极地内部网络控制统一安全解决策划方案

1、 HYPERLINK /极地内部网络操纵统一安全方案 北京市海淀区上地安静庄西路9号院金泰富地大厦808 100085电话真务热线录 TOC o 1-3 h z u 1概述- 1 -1.1背景- 1 -1.2需求分析- 2 -1.2.1政策需求- 2 -1.2.2治理需求- 2 -1.2.3技术需求- 2 -2解决方案概述- 6 -3终端治理(JD-ESMS)解决方案- 6 -3.1产品概述- 6 -3.2产品基础功能- 8 -3.2.1策略治理- 8 -3.2.2日志功能- 9 -3.2.3终端资产治理- 9

2、 -3.2.4终端用户治理- 10 -3.2.5报警与响应治理- 10 -3.3要紧功能- 10 -3.3.1终端准入治理- 10 -3.3.2终端安全防护- 12 -3.3.3终端行为治理- 13 -3.3.4系统治理- 14 -4堡垒主机(JD-FORT)解决方案- 16 -4.1系统架构- 16 -4.2执行单元功能- 16 -4.2.1统一账号治理- 16 -4.2.2多种认证方式- 17 -4.2.3单点登录- 17 -4.2.4自动捕获用户命令行输入，智能识不命令和编辑输入- 17 -4.2.5支持TAB补齐等Readline功能- 17 -4.2.6支持组合命令的动作审计- 18

3、 -4.3日志服务功能- 18 -4.4治理单元日志查询- 18 -4.5执行单元实时监控功能- 19 -5集中身份治理(JD-4A)解决方案- 19 -5.1概述- 19 -5.2功能介绍- 20 -5.2.1集中账号治理- 21 -5.2.2集中身份认证- 21 -5.2.3集中访问授权- 22 -5.2.4集中安全审计- 22 -5.2.5单点登录- 22 -6漏洞扫描(JD-SCAN)解决方案- 23 -6.1网络漏洞扫描的必要性- 23 -6.1.1漏洞扫描技术概述- 23 -6.1.2漏洞扫描产品特点- 24 -6.2用户现状分析- 24 -6.3产品部署- 25 -6.4产品特点

4、介绍- 26 -6.4.1强大的检测分析能力- 26 -6.4.2支持分布式扫描- 27 -6.4.3自身高度安全性- 27 -6.4.4支持WEB扫描- 28 -7内部网络的统一治理- 28 -7.1统一治理方式- 28 -7.2统一治理功效- 29 -7.2.1无死角- 29 -7.2.2全网安全域治理- 29 -7.2.3远程终端与内网终端统一治理- 29 -7.2.4统一用户治理- 29 -7.2.5统一访问授权治理- 30 -7.2.6全网实名审计与统一事件治理- 30 -8企业内部操纵差不多规范的要求与解决- 30 -8.1内控原则- 30 -8.2技术要求- 31 -8.3风险评

5、估- 32 -8.4操纵活动- 32 -8.5信息与沟通- 32 -8.6内部监督- 32 -概述背景信息技术进展到今天，人们的工作和生活差不多越来越依靠于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患安全问题，人们在享受着网络所带来的便捷同时，不得不承受着网络安全问题带来的隐痛。讲到网络安全，人们自然就会想到网络边界安全，然而实际情况是网络的大部分安全风险均来自于内部。常规安全防备手段往往局限于网关级不、网络边界（防火墙、IDS、漏洞扫描）等方面的防备、重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控，来自网络外部的安全威胁大大减小。相反，来自网络内部的计算机

6、的安全威胁却是众多安全治理人员所面临的棘手的问题。内部网络的安全治理分为四个方面：一类是前台计算机，通常指办公与业务的终端计算机；另一类是后台设备，通常是服务器或路由器交换机等网络设备；还有一类确实是用户单位内部的各种应用软件系统；最后，还有一方面确实是安全风险治理，它面对所有以上设备和应用，治理是否存在有安全隐患，是否存在安全风险，以及如何应对等问题。如何做好内部网络这四个方面的安全治理，是摆在每一个IT治理者面前的问题。极地内部网络操纵统一安全方案即针对此情况，为治理者提供一个全面、细致的解决方案，解决终端、服务器以及应用系统安全治理问题。需求分析政策需求等级爱护、萨班斯法案(Sarban

7、es-OxleyAct)等政策明确要求内网应进行严格的治理操纵和细粒度的审计。国内也差不多出台企业内部操纵差不多规范，对内部网络的信息安全治理提出明确要求。治理需求随着网络规模的不断扩大和IT应用的不断深入，对安全治理的要求越来越高，企业内部的治理成本越来越高。如何有效降低治理成本、减少安全风险、提高安全治理效能，成为治理者最先考虑的问题。技术需求前台计算机治理需求：终端治理前台计算机，如前所述，通常被称为终端（End-Point）。对这些计算机的治理也称为终端治理。终端治理要紧有以下内容：资产治理对终端计算机的资产情况进行治理，对资产变更进行治理。准入治理不安全的计算机不应接入内网之中，以免

