全地共享立方體、自動創(chuàng)建和同步立方體、從匯總數(shù)據(jù)向詳細交易數(shù)據(jù)任意鉆取。MSTR還提供隨機查詢分析功能，用戶可以在關(guān)系型數(shù)據(jù)庫上創(chuàng)建任意查詢報表，可以通過參數(shù)驅(qū)動方式生成查詢分析報表、可以基于不同數(shù)據(jù)集合進行分析，也可以按照自己需求對數(shù)據(jù)進行分組。3）統(tǒng)計分析和數(shù)據(jù)挖掘MSTR通過多路SQL生成引擎和特殊分析引擎擴展了關(guān)系數(shù)據(jù)庫的計算能力，為專業(yè)信息分析師提供了200多個數(shù)學(xué)、OLAP、財務(wù)和統(tǒng)計函數(shù)，用于進行相關(guān)分析、趨勢分析和預(yù)測分析。MSTR允許自定義分析函數(shù)并可以納入其函數(shù)庫共享。2、企業(yè)門戶系統(tǒng)各級員工需不斷瀏覽OA系統(tǒng)、兩個電子郵件系統(tǒng)、信息網(wǎng)站、管理信息平臺、客戶信息系統(tǒng)等系統(tǒng)，每個系統(tǒng)都需重新登錄；管理過程主要通過人工＋Email的方式進行，缺乏嚴(yán)格的工作流程控制；缺乏集中統(tǒng)一的內(nèi)部信息檢索系統(tǒng)，為此我們需要引進先進技術(shù)優(yōu)化的管理信息平臺，使其成為內(nèi)部知識管理平臺、部門橫向溝通協(xié)作平臺和企業(yè)文化建設(shè)工具。企業(yè)門戶系統(tǒng)正是這兩年來用于解決此問題的基礎(chǔ)工具軟件。通過企業(yè)門戶系統(tǒng)，將為各部門員工、各級管理人員提供一個智能的個性化工作平臺，該平臺基于互聯(lián)網(wǎng)的瀏覽器界面，作為統(tǒng)一入口訪問各種業(yè)務(wù)系統(tǒng)和服務(wù)（OA、管理信息平臺、電子郵件、信息網(wǎng)站、ERP系統(tǒng)、CRM系統(tǒng)、財務(wù)系統(tǒng)等），能夠按照個人的工作習(xí)慣和喜好進行個性化定制，從而容易地找到并獲得各種所需地信息和服務(wù)；該平臺將成為集成了對各種交互請求或服務(wù)的中轉(zhuǎn)站，與內(nèi)部各個已有的后臺系統(tǒng)直接連接，提升這些現(xiàn)有系統(tǒng)的價值，又將內(nèi)部系統(tǒng)與不安全的用戶訪問相隔離，保證原有系統(tǒng)安全可靠的運行；通過平臺提供業(yè)務(wù)流程自動控制、內(nèi)容管理、協(xié)調(diào)工作和分類搜索等服務(wù)。本項目選擇的企業(yè)門戶系統(tǒng)將提供以下主要功能：1）提供統(tǒng)一的門戶框架A、門戶引擎和基礎(chǔ)設(shè)施門戶引擎支持標(biāo)準(zhǔn)的PortletAPI，提供Portlet的定義、執(zhí)行、管理等一系列完整的功能。集成各種不同的資源，在頁面上進行組合，并提供給各種渠道。將頁面的展示和不同的業(yè)務(wù)邏輯相分離，同時通過Portlet進行控制，這樣分離的好處是將每個Portlet作為一個獨立的控制組件更加容易開發(fā)和維護。Portlet是門戶Portal中的基本組件，由Portlet容器（Container）所管理，負責(zé)顯示動態(tài)的內(nèi)容，并由Portal組織起來，展示在一個Web頁面上，對于Portal來說，Portlet是一個個可插拔的模塊，用戶在界面上看到的是許多個獨立的Portlet，通過Web的request和response進行交互。PortletAPI是Portalserver和Portlet之間的接口，給出了Portlet中對象的定義、概念和生命周期，限定了Portlet中各種對象的行為。PortletContainer負責(zé)整個Portalserver的核心運作，實現(xiàn)Portlet中的各種接口，并讓整個Portalserver運轉(zhuǎn)起來；對外提供兩種接口，一是和ServletContainer的接口，另一個是和PortletAPI的接口?；A(chǔ)設(shè)施包括菜單管理和日志管理等功能。B、企業(yè)應(yīng)用集成利用WEB技術(shù)支持與第三方的各種應(yīng)用系統(tǒng)集成，輕松地重復(fù)使用、修改現(xiàn)有的Web內(nèi)容和應(yīng)用，通過開發(fā)Portlet，可以將其他應(yīng)用系統(tǒng)的信息集成到單一的頁面上，例如：可以同時把對電子郵件、OA、日歷、地址簿、任務(wù)單、股市行情等訪問集中到一起；提供內(nèi)容集成，充分利用門戶內(nèi)的各種知識，支持顯示各種內(nèi)容提供商提供的新聞、資訊信息；快速搜索互聯(lián)網(wǎng)的內(nèi)容和進行本地專業(yè)化搜索。C、個性化支持可以根據(jù)用戶的喜好，對頁面盡心配置管理，實現(xiàn)在單一頁面展示多個Portlet，每個Portlet負責(zé)集成各自業(yè)務(wù)系統(tǒng)的功能，并負責(zé)對內(nèi)容進行顯示；可以對頁面的欄目進行分割，在每一欄中可以放入多個Portlet，也可以對進行上下順序的排列。D、統(tǒng)一的安全模型支持對用戶、用戶組和角色的管理，按角色控制用戶對內(nèi)容和應(yīng)用的訪問權(quán)限，支持按菜單、按Portlet、按頁面三種方式的授權(quán)，所有授權(quán)按角色分配。有了統(tǒng)一的安全模型后，用戶安全就能在企業(yè)范圍內(nèi)較輕松地實現(xiàn)一致，開發(fā)功能完備的單點登錄系統(tǒng)。2）提供先進的門戶業(yè)務(wù)服務(wù)A、內(nèi)容管理提供門戶內(nèi)容知識庫，用于快速構(gòu)建和部署需要基本內(nèi)容管理的門戶應(yīng)用；提供虛擬內(nèi)容知識庫，以單一的邏輯實體來管理多個內(nèi)容知識庫；實現(xiàn)聯(lián)合內(nèi)容訪問，從多個內(nèi)容系統(tǒng)提交個性化內(nèi)容；實現(xiàn)內(nèi)容集成，采用受JSR170影響的服務(wù)提供商接口，集成第三方或定制的內(nèi)容系統(tǒng)。B、協(xié)作（Collabration）利用針對特定需求的門戶桌面，最大限度提高小組和團隊的工作效率；通過創(chuàng)建與搜索新論壇、新主題和線程化消息，授權(quán)訪問者開展協(xié)作；提供白版和聊天功能，借助一組豐富的繪圖工具，授權(quán)訪問者進行實時協(xié)作，支持調(diào)制型和非調(diào)制型小組會話；與Notes與Exchange電子郵件集成，使訪問者能夠訪問Notes與Exchange電子郵件、日歷和聯(lián)系信息，并且可以列表。通過以上這些WEB服務(wù)，實現(xiàn)跟蹤項目、共享文檔、分配任務(wù)、交換思路以及發(fā)送信息等目的。使用企業(yè)門戶能識別出不同項目間的依賴性，將不同項目的任務(wù)和文檔合并到各個用戶的收件箱，允許員工和顧客突破地域和網(wǎng)絡(luò)限制協(xié)同工作。C、業(yè)務(wù)流程自動控制門戶的業(yè)務(wù)集成功能使得我們不必為每個業(yè)務(wù)單元的業(yè)務(wù)應(yīng)用都創(chuàng)建業(yè)務(wù)流程，而是突破系統(tǒng)限制創(chuàng)建新的業(yè)務(wù)流程，從而提供整個企業(yè)的工作效率。D．搜索與分類通過在企業(yè)門戶上部署分類搜索功能，確保企業(yè)每個WEB應(yīng)用上創(chuàng)建的內(nèi)容、提交給項目的文檔以及每個業(yè)務(wù)流程信息都能很快的搜索到。門戶系統(tǒng)將提供聯(lián)合搜索，向訪問者提供跨所有知識庫輕松搜索的能力，這些知識庫都是虛擬內(nèi)容知識庫的一部分；,ODBC,文件搜索，在Web頁面、數(shù)據(jù)庫和文件系統(tǒng)，自動搜索文件和查找內(nèi)容；易于使用的搜索工具，借助自然語言查詢、相關(guān)性分級、鄰近搜索、文檔相似性搜索等功能，使訪問者輕松查找所需內(nèi)容。3）提供先進易用的門戶開發(fā)和管理支持A、開發(fā)框架可視化的程序設(shè)計環(huán)境，無須J2EE知識，就能快速開發(fā)門戶和門戶資源；匯聚開發(fā)，采用簡化的開發(fā)環(huán)境，構(gòu)建包含業(yè)務(wù)流程的門戶，加快流程門戶的提交；門戶用戶接口控件，采用預(yù)先集成的門戶功能件，加快門戶開發(fā)速度，因為它們可以擴展或修改，以適應(yīng)登錄、注冊、事件、用戶、組、角色的功能需要；Java頁面流，采用Strut兼容框架，輕松指定不同JSP頁面之間的信息流，以及與后臺資源之間的連接；門戶與門戶服務(wù)設(shè)計器，快速指定面向交互管理、概況、分段和門戶框架等的門戶資源；松散耦合門戶應(yīng)用，將開發(fā)努力專注于門戶業(yè)務(wù)邏輯，不必關(guān)注構(gòu)建門戶基礎(chǔ)結(jié)構(gòu)。