集團(tuán)公司的網(wǎng)絡(luò)安全系統(tǒng)解決方案設(shè)計(jì)

集團(tuán)公司網(wǎng)絡(luò)安全設(shè)計(jì)方案實(shí)用標(biāo)準(zhǔn)文案一.方案概述集團(tuán)公司網(wǎng)絡(luò)規(guī)模日益擴(kuò)大 ,下屬幾十家分公司都將與集團(tuán)實(shí)現(xiàn)聯(lián)網(wǎng) ,使用一套集團(tuán)財(cái)務(wù)系統(tǒng)。根據(jù) IT規(guī)劃要求，為有效保障公司網(wǎng)絡(luò)暢通、數(shù)據(jù)安全，集團(tuán)公司需要構(gòu)建一個(gè)嚴(yán)密的整體的網(wǎng)絡(luò)安全系統(tǒng)。 該系統(tǒng)包括四個(gè)主要方面：（一）設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)優(yōu)化方案及建立網(wǎng)絡(luò)系統(tǒng)持續(xù)完善機(jī)制（二）建立智能化數(shù)據(jù)容災(zāi)系統(tǒng)（三）建立高效全面的病毒預(yù)防系統(tǒng)（四）建立科學(xué)合理的管理制度體系二.方案實(shí)現(xiàn)目標(biāo)通過該系統(tǒng)的建設(shè)實(shí)現(xiàn)以下功能目標(biāo)實(shí)現(xiàn)集團(tuán)對(duì)網(wǎng)絡(luò)病毒的統(tǒng)一防護(hù),讓網(wǎng)絡(luò)管理人員可以清晰的管理到部病毒防護(hù)系統(tǒng)的部署情況,有病毒爆發(fā)時(shí)可以及時(shí)確定病毒發(fā)作圍,并可以直接進(jìn)行隱患清除工作，集團(tuán)可以統(tǒng)一部署和執(zhí)行安全防護(hù)策略 .(2) 對(duì)集團(tuán)機(jī)房較為重要的服務(wù)器和應(yīng)用系統(tǒng)進(jìn)行容災(zāi)備份 ,當(dāng)服務(wù)器故障時(shí) ,可以有效的快速啟動(dòng)替代系統(tǒng) ,并在故障清除后快速恢復(fù)系統(tǒng)和數(shù)據(jù) .對(duì)于集團(tuán)數(shù)據(jù)庫系統(tǒng),因關(guān)聯(lián)使用的用戶多且分布各不同下屬單位,應(yīng)使用有效措施來防數(shù)據(jù)庫的使用安全,防數(shù)據(jù)被惡意使用或篡改,.(4) 因集團(tuán)機(jī)房部署不同部門和下屬公司的服務(wù)器 ,各部門都需要運(yùn)維自己的服務(wù)器 ,有必要對(duì)服務(wù)器的使用進(jìn)行安全審計(jì)和使用記錄 ,防來自使用服務(wù)器帶來的風(fēng)險(xiǎn) .三.安全產(chǎn)品推薦選型項(xiàng)目 品牌 型號(hào) 實(shí)現(xiàn)目標(biāo)企業(yè)版防病毒 趨勢(shì) OfficeScan 全網(wǎng)病毒統(tǒng)一防護(hù)和統(tǒng)一安全精彩文檔實(shí)用標(biāo)準(zhǔn)文案管理對(duì)服務(wù)器進(jìn)行實(shí)時(shí)災(zāi)備 ,服務(wù)器NOVEL PlateSpin服務(wù)器容災(zāi)備份 故障時(shí)實(shí)現(xiàn)緊急替代和快速恢L Forge復(fù)對(duì)數(shù)據(jù)庫使用進(jìn)行安全審計(jì) ,防數(shù)據(jù)庫審計(jì) 安恒 DAS-AC1000護(hù)對(duì)數(shù)據(jù)庫的惡意侵入和篡改對(duì)使用機(jī)房服務(wù)器的人員的使保壘機(jī) 齊治 SHTERM-L4 用行為進(jìn)行規(guī)管理和審計(jì)記錄 ,防服務(wù)器部使用風(fēng)險(xiǎn)..方案簡(jiǎn)述網(wǎng)絡(luò)拓?fù)鋱D精彩文檔實(shí)用標(biāo)準(zhǔn)文案信息安全設(shè)備物理分布圖產(chǎn)品說明：、IT運(yùn)維堡壘機(jī)接在核心交換機(jī)上，通過細(xì)粒度的安全管控策略，保證企業(yè)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等安全可靠運(yùn)行，降低人為安全風(fēng)險(xiǎn)，避免安全損失，保障企精彩文檔實(shí)用標(biāo)準(zhǔn)文案業(yè)效益；管理員可直觀方便的監(jiān)控各種訪問行為，能夠及時(shí)發(fā)現(xiàn)違規(guī)操作、權(quán)限濫用等。、數(shù)據(jù)庫審計(jì)設(shè)備接在核心交換機(jī)上，全面記錄數(shù)據(jù)庫訪問行為，識(shí)別越權(quán)操作等違規(guī)行為，并完成追蹤溯源；檢測(cè)數(shù)據(jù)庫配置弱點(diǎn)、發(fā)現(xiàn) SQL注入等漏洞、提供解決建議；為數(shù)據(jù)庫安全管理與性能優(yōu)化提供決策依據(jù)； 提供符合法律法規(guī)的報(bào)告， 滿足等級(jí)保護(hù)、企業(yè)控等審計(jì)要求。