8、在内网中引发安全问题。不应接触外网的计算机，也不能私自建立对外的网络连接。终端防护包括补丁分发治理、安全配置治理、外设治理、终端防火墙、终端文档爱护等等。终端行为治理包括移动介质治理、程序使用治理、流量治理、网页访问治理等等信息防泄漏包括移动介质治理、加密优盘、文件加密、文档权限治理、文件操作审计等。另外，终端治理通常也包括病毒、木马的治理。因这方面有成熟的产品和方案，本方案对此不予赘述。后台计算机与设备治理需求：统一授权治理针对服务器的治理，要紧指服务器的访问操纵，这是服务器安全的全然所在。通常服务器放置在机房中，由治理员进行维护时，直接登录到服务器上，其过程缺乏监管，造成授权复杂、缺乏过程

9、审计等诸多问题。在安全治理的4个A（账号Account、认证Authentication、授权Authorization、审计Audit），账号和认证没有统一治理，各服务器单独治理，治理员登录各服务器和应用系统时专门容易混乱；没有统一授权，各服务器单独对不同账号进行授权，工作量大而容易出错；治理员登录后的操作也缺乏审计手段，现有手段严峻不足，导致大量审计缺失。尤其当服务器数量和应用系统数量多时，问题尤其严峻。应将的所有服务器的登录过程收集到一个统一入口，建立统一的账号治理和授权机制，每个服务器应用系统的账户与授权均由此统一平台进行，幸免单独设置而导致的混乱。由此入口进行统一登录，登录确定身份后

10、，可依照授权访问相应的服务器和业务系统。同时，应对操作做全程审计。应用治理需求：集中身份治理随着各个行业大公司业务的迅速进展，各种业务和经营支撑系统的不断增加，网络规模迅速扩大，原有的由各个系统分散治理用户和访问授权的治理方式造成了在业务治理和安全之间的失衡，用户往往在多个应用中均拥有独立的账号和口令，登录失败和发生错误的几率大大上升，许多情况下，为了便于经历，用户不得不将账号和口令写在纸上，从而使这些账号和口令的安全性受到了极大阻碍。同时，用户不记得口令的事件的增多也增大了治理员的工作负担。另外治理员需要在不同的应用中维护独立的用户身份和存取治理，相当苦恼。例如有新职员加入企业以后，治理员需

11、要在每一个应用中添加此用户信息，依照此用户的角色分配不同的权限；当用户的角色发生变化时，需要在不同的应用中修改此用户的权限。因此原有的账号口令治理措施已不能满足企业目前及以后业务进展的要求。用户面临以下几个方面问题：1企业的支撑系统中有大量的网络设备、主机系统和应用系统，分不属于不同的部门和不同的业务系统。各应用系统都有一套独立的账号体系，用户为了方便登陆，经常有如下情况发生：多系统使用相同的账号和密码，配置强度特不弱的密码，或者多人共用账号等。多系统的账号治理混乱，难于对账号的扩散范围进行操纵，难于确定账号的实际使用者，难免造成安全隐患。2各系统都有一套独立的认证体系，假如想加强系统的安全性

12、，就需要对各系统的认证进行加强，需要各系统都支持强认证方式，这差不多是不现实的。3各系统分不治理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限治理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加。安全性无法得到充分保证。4各支撑系统独立运行、维护和治理，因此各系统的审计也是相互独立的。每个网络设备，每个主机系统，每个业务系统及每个数据库系统都分不进行审计，安全事故发生后需要排查各系统的日志，单是往往日志找到了，也不能最终定位到行为人。5用户经常需要在各个系统之间切换，每次从一个系统切换到另一支撑系统时，都需要输入用

13、户名和口令进行登录。给用户的工作带来不便，阻碍了工作效率。漏洞扫描漏洞扫描确实是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，漏洞扫描软件是把双刃剑，黑客利用它入侵系统，而系统治理员掌握它以后又能够有效的防范黑客入侵。因此，漏洞扫描是保证系统和网络安全必不可少的手段，必须认真研究利用。定期的网络安全自我检测、评估配备漏洞扫描系统，网络治理人员能够定期的进行网络安全检测服务，安全检测可关心客户最大可能的消除安全隐患，尽可能早地发觉安全漏洞并进行修补，有效的利用已有系统，优化资源，提高网络的运行效率。安装新软件、启动新服务后的检查由于漏洞和安全隐患的形式

14、多种多样，安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来，因此进行这些操作之后应该重新扫描系统，才能是安全得到保障。网络建设和网络改造前后的安全规划评估和成效检验网络建设者必须建立整体安全规划，以统领全局，高屋建瓴。在能够容忍的风险级不和能够同意的成本之间，取得恰当的平衡，在多种多样的安全产品和技术之间作出取舍。配备网络漏洞扫描/网络评估系统能够让您专门方便的进行安全规划评估和成效检验网络的安全系统建设方案和建设成效评估网络承担重要任务前的安全性测试网络承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和治理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的