B、智能化管理門戶組裝工具，授權(quán)業(yè)務(wù)部門為新用戶快速組裝門戶；授權(quán)管理，利用門戶表達、用戶管理、頁面和portlet授權(quán)以及其他管理事務(wù)的授權(quán)管理，來簡化門戶管理；基于角色的授權(quán)，利用基于用戶概況、會話、時間或請求屬性的規(guī)則，自動控制對各種門戶資源的訪問權(quán)限；門戶模板，充分利用公司的最佳方案和整個企業(yè)的外觀和感覺，為開發(fā)人員和組裝人員提供標(biāo)準(zhǔn)范圍內(nèi)的靈活性C、可修改的提交多級表達層次結(jié)構(gòu)，為具有特定組或特定角色的桌面和書籍的用戶定制門戶，這些桌面或書籍將一系列頁面組合為一體門戶模板；跨多個頁面重復(fù)，使用一個portlet定義，或者在一個頁面內(nèi)重復(fù)使用某個portlet，定義多次，以便訪問各種不同的內(nèi)；portlet之間的通信，根據(jù)用戶對一個portlet的輸入，動態(tài)更新所有的portlet；移動服務(wù)，借助瀏覽器和設(shè)備探測功能、JSP標(biāo)記、支持映射的可擴展設(shè)備API，將門戶覆蓋范圍擴展到無線設(shè)備。D、交互管理基于規(guī)則的個性化，借助隱含和顯式的個性化，改善訪問者體驗，一切均通過瀏覽器進行管理；事件與行為跟蹤，利用會話和行為事件來適應(yīng)訪問者的需求，定義定制事件，以映射業(yè)務(wù)目標(biāo)；測試與控件提交，在提交到網(wǎng)站之前，測試內(nèi)容或宣傳效果；最終用戶定制化，向門戶訪問者提供各種工具，以添加個人頁面，選擇portlet、布局和門戶外觀。E、日志和監(jiān)控功能系統(tǒng)管理員可以瀏覽系統(tǒng)中所有Portlet，可以按分類瀏覽，按名稱查詢，可以禁用Portlet。管理員可以查看PortalServer日志，查看系統(tǒng)統(tǒng)計數(shù)據(jù)，包括每個Portlet和每個頁面的點擊率。F、標(biāo)準(zhǔn)化支持針對內(nèi)容的門戶標(biāo)準(zhǔn)(JSR170)和針對portlet的門戶標(biāo)準(zhǔn)（JSR168）。（三）逐步建立完善的管理信息平臺的應(yīng)用體系管理信息平臺的業(yè)務(wù)需求可分為三個層面：企業(yè)報表、統(tǒng)計分析和決策支持。企業(yè)報表用以實現(xiàn)管理部門的固定業(yè)務(wù)報表，統(tǒng)計分析用以實現(xiàn)企業(yè)的全面的統(tǒng)計分析要求，決策支持引進決策分析模型通過大量的數(shù)據(jù)計算對某一個專題進行推演，確定其可行性或進行最優(yōu)方案選擇。數(shù)據(jù)挖掘系統(tǒng)的業(yè)務(wù)應(yīng)用需求將基于上述三個層面進行整體框架規(guī)劃，將企業(yè)報表單獨作為一個應(yīng)用子系統(tǒng)，同時根據(jù)當(dāng)前信息管理領(lǐng)域的需求歸納了五個應(yīng)用專題：資產(chǎn)負債、績效考核、客戶分析、風(fēng)險管理、財務(wù)分析，以平衡計分卡作為目標(biāo)管理框架，協(xié)調(diào)財務(wù)、客戶、業(yè)務(wù)流程及創(chuàng)新和員工四大管理能力逐步延伸和細化，并進而推進平衡計分卡內(nèi)容的不斷完善和計量的精確。而對于決策支持層，系統(tǒng)留出高級應(yīng)用分析專題供以后的需求擴展。數(shù)據(jù)挖掘項目完成后管理信息平臺應(yīng)用體系結(jié)構(gòu)如下圖所示。業(yè)務(wù)應(yīng)用方面，數(shù)據(jù)挖掘項目具體將實現(xiàn)以下功能：1、建立管理信息門戶基于先進的門戶軟件開發(fā)技術(shù)，優(yōu)化現(xiàn)有的管理信息平臺，實現(xiàn)后臺管理信息系統(tǒng)單點登錄，用戶實名制和個性化頁面和信息定制功能。A、單點登錄和用戶實名制當(dāng)前企業(yè)網(wǎng)郵件系統(tǒng)、OA辦公自動化系統(tǒng)、管理信息平臺、工資管理系統(tǒng)、客戶信息系統(tǒng)等多個應(yīng)用系統(tǒng)都單獨運行，都有不同的用戶名和密碼，無形中增加了管理難度和管理成本。同時，員工只有記住不同系統(tǒng)的用戶名和密碼，才能實現(xiàn)對不同應(yīng)用系統(tǒng)的登陸、使用和維護，并且要不斷來回在多個系統(tǒng)之間切換，為工作帶來了許多不便。開發(fā)單點登錄功能后將解決這個問題，在現(xiàn)有的管理信息平臺用戶管理基礎(chǔ)上，通過整合所有符合B/S結(jié)構(gòu)的應(yīng)用，用戶只需通過管理信息平臺進行一次登錄，就可以直接訪問企業(yè)網(wǎng)郵件系統(tǒng)、OA辦公自動化系統(tǒng)等多個應(yīng)用系統(tǒng)，不再需要輸入任何信息。同時，單點登錄系統(tǒng)采用數(shù)據(jù)庫、表單、文檔三級加密技術(shù)，用戶的單點登錄配置文檔只有本人可存取，通過使用瀏覽器緩存清理技術(shù)，本地設(shè)備不留任何使用信息，確保了用戶的信息安全。單點登錄系統(tǒng)具有標(biāo)準(zhǔn)的開放接口，新開發(fā)的web應(yīng)用都可以直接通過管理信息平臺整合，靈活方便。用戶實名制是通過建立一套多層次用戶管理機制，用戶管理以人為單位，為全省每一位管理崗位員工設(shè)定一個用戶，并根據(jù)每個用戶的工作性質(zhì)、職務(wù)、崗位等屬性分別確定不同的權(quán)限。實現(xiàn)用戶實名制功能后，對用戶的統(tǒng)一驗證管理更加方便嚴(yán)謹。B、實現(xiàn)個性化頁面和信息定制功能管理信息平臺將為領(lǐng)導(dǎo)、部門和個人提供個性化的基于WEB的首屏。管理信息平臺首頁、部門主頁、個人工作臺、個人主頁的頁面和信息可根據(jù)需要靈活定制。系統(tǒng)管理員預(yù)先制作各類主題的主頁模板，并根據(jù)工作需要，選擇相應(yīng)模板，更換主頁頁面形式和信息內(nèi)容。部門管理員可通過下載不同的模板，配置模板上動態(tài)信息區(qū)對應(yīng)的欄目，修改模板樣式文件，即可獲得不同風(fēng)格和多樣化欄目排列的部門主頁，滿足部門信息使用的需求；個人可以根據(jù)自己的喜好選擇頁面風(fēng)格，并根據(jù)工作需要，將自己關(guān)心的欄目信息定制到工作臺，還可修改個人圖片和個人信息。用戶登陸管理信息平臺后，當(dāng)前自己要處理的工作和所需的公共信息一目了然，由原來被動的查詢信息變?yōu)樾畔⒅鲃犹崾尽、提供重大項目內(nèi)容共享協(xié)作服務(wù)利用門戶軟件提供的功能，實現(xiàn)跟蹤項目、共享文檔、分配任務(wù)、交換思路以及發(fā)送信息等目的。2、建立企業(yè)報表中心（1）目標(biāo)A、以報表梳理和系統(tǒng)整合為切入點，徹底解決報表多頭布置、多頭報送、重復(fù)冗余的問題，解決數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一、報表管理不規(guī)范的問題，解決數(shù)據(jù)報表手工處理工作量大的問題，解決報表處理水平滯后于業(yè)務(wù)管理、外部監(jiān)管的問題；B、將報表逐級上報改造為上級提取逐級返數(shù)，逐步減少直至取消報表的手工報送；C、完善報表管理制度，統(tǒng)一規(guī)范報表的管理，從制度上杜絕報表處理各環(huán)節(jié)的隨意性、多向性和多義性。（2）內(nèi)容A、整合現(xiàn)有的各類報表管理、提取、查詢系統(tǒng)，整體構(gòu)建報表管理系統(tǒng)，實現(xiàn)報表系統(tǒng)的集成管理，進一步加強信息資源的集中采集、集中分析、集中管理、分級共享、及時反饋、統(tǒng)一發(fā)布，減少數(shù)據(jù)的冗余，降低信息獲取成本，提高管理效益。B、提供統(tǒng)一的數(shù)據(jù)信息展示界面，通過較為自由的個人定制，為各經(jīng)營管理層面提供及時、豐富的數(shù)據(jù)信息；配套建立較為智能的報表自動分析模塊，提供主要報表、主要業(yè)務(wù)指標(biāo)的動態(tài)分析、直觀展示；為各級人員提供先進的報表制作管理工具。C、認真分析系統(tǒng)功能和科目之間的關(guān)系，認真分析統(tǒng)計指標(biāo)和各系統(tǒng)的內(nèi)在聯(lián)系，力爭從系統(tǒng)挖掘出更多的數(shù)據(jù)來滿足報表的需要。D、從報送的報表入手進行梳理，對這些報表的結(jié)構(gòu)和統(tǒng)計指標(biāo)進行分析和討論，確定了這些報表的數(shù)據(jù)源和生成方式，滿足各部門部分報表的編制需求。