3、OfficeSan 服務(wù)器接入核心交換機(jī)上， OfficeScan 可以根據(jù)公司的自己的要求進(jìn)行策略部署，并針對(duì)未來而設(shè)計(jì)的彈性架構(gòu)， 可讓您透過插件來自定義您的威脅防護(hù)與數(shù)據(jù)保護(hù)。4、Forge設(shè)備部署在核心交換機(jī)，可同時(shí)對(duì) 25臺(tái)服務(wù)器做備份，一旦一臺(tái)或多臺(tái)生產(chǎn)服務(wù)器出現(xiàn)故障，該應(yīng)用即刻在 Forge上運(yùn)行接管業(yè)務(wù)。五.方案子系統(tǒng)介紹1、趨勢(shì)科技網(wǎng)絡(luò)版防病毒軟件 –OfficeScan趨勢(shì)科技的 OfficeScan 網(wǎng)絡(luò)版防病毒產(chǎn)品將管理 ,配置與部署的功能集中到服務(wù)器端Officescan服務(wù)器端）。透過Officescan服務(wù)器端的Web接口的管理主控臺(tái)，管理人員可以從網(wǎng)絡(luò)上的任何地點(diǎn)，來管理和設(shè)置全公司的防毒策略（每一臺(tái)計(jì)算機(jī)都安裝了Officescan 客戶端防病毒軟件），并且也能迅速響應(yīng)各種緊急事件。綜合性的防護(hù)能力： 免受病毒，特洛伊，蠕蟲和現(xiàn)在的間諜軟件的攻擊，同時(shí)具備防火墻和入侵檢測(cè)的能力；支持防護(hù)策略的自動(dòng) /手動(dòng)配置：有效控制病毒擴(kuò)散（通過主控服務(wù)器，在設(shè)定的時(shí)間段，關(guān)閉所有客戶機(jī)的共享文件，特定端口，保護(hù)文件或文件夾不被病毒修改） ；精彩文檔實(shí)用標(biāo)準(zhǔn)文案防火墻策略應(yīng)用程序的備用服務(wù)器： 客戶計(jì)算機(jī)可能無法連接到防毒墻網(wǎng)絡(luò)版服務(wù)器， 但仍可連接到您指定的備用防毒墻網(wǎng)絡(luò)版服務(wù)器上，以提供防火墻策略更新。集成專殺工具：病毒專殺工具和客戶端防病毒軟件無縫集成， 專殺工具的掃描引擎和病毒碼可以自動(dòng)更新，完全擺脫傳統(tǒng)防病毒軟件需要獨(dú)立使用專殺工具， 并且每一個(gè)病毒都有特定的專殺工具，造成數(shù)量巨大；防御間諜軟件和其他類型的灰色軟件 ：防毒墻網(wǎng)絡(luò)版可以幫助保護(hù)您的計(jì)算機(jī)遠(yuǎn)離被趨勢(shì)科技視為灰色軟件的各種威脅和損害，包括眾所周知的類型 －間諜軟件；臨界間諜軟件 /灰色軟件例外列表： 防毒墻網(wǎng)絡(luò)版可能將特定類型的文件識(shí)別為灰色軟件，盡管您計(jì)算機(jī)上合法的應(yīng)用程序可能需要使用這些文件。 為防止防毒墻網(wǎng)絡(luò)版將這些文件識(shí)別為灰色軟件，可以配置應(yīng)用于所有掃描類型的臨界間諜軟件 /灰色軟件例外列表。實(shí)時(shí)更新病毒日志： 方便而簡(jiǎn)單的配置管理與實(shí)時(shí)報(bào)告；自動(dòng)更新：先進(jìn)的自動(dòng)更新技術(shù) ,無須管理員與用戶的手動(dòng)操作 ,不需要重新啟動(dòng)；支持客戶端自行上互聯(lián)網(wǎng)更新防毒組件；靈活的更新代理設(shè)置： 通過設(shè)定網(wǎng)絡(luò)中任意計(jì)算機(jī)做為病毒碼更新源， 將其它計(jì)算機(jī)指定到該計(jì)算機(jī)更新，以節(jié)省網(wǎng)絡(luò)帶寬。對(duì)低帶寬網(wǎng)絡(luò)環(huán)境特別有效；檢測(cè)為安裝防病毒軟件的計(jì)算機(jī)： 支持網(wǎng)段掃描偵測(cè)尚未安裝 OfficeScan 的用戶機(jī)；強(qiáng)大的數(shù)據(jù)庫管理： 支持將紀(jì)錄數(shù)據(jù)導(dǎo)入 SQL服務(wù)器方便數(shù)據(jù)分析與管理；靈活的客戶端遷移： 支持在客戶端可以在不同的 OfficeScan 服務(wù)器中轉(zhuǎn)移 ,不需重新安裝；定位病毒源頭病毒 ：客戶機(jī)的排行榜功能，幫助網(wǎng)管了解毒源、善后處理、報(bào)告領(lǐng)導(dǎo)；支持多種 WebServer: IIS和Apache;精彩文檔實(shí)用標(biāo)準(zhǔn)文案部署建議：Officescan 可以針對(duì) Windows 全系列防病毒。趨勢(shì)科技網(wǎng)絡(luò)版防病毒軟件的組織架構(gòu)為：通過一臺(tái)Officescan 服務(wù)器去遠(yuǎn)程的控制和管理局域網(wǎng)部， 甚至廣域網(wǎng)中 Officescan客戶端。