15、防范，最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统能够让您专门方便的进行安全性测试。网络安全事故后的分析调查网络安全事故后能够通过网络漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在，关心弥补漏洞，尽可能多得提供资料方便调查攻击的来源。重大网络安全事件前的预备重大网络安全事件前网络漏洞扫描/网络评估系统能够关心用户及时的找出网络中存在的隐患和漏洞，关心用户及时的弥补漏洞。解决方案概述依照以上需求分析，极地安全提出了自己的内网安全治理解决方案，此方案由终端治理、内控堡垒主机、集中身份治理系统、网络漏洞扫描这四个解决方案构成，能够单独使用、满足终端治理或服务器治理、应用治理的需要

16、，也能够协同使用，满足全网统一治理的需要。这四个解决方案都基于先进成熟的产品，均由极地安全自行开发。四个产品所使用的信息能够相互融合，以构成一个有机统一的整体，提供全网整体内控解决方案。终端治理(JD-ESMS)解决方案极地终端治理解决方案由极地终端安全治理系统实现。产品概述在传统的网络体系、硬件体系，软件体系基础之上，依靠主动防备技术、端点准入技术、漏洞扫描以及补丁修复技术、智能防火墙技术、身份认证、设备治理、及数据加密技术等关键的技术手段的支撑下，形成了终端准入治理、终端环境安全和终端行为监控三个子系统，三个子系统的运行、操纵和审计都由系统治理平台统一治理呈现。在三个部分的共同作用下，构成

17、终端计算机安全治理平台。如下图所示：如图所示，系统分为终端治理引擎、策略中心、综合展示三个平台，其中终端治理引擎做为关键支撑平台，是承载所有终端治理的基础平台，向上输出身份信息、资产信息，并提供基础的统一的报警与响应引擎供各功能模块调用；策略中心负责所有终端治理的功能性模块，调用基础平台的身份治理信息、资产信息，并对各功能模块在治理过程中发生的安全事件进行报警与响应，所有信息上报给综合展示平台；综合展示平台收集所有终端的资产信息、所有安全事件，并进行统一的展示。同时，通过全网联动，将其他安全治理系统的信息和事件联动到系统中，在终端上进行统一的报警与响应。如下图所示：产品基础功能策略治理系统所有

18、功能，均通过策略方式将指令下发到客户端进行执行。而策略本身就包含了各个功能的所有治理要求，能够为治理员提供详细的操纵手段，同时通过丰富的默认设置，能够提供完善的便捷性，治理员能够针对各个策略采纳大量默认设置而轻松完成策略设定。除以上策略要素之外，还有两个要素需要详细讲明如下。基于策略优先级的用户行为治理功能系统提供了策略优先级的治理功能，治理员能够设置不同级不的策略，各种策略能够按照优先级进行排序，当策略间发生冲突时，高优先级的策略能够覆盖低优先级的策略。基于场景的治理策略系统提供了基于场景的安全治理策略，治理员能够设置不同的场景，如依照工作时刻和休息时刻设定不同的策略，在工作时刻设定的策略在

19、休息时刻不生效，休息时刻场景的策略在工作时刻亦不生效。关于违反策略的客户端操作，能够以多种方式触发报警，通知治理员进行处理，例如按文件名、资产类型等信息触发警报。极地终端与内网安全治理系统能够对终端在线/离线2种状态下应用的策略分不予以设置。客户端和服务器连接能够进行通信时为在线状态，无法和服务器完成通信时即为离线状态。通过对在线/离线2种状态设置不同的策略，关于经常移动办公的设备（如笔记本）能够提供更加灵活有用的治理。日志功能系统以策略的形式，提供全套日志服务，日志内容包括下述所有功能的日志，以及治理员通过操纵台对服务器进行的所有操作等日志，终端资产治理通过自动登记和治理检查的方法，记录各类

20、终端计算机资产清单、软硬件配置信息和使用者用户信息，作为终端安全治理的基础依据。资产内容包括：终端名称、IP地址、MAC地址、硬件配置信息（CPU、内存、硬盘、设备接口）、软件信息（操作系统类型/版本、安装软件列表）、用户信息（姓名、所属组织机构、岗位、联系方式），等等。同时，对资产的变更进行治理：及时发觉终端计算机上是否有变更，对非法资产变更行自动处理。终端用户治理通过建立终端角色和用户，定义角色的操作和操纵权限，并为用户分配相应角色的权限，以此作为制定安全治理策略的基础依据。报警与响应治理当终端计算机违反设定的安全策略，或依照策略设定进行报警响应时，可自动将事件上报服务器，同时在终端上对安

21、全事件进行自动处理。报警与响应做为基础平台，供所有功能模块调用，实现报警与响应的统一化、标准化、自动化。在终端上进行自动响应，响应手段包括：桌面消息提示、锁定终端计算机、断开网络、弹出指定URL页面、断开准入连接等。终端计算机自动将安全事件的报警信息上传服务器，并在报警操纵台上向治理员进行报警提示。提供报警信息的查看分析和汇总统计。支持红色报警、橙色报警、黄色报警和蓝色报警等四个级不。要紧功能终端准入治理通过准入操纵治理，能够对所有客户端进行合法性检验和操纵，非法的、不同意治理的客户端将被隔离在网络之外，而合法的客户端能够接入网络进行正常操作。系统提供了最全面的准入操纵方式，能够充分满足用户网