E、整合報告期長或僅為各部門臨時進行業(yè)務(wù)分析的報表。在現(xiàn)有報表中，有大量下發(fā)的報表，屬于半年或一年才報一次、或為某次業(yè)務(wù)調(diào)查、某種業(yè)務(wù)分析而布置的，這些報表不僅數(shù)據(jù)采集量大，而且許多指標(biāo)需查閱原始資料加工生成，統(tǒng)計口徑也不規(guī)范，生成的報表不但不能正確地反映經(jīng)營狀況，而且往往還給業(yè)務(wù)決策提供了錯誤信息。通過研究各統(tǒng)計指標(biāo)間的內(nèi)在聯(lián)系，以及同已有信息系統(tǒng)的數(shù)據(jù)關(guān)系，取消那些可報可不報的報表，或根據(jù)管理制度結(jié)合實際情況，改為報告制反饋制，或由系統(tǒng)自動生成及臺帳匯總生成，最大限度地減輕了工作負擔(dān)。F、分析新增報表的數(shù)據(jù)指標(biāo)和數(shù)據(jù)源，集中從現(xiàn)有系統(tǒng)、各部門采集數(shù)據(jù)。凡是數(shù)據(jù)倉庫可以生成的報表由系統(tǒng)自動生成，系統(tǒng)缺乏數(shù)據(jù)的報表，由信息中心歸納整理成相關(guān)指標(biāo)，通過管理信息平臺的指標(biāo)報送系統(tǒng)收集數(shù)據(jù)后再由系統(tǒng)自動生成。G、利用企業(yè)門戶系統(tǒng)提供的業(yè)務(wù)集成功能，整合客戶信息系統(tǒng)、信貸管理信息系統(tǒng)、非信貸管理信息系統(tǒng)、信用卡分析系統(tǒng)、國際業(yè)務(wù)信息系統(tǒng)、網(wǎng)點信息系統(tǒng)、非現(xiàn)場審計系統(tǒng)等系統(tǒng)的分析報表，為各級管理人員共享信息提供途徑。3、實現(xiàn)五個方面的專題統(tǒng)計分析（1）資產(chǎn)負債分析從利率、期限、到期日、余額、資金成本等角度分析資產(chǎn)負債的結(jié)構(gòu)、變化趨勢和匹配情況，實現(xiàn)利率敏感性分析和流動性分析，主要功能有：資產(chǎn)負債總量分析、資產(chǎn)負債匹配分析，利率敏感性分析，流動性分析。（2）經(jīng)營業(yè)績分析以負責(zé)人年度考核關(guān)鍵業(yè)績指標(biāo)KPI體系為基礎(chǔ)，通過提供關(guān)鍵業(yè)績指標(biāo)、資金轉(zhuǎn)移價格、成本分攤、貸款風(fēng)險損失以及業(yè)績核算的計算模型，建立分機構(gòu)、分部門、分產(chǎn)品、分幣種、分客戶的業(yè)績核算模型，提供全面的經(jīng)營業(yè)績視圖和細化的利潤分解，協(xié)助管理人員全方位跟蹤企業(yè)的各項營業(yè)收入、內(nèi)部資金成本、內(nèi)部資金收入、成本費用和貸款損失風(fēng)險，及時、準(zhǔn)確、全面地掌握并追溯真實的盈利情況。（3）客戶分析通過建立單一客戶視圖，對客戶基本情況、持有產(chǎn)品、交易行為、客戶分布等進行分析，以便留住高價值客戶、發(fā)現(xiàn)和開發(fā)潛在優(yōu)質(zhì)客戶、對現(xiàn)有客戶提供交叉銷售服務(wù)，系統(tǒng)功能分為基礎(chǔ)客戶關(guān)系管理和綜合客戶關(guān)系管理兩個層面。（4）財務(wù)分析財務(wù)分析通過分析經(jīng)營成本、利潤構(gòu)成、預(yù)期的經(jīng)營收益等，為加強內(nèi)部管理、減少經(jīng)營成本、保持持續(xù)的競爭力提供依據(jù)。主要功能有：總體財務(wù)狀況分析，盈利能力分析，費用分析，收入分析，非利息收入分析，欠息賬齡分析等。（5）風(fēng)險分析本系統(tǒng)從行業(yè)、區(qū)域和客戶等角度分析面臨的信貸風(fēng)險，輔助建立先進的信用評級和風(fēng)險評估體系，從而提高分析效率、決策質(zhì)量和管理技術(shù)。主要功能包括：質(zhì)量分析，風(fēng)險集中度分析，趨勢分析，風(fēng)險指標(biāo)監(jiān)控等。數(shù)據(jù)中心安全解決方案目錄第一章解決方案21.1建設(shè)需求21.2建設(shè)思路21.3總體方案31.3.1IP準(zhǔn)入控制系統(tǒng)4防泄密技術(shù)的選擇6主機賬號生命周期管理系統(tǒng)6數(shù)據(jù)庫賬號生命周期管理系統(tǒng)7令牌認證系統(tǒng)7數(shù)據(jù)庫審計系統(tǒng)8數(shù)據(jù)脫敏系統(tǒng)8應(yīng)用內(nèi)嵌賬號管理系統(tǒng)9云計算平臺12防火墻13統(tǒng)一安全運營平臺13安全運維服務(wù)151.4實施效果15針對終端接入的管理15針對敏感數(shù)據(jù)的使用管理16針對敏感數(shù)據(jù)的訪問管理17針對主機設(shè)備訪問的管理17針對數(shù)據(jù)庫訪問的管理18針對數(shù)據(jù)庫的審計19針對應(yīng)用內(nèi)嵌賬號的管理21安全運營的規(guī)范21針對管理的優(yōu)化22第二章項目預(yù)算及項目要求232.1項目預(yù)算23項目一期預(yù)算23一期實現(xiàn)目標(biāo)242.2項目要求25用戶環(huán)境配合條件25解決方案建設(shè)需求XXX用戶經(jīng)過多年的信息化建設(shè)，各項業(yè)務(wù)都順利的開展起來了，數(shù)據(jù)中心已經(jīng)積累了很多寶貴的數(shù)據(jù)，這些無形的資產(chǎn)比硬件資產(chǎn)還重要，但它們卻面臨著非常大的安全挑戰(zhàn)。在早期的系統(tǒng)建設(shè)過程中，大多用戶不會考慮數(shù)據(jù)安全、應(yīng)用安全層面的問題，經(jīng)過多年的發(fā)展，數(shù)據(jù)中心越來越龐大，業(yè)務(wù)越來越復(fù)雜，但信息安全完全沒有配套建設(shè)，經(jīng)常會發(fā)生一些安全事件，如：數(shù)據(jù)庫的表被人刪除了、主機密碼被人修改了、敏感數(shù)據(jù)泄露了、特權(quán)賬號被第三方人員使用等等情況，而這些安全事件往往都是特權(quán)用戶從后臺直接操作的，非常隱蔽，這時候往往無從查起。其實，信息安全建設(shè)在系統(tǒng)的設(shè)計初期開始，就應(yīng)該要介入，始終貫穿其中，這樣花費的人力物力才是最小。當(dāng)一個系統(tǒng)建成后，發(fā)現(xiàn)問題了，回頭再來考慮安全建設(shè)，這樣投入的成本將會變得最大。建設(shè)思路數(shù)據(jù)中心的安全體系建設(shè)并非安全產(chǎn)品的堆砌，它是一個根據(jù)用戶具體業(yè)務(wù)環(huán)境、使用習(xí)慣、安全策略要求等多個方面構(gòu)建的一套生態(tài)體系，涉及眾多的安全技術(shù)，實施過程需要涉及大量的調(diào)研、咨詢等工作，還會涉及到眾多的安全廠家之間的協(xié)調(diào)、產(chǎn)品的選型，安全系統(tǒng)建成后怎么維持這個生態(tài)體系的平衡，是一個復(fù)雜的系統(tǒng)工程，一般建議分期投資建設(shè)，從技術(shù)到管理，逐步實現(xiàn)組織的戰(zhàn)略目標(biāo)。整體設(shè)計思路是將需要保護的核心業(yè)務(wù)主機包及數(shù)據(jù)庫圍起來，與其他網(wǎng)絡(luò)區(qū)域進行邏輯隔離，封閉一切不應(yīng)該暴漏的端口、IP，在不影響現(xiàn)有業(yè)務(wù)的情況下形成數(shù)據(jù)孤島，設(shè)置固定的數(shù)據(jù)訪問入口，對入口進行嚴(yán)格的訪問控制及審計。由之前的被動安全變?yōu)橹鲃臃烙?，控制安全事故的發(fā)生，對接入系統(tǒng)的人員進行有效的認證、授權(quán)、審計，讓敏感操作變得更加透明，有效防止安全事件的發(fā)生。在訪問入口部署防火墻、賬號生命周期管理系統(tǒng)、數(shù)據(jù)加密系統(tǒng)、令牌認證系統(tǒng)、審計系統(tǒng)等安全設(shè)施，對所有外界向核心區(qū)域主機發(fā)起的訪問進行控制、授權(quán)、審計，對流出核心區(qū)域的批量敏感數(shù)據(jù)進行加密處理，所有加密的數(shù)據(jù)將被有效的包圍在安全域之內(nèi)，并跟蹤數(shù)據(jù)產(chǎn)生、扭轉(zhuǎn)、銷毀的整個生命周期，杜絕敏感數(shù)據(jù)外泄及濫用行為。為了保證XXX用戶的業(yè)務(wù)連續(xù)性，各安全子系統(tǒng)都采用旁路的方式部署到網(wǎng)絡(luò)當(dāng)中，其中賬號生命周期管理系統(tǒng)、審計系統(tǒng)、數(shù)據(jù)庫都采用雙機的模式，以提供自身的高可靠性；加密系統(tǒng)、特權(quán)賬號生命周期管理系統(tǒng)、令牌認證系統(tǒng)都建議部署在VMware云計算平臺上，利用VMware強大的服務(wù)器虛擬化能力為防泄密系統(tǒng)提供良好的可靠性與可擴展性保證?？