Officescan 客戶端可以通過多種方式安裝到計(jì)算機(jī)上：1、通過網(wǎng)頁遠(yuǎn)程自動(dòng)下載安裝；2、通過制作 Officescan 客戶端安裝包安裝；3、通過共享文件夾方式安裝4、通過集成 Windows 域自動(dòng)安裝客戶端5、通過微軟 SMS安裝；如此部署OfficeScan 就可以為網(wǎng)絡(luò)部計(jì)算機(jī)提供綜合性的安全防護(hù)，免受病毒，特洛伊，蠕蟲和現(xiàn)在的間諜軟件的攻擊， 以及具備防火墻和入侵檢測(cè)的能力。 從根本上對(duì)應(yīng)用層的病毒文件以及網(wǎng)絡(luò)層的病毒數(shù)據(jù)包進(jìn)行防護(hù)，同時(shí)防護(hù)各種對(duì)于計(jì)算機(jī)的攻擊。2、NovellPlateSpinForge 服務(wù)器災(zāi)備保護(hù)產(chǎn)品方案Novell?PlateSpin?Forge 是一個(gè)整合式的系統(tǒng)恢復(fù)硬件設(shè)備，通過采用置虛擬化技術(shù)來保護(hù)實(shí)際物理和虛擬服務(wù)器工作負(fù)載。 在生產(chǎn)服務(wù)器停止運(yùn)轉(zhuǎn)或發(fā)生故障時(shí)， 工作負(fù)載可在 PlateSpin?Forge 恢復(fù)環(huán)境中快速通電，并繼續(xù)正常運(yùn)行，直到生產(chǎn)環(huán)境恢復(fù)。采用單臺(tái)PlateSpinForge 設(shè)備可保護(hù)和恢復(fù)最多達(dá) 25個(gè)物理和虛擬工作負(fù)載。使用PlateSpin Forge，客戶可以保護(hù)多個(gè)地理位置分散的多達(dá) 25臺(tái)服務(wù)器的工作負(fù)精彩文檔實(shí)用標(biāo)準(zhǔn)文案載，并在服務(wù)器出現(xiàn)故障時(shí)予以快速恢復(fù)。通過使用 PlateSpinForge 綜合恢復(fù)平臺(tái)，客戶能夠更好地保護(hù)更多的工作負(fù)載，但無需支付高昂的復(fù)制硬件或冗余操作系統(tǒng)授權(quán)許可費(fèi)用。PlateSpinForge 不需要通過成本高昂的一對(duì)一硬件和軟件冗余保護(hù)數(shù)據(jù)中心資產(chǎn)，從而實(shí)現(xiàn)了革命性的業(yè)務(wù)持續(xù)性。 生產(chǎn)服務(wù)器可備份到虛擬機(jī)， 而成本只是傳統(tǒng)災(zāi)難恢復(fù)解決方案的一部分，而且可以更快、更輕松地實(shí)現(xiàn)恢復(fù)。除了標(biāo)準(zhǔn)文件類復(fù)制外，高速塊級(jí)復(fù)制允許企業(yè)客戶保護(hù)高級(jí)業(yè)務(wù)工作負(fù)載 (如電子和數(shù)據(jù)庫服務(wù)器 )。有效增加傳輸可確保僅源數(shù)據(jù)文件變化被復(fù)制到 PlateSpinForge 遠(yuǎn)程恢復(fù)環(huán)境中，從而減少了廣域網(wǎng)的使用并使各大組織能夠在最少數(shù)據(jù)丟失情況下有效滿足數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)(RPO)。快速容易的故障恢復(fù)計(jì)劃和過程的完整性使用PlateSpinForge 可實(shí)現(xiàn)對(duì)服務(wù)器工作負(fù)載以多達(dá) 28個(gè)歷史恢復(fù)點(diǎn)的方式進(jìn)行保護(hù)備份，只需單擊測(cè)試恢復(fù)按鈕， 即可快速容易地測(cè)試備份和恢復(fù)計(jì)劃的完整性。 在進(jìn)行故障恢復(fù)測(cè)試時(shí)，可選擇保護(hù)備份的任一快照并且在一個(gè)隔離的專用部網(wǎng)中啟動(dòng)運(yùn)行。 這允許用戶快速確認(rèn)恢復(fù)計(jì)劃和相關(guān)業(yè)務(wù)服務(wù)， 而又不至于中斷生產(chǎn)服務(wù)器工作負(fù)載。 一旦確認(rèn)故障恢復(fù)計(jì)劃， PlateSpinForge 將屏棄測(cè)試過程中在恢復(fù)工作負(fù)載快照上發(fā)生的任何變化，并恢復(fù)工作負(fù)載復(fù)制。精彩文檔實(shí)用標(biāo)準(zhǔn)文案基于WEB瀏覽器方式的多種監(jiān)控、報(bào)告和操作報(bào)警進(jìn)行控制。PlateSpin Forg提供基于 Web方式的單一管理界面，便于 IT運(yùn)營(yíng)專家隨時(shí)查看其保護(hù)計(jì)劃狀況并管理、監(jiān)控和報(bào)告所有工作負(fù)載保護(hù)事宜。在生產(chǎn)服務(wù)器停機(jī)或發(fā)生故障時(shí)，PlateSpinForge 將以電子方式自動(dòng)警示管理員。通過個(gè)人計(jì)算機(jī)、 Blackberry?或其它移動(dòng)裝置點(diǎn)擊電子的可執(zhí)行上下文相操作。 多種報(bào)告功能可使管理員和業(yè)主清楚地掌握保護(hù)資源的使用方式。 用戶可報(bào)告實(shí)際對(duì)抗目標(biāo)恢復(fù)時(shí)間和恢復(fù)點(diǎn)目標(biāo)、 復(fù)制窗口和數(shù)據(jù)傳輸速率。