22、络各种不同环境下的准入操纵需求。802.1x准入操纵：按照802.1x协议认证内部同意治理的终端计算机，标识和审批“合法”终端，通过交换机联动方式拒绝未经认证的“非法”终端接入网络。ARP准入操纵：在低端网络环境中，可使用基于ARP协议的准入操纵方式，对终端进行操纵。因ARP方式的专门性，一般用于要求低成本、效果要求不高的场合。网络边界准入操纵：通过安全准入网关治理的终端计算机。应用网关准入操纵：通过在Portal等关键应用上部署应用准入网关，操纵不符合准入条件的终端计算机禁止访问指定的网络资源、同意符合准入条件的计算机进行访问。应用准入网关是一个软件，适用于各种web应用系统。远程终端准入操

23、纵：通过远程接入网关，对远程终端进行准入操纵。不符合准入条件的终端计算机禁止连入内网、同意符合准入条件的计算机能够连入内网。终端安全防护终端安全防护的目标是爱护终端计算机环境安全、数据安全和关联网络通讯安全，目的是为业务制造良好的安全运行环境，保障公司业务正常运营。系统漏洞修复检查发觉辖内终端计算机操作系统和通用系统软件安全漏洞，通过自动化的技术措施及时修复漏洞，规避系统漏洞被黑客、蠕虫利用的风险。防病毒检查检测终端计算机是否安装防病毒软件，幸免因防病毒的缺失带来病毒问题。终端安全配置治理在终端计算机上进行关键安全配置的实时检查，防止用户随意修改这些关键配置而导致安全问题。要紧包括“禁用操纵面

24、板”、“禁用网络属性”、“禁止发送到”、“禁止修改IP地址”等多项操作全面提升客户端的安全性。同时，支持对ARP病毒的防范。外设治理依照终端计算机的业务需要和治理需要，设定是否同意使用外设。可治理的外设包括：软驱（Floppy）、光驱（CD/DVD/HD-DVD/BlueRay）、磁带机、Flash存储设备（U盘及MP3播放器）、串口和并口（COM/LPT）、SCSI接口、蓝牙设备、红外线设备、打印机、调制解调器、USB接口、火线接口（1394）、PCMCIA插槽等。终端防火墙在终端计算机上部署基于桌面的防火墙技术措施，通过企业级的安全策略对访问活动进行操纵，防止外来网络非法连接访问、黑客入侵

25、和利用终端对内部网络其它服务系统发起的网络攻击。文档操作审计与防泄密爱护通过文档访问操作审计，详细了解终端上的文件操作情况。通过文档加密等防泄密的综合防控措施，有效防范文档失窃和泄密给公司带来的业终端行为治理移动介质治理通过对移动介质（例如U盘）的使用限制和安全审计，降低引入安全威胁和文档泄密的风险。系统支持两类不同的移动介质治理，外部介质治理和内部介质治理。外来介质一般是一般U盘，在内网中的使用治理方式为注册+授权。外来移动介质必须在治理员处注册、分配其使用授权后才能在内网计算机中使用。授权分为同意使用、只读、禁止使用三种。内部介质通常只能在内网使用，原则上不能在内网以外使用。治理方法同样为

26、注册+授权，不同的是注册时采纳加密方式。加密后的介质只能由授权终端读出，非授权终端无法读出介质内容。介质拿到内网以外更无法读出。程序滥用治理通过程序滥用治理策略，能够明确规定哪些程序能够使用、哪些程序不能使用。由此能够预防终端计算机违规使用程序可能带来的风险，并以此协助公司治理，提高职员劳动生产率。流量治理通过检查和分析终端计算机的网络分类流量，发觉异常流量可能带来的带宽资源消耗和可疑的网络攻击风险，并对异常流量做出操纵。非法外联操纵通过在终端计算机本地的安全策略操纵措施，预防终端计算机违规联网可能带来的安全风险。网页访问操纵与审计通过在终端计算机本地的安全策略操纵措施，监控终端计算机违规访问

27、危害网站可能带来的安全风险。并可审计所有网页访问。系统治理屏幕监控策略通过对终端上的操作屏幕进行及时监控和录像，防止职员违规操作单位的电脑。终端运维治理能够对对远程终端计算机执行锁定、注销、重启、关机等操作。锁定计算机除非治理员解锁，否则不管强制重新启动或者进入安全模式均不能使用。同时，治理人员能够通过操纵台远程取得客户机的操纵权，身临其境般进行操作。关于远端客户机出现的问题，治理人员能够即时、方便的解决。在远程维护或者远程操作业务系统中发挥多方面的作用。级联治理通过级联治理，实现上级对下级的治理。级不数无限。支持策略优先级的传递。综合分析呈现通过统一的终端安全治理平台，提供直观的、可视化的、