傮w方案信息安全系統(tǒng)整體部署架構(gòu)圖1、在核心交換機上部署防護墻模塊或獨立防火墻，把重要的主機、數(shù)據(jù)庫與其他子網(wǎng)進行邏輯隔離，劃分安全區(qū)域，對不必要的端口進行封閉，隔離終端IP對數(shù)據(jù)中心可達。2、在終端匯聚的交換機上旁路部署IP準(zhǔn)入控制系統(tǒng)，實現(xiàn)非法外聯(lián)、IP實名制，對接入內(nèi)網(wǎng)的終端進行有效的控制。3、部署主機賬號管理系統(tǒng)，限制所有終端對主機的訪問只能通過管理系統(tǒng)發(fā)起，并對Telnet、SSH、RDP等訪問過程進行控制、審計，防止終端將數(shù)據(jù)從主機上私自復(fù)制到本地硬盤，防止誤操作。4、部署數(shù)據(jù)賬號管理系統(tǒng)，對數(shù)據(jù)庫訪問工具（PL-SQL）、FTP工具等常用維護工具進行統(tǒng)一的發(fā)布，對前臺數(shù)據(jù)庫訪問操作進行審計記錄，把數(shù)據(jù)包圍在服務(wù)器端。對下載數(shù)據(jù)行為進行嚴(yán)格控制，并對提取的數(shù)據(jù)進行加密處理。5、部署加密系統(tǒng)（DLP），對所有流出數(shù)據(jù)中心的數(shù)據(jù)進行自動加密處理，并對數(shù)據(jù)的產(chǎn)生、扭轉(zhuǎn)、編輯、銷毀進行生命周期管理。6、部署數(shù)據(jù)庫審計系統(tǒng)，對數(shù)據(jù)庫訪問行為進行審計，監(jiān)控敏感數(shù)據(jù)訪問情況，監(jiān)控數(shù)據(jù)庫操作行為，記錄數(shù)據(jù)庫后臺變化情況，事后回查。7、在生產(chǎn)庫與測試庫之間部署數(shù)據(jù)脫敏系統(tǒng)，對從在線庫抽取的數(shù)據(jù)進行自動脫敏，再導(dǎo)入測試庫，避免數(shù)據(jù)泄露。對后臺訪問在線庫的人群進行權(quán)限管理，對訪問的敏感字段進行自動遮罩。8、部署應(yīng)用內(nèi)嵌賬號管理系統(tǒng)，對應(yīng)用系統(tǒng)內(nèi)嵌的特權(quán)賬號進行有效的托管，實現(xiàn)賬號的定期修改、密碼強度、密碼加密等安全策略。9、部署令牌認證系統(tǒng)，對登入數(shù)據(jù)中心區(qū)的用戶使用雙因素認證，確認訪問數(shù)據(jù)中心者的身份，杜絕賬號共用現(xiàn)象。10、部署云計算平臺，為防泄密系統(tǒng)提供良好的運行環(huán)境。云計算平臺提高了系統(tǒng)的可靠性、可擴展性，減少宕機時間，降低維護成本。11、所有系統(tǒng)都采用活動目錄認證，并加以動態(tài)令牌做為雙因素認證，實現(xiàn)對用戶身份的準(zhǔn)確鑒別。IP準(zhǔn)入控制系統(tǒng)現(xiàn)在國內(nèi)外，有很多廠商推出自己的準(zhǔn)入控制系統(tǒng)解決方案，目的就是為了在終端接入網(wǎng)絡(luò)前對其進行安全檢查，只允許合法的用戶接入到網(wǎng)絡(luò)當(dāng)中，避免隨意接入網(wǎng)絡(luò)給系統(tǒng)帶來風(fēng)險。主流的解決方案有兩種方式，旁路部署方式都是基于802.1X的，需要跟交換機做聯(lián)動；串接的部署方式不需要與交換機聯(lián)動，但會給網(wǎng)絡(luò)的通過性與性能帶來挑戰(zhàn)，采用的用戶不多。這些解決方案，在復(fù)雜的中國環(huán)境部署成功的并不多，要么網(wǎng)絡(luò)條件非常好，交換機都支持802.1X，要么網(wǎng)絡(luò)非常扁平化，終端都可以收斂到同一個出口。IP地址管理困難：接入Intranet的計算機設(shè)備都需要一個合法的IP地址，IP地址的分配和管理是一件令網(wǎng)絡(luò)管理人員頭疼的事情，IP地址、MAC地址、計算機名冒用、濫用現(xiàn)象廣泛存在，而管理人員缺乏有效的監(jiān)控手段。局域網(wǎng)上若有兩臺主機IP地址相同，則兩臺主機相互報警，造成應(yīng)用混亂。因此，IP地址盜用與沖突成了網(wǎng)管員最頭疼的問題。當(dāng)幾百臺、甚至上千臺主機同時上網(wǎng)，如何控制IP地址盜用與沖突更是當(dāng)務(wù)之急。在實際中，網(wǎng)絡(luò)管理員為入網(wǎng)用戶分配和提供的IP地址，只有通過客戶進行正確地注冊后才有效。

這為終端用戶直接接觸IP地址提供了一條途徑。由于終端用戶的介入，入網(wǎng)用戶有可能自由修改IP地址。改動后的IP地址在聯(lián)網(wǎng)運行時可導(dǎo)致三種結(jié)果：非法的IP地址，自行修改的IP地址不在規(guī)劃的網(wǎng)段內(nèi)，網(wǎng)絡(luò)呼叫中斷。重復(fù)的IP地址，與已經(jīng)分配且正在聯(lián)網(wǎng)運行的合法的IP地址發(fā)生資源沖突，無法鏈接。非法占用已分配的資源，盜用其它注冊用戶的合法IP地址（且注冊該IP地址的機器未通電運行）聯(lián)網(wǎng)通訊。IPScan能很好的控制非法的IP接入，并對內(nèi)網(wǎng)已有的聯(lián)網(wǎng)IP通過切斷聯(lián)網(wǎng)實現(xiàn)迅速快捷的控制，以很方便的方式實現(xiàn)內(nèi)網(wǎng)安全威脅的最小化。IPScan通過對IP/MAC的綁定，對每個IP地址都可以進行實時的監(jiān)控，一旦發(fā)現(xiàn)非法的IP地址和某個IP地址進行非法操作的時候，都可以及時對這些IP地址進行操作，，有效的防止IP沖突。產(chǎn)品是基于二層（數(shù)據(jù)鏈路層）的設(shè)計理念，可以有效地控制ARP廣播病毒，通過探測ARP廣播包，可以自動阻止中毒主機大量發(fā)送ARP廣播，從而保證了內(nèi)網(wǎng)的安全。通過實現(xiàn)IP地址的綁定，從而變相的實現(xiàn)了網(wǎng)絡(luò)實名制，在接入網(wǎng)絡(luò)的終端都被授予唯一的IP地址，在網(wǎng)絡(luò)中產(chǎn)生的所有日志將會變得非常有意義，它可以關(guān)聯(lián)到是哪一個終端哪一個用戶，能讓安全日志產(chǎn)生定責(zé)的作用。防泄密技術(shù)的選擇國外有良好的法律環(huán)境，內(nèi)部有意泄密相對極少，對內(nèi)部人員確認為可信，數(shù)據(jù)泄露主要來自外部入侵和內(nèi)部無意間的泄密。因此，國外DLP（數(shù)據(jù)防泄漏）解決方案主要用來防止外部入侵和內(nèi)部無意間泄密，可以解決部分問題，但無法防止內(nèi)部主動泄密，只能更多地依賴管理手段。而國內(nèi)環(huán)境，法律威懾力小，追蹤難度大，泄密者比較容易逃脫法律制裁，犯罪成本比較?。煌瑫r，國內(nèi)各種管理制度不完善，內(nèi)部人員無意間泄密的概率也比較大。國內(nèi)DLP以加密權(quán)限為核心，從主動預(yù)防的立足點來防止數(shù)據(jù)泄露，對數(shù)據(jù)進行加密，從源頭上進行控制。即使內(nèi)部數(shù)據(jù)流失到外部，也因為已被加密而無法使用，從而保證了數(shù)據(jù)的安全。所以國內(nèi)DLP既能防止內(nèi)部泄密（包括內(nèi)部有意泄密和無意泄密），同時也能防止外部入侵竊密。主機賬號生命周期管理系統(tǒng)XXX用戶局越來越多的業(yè)務(wù)外包給系統(tǒng)提供商或者其他專業(yè)代維公司，這些業(yè)務(wù)系統(tǒng)涉及了大量的公民敏感信息。如何有效地監(jiān)控第三方廠商和運維人員的操作行為，并進行嚴(yán)格的審計是用戶現(xiàn)在面臨的一個挑戰(zhàn)。嚴(yán)格的規(guī)章制度只能約束一部分人的行為，只有通過嚴(yán)格的權(quán)限控制和操作審計才能確保安全管理制度的有效執(zhí)行，在發(fā)生安全事件后，才能有效的還原事故現(xiàn)場，準(zhǔn)確的定位到責(zé)任人。主機賬號生命周期管理系統(tǒng)能幫助用戶建立集中的和統(tǒng)一的主機運維管理平臺，實現(xiàn)自動化的監(jiān)控審計，對所有維護人員和支持人員的操作行為（Telnet、SSH、RDP、FTP、SFTP、VNC、KVM等協(xié)議）進行監(jiān)控和跟蹤審計，（實現(xiàn)對所有登錄系統(tǒng)的人員的所有操作進行全面行為過程審計，達到對所訪問主機的操作行為進行采集，以便實時監(jiān)控和事后回放分析、重現(xiàn)和檢索，以最大限度地減少運行事故、降低運行風(fēng)險、進行責(zé)任追溯，不可抵賴。同時提供直觀的問題報告工具），防止敏感數(shù)據(jù)從物理層被竊取。