保護(hù)日志顯示成功的復(fù)制和恢復(fù)測(cè)試， 從而提供了滿足定制服務(wù)級(jí)協(xié)議或合規(guī)性所需的審計(jì)能力。PlateSpin Forge 提供一個(gè)始終存在儀表盤，可讓 IT操作專家隨時(shí)觀察其保護(hù)計(jì)劃狀況，并管理、監(jiān)控和報(bào)告所有的工作負(fù)載保護(hù)和恢復(fù)事宜精彩文檔實(shí)用標(biāo)準(zhǔn)文案一鍵故障恢復(fù)和靈活的災(zāi)難恢復(fù)方案單擊運(yùn)行恢復(fù)工作負(fù)載，可根據(jù)需要將其恢復(fù)到相同或不同的硬件。在生產(chǎn)服務(wù)器停機(jī)或發(fā)生故障時(shí)，通過單擊故障恢復(fù)可快速恢復(fù)受保護(hù)的工作負(fù)載——僅重新連接會(huì)話， 并且 PlateSpinForge 將驗(yàn)收工作負(fù)載。 當(dāng)生產(chǎn)環(huán)境恢復(fù)時(shí)， 該工作負(fù)載可繼續(xù)在PlateSpinForge 恢復(fù)設(shè)備上正常運(yùn)行。 一旦生產(chǎn)環(huán)境聯(lián)機(jī)， PlateSpinForge 還可提供靈活的工作負(fù)載恢復(fù)方案。 如果原始生產(chǎn)服務(wù)器修好并且硬件無損壞， 用戶可通過一個(gè)虛精彩文檔實(shí)用標(biāo)準(zhǔn)文案擬到物理(V2P)工作負(fù)載轉(zhuǎn)移操作將工作負(fù)載從虛擬恢復(fù)環(huán)境移回到原始硬件服務(wù)器。如果原始硬件不能修好， 用戶可通過一個(gè) V2P轉(zhuǎn)移操作將工作負(fù)載轉(zhuǎn)移到新的硬件服務(wù)器上。 還可輕易將工作負(fù)載移到生產(chǎn)虛擬環(huán)境中。 靈活的硬件獨(dú)立式恢復(fù)意味著新硬件可以為不同品牌、型號(hào)或配置。3、齊治運(yùn)維操作管理系統(tǒng)通過Shterm的部署，可以有效的解決運(yùn)維部門當(dāng)前運(yùn)維過程中存在的各種問題：以堡壘方式，形成統(tǒng)一的運(yùn)維入口，實(shí)現(xiàn)運(yùn)維操作的唯一路徑；引入主從管理概念，使用戶認(rèn)證與系統(tǒng)授權(quán)分開，從而有效解決系統(tǒng)共享使用，帶來的身份不唯一的問題；基于用戶、設(shè)備、系統(tǒng)、協(xié)議類型、登錄規(guī)則的嚴(yán)格訪問控制設(shè)置，有效規(guī)避了非授權(quán)訪問帶來的問題；密碼托管和自動(dòng)改密，使得密碼管理規(guī)能有效落地，避免了因人員的流動(dòng)還會(huì)導(dǎo)致設(shè)備密碼存在外泄的風(fēng)險(xiǎn)；精彩文檔實(shí)用標(biāo)準(zhǔn)文案能完整記錄運(yùn)維人員的操作過程，當(dāng)系統(tǒng)因人為操作導(dǎo)致故障的時(shí)候，能夠快速定位故障原因和責(zé)任人；可以滿足等保、SOX、ISO270001、BS7799等安全規(guī)對(duì)運(yùn)維操作管理的要求。總設(shè)計(jì)思路因?yàn)椴僮鞯娘L(fēng)險(xiǎn)來源于各個(gè)方面，所以必須要從能夠影響到操作的各個(gè)層面去降低風(fēng)險(xiǎn)。齊治運(yùn)維操作管理系統(tǒng)（ Shterm）采用操作代理（網(wǎng)關(guān)）方式實(shí)現(xiàn)集中管理，對(duì)身份、訪問、審計(jì)、自動(dòng)化操作等統(tǒng)一進(jìn)行有效管理，真正幫助用戶最小化運(yùn)維操作風(fēng)險(xiǎn)。集中管理是前提：只有集中以后才能夠?qū)崿F(xiàn)統(tǒng)一管理， 只有集中管理才能把復(fù)雜問題簡(jiǎn)單化，分散是無法談得上管理的，集中是運(yùn)維管理發(fā)展的必然趨勢(shì)，也是唯一的選擇。身份管理是基礎(chǔ)：身份管理解決的是維護(hù)操作者的身份問題。 身份是用來識(shí)別和確認(rèn)操作者的，因?yàn)樗械牟僮鞫际怯脩舭l(fā)起的， 如果我們連操作的用戶身份都無法確認(rèn)，那么不管我們?cè)趺纯刂疲趺磳徲?jì)都無法準(zhǔn)確的定位操作責(zé)任人。所以身份管理是基礎(chǔ)。精彩文檔實(shí)用標(biāo)準(zhǔn)文案訪問控制是手段：操作者身份確定后，下一個(gè)問題就是他能訪問什么資源、你能在目標(biāo)資源上做什么操作。 如果操作者可以隨心所欲訪問任何資源、 在資源上做任何操作，就等于沒了控制，所以需要通過訪問控制這種手段去限制合法操作者合法訪問資源，有效降低未授權(quán)訪問所帶來的風(fēng)險(xiǎn)。操作審計(jì)是保證：操作審計(jì)要保證在出了事故以后快速定位操作者和事故原因，還原事故現(xiàn)場(chǎng)和舉證。另外一個(gè)方面操作審計(jì)做為一種驗(yàn)證機(jī)制， 驗(yàn)證和保證集中管理，身份管理，訪問控制，權(quán)限控制策略的有效性。