28、全局的终端计算机安全运行状态、安全事件分布和安全爱护效果，使得高层治理人员能够据此全面掌握终端计算机安全状况、掌控全局，为安全调度、治理决策以及合规检查提供依据。综合统计支持按终端资产、按部门、按安全级不、按地域等，进行安全事件的综合查询统计，真实有效地展现终端安全现状。以图文、报表、统计报告等方式，直观展示整体安全运行状态、安全风险状态、从全局上对资源和事件进行全程监控和预警，及时体现安全防范的效果。双机热备系统支持双机热备功能，可在重要网络中部署两台服务器互相备份，实现无间断运行。堡垒主机(JD-FORT)解决方案极地服务器治理解决方案由极地内控堡垒主机实现。系统架构极地内控堡垒主机由治理

29、单元和执行单元两部分组成。治理单元用于完成用户治理、授权治理及策略设置等操作。执行单元包含用户输入模块、命令捕获引擎、策略操纵和日志服务。产品组件关系拓扑如下：执行单元功能执行单元负责完成命令的采集、策略动作执行等功能。执行单元安装在服务器上，同用户使用环境和适应相配合，完成对用户行为的监视与操纵功能。统一账号治理治理员通过账号信息治理界面维护主账号的整个生命周期，对账号进行增加、修改、删除及锁定、解锁等操作，同时设置账号的密码使用策略及用户的级不定义。系统用户能够通过自服务功能治理自身账号信息，对手机、邮件及密码等个人信息进行编辑。多种认证方式用户通过用户密码方式登录到极地内控堡垒主机，选择

30、资产账号，直接登录目标资产用户通过数字证书、动态令牌等方式登录到治理单元，由治理单元向执行单元发放一次性口令登录目标资产。单点登录用户登录到极地内控堡垒主机后，直接选择目标资产及账号，由堡垒主机完成账号及密码的代填，完成登录。自动捕获用户命令行输入，智能识不命令和编辑输入执行单元能够自动捕获用户命令行输入，如ls,ps,ifconfig等。执行单元支持多行长命令的捕获，多行命令的编辑操作（如回退，DEL，光标移位等）不阻碍命令捕获结果。执行单元智能的支持历史操作，支持UP，DOWN功能键，支持对历史操作命令的抓取，支持对以“！”方式执行历史命令的操纵和相关命令抓取。执行单元智能识不编辑状态和命

31、令状态，支持对所有shell下命令的抓取，支持mysql，telnet，ssh等客户端程序内部呈现命令的捕获功能。支持TAB补齐等Readline功能执行单元支持命令的TAB补全，支持回退键，删除键，方向键等功能键。支持组合命令的动作审计执行单元支持命令的组合使用，支持管道“|”，支持逻辑或“|”和与“&”操作，支持分号命令“；”。执行单元支持拒绝和同意两个策略动作对拒绝的命令，执行单元能够保证该命令不被执行，忠实地履行安全策略执行动作。日志服务功能执行单元日志服务负责记录服务器上发生过的命令，输出屏幕和原始硬拷贝流，以供事后分析和调查取证。极地内控堡垒主机日志服务将日志记录为文本文件，同时能

32、够向其他日志服务器发送SYSLOG日志。执行单元日志服务记录每个用户登录系统的用户名，登陆IP地址，登陆时刻以及在服务器上操作的所有命令。执行单元日志服务和治理单元配合，完成对日志的记录、分析和查询等工作。治理单元日志查询支持按服务器方式进行查询通过对特定服务器地址进行查询，能够发觉该服务器上发生的命令和行为。支持按用户名方式进行查询通过对用户名进行查询，能够发觉该用户的所有行为。支持按登陆地址方式进行查询通过对特定IP地址进行查询，能够发觉该地址对应主机及其用户在服务器上进行的所有操作。支持按照登陆时刻进行查询通过对登录时刻进行查询，能够发觉特定时刻内登录服务器的用户及其进行过的所有操作。支

33、持对命令发生时刻进行查询能够通过对命令发生的时刻进行查询，能够查询到特定时刻段服务器上发生过的所有行为。支持对命令名称进行查询通过查询特定命令如ls，能够查询到使用过该命令的所有用户及其使用的时刻等。支持上述六个查询条件的任意组合查询如，能够查询“谁（用户名）”“什么时刻登录（登录时刻）”服务器并在“什么时刻（命令发生时刻）”在“服务器（目标服务器）”上执行过“什么操作（命令）”。支持对日志的备份操作处理支持对日志的删除处理执行单元实时监控功能执行单元实时监视服务器上正在发生的行为，能够实时察看用户执行的命令、执行结果等；实时查看用户行为支持查看用户的实时切换支持对用户历史命令的查看 HYPE