按照規(guī)定，一段時間內(nèi)必須修改一次主機及數(shù)據(jù)庫的密碼，以符合安全性要求，往往這些密碼太多，修改一次也費時費力，還經(jīng)常出現(xiàn)root密碼修改后忘記的情況。很多時候，維護人員為了方便記憶密碼，將密碼記錄在一個文件里，以明文方式保存在電腦上，即使文件加了個簡單的密碼，一旦這些數(shù)據(jù)泄漏，后果不堪設(shè)想?，F(xiàn)在可采用主機賬號生命周期管理系統(tǒng)進行密碼托管，可以設(shè)定定期自動修改主機密碼，不用人工干預(yù)了。既提高了信息安全工作的效率，又降低了管理成本，還降低了安全風(fēng)險。數(shù)據(jù)庫賬號生命周期管理系統(tǒng)目前，XXX用戶的支持人員及第三方維護人員都是采用PL/SQL等工具對在線庫或離線庫進行直接操作，有的是通過業(yè)務(wù)系統(tǒng)的某些模塊直接操作數(shù)據(jù)庫，導(dǎo)致敏感數(shù)據(jù)可以直接被編輯、刪除，無法對其進行集中控制。針對這種情況，目前較有效的解決方案是通過數(shù)據(jù)庫賬號生命周期管理系統(tǒng)來實現(xiàn)。通過賬號生命周期管理系統(tǒng)的虛擬化技術(shù)，將有高風(fēng)險的操作工具發(fā)布出來（如PL/SQL、業(yè)務(wù)系統(tǒng)的主界面、C/S架構(gòu)系統(tǒng)的客戶端等），客戶端零安裝，用戶對程序遠程調(diào)用，避免真實數(shù)據(jù)的傳輸和漏泄，能實現(xiàn)避免數(shù)據(jù)的泄露、對重要操作進行全程跟蹤審計、對重要命令進行預(yù)警。系統(tǒng)禁止所有操作終端與服務(wù)器之間的數(shù)據(jù)復(fù)制操作，但操作人員經(jīng)常需要復(fù)制一段代碼或腳本到PL/SQL里面進行查詢操作，如果是用手敲，勢必會影響工作效率。這里就要求數(shù)據(jù)庫賬號生命周期管理系統(tǒng)具備單向數(shù)據(jù)流的控制，只允許從終端復(fù)制數(shù)據(jù)到系統(tǒng)，禁止從系統(tǒng)上復(fù)制數(shù)據(jù)到本地磁盤，這樣既保留了用戶的使用習(xí)慣，又達到了安全的目的。如果支持人員要把數(shù)據(jù)保存到本地終端上進行二次處理，需要將文件導(dǎo)出到指定的存儲路徑上，文件產(chǎn)生后會被自動加密處理，支持人員可以在指定的路徑下載加密的文件到本地磁盤，并進行后期的二次處理，同時在存儲上保留有文件副本備查。如果支持人員需要把修改好的數(shù)據(jù)上傳應(yīng)用系統(tǒng)中或主機中，需要將文件導(dǎo)入到指定的存儲路徑上，文件上傳后會被自動解密處理，即可被應(yīng)用系統(tǒng)或主機正常識別。雙因素認證系統(tǒng)目前，系統(tǒng)中的主機賬號共用情況比較普遍，一個賬號多個人使用，這就造成了事后難以定責(zé)的尷尬局面，而且靜態(tài)的口令也容易被獲取。為了杜絕這種現(xiàn)象，可采用雙因素認證系統(tǒng)加強身份認證的管理。傳統(tǒng)的方式是在每臺需要保護的主機、數(shù)據(jù)庫上啟用Agent，如果主機數(shù)量很多的話，配置工作量很大，維護起來很繁瑣。我們推薦給XXX用戶局的解決方案是將令牌認證系統(tǒng)與主機賬號生命周期管理系統(tǒng)結(jié)合做雙因素認證，大大減少了配置工作量的同時，還滿足了系統(tǒng)安全性要求。另外，對于所有重要的業(yè)務(wù)系統(tǒng)、安全系統(tǒng)，都應(yīng)該采用雙因素認證，以避免賬號共用情況，發(fā)生安全事件后，能準(zhǔn)確的定責(zé)。數(shù)據(jù)庫審計系統(tǒng)審計系統(tǒng)在整個系統(tǒng)中起到一個很好的補充作用。數(shù)據(jù)庫賬號生命周期管理系統(tǒng)雖然會記錄所有操作數(shù)據(jù)庫的行為，但他只是記錄前臺的操作過程，但對于發(fā)生安全事件后快速定位、還原整個事件過程還是有些欠缺。專業(yè)數(shù)據(jù)庫審計系統(tǒng)會對數(shù)據(jù)庫操作進行審計，記錄數(shù)據(jù)庫的日常操作行為，記錄敏感數(shù)據(jù)的訪問、修改行為，會精確了每一個字符。在安全事件發(fā)生后，可以精確的使用操作命令來檢索需要審計的信息，甚至可以組合幾條信息來精確定位，提高了審計的效率。它可以對數(shù)據(jù)庫發(fā)生的所有變化進行回放，讓用戶知道重要操作后數(shù)據(jù)庫返回了什么樣的結(jié)果、發(fā)生了什么變化，可以很好的幫助用戶恢復(fù)整個事件的原始軌跡，有助于還原參數(shù)及取證。并可可以深入到應(yīng)用層協(xié)議（如操作命令、數(shù)據(jù)庫對象、業(yè)務(wù)操作過程）實現(xiàn)細料度的安全審計，并根據(jù)事先設(shè)置的安全策略采取諸如產(chǎn)生告警記錄、發(fā)送告警郵件（或短信）、提升風(fēng)險等級。數(shù)據(jù)脫敏系統(tǒng)在我們的用戶系統(tǒng)里面，存在著大量的敏感信息：公民數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等，業(yè)務(wù)系統(tǒng)軟件開發(fā)的最后階段，是需要盡量真實的數(shù)據(jù)來作為基礎(chǔ)測試軟件的一系列功能。尤其是用戶系統(tǒng)這樣的大型系統(tǒng)實施或開發(fā)的時候，對于基礎(chǔ)數(shù)據(jù)的要求很嚴(yán)格，很多時候都是直接克隆生產(chǎn)環(huán)境的數(shù)據(jù)來進行軟件系統(tǒng)的測試，但是隨之而來的影響卻是深遠的，生產(chǎn)數(shù)據(jù)中，首先它是一個真實的數(shù)據(jù)，透過數(shù)據(jù)基本上掌握了整個數(shù)據(jù)庫的資料。其次，在這當(dāng)中包含很多敏感數(shù)據(jù)，不光是敏感數(shù)據(jù)，而且還是真實的敏感數(shù)據(jù)。如果在測試環(huán)境中發(fā)生了信息泄露問題，那么對于用戶數(shù)據(jù)安全將造成致命的后果。近年來，政府行業(yè)重大的敏感數(shù)據(jù)泄漏事件時有發(fā)生，如下圖所示：核心數(shù)據(jù)脫敏模塊的建設(shè)基于動態(tài)數(shù)據(jù)脫敏技術(shù)，通常是應(yīng)用于生產(chǎn)系統(tǒng)，當(dāng)對數(shù)據(jù)庫提出讀取數(shù)據(jù)的請求時，動態(tài)數(shù)據(jù)脫敏按照訪問用戶的角色執(zhí)行不同的脫敏規(guī)則。如下圖所示：授權(quán)用戶可以讀取完整的原始數(shù)據(jù)，而非授權(quán)用戶只能看到脫敏后的數(shù)據(jù)。應(yīng)用內(nèi)嵌賬號管理系統(tǒng)復(fù)雜的IT環(huán)境，在其中包含過個腳本，進程，應(yīng)用程序需要訪問多個平臺的資源和數(shù)據(jù)庫中存取敏感信息。為了更好地訪問這些資源，應(yīng)用程序和腳本會利用數(shù)據(jù)庫上的帳號去獲取數(shù)據(jù)，有些帳號只有只讀權(quán)限，還有些帳號具有讀寫權(quán)限。保護、管理和共享這類與應(yīng)用程序相關(guān)的帳號成為了IT部門或者應(yīng)用負責(zé)人的巨大挑戰(zhàn)，也是放在用戶面前的審計難題。調(diào)查表明42%的用戶從不修改嵌入在應(yīng)用程序內(nèi)的帳號密碼。這是一個嚴(yán)重的安全風(fēng)險，并且明顯地違背了許多法律法規(guī)的要求，同樣也是直接導(dǎo)致運維效率低下的主要原因。應(yīng)用程序的內(nèi)嵌帳號通常也是具有非常高的權(quán)限的，可以毫無控制地訪問后端系統(tǒng)。如果該帳號不有效管理起來，勢必帶來繞開常規(guī)管理流程的非法訪問。以上圖的Billing系統(tǒng)為例，前端Bill應(yīng)用通過內(nèi)置的數(shù)據(jù)庫用戶連接數(shù)據(jù)庫，用以更新數(shù)據(jù)庫中相關(guān)記錄。非授權(quán)的第三方人員一旦知曉該密碼，則可以肆無忌憚地進入數(shù)據(jù)庫，刪除記錄，修改數(shù)據(jù)。如上描述，嵌入在應(yīng)用程序中的密碼會帶來如下安全風(fēng)險：密碼不定期修改：為了獲得更高的安全水平，密碼需要定期修改。而應(yīng)用程序內(nèi)嵌密碼其密碼修改過程非常復(fù)雜，因為密碼會被寫入在應(yīng)用程序的多處。運維人員和開發(fā)人員都知曉應(yīng)用密碼：由于應(yīng)用程序密碼被嵌入在程序中，并且不會定期修改，所以通常密碼在IT運維人員和開發(fā)人員整個企業(yè)中是共享的，特別還包括離職員工以及外包人員。