自動(dòng)運(yùn)維是目標(biāo)：操作自動(dòng)化是運(yùn)維操作管理的終極目標(biāo)，通過讓該功能，可讓堡壘機(jī)自動(dòng)幫助運(yùn)維人員執(zhí)行各種常規(guī)操作， 從而達(dá)到降低運(yùn)維復(fù)雜度、提高運(yùn)維效率的目的。操作網(wǎng)關(guān)方式部署集中管理是實(shí)現(xiàn)運(yùn)維操作安全管理的首要前提。針對(duì)當(dāng)前核心設(shè)備分散管理的現(xiàn)狀，集中管理倡導(dǎo)的是一種統(tǒng)一管理的理念。集中管理是未來運(yùn)維操作安全管理的必然趨勢(shì)。實(shí)現(xiàn)集中管理，關(guān)鍵點(diǎn)在于對(duì)用戶原有的運(yùn)維環(huán)境不造成任何影響。 綜合各種部署方案，我們采用了“操作堡壘機(jī)”的部署方式。用好共享賬號(hào)在當(dāng)前的運(yùn)維環(huán)境中，普遍存在操作者身份無法識(shí)別的安全隱患。 這主要是由操作者共享使用核心設(shè)備上的系統(tǒng)賬號(hào)造成的。設(shè)備數(shù)量達(dá)到一定規(guī)模，必然會(huì)使用到共享賬號(hào)。共享賬號(hào)就是多人共同使用同一個(gè)存在于設(shè)備上的系統(tǒng)賬號(hào)， 使用共享賬號(hào)會(huì)讓整體賬號(hào)的數(shù)量最少。 但精彩文檔實(shí)用標(biāo)準(zhǔn)文案是僅僅依賴系統(tǒng)上的單一系統(tǒng)賬號(hào)， 無法既能區(qū)分用戶身份，又能完成工作角色的定位。如何準(zhǔn)確的區(qū)分用戶身份和工作角色， 進(jìn)而實(shí)現(xiàn)操作者和具體的操作過程一一對(duì)應(yīng)？Shterm 將賬號(hào)的用戶身份確認(rèn)和系統(tǒng)工作角色功能分離，在 Shterm 上增加了用戶賬號(hào)，完成用戶的身份確認(rèn)。 原來系統(tǒng)上的賬號(hào)依然存在， 但是作用只是完成工作角色授權(quán)的工作賬號(hào)。用戶登錄Shterm 是采用唯一的用戶賬號(hào)，然后根據(jù)工作角色的需要，轉(zhuǎn)換成系統(tǒng)賬號(hào)登錄到被管理設(shè)備上。這樣既能夠保證整體賬號(hào)數(shù)量最少，管理方便；同時(shí)又能夠?qū)崿F(xiàn)對(duì)用戶、工作角色的雙重定位。當(dāng)用戶加入、離職或崗位變動(dòng)，當(dāng)代維人員和原廠商進(jìn)行維護(hù)的時(shí)候，只需要在Shterm 上變更該用戶賬號(hào)即可，對(duì)系統(tǒng)上的系統(tǒng)賬號(hào)沒有任何影響。代維人員維護(hù)系統(tǒng)并不需要知道用戶系統(tǒng)的最高權(quán)限的系統(tǒng)密碼， 這樣大大降低了管理風(fēng)險(xiǎn)。原廠商進(jìn)行臨時(shí)維護(hù)的時(shí)候只需要臨時(shí)分配一個(gè)用戶賬號(hào)， 當(dāng)使用結(jié)束后該賬號(hào)會(huì)自動(dòng)回收，減少了賬號(hào)管理的成本。訪問控制規(guī)則目前，用戶只要知道用戶名和密碼就可以任意訪問任意設(shè)備 ,這種現(xiàn)狀必然會(huì)帶來“未授權(quán)訪問的安全風(fēng)險(xiǎn)”。部署了Shterm 后，情況就發(fā)生了變化。Shterm 邏輯上成為了用戶登錄的唯一入口，因?yàn)槿肟谖ㄒ唬L問控制很容易配置了。精彩文檔實(shí)用標(biāo)準(zhǔn)文案相同工作任務(wù)的集合可以放置在一個(gè)訪問規(guī)則組里， 當(dāng)用戶崗位、職責(zé)改變時(shí)，對(duì)用戶相關(guān)聯(lián)的組、系統(tǒng)權(quán)限、可訪問設(shè)備通過 Web的勾選，很容易調(diào)整。根據(jù)工作容的需要，可以配置不同的許可或禁止的登錄策略。 既可以設(shè)定固定日期的登錄策略，也可以設(shè)定固定時(shí)間間隔的策略， 還可以設(shè)定一天中指定時(shí)間段的策略，并且能夠針對(duì)具體的地址段進(jìn)行控制。Shterm的訪問控制列表可以讓用戶一目了然的知道某臺(tái)設(shè)備上允許哪些用戶登錄。某臺(tái)設(shè)備上的系統(tǒng)賬號(hào)有多少個(gè)用戶可以使用。另一方面，從安全運(yùn)維的角度分析，權(quán)限控制策略是從操作的層面上，降低高危操作所帶來的安全風(fēng)險(xiǎn)：對(duì)于使用Telnet/SSH 等協(xié)議進(jìn)行遠(yuǎn)程管理的設(shè)備（各種網(wǎng)絡(luò)設(shè)備和 Unix服務(wù)器），操作權(quán)限的多少取決于用戶可以執(zhí)行的命令。所以，針對(duì)操作指令的控制才是核心。