34、RLINK mailto:UltrAMS集中身份治理(JD-4A)解决方案概述极地集中身份治理系统是集账号（Account）治理、授权（Authorization）治理、认证（Authentication）治理和综合审计（Audit）于一体的集中账号治理系统。极地集中身份治理系统采纳模块化设计，不但能够依照用户需要和环境特点进行选择、组合，而且能够提供定制化的开发，能够方便地实现与用户应用的有机结合。同时，极地集中身份治理系统产品的每个模块采纳开放接口，便于用户按照网络和应用需要整合符合用户需求的4A治理平台，达到以下目的：1统一的资源访问入口。为集中治理各个业务系统、应用、主机、网络设备提供

35、了技术手段，能够集中治理、登陆各个业务系统，包括各种C/S应用和B/S应用，主机和网络设备，在以后增加新业务系统时也能迅速、方便的通过该系统进行公布。用户访问4A系统时，能够依照用户的访问权限，系统为每个用户提供自己的操作平台，显示所有所能访问的业务系统、主机系统和网络设备。2集中账号治理。治理员在一点上即可对不同系统中的账号进行治理，不同系统下都能自动收集账号和推送账号，另外账号创建、分配过程均有审计日志。3集中身份认证。治理员能够依照账号身份，选择不同的身份认证方式。能够在不更改或只进行有限更改的情况下，对原有系统增加强身份认证手段，提高系统安全性。4集中访问授权。对企业资产进行集中授权，

36、防止私自授权或权限未及时收回对企业信息资产造成的安全损害。在人员离职、岗位变动时，只需要在一处进行更改，即可在所有应用中改变权限。能够细粒度授权，如只有在规定的时刻段或是特定的人员才能访问指定的资源。5集中安全审计。能够对人员的所有操作进行审计，所有审计信息能够关联到行为人，达到实名审计的效果。6单点登录。访问授权资源时，只需要登录极地集中身份治理平台。7细粒度访问操纵。通过堡垒主机实现内部网络行为细粒度策略操纵，即时操作“现场直播”，实时监控，实时操作回放。功能介绍极地集中身份治理系统功能模块分为：集中账号治理、集中身份认证、集中访问授权、集中安全审计、单点登录五大部分。集中账号治理集中账号

37、治理包含对所有子系统账号的集中治理。账号和资源的集中治理是集中授权、认证和审计的基础。集中账号治理能够完成对用户整个生命周期的监控和治理，而且还降低了企业治理大量用户账号的难度和工作量。同时，通过统一的治理还能够发觉账号中存在的安全隐患，同时制定统一的、标准的用户账号安全策略。通过建立集中账号治理，企业能够实现将账号与具体的自然人相关联。通过这种关联，能够实现多级的用户治理和细粒度的用户授权。而且，还能够实现针对自然人的行为审计，以满足合规审计的需要。集中账号治理系统能够自动发觉主机、网络设备、数据库上的已有账号。系统能够定期手动触发或自动搜索所有被治理的系统，从中发觉、收集所有新创建的账号。

38、系统还能够通过账号推送机制，通过集中账号治理系统在被管系统中创建新的账号。集中账号治理对账号的产生到删除的各种状态进行治理。包括统一的用户创建、维护、删除等功能。统一的用户审批治理流程（添加、修改、禁用、启用、删除）。制定人员兼职、调动、离职的治理机制。集中身份认证极地集中身份治理系统为用户提供统一的认证接口。采纳统一的认证接口不但便于对用户认证的治理，而且能够采纳更加安全的认证模式，提高认证的安全性和可靠性。集中身份认证提供静态密码、Windows域、Windows Kerberos、双因素、一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口，能够方便的与其它第三方认证服务器之间

39、结合。集中访问授权极地集中身份治理系统提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度操纵，最大限度爱护用户资源的安全。通过集中访问授权和访问操纵能够对用户通过B/S、C/S对主机、网元和各业务系统的访问进行审计和阻断。在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、主机系统、应用系统中可能拥有各自的权限治理功能，治理员也由各自的归口治理部门委派，然而这些治理员在极地集中身份治理系统上，能够对各自的治理对象进行授权，而不需要进入每一个被治理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户能够通过什么角色访问

40、资源如此基于应用边界的粗粒度授权，对某些应用还能够限制用户的操作，以及在什么时刻进行操作如此应用内部的细粒度授权。集中安全审计集中安全审计治理要紧审计人员的账号分配情况、权限分配情况、账号使用（登录、资源访问）情况、资源使用情况等。在各主机、网络设备、应用系统的访问日志记录都采纳统一的账号、资源进行标识后，集中审计能更好地对账号的完整使用过程进行追踪。极地集中身份治理系统通过系统自身的用户认证系统、用户授权系统，以及访问操纵和堡垒主机等详细记录整个会话过程中用户的全部行为日志。还能够通过远程日志，文件等形式获得其它系统产生的日志。单点登录极地集中身份治理系统提供了基于B/S的单点登录系统，用户