密碼強度不夠：由于密碼是IT運維人員或者開發(fā)人員手工創(chuàng)建的，為了能夠應(yīng)對緊急情況，這些密碼盡量定義地簡單，便于能夠記憶。這將導(dǎo)致企業(yè)特權(quán)帳號密碼的策略不合規(guī)。密碼存儲在明文中：嵌入的密碼在配置文件或者源代碼中是明文存儲的，有時密碼也不符合強度要求。所以這些密碼很容易被訪問到源代碼和配置文件的人員獲得。對應(yīng)用程序內(nèi)嵌密碼缺乏審計：在緊急情況下，IT運維人員和開發(fā)人員都需要使用應(yīng)用程序密碼，現(xiàn)有的密碼方案無法提供相應(yīng)的使用記錄的控制和審計。審計與合規(guī)：無法保護應(yīng)用程序帳號，審計其使用記錄會違法安全標(biāo)準(zhǔn)和法規(guī)，并且導(dǎo)致無法通過內(nèi)審和外審要求。應(yīng)用程序帳號管理常見需求如之前章節(jié)描述，由于應(yīng)用程序密碼濫用狀況引起了安全與合規(guī)性風(fēng)險。擁有了應(yīng)用程序就可以訪問企業(yè)的核心應(yīng)用，為了成功地控制這些應(yīng)用帳號，所選擇的解決方案必須滿足如下要求：安全需求：1.加密：應(yīng)用程序密碼必須存儲在安全的場所，無論是存儲，還是被傳送至應(yīng)用程序，密碼必須被加密。2.訪問控制：必須有很強的訪問控制作用在密碼使用之上，嚴(yán)格限定能夠訪問密碼的人員或者是應(yīng)用程序3.審計：能夠快速審計到任何訪問密碼的活動，包括個人訪問記錄。4.高可用性：相應(yīng)的應(yīng)用程序無法接受宕機時間。應(yīng)用程序始終能夠訪問這些密碼，不管是在網(wǎng)絡(luò)連接的問題或者存儲發(fā)生故障。管理需求：1.廣泛的平臺支持性：一個企業(yè)一般會擁有不同類型的系統(tǒng)、應(yīng)用和腳本等。為了能夠支持企業(yè)中不同應(yīng)用的需求，應(yīng)用程序密碼管理方案必須支持如下廣泛平臺：a)腳本–Shell,Perl,bat,Sqlplus,JCL等b)應(yīng)用程序–自定義開發(fā)的C/C++應(yīng)用程序，Java，.NET，Cobol等，也有一些諸如Oracle，SAP的商業(yè)系統(tǒng)c)應(yīng)用服務(wù)器–大部分企業(yè)至少會擁有常見應(yīng)用服務(wù)器的一款：比如IBMWebSphere,OracleWebLogic，JBOSS或者Tomcat2.簡單和靈活的整合：改變應(yīng)用消除硬編碼密碼的方式應(yīng)該簡單明了。整個方式應(yīng)該簡化和縮短應(yīng)用程序向動態(tài)密碼管理遷移的周期。3.支持復(fù)雜的分布式環(huán)境：大型企業(yè)中分布式系統(tǒng)非常多見。例如，一個集中的數(shù)據(jù)中心和多很分支機構(gòu)運行著連接到中心的應(yīng)用程序。網(wǎng)絡(luò)連接不是時時刻刻可靠的，偶爾也會斷網(wǎng)或發(fā)生震蕩，所以企業(yè)應(yīng)用程序的高可用性是非常重要的，方案應(yīng)該允許分支機構(gòu)在連接到總部的網(wǎng)絡(luò)發(fā)生故障時，依舊能夠運行良好。預(yù)設(shè)賬號口令管理系統(tǒng)通地在改變業(yè)務(wù)系統(tǒng)請求預(yù)設(shè)帳號方式，由傳統(tǒng)的應(yīng)用內(nèi)置帳號密碼，更改為向預(yù)設(shè)賬號口令管理系統(tǒng)發(fā)起預(yù)設(shè)帳號密碼請求，通過對網(wǎng)絡(luò)傳輸中的請求、返回數(shù)據(jù)進行加密，對請求源進行認證與授權(quán)的方式，安全保證最新的帳號密碼信息的供應(yīng)。云計算平臺目前，大多數(shù)用戶的數(shù)據(jù)中心都部署了VMware的云計算平臺，這個平臺可以很好的融入到信息安全體系當(dāng)中。賬號生命周期管理系統(tǒng)、加密系統(tǒng)、雙因素認證系統(tǒng)、活動目錄、內(nèi)嵌賬號管理、數(shù)據(jù)脫敏系統(tǒng)、統(tǒng)一安全運營平臺、文件服務(wù)器都是標(biāo)準(zhǔn)軟件應(yīng)用，都可以跑在VMware云計算平臺上。利用VMware可以方便的對信息安全子系統(tǒng)做快照、系統(tǒng)遷移、系統(tǒng)擴容等，在發(fā)生故障時可快速恢復(fù)系統(tǒng)，為信息安全系統(tǒng)提供了良好的支撐平臺，降低了宕機時間，降低了維護成本，提高了工作效率。防火墻在數(shù)據(jù)中心部署獨立高性能防火墻，利用防火墻邏輯隔離出兩個區(qū)域，一個是內(nèi)部核心服務(wù)器及數(shù)據(jù)庫區(qū)域（數(shù)據(jù)中心區(qū)），一個是信息安全系統(tǒng)及其他對外服務(wù)器區(qū)域（DMZ非軍事區(qū)）。在主機賬號生命周期管理系統(tǒng)上線運行后，數(shù)據(jù)中心防火墻需要配置安全策略，對FTP、SSH、Telnet、RDP以及所有未使用的端口進行封閉，禁止任何外部終端對數(shù)據(jù)中心主機直接發(fā)起有效連接，禁止終端直接接觸數(shù)據(jù)中心的資產(chǎn)，只允許其通過管理系統(tǒng)來訪問數(shù)據(jù)中心，但允許數(shù)據(jù)中心內(nèi)部主機之間的互相連接。在數(shù)據(jù)庫賬號生命周期管理系統(tǒng)上線運行后，數(shù)據(jù)中心防火墻需要做安全策略，對數(shù)據(jù)庫端口進行封閉，禁止任何外部終端直接采用數(shù)據(jù)庫工具操作數(shù)據(jù)庫，但允許數(shù)據(jù)中心內(nèi)部主機之間的數(shù)據(jù)同步。統(tǒng)一安全運營平臺隨著信息架構(gòu)與應(yīng)用系統(tǒng)日漸龐大，現(xiàn)行IT架構(gòu)中，早已不是單一系統(tǒng)或是單一設(shè)備的單純環(huán)境，系統(tǒng)中往往擁有各種安全設(shè)備、主機設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、中間件數(shù)據(jù)庫等等，每天產(chǎn)生巨大的日志文件，即使是派專人都無法處理過來，一個安全事件的追查，對于結(jié)合異質(zhì)系統(tǒng)、平臺的問題上，卻又需要花費大量的人力時間，對于問題解決的時間花費與異構(gòu)平臺問題查找，都無法有效管理與降低成本。統(tǒng)一安全運營平臺可從單一位置實時搜尋、報警及報告任何使用者、網(wǎng)絡(luò)、系統(tǒng)或應(yīng)用程序活動、配置變更及其它IT數(shù)據(jù)。消除設(shè)置多重主控臺的需要，從單一位置即可追查攻擊者的行蹤?，F(xiàn)在可以執(zhí)行更為深入的分析，并更快速而徹底地予以回應(yīng)，降低風(fēng)險及危險暴露的程度。意外事件回應(yīng)在接獲任何可疑活動的報警或報告時，統(tǒng)一安全運營平臺將會是第一個處理的窗口。只需在統(tǒng)一安全運營平臺搜尋框中輸入你所掌握的詳細數(shù)據(jù)，包括IDS報警的來源及目標(biāo)IP，或是認為其私人數(shù)據(jù)已外泄的客戶賬戶ID即可。統(tǒng)一安全運營平臺會立即傳回整個網(wǎng)絡(luò)中所有應(yīng)用程序、主機及裝置中，與該搜尋條件有關(guān)的每一事件。雖然開始傳回的數(shù)據(jù)非常多，但統(tǒng)一安全運營平臺可協(xié)助用戶理出頭緒，并依照所希望的方式加以整理。其會自動擷取及讓用戶篩選時間及其它字段、依據(jù)關(guān)鍵詞及模式將事件分類，因此用戶可快速處理完所有的活動數(shù)據(jù)。若用戶發(fā)現(xiàn)值得注意的事件，并希望加以追蹤，僅要點擊任何名詞，即可針對所點擊的詞匯執(zhí)行新搜尋。正因為統(tǒng)一安全運營平臺可為任何IT數(shù)據(jù)制作索引－而不僅是安全性事件或日志文件，因此用戶只需使用統(tǒng)一安全運營平臺，即可掌握全盤狀況。用戶可在此單一位置中，搜尋及發(fā)現(xiàn)攻擊者當(dāng)下可能執(zhí)行的程序、過去執(zhí)行的程序，并查看其可能已修改的配置變更。安全性監(jiān)控統(tǒng)一安全運營平臺可讓用戶非常容易跨越IT束縛監(jiān)控安全性事件；搜尋用戶路由器及防火墻日志文件中的數(shù)據(jù)流違反情況，尋找服務(wù)器及應(yīng)用程序上的違反情況，或是尋找未經(jīng)授權(quán)或不安全的配置變更。運用統(tǒng)一安全運營平臺的趨勢分析、分類及執(zhí)行識別功能，即可快速識別極為復(fù)雜的使用情況，例如可疑的執(zhí)行及模式，或是網(wǎng)絡(luò)活動的變化。報警功能可透過電子郵件、RSS、短信或觸發(fā)腳本寄送通知，可輕易與用戶現(xiàn)有的監(jiān)控主控臺整合。