對(duì)于服務(wù)器設(shè)備操作，Shterm 可以對(duì)服務(wù)器的超級(jí)用戶 root 操作權(quán)限進(jìn)行控制，即使是root用戶，權(quán)限也是受限制的，可以限制root用戶只能執(zhí)行某些操作（白）和無法執(zhí)行某些操作（黑）。當(dāng)多人同時(shí)使用一個(gè) root 賬號(hào)時(shí)，Shterm 可以對(duì)同一個(gè)系統(tǒng)賬號(hào)進(jìn)行操作權(quán)限再分配，保證使用同一個(gè) root賬號(hào)的不同用戶擁有不同的操作指令權(quán)限，徹底解決了共享 root賬號(hào)權(quán)限一致的情況，真正實(shí)現(xiàn)細(xì)粒度的操作權(quán)限控制。對(duì)于網(wǎng)絡(luò)設(shè)備操作，Shterm 可以保證即使多個(gè)用戶在進(jìn)入 enable 狀態(tài)的時(shí)候，提供高于網(wǎng)絡(luò)設(shè)備系統(tǒng)更好級(jí)別的控制力度， 保證每一個(gè)用戶的操作指令都能嚴(yán)格受到控制。精彩文檔實(shí)用標(biāo)準(zhǔn)文案對(duì)于操作權(quán)限的控制意味著我們從被動(dòng)接受用戶輸入到了主動(dòng)控制。對(duì)于用戶的操作可以有 3種執(zhí)行狀態(tài)：允許執(zhí)行，拒絕執(zhí)行，禁止執(zhí)行。對(duì)于高危命令（刪除，重起，關(guān)機(jī)等）可以實(shí)時(shí)告警，一旦高危操作觸發(fā)，會(huì)立即給相關(guān)人員發(fā)送告警，保證用戶在第一時(shí)間知道高危操作是否對(duì)系統(tǒng)造成了影響。完整操作審計(jì)運(yùn)維操作審計(jì)是整個(gè) Shterm 解決方案的重要組成部分。管理員確定了以操作網(wǎng)關(guān)方式來部署，解決了之前共享賬號(hào)的問題，配置了訪問規(guī)則， 明確了操作權(quán)限，那么最后也是最重要的就是操作和操作審計(jì)。Shterm支持的運(yùn)維操作方式和相應(yīng)的操作審計(jì)基本涵蓋了目前企業(yè)日常運(yùn)維所涉及到的絕大部分操作模式， 包括字符會(huì)話、圖形會(huì)話、WebClient 會(huì)話、文件傳輸、Oracle數(shù)據(jù)庫操作審計(jì)等等。對(duì)不同會(huì)話采用不同的審計(jì)方式針對(duì)字符會(huì)話， Shterm 的審計(jì)功能會(huì)完全記錄所有會(huì)話的輸入輸出，并可以使用模式方式對(duì)這些輸入輸出進(jìn)行查詢以定位操作時(shí)間節(jié)點(diǎn)和操作容。對(duì)于圖形會(huì)話要采用全程的錄像和鍵盤鼠標(biāo)操作的記錄，并在圖形會(huì)話回放的過程中同步的顯示出來。對(duì)于 WebClient 方式的操作會(huì)話，也是目前非常主流的一種操作模式， Shterm 可以利用對(duì)于圖形會(huì)話的審計(jì)方式來審計(jì)WebClient 方式的會(huì)話，即，既包括了圖形錄像也包括了鍵盤鼠標(biāo)記錄，并且可以如圖形會(huì)話一樣，鍵盤輸入信息可以進(jìn)行完全的檢索以便快速定位一個(gè)較長(zhǎng)的審計(jì)錄像。針對(duì)文件傳輸，F(xiàn)TP、SFTP之類的上傳下載，Shterm支持全部的信息記錄，包含時(shí)間，人員， IP等等信息。對(duì)于 Oracle數(shù)據(jù)庫的操精彩文檔實(shí)用標(biāo)準(zhǔn)文案作審計(jì)，采用跳板機(jī)和應(yīng)用發(fā)布的方式， 能夠把圖形方式操作中的數(shù)據(jù)庫語句全部完成的審計(jì)到 Shterm 平臺(tái)。此外，Shterm 對(duì)審計(jì)人員本身也有嚴(yán)格要求，一方面，對(duì)審計(jì)人員的審計(jì)操作，Shterm 有嚴(yán)格的記錄，審計(jì)管理員何時(shí)查閱了某個(gè)會(huì)話操作都要有明確記錄。另一方面，Shterm支持非全局性的操作審計(jì)，即，審計(jì)人員也沒有權(quán)利審計(jì)所有的會(huì)話信息，因?yàn)闀?huì)話中可能包含了非常敏感甚至的企業(yè)信息。自動(dòng)化日常運(yùn)維中經(jīng)常需要對(duì)一些操作進(jìn)行重復(fù)性動(dòng)作，例如每天去執(zhí)行一些腳本、檢測(cè)一些狀態(tài)等，重復(fù)繁瑣的工作容易令人出現(xiàn)操作的失誤。 如果能通過一些技術(shù)手段，替代用戶的重復(fù)操作， 使用戶從重復(fù)繁瑣的工作中釋放出來， 可以讓用戶有更多的時(shí)間去專注于更多技術(shù)領(lǐng)域。操作自動(dòng)化是運(yùn)維操作管理的終極目標(biāo)， 通過Shterm 的自動(dòng)腳本功能，可讓堡壘機(jī)自動(dòng)幫助運(yùn)維人員執(zhí)行各種常規(guī)操作， 從而達(dá)到降低運(yùn)維復(fù)雜度、提高運(yùn)維效率的目的。