41、通过一次登录系统后，就能够无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多账号的用户提供了方便快捷的访问途经，使用户无需经历多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高生产效率。同时，由于系统自身是采纳强认证的系统，从而提高了用户认证环节的安全性。集中不同(B/S架构和C/S架构)业务应用系统(如OA，ERP，MIS等)，主机系统(如UNIX，LINUX，WINDOWS等)，网络设备（如交换机，防火墙）的用户身份认证。单点登录能够实现与用户授权治理的无缝连接，如此能够通过对用户、角色、行为和资源的授权，增加对资源的爱护，和对用户行为的监

42、控及审计。漏洞扫描(JD-SCAN)解决方案网络漏洞扫描的必要性内部网络的统一治理，必须对内网的安全及时作出安全风险评估，那个地点能够采纳极地网络漏洞扫描（JD-SCAN）来实现。通过风险评估，能够更有针对性的采取内控安全治理措施。漏洞扫描技术概述漏洞扫描通常采纳两种策略，第一种是被动式策略，第二种是主动式策略。所谓被动式策略确实是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查；而主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发觉其中的漏洞。利用被动式策略扫描称为系统安全扫描，利用主动式策略扫描称为网络安全扫描。

43、现有的信息安全产品中要紧包括以下五大件：防火墙、入侵检测、安全评估（漏洞扫描或者脆弱性分析）、身份认证、数据备份。如此，在部署安全策略时，有许多其它的安全基础设施要考虑进来，如防火墙，防病毒，认证与识不产品，访问操纵产品，加密产品，虚拟专用网等等。如何治理这些设备，是安全扫描系统和入侵检测系统的职责。通过监视事件日志，系统受到攻击后的行为和这些设备的信号，作出反应。如此，漏洞扫描系统就把这些设备有机地结合在一起。因此，而漏洞扫描是一个完整的安全解决方案中的一个关键部分，在企业部署安全策略中处于特不重要的地位。防火墙和漏洞扫描的必须同时存在，这是因为仅有防火墙是不够的。防火墙充当了外部网和内部网

44、的一个屏障，然而并不是所有的外部访问差不多上通过防火墙的。比如，一个未经认证的调制解调器把内部网连到了外部网，就对系统的安全构成了威胁。此外，安全威胁往往并不全来自外部，专门大一部分来自内部。另外，防火墙本身也专门有可能被黑客攻破。结合了入侵检测功能后，漏洞扫描系统具有以下功能：协调了其它的安全设备；使枯燥的系统安全信息易于理解，告诉了你系统发生的情况；跟踪用户进入，在系统中的行为和离开的信息；能够报告和识不文件的改动；纠正系统的错误设置；识不正在受到的攻击；减轻系统治理员搜索最近黑客行为的负担；使得安全治理可由一般用户来负责；为制定安全规则提供依据。漏洞扫描产品特点模拟攻击黑客的攻击一般分为

45、3步：第一步，扫描端口，探测那些端口是开放的；第二步，发觉漏洞，对开放的端口调用测试程序或数据串，通过特定的反应检测是否存在漏洞。第三步，发起攻击，发觉漏洞后，黑客就查找相关的攻击工具进行攻击。漏洞扫描系统的前两步和黑客的攻击专门相似，不同的是在第三步，发觉漏洞后会立即向用户提示漏洞的存在和解决方法，而不是发起攻击。因为前两布的相似性，漏洞扫描系统也称为模拟攻击测试。进攻是最好的防守，传统的安全产品差不多上单纯从防备的角度来达到目的，而漏洞扫描产品是唯一从进攻的角度检测系统安全性的安全工具，能够发挥其他安全产品无法发挥的作用未雨绸缪通过事前的模拟攻击测试，漏洞扫描系统能够在黑客发起进攻之前就发

46、觉黑客可能发起攻击的隐患，提示用户修补漏洞和采取防范措施，防范于未然。事前防范比事件发生时的防范更从容完整的入侵检测技术包括事前的检测，事中的探测和报警，事后的分析和应对。漏洞扫描系统在攻击发起之前进行自我防护和积极应对，比事中、事后的措施更有效。直接爱护被攻击对象传统手段是通过层层设防，防止黑客接触到主机（或其他被爱护节点），然而一旦各种爱护层被突破，主机仍然要承受攻击。漏洞扫描是直接加强被攻击对象的强壮性，即使外部的爱护措施失效，本身强壮的主机仍然能够保证安全。性价比高在目前的安全产品中，漏洞扫描产品的价位比防火墙稍高，远远低于其他安全产品的投资。漏洞扫描产品的安装运行简单、效果好、见效快

47、，同时该类产品网络运行相对独立，可不能阻碍到正常的业务，具有专门高的性能价格比。使用方便安全扫描产品不仅能发觉漏洞，还装载了大量的信息安全知识。通过使用安全扫描产品，系统治理员能够借鉴专业安全工程师的知识和信息积存，大大减轻了自己的劳动强度，有利于全网安全策略的统一和稳定。产品部署通常在核心交换机上部署一台机架式漏洞扫描服务器，同时在其他的各个不同的网段配置一台分布式漏洞扫描仪，定期地对网络中多个不同的网段的主机进行检测，同时给出相应的解决建议，用户依照这些解决建议来做出相应的防护。产品特点介绍强大的检测分析能力能够对操作系统、网络设备和数据库进行扫描，指出有关网络的安全漏洞及被测系统的薄弱环