報警還能觸發(fā)自動化動作，以便立即響應(yīng)特定狀況，譬如命令防火墻封鎖入侵者日后的數(shù)據(jù)流。變更偵測通過統(tǒng)一安全運營平臺，可持續(xù)監(jiān)測所有路徑上的檔案，無須另行部署其它代理程序。每次在用戶所監(jiān)控的路徑上加入、變更或刪除檔案時，統(tǒng)一安全運營平臺皆會記錄一個事件。用戶也可以讓統(tǒng)一安全運營平臺在每次整體檔案有所變更時，皆為其制作快照索引。若已部署專用的變更監(jiān)控工具，亦無影響，只要使用統(tǒng)一安全運營平臺為其所記錄的事件制作索引，代替直接監(jiān)控變更即可。無論來源為何，只要索引中的數(shù)據(jù)變更，用戶就會接獲重大配置設(shè)定變更的警示，并能輕易追蹤配置變更的錯誤癥結(jié)原因。安全性報告統(tǒng)一安全運營平臺為用戶提供單一位置，可跨越所有的IT基礎(chǔ)結(jié)構(gòu)及技術(shù)產(chǎn)生報告，包括跨越所有服務(wù)器、設(shè)備及應(yīng)用程序，為安全性事件、效能統(tǒng)計數(shù)據(jù)及配置變更提供報告，并使用趨勢圖表及摘要辨識異常及可疑變化。其報告采用交互式能讓用戶深入發(fā)掘，以了解問題的原因及影響。使用統(tǒng)一安全運營平臺可傳達用戶基礎(chǔ)結(jié)構(gòu)的安全性基本原則、檢查存取控制，或是密切監(jiān)視使用者的行為，并為用戶的客戶、管理階層或同事制作自動化的調(diào)度報表，或產(chǎn)生特定操作的報告。然后將報告結(jié)果列在儀表板上，為用戶組織中的資產(chǎn)管理人提供應(yīng)用程序及系統(tǒng)的實時檢查，以增加對狀況的掌握能力。安全運維服務(wù)漏洞掃描服務(wù)：漏洞掃描結(jié)果、對比分析報告、漏洞情況匯總表系統(tǒng)加固服務(wù)：系統(tǒng)加固和優(yōu)化解決方案，系統(tǒng)加固實施報告（輔助）基線評估：對目標(biāo)系統(tǒng)進行最小安全策略評估安全滲透測試服務(wù)：滲透測試方案，滲透測試報告安全設(shè)備巡檢服務(wù)：巡檢規(guī)范、巡檢報告系統(tǒng)安全評審服務(wù)：系統(tǒng)安全審核報告（安全策略）安全顧問咨詢服務(wù)：信息安全咨詢、安全規(guī)劃、解決方案咨詢。安全事件響應(yīng)：安全事件報告安全駐點服務(wù)：提供周報、月報、安全系統(tǒng)日常運維操作安全項目實施：調(diào)研、訪談、業(yè)務(wù)需求實施效果各安全子系統(tǒng)上線后，給數(shù)據(jù)中心的安全管理來帶明顯的效果，對終端、用戶、賬號、主機、網(wǎng)絡(luò)、中間件、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、安全管理等各個層面進行有效的補充，形成一個縱深的防御體系，并結(jié)合日常的安全運維服務(wù)，讓安全體系維持更新與運作，對安全事件有主動預(yù)防及事后回查的效果。針對終端接入的管理完整掌控企業(yè)內(nèi)部所有IP/MAC地址資源，自動收集、偵測IP/MAC地址。提供在線、離線、未使用及未授權(quán)IP地址使用者的信息。基于Layer2(MAC層)及Layer3(IP層)阻斷網(wǎng)絡(luò)設(shè)備接入。自動阻斷未授權(quán)MAC地址使用者接入網(wǎng)絡(luò)。自動阻斷未授權(quán)IP地址使用者接入網(wǎng)絡(luò)。具備IP與MAC地址綁定功能，自動阻斷非授權(quán)綁定的使用者接入網(wǎng)絡(luò)。自動檢測IP地址沖突，并自動阻斷非授權(quán)該IP使用者接入網(wǎng)絡(luò)。提供對重要應(yīng)用系統(tǒng)設(shè)備IP地址的保護能力。提供網(wǎng)絡(luò)上IP/MAC地址詳細信息的功能。自動探測并阻斷網(wǎng)絡(luò)上未授權(quán)的DHCP服務(wù)器。具備偵測并阻斷未授權(quán)設(shè)備（如無線AP）。內(nèi)建SecuredDHCP功能（具備IP/MAC地址管理功能，防止靜態(tài)IP地址與DHCPIP范圍沖突）具備硬件網(wǎng)絡(luò)設(shè)備偵測功能。支持外部數(shù)據(jù)的導(dǎo)入等聯(lián)動功能。支持多重VLAN。Server與數(shù)據(jù)庫具備冗余功能。提供異常EventLog及報表功能?？奢敵鯡xcel文件形式提供各種情況的信息CSV、HTML、Txt文件輸出。提供API接口做第三方的拓展性開發(fā)。針對敏感數(shù)據(jù)的使用管理根據(jù)用戶的不同級別，可以設(shè)置文件的不同使用權(quán)限和期限；實時監(jiān)控敏感文件使用者使用文件的情況；防止用戶非法拷貝、復(fù)制、打印、下載文件；防止用戶通過電子郵件、移動硬盤、優(yōu)盤、軟盤等泄密；防止屏幕拷貝，屏幕錄制等使用第三方軟件非法操作；可以從服務(wù)器端及時控制加密文件的使用權(quán)限及期限；可以進行用戶、用戶組、安全策略的管理；根據(jù)工作流程建立策略，對用戶權(quán)限實現(xiàn)模塊化設(shè)置；可以把用戶的密鑰，權(quán)限與指定的臺式機，筆記本電腦進行綁定，實現(xiàn)離線瀏覽；可以把用戶的密鑰，權(quán)限與指定的USB鎖進行綁定，實現(xiàn)離線瀏覽；可以控制用戶的閱讀，打印次數(shù)；結(jié)合水印技術(shù)可以查找文件泄密渠道；針對敏感數(shù)據(jù)的訪問管理采用SQLProxy技術(shù)，動態(tài)攔截SQL命令，并按照數(shù)據(jù)脫敏規(guī)則對SQL命令進行調(diào)整，不需更改和另行轉(zhuǎn)換數(shù)據(jù)庫實際內(nèi)容。可依據(jù)“數(shù)據(jù)庫、數(shù)據(jù)表、和字段名稱”定義數(shù)據(jù)自動脫敏規(guī)則，并可以使用數(shù)據(jù)庫自帯的內(nèi)置函數(shù)，定制數(shù)據(jù)脫敏規(guī)則。數(shù)據(jù)脫敏規(guī)則支持：部分脫敏（例如：姓名“王大名>王某某”）隱藏脫敏（例如：密碼>“confidential”）依據(jù)“特定條件”進行脫敏（例如：根據(jù)A字段的內(nèi)容，來決定是否對B字段進行脫敏）脫敏使用的字符，支持中英文各種標(biāo)準(zhǔn)字符；可對英文數(shù)字主鍵值數(shù)據(jù)（如：身份證號碼）進行脫敏，并使應(yīng)用系統(tǒng)的主鍵值關(guān)聯(lián)查詢功能仍維持正常，不會因主鍵值脫敏后查不到資料。支持“*、？”等萬用字符，可以彈性設(shè)定數(shù)據(jù)庫表和字段的名稱；支持“中英文編碼”脫敏功能，支持BIG5與UNICODE編碼，不會因字符編碼長度不同而導(dǎo)致中文脫敏后產(chǎn)生亂碼。可按照“數(shù)據(jù)庫用戶、連接數(shù)據(jù)庫的應(yīng)用系統(tǒng)名稱、主機名稱、時間、SQL命令關(guān)鍵字等多條件組合，來定義不同的脫敏規(guī)則。針對主機設(shè)備訪問的管理建立UNIX類服務(wù)器、LINUX類服務(wù)器、Windows類服務(wù)器、網(wǎng)絡(luò)\安全等重要設(shè)備的統(tǒng)一操作管理平臺，統(tǒng)一操作管理入口，并對用戶操作管理等網(wǎng)絡(luò)訪問行為進行控制，避免用戶直接接觸目標(biāo)服務(wù)器重要資源，構(gòu)建安全規(guī)范的服務(wù)器操作管理唯一通道。準(zhǔn)確識別用戶操作意圖，識別用戶輸入操作命令，并對用戶操作進行限制。操作限制支持時間、用戶原始IP地址、目標(biāo)服務(wù)器地址、用戶名稱、系統(tǒng)帳號、使用的命令等策略因子。對高危命令要能自動阻斷命令的執(zhí)行，對越權(quán)操作行為要能及時警告。用戶通過SSH、TELNET、RDP、X-WINDOW、VNC、FTP、SFTP、SCP等方式在服務(wù)器上的所有操作行為，都能做到全記錄、全審計。在審計對象出現(xiàn)故障或有管理事故時，審計管理系統(tǒng)可以快速、準(zhǔn)確的定位查詢相關(guān)日志。回放事件的整個過程，用以問題的解決和責(zé)任認定。在服務(wù)器上所有的字符命令操作日志，都可以與第三方的syslog日志分析系統(tǒng)做無縫結(jié)合。不在服務(wù)器上安裝任何代理軟件，設(shè)備的部署不影響企業(yè)正常的業(yè)務(wù)數(shù)據(jù)流，不會發(fā)生正常業(yè)務(wù)流單點故障。不會更改現(xiàn)有的網(wǎng)絡(luò)拓撲，不會改變用戶的使用習(xí)慣支持現(xiàn)有標(biāo)準(zhǔn)TELNET、SSH、SFTP、FTP、RDP等客戶端，不需安裝任何第三方特殊功能客戶端，不需要特殊客戶端軟件和本產(chǎn)品配合使用。