精彩文檔實(shí)用標(biāo)準(zhǔn)文案4、安恒明御?數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)介紹(1)產(chǎn)品介紹產(chǎn)品概述明御?數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)（簡(jiǎn)稱： DAS-DBAuditor ）作為國(guó)數(shù)據(jù)庫審計(jì)產(chǎn)品領(lǐng)域第一品牌，是安息結(jié)合多年數(shù)據(jù)庫安全的理論和實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上， 結(jié)合各類法令法規(guī)（如SOX、PCI、企業(yè)控管理、等級(jí)保護(hù)等）對(duì)數(shù)據(jù)庫審計(jì)的要求，自主研發(fā)完成的業(yè)界首創(chuàng)細(xì)粒度審計(jì)、精準(zhǔn)化行為回溯、全方位風(fēng)險(xiǎn)控制的數(shù)據(jù)庫全業(yè)務(wù)審計(jì)產(chǎn)品。明御?數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)可以幫助您解決以下問題 :識(shí)別越權(quán)使用、權(quán)限濫用，管理數(shù)據(jù)庫權(quán)限跟蹤敏感數(shù)據(jù)訪問行為，及時(shí)發(fā)現(xiàn)敏感數(shù)據(jù)泄漏檢測(cè)數(shù)據(jù)庫配置弱點(diǎn)、發(fā)現(xiàn) SQL注入等漏洞、提供解決建議為數(shù)據(jù)庫管理與優(yōu)化提供決策依據(jù)滿足法律、法規(guī)要求，提供符合性報(bào)告低成本且有效推行 IT管理制度DAS-DBAuditor 以獨(dú)立硬件審計(jì)的工作模式，靈活的審計(jì)策略配置，解決企事業(yè)單位核心數(shù)據(jù)庫面臨的“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅，滿足各類法令法規(guī)對(duì)數(shù)據(jù)庫審計(jì)的要求，廣泛適用于“政府、金融、運(yùn)營(yíng)商、公安、能源、稅務(wù)、工商、社保、交通、衛(wèi)生、教育、電子商務(wù)及企業(yè)”等所有使用數(shù)據(jù)庫的各個(gè)行業(yè)。 DAS-DBAuditor 支持Oracle、MS-SQL Server、DB2、Sybase、MySQL、Informix 、CACHé、teradata、神通（原 OSCAR）、達(dá)夢(mèng)、人大金倉（ kingbase ）等業(yè)界主流數(shù)據(jù)庫以及 TELNET、FTP、HTTP、POP3、SMTP 等，可以幫助用戶提升數(shù)據(jù)庫運(yùn)行監(jiān)控的透明度，降低人工審計(jì)成本，真正實(shí)現(xiàn)數(shù)據(jù)庫全業(yè)務(wù)運(yùn)行可視化、日常操作可監(jiān)控、危險(xiǎn)操作可控制、所有行為可審精彩文檔實(shí)用標(biāo)準(zhǔn)文案計(jì)、安全事件可追溯。技術(shù)優(yōu)勢(shì)技術(shù)優(yōu)勢(shì) 功能價(jià)值多核、多線程處理：采用多核處理技術(shù)， 結(jié)合自主研發(fā)的多線程應(yīng)用系統(tǒng)，單臺(tái)最大可以達(dá)到 50000條/秒的處理能力，支持多臺(tái)數(shù)據(jù)超高的性能 庫服務(wù)器，降低用戶成本；分布式部署：支持分布式部署，并行處理，成倍提升業(yè)務(wù)處理能力，滿足大型業(yè)務(wù)環(huán)境需求，兼顧未來擴(kuò)容計(jì)劃；通過對(duì)大量項(xiàng)目實(shí)施經(jīng)驗(yàn)總結(jié)， 已經(jīng)形成了豐富的行業(yè)規(guī)則包和合規(guī)報(bào)表，包括合規(guī)性要求、管理、權(quán)限管理、認(rèn)證管理、敏感數(shù)據(jù)安豐富規(guī)則和報(bào)全等多個(gè)維度的規(guī)則，系統(tǒng)默認(rèn)配置 60多種報(bào)表，解決普通審計(jì)產(chǎn)表品規(guī)則設(shè)置困難、 審計(jì)分析無從下手、 報(bào)表過于簡(jiǎn)單且無實(shí)際分析價(jià)值等問題。精準(zhǔn)的協(xié)議解 采用專利技術(shù)提升協(xié)議的準(zhǔn)確率。支持 oracle、DB2、sqlserver析 等10多種主流協(xié)議，滿足復(fù)雜環(huán)境應(yīng)用；領(lǐng)先的存儲(chǔ)能 采用專用存儲(chǔ)技術(shù)大大提升存儲(chǔ)能力，最大可以存儲(chǔ) 7-10 億條審力 計(jì)日志，可以滿足客戶 3-6個(gè)月的日志存儲(chǔ)要求；日志存儲(chǔ)在自主研發(fā)的專用數(shù)據(jù)庫中，并為日志記錄標(biāo)識(shí)唯一序高效的查詢能號(hào)，采用先進(jìn)的檢索引擎， 達(dá)到百萬級(jí)每秒的查詢能力， 并大大提高力查詢準(zhǔn)確度；精彩文檔實(shí)用標(biāo)準(zhǔn)文案采用RAID、冗余電源等硬件架構(gòu)， 以及三權(quán)分立、數(shù)據(jù)自動(dòng)備份、自身安全性 詳盡的操作日志等技術(shù)確保審計(jì)記錄不丟失， 不被違規(guī)刪除，滿足法律法規(guī)要求；功能價(jià)值豐富的協(xié)議支持主流數(shù)據(jù)庫 Oracle、SQLserver、DB2、Mysql、Informix 、CACHé、Sybase、PostgreSQL國(guó)產(chǎn)數(shù)據(jù)庫 神通（原 OSCAR）、達(dá)夢(mèng)、人大金倉（ kingbase ）數(shù)據(jù)倉庫 Teradata其他協(xié)議 FTP、HTTP、Telnet、SMTP、POP3、DCOM 等細(xì)粒度的操作審計(jì)細(xì)粒度審計(jì) 通過對(duì)不同數(shù)據(jù)庫的 SQL語義分析，提取出 SQL中相關(guān)的要素（用戶、 SQL操作、表、字段、視圖、索引、過程、函數(shù)、包?）雙向?qū)徲?jì) 不僅對(duì)數(shù)據(jù)庫操作請(qǐng)求進(jìn)行實(shí)時(shí)審計(jì)，而且還可對(duì)數(shù)據(jù)庫執(zhí)行狀態(tài)、返回結(jié)果、返回容進(jìn)行完整的還原和審計(jì)， 同時(shí)可以根據(jù)返回結(jié)果設(shè)置審計(jì)規(guī)則多行為審計(jì) 實(shí)時(shí)監(jiān)控來自各個(gè)層面的所有數(shù)據(jù)庫活動(dòng)，包括來自應(yīng)用系統(tǒng)發(fā)起的數(shù)據(jù)庫操作請(qǐng)求、 來自數(shù)據(jù)庫客戶端工具的操作請(qǐng)求以及通過遠(yuǎn)程登錄服務(wù)器后的操作請(qǐng)求等多層業(yè)務(wù)關(guān)聯(lián)審計(jì)精彩文檔實(shí)用標(biāo)準(zhǔn)文案B/S三層架構(gòu) 支持HTTP請(qǐng)求審計(jì)，提取 URL、POST/GET值、cookie、操作系統(tǒng)類型、瀏覽器類型、原始客戶端 IP、MAC地址、提交參數(shù)等；通過智能自動(dòng)多層關(guān)聯(lián)，關(guān)聯(lián)出每條 SQL語句所對(duì)應(yīng) URL，以及其原始客戶端 IP地址等信息，實(shí)現(xiàn)追蹤溯源；C/S三層架構(gòu) 在企業(yè)、醫(yī)院等行業(yè)客戶中，也部分采用 C/S/S 三層架構(gòu)，同樣面臨追蹤溯源的難題， DAS-DBAuditor 支持基于 DCOM 的三層架構(gòu)自動(dòng)關(guān)聯(lián)。運(yùn)維審計(jì)關(guān)聯(lián) 通過運(yùn)維審計(jì)產(chǎn)品進(jìn)行統(tǒng)一認(rèn)證、 授權(quán)后，也將面臨追蹤溯源的難題，DAS-DBAuditor 支持與運(yùn)維審計(jì)產(chǎn)品關(guān)聯(lián)，實(shí)現(xiàn)原始操作者信息的追蹤全方位風(fēng)險(xiǎn)控制靈活的策略定 根據(jù)登錄用戶、源 IP地址、數(shù)據(jù)庫對(duì)象（分為數(shù)據(jù)庫用戶、表、制 字段）、操作時(shí)間、SQL操作命令、返回的記錄數(shù)或受影響的行數(shù)、關(guān)聯(lián)表數(shù)量、SQL執(zhí)行結(jié)果、SQL執(zhí)行時(shí)長(zhǎng)、報(bào)文容的靈活組合來定義客戶所關(guān)心的重要事件和風(fēng)險(xiǎn)事件自動(dòng)建模 DAS-DBAuditor 支持自動(dòng)建模，可以非常方便了解整個(gè)數(shù)據(jù)庫的允許狀態(tài)，幫助管理員形成有效的審計(jì)規(guī)則，快速識(shí)別越權(quán)操作、復(fù)用、違規(guī)操作等行為。多形式的實(shí)時(shí) 當(dāng)檢測(cè)到可疑操作或違反審計(jì)規(guī)則的操作時(shí)， 系統(tǒng)可以通過監(jiān)控中告警 心告警、短信告警、告警、 Syslog 告警、SNMP 告警、FTP告警等方式通知數(shù)據(jù)庫管理員報(bào)表精彩文檔實(shí)用標(biāo)準(zhǔn)文案DAS-DBAuditor 報(bào)表系統(tǒng)包括預(yù)定義報(bào)表和自定義報(bào)表兩大模塊，可以快速生成對(duì)安全事件的報(bào)表，并以 PDF等格式導(dǎo)出。審計(jì)管理員報(bào)表 支持從審計(jì)設(shè)備運(yùn)行狀況、 安全事件、的增刪、密碼是否修改等角度形成報(bào)表系統(tǒng)管理員報(bào)表