日志可以長期保存，以備日后查詢審計。針對數(shù)據(jù)庫訪問的管理數(shù)據(jù)庫賬號生命周期管理系統(tǒng)可以實現(xiàn)資源的統(tǒng)一，無論B/S、C/S架構(gòu)應(yīng)用（如PL/SQL），還是其他計算機資源，都可以采用統(tǒng)一的瀏覽器方式發(fā)布，構(gòu)建統(tǒng)一應(yīng)用門戶，提高用戶訪問體驗，做到快速部署新增應(yīng)用系統(tǒng)；統(tǒng)一的應(yīng)用發(fā)布平臺，統(tǒng)一的應(yīng)用訪問門戶，統(tǒng)一的接入方式，方便的應(yīng)用權(quán)限管理，支持單點登錄及雙因素認證，一次登錄后用戶可以直觀的看到自己所能訪問的應(yīng)用資源；數(shù)據(jù)采用集中方式管理，讓用戶自由選擇網(wǎng)點及設(shè)備進行應(yīng)用訪問，只有鼠標(biāo)、鍵盤、屏幕數(shù)據(jù)經(jīng)過網(wǎng)絡(luò)，大大加強了數(shù)據(jù)中心的安全性，杜絕泄密。由于網(wǎng)絡(luò)中不走實際應(yīng)用數(shù)據(jù)，所以對帶寬的需求是固定的（一個終端100K即可），能夠有效降低訪問帶寬，合理利用帶寬資源；可以方便的控制方便的控制訪問數(shù)據(jù)庫賬號生命周期管理系統(tǒng)的客戶端權(quán)限，如：本地打印、添加本地設(shè)備、映射本地目錄、虛擬化目錄訪問、訪問時間等；復(fù)雜的應(yīng)用結(jié)構(gòu)往往對終端的要求越來越高，如安裝眾多的插件、眾多的應(yīng)用端口、兼容性問題、C/S架構(gòu)導(dǎo)致終端運行緩慢、終端補丁升級、終端病毒感染、機器的老化等，維護的成本越來越高，數(shù)據(jù)庫賬號生命周期管理系統(tǒng)的建立，對終端的要求是只需要瀏覽器，對終端的配置及系統(tǒng)環(huán)境沒有太多要求，大大降低了維護的成本，并且只需要開放80端口，防火墻的配置不需要再經(jīng)常變化，加強了安全性，降低了管理成本；方便的監(jiān)控應(yīng)用訪問情況，對終端的應(yīng)用訪問過程進行有效監(jiān)控，并對訪問行為進行審計記錄；針對數(shù)據(jù)庫的審計數(shù)據(jù)庫不安全配置；數(shù)據(jù)庫潛在弱點；數(shù)據(jù)庫用戶弱口令；數(shù)據(jù)庫軟件補丁層次；數(shù)據(jù)庫潛藏木馬等等。能夠針對TNS、TDS等協(xié)議進行解析還原，包括數(shù)據(jù)訪問的各項要素，如執(zhí)行的SQL命令、請求內(nèi)容、包長度、操作回應(yīng)、作用數(shù)量、執(zhí)行時長；以及客戶端及主機端IP、MAC地址、客戶端操作系統(tǒng)用戶名、主機名、端口、工具、及數(shù)據(jù)庫登錄用戶名、服務(wù)標(biāo)識等內(nèi)容。針對于數(shù)據(jù)庫的操作行為進行實時檢測，根據(jù)預(yù)設(shè)置的風(fēng)險控制策略，結(jié)合對數(shù)據(jù)庫活動的實時監(jiān)控信息，進行特征檢測，任何嘗試的攻擊操作都會被檢測到并進行阻斷或告警。不僅支持對數(shù)據(jù)請求的報文進行審計，同時應(yīng)對請求的返回結(jié)果進行審計，如操作回應(yīng)、作用數(shù)量、執(zhí)行時長等內(nèi)容，并能夠根據(jù)返回的回應(yīng)進行審計策略定制。提供全方位的多層（應(yīng)用層、中間層、數(shù)據(jù)庫層）的訪問審計，通過多層業(yè)務(wù)審計可實現(xiàn)數(shù)據(jù)操作原始訪問者的精確定位。提供針對用戶（數(shù)據(jù)庫）、表、字段、操作的審計規(guī)則；提供對存儲過程、函數(shù)、包的審計規(guī)則；提供對視圖、索引的審計規(guī)則；精細到表、字段、具體報文內(nèi)容的細粒度審計規(guī)則，實現(xiàn)對敏感信息的精細監(jiān)控；基于IP地址、MAC地址和端口號審計；提供可定義作用數(shù)量動作門限，如SQL操作返回的記錄數(shù)或受影響的行數(shù)大于等于此值時觸發(fā)策略設(shè)定；提供可設(shè)定關(guān)聯(lián)表數(shù)目動作門限，如SQL操作涉及表的個數(shù)大于等于此值時觸發(fā)策略設(shè)定；可根據(jù)SQL執(zhí)行的時間長短設(shè)定規(guī)則；如命令執(zhí)行時長超過30秒進行告警；可根據(jù)SQL執(zhí)行的結(jié)果設(shè)定規(guī)則；支持多級部署環(huán)境下數(shù)據(jù)查詢；支持多級管理下審計規(guī)則分發(fā)；可預(yù)設(shè)置安全策略；告警（郵件、短信、SYSLOG、SNMP、屏幕）。提供詳細的操作記錄查詢，包括庫、表、字段、具體報文內(nèi)容查詢；提供所有或單個數(shù)據(jù)庫登錄用戶、源IP、目的IP的審計規(guī)則統(tǒng)計、特征告警、對象訪問、請求統(tǒng)計等報表功能，并提供用戶自定義報表功能；能夠自動導(dǎo)出WORD、PowerPoint、PDF等各種格式文件；支持點線圖、柱狀圖、餅圖等圖文并茂式報表展現(xiàn)；支持訪問數(shù)據(jù)的趨勢分析；根據(jù)三權(quán)分立的原則和要求進行職、權(quán)分離，對系統(tǒng)本身進行分角色定義，如管理員只負責(zé)完成設(shè)備的初始配置，規(guī)則配置員只負責(zé)審計規(guī)則的建立，審計員只負責(zé)查看相關(guān)的審計結(jié)果及告警內(nèi)容；日志員只負責(zé)完成對系統(tǒng)本身的用戶操作日志管理。根據(jù)事件發(fā)生的時間、用戶、訪問方式（客戶端、TELNET、FTP）、用戶IP、服務(wù)器等組合查詢，并對過程進行回放和追溯。支持Oracle、SQLServer、DB2、Sybase、Informix、MySQL、Oscar等主流數(shù)據(jù)庫；支持TNS、TDS、HTTP、POP/POP3、SMTP、TELNET、FTP等針對應(yīng)用內(nèi)嵌賬號的管理在系統(tǒng)部署之前：大部分密碼分散管理，各個系統(tǒng)管理員管理其所負責(zé)系統(tǒng)的帳號密碼無法保證合法訪問關(guān)鍵系統(tǒng)訪問審計困難密碼強度無法保證無法做到經(jīng)常更改應(yīng)用程序帳號密碼固化在代碼中，這部分帳號更難管理在系統(tǒng)部署之后：所有密碼集中管理，用戶獲得對關(guān)鍵系統(tǒng)特權(quán)帳號的掌控權(quán)確保所有系統(tǒng)能夠執(zhí)行單位密碼安全策略：復(fù)雜度，定期更改，一次性密碼確保對所有系統(tǒng)的“合法”訪問：合適的人，合適的時間，合適的地點，做合適的事情完全的審計能力應(yīng)用程序帳號密碼不再明文固化在代碼中，建立行業(yè)領(lǐng)先的可擴展的應(yīng)用程序帳號安全平臺定期掃描分布帳號快照，通過匹配，發(fā)現(xiàn)未管理的特權(quán)帳號依靠統(tǒng)一日志平臺及時發(fā)現(xiàn)特權(quán)帳號的新增，刪除，權(quán)限修改，密碼更新等更高的信息系統(tǒng)可管理性和安全性安全運營的規(guī)范所有來自于應(yīng)用系統(tǒng)、網(wǎng)絡(luò)裝置的ITdata，都可在同一個地點進行搜尋、警示并產(chǎn)出報告，想要找出攻擊者的入侵軌跡和追蹤各項聯(lián)機信息，都可快速容易地完成。傳統(tǒng)的IT工具無法針對混合式的威脅事件進行分析、響應(yīng)，透過IT搜索可快速存取所有ITdata，進而找出問題的發(fā)生點與相關(guān)活動，協(xié)助管理人員快速解決問題。在這個過程中，系統(tǒng)并不需要安裝任何代理程序(Agent)或Adapters，更不需要去撰寫各種復(fù)雜的規(guī)則。隨著眾多IT組件的持續(xù)改變，ITdata也會不斷地產(chǎn)生，能夠依照搜尋指示，動態(tài)地提供各種信息，不需要隨之去改變數(shù)據(jù)的格式。通過高安全性的設(shè)計，能夠確保所有的ITdata都在安全的狀態(tài)下被處理，并且保護數(shù)據(jù)的完整性，更可確保搜尋過程不會影響所有數(shù)據(jù)中心的生產(chǎn)營運系統(tǒng)。能夠協(xié)助用戶處理以下四大層面問題：營運(Operation)–快速查出并且解決IT營運問題，確保應(yīng)用系統(tǒng)和網(wǎng)絡(luò)的正常運作。安全(Security)–可快速且具深度的對各種事件作出響應(yīng)，降低IT面臨的運作風(fēng)險。法規(guī)(Compliance)–協(xié)助用戶符合各種針對IT管理的法規(guī)要求。商業(yè)智能(Businessintel