48、节，给出详细的检测报告和相应的修补措施，安全建议；能够通过本机扫描插件下载的方式，下载插件进行本地补丁扫描，突破防火墙的限制，或者最准确的主机漏洞信息。软件设计采纳了最先进的层次化软件体系结构，框架清晰、运行稳定；漏洞库的升级可不能阻碍到程序的稳定，从而使先进性和可靠性得到了完美的统一。综合了国外闻名安全产品的优点和思路，起点高技术先进，检测范围广，可覆盖Internet/Intranet的所有主流部件。拥有强大的检测漏洞库，依照服务分为19大类不，现有漏洞数量20000余条（2009年11月）。每条漏洞都包含详细漏洞描述和可操作性强的解决方案。通过网络和本地数据包，每周至少升级更新漏洞库一次

49、，以保证能够检测最新的漏洞；拥有强大的结果文件分析能力，能够预定义、自定义和多角度多层次的分析结果文件，提供html、doc等多种格式。支持分布式扫描随着网络规模的逐步庞大、逐步复杂，核心级网络、部门级网络、终端/个人用户级网络的建设，各个网络之间存在着防火墙、交换机等过滤机制的存在，漏洞扫描发送的数据包大部分将被这些设备过滤，降低了扫描的时效性和准确性。针对这种分布式的复杂网络，不能依旧采纳传统的软件安装方式或者机架方式那种不易移动的产品，漏洞扫描系统能够充分发挥自身可移动的优势，能够专门好的适应这种分布式网络扫描。自身高度安全性IP地址限定每个扫描系统所能扫描的IP地址范围被严格锁定和限制

50、，并在国家授权机关进行安全备案，杜绝了网络漏洞扫描系统被恶意使用的可能。抗攻击设计扫描系统运行的操作系统是通过专门优化的LINUX系统，对操作系统的漏洞进行了全面的修补，并对扫描系统本身进行了各种攻击下的防范测试。多级的安全权限系统有完备的安全设计，防止超越权限操作现象发生；系统分级分层授权，以保证信息的安全和保密；充分考虑在网络、操作系统、数据库、应用等方面的安全性传输数据的加密采纳多种数据加密方法对重要数据进行加密，保证数据的安全读取与传输。不论是扫描脚本依旧用户的扫描结果，都以严格加密的形式进行传送。既保证了测试脚本可不能被窃取，也保证了用户的评估情况可不能泄漏。支持WEB扫描Web漏洞

51、扫描方法要紧有两类：信息猎取和模拟攻击。信息猎取确实是通过与目标主机TCPIP的Http服务端口发送连接请求，记录目标主机的应答。通过目标主机应答信息中状态码和返回数据与Http协议相关状态码和预定义返回信息做匹配，假如匹配条件则视为漏洞存在。模拟攻击确实是通过使用模拟黑客攻击的方法，对目标主机Web系统进行攻击性的安全漏洞扫描，比如认证与授权攻击、支持文件攻击、包含文件攻击、SQL注入攻击和利用编码技术攻击等对目标系统可能存在的已知漏洞进行逐项进行检查，从而发觉系统的漏洞。远程字典攻击也是漏洞扫描中模拟攻击的一种，其原理与其他攻击相差较大，若攻击成功，能够直接得到登陆目标主机系统的用户名和口

52、令。Web漏洞扫描原理确实是利用上面的扫描方法，通过分析扫描返回信息，来推断在目标系统上与测试代码相关的漏洞是否存在或者相关文件是否能够在某种程度上得以改进，然后把结果反馈给用户端(即扫瞄端)，并给出相关的改进意见。内部网络的统一治理统一治理方式在用户内网中，统一部署极地终端与内网安全治理系统、极地内控堡垒主机、极地网络漏洞扫描系统后，可与用户差不多部署的防火墙、IDS、VPN等设备联动，联动接口为标准规范。实施联动后，所有设备实现信息共享，并按照统一的原则和策略实现统一治理。例如IDS检测到某终端有攻击行为后向终端治理系统报告，终端治理系统立即禁止此终端所有网络连接，防止攻击行为对内网产生阻

53、碍。统一治理功效有了针对终端计算机和服务器的治理系统以后，结合用户差不多建设的防火墙、IDS、VPN等系统，能够实现真正意义上的全网统一治理：无死角通过抓住宅有安全事件的源头：终端与服务器，能够将全网所有事件纳入治理范围，不管安全事件从哪里发生都能准确定位和处理。全网安全域治理通过终端虚拟安全域，可划分更细粒度的安全域，将安全域由传统的网络边界粒度扩展到单台终端，与传统的基于网络边界访问操纵的安全域结合，实现更细粒度、更自由的安全域治理。远程终端与内网终端统一治理通过远程终端安全准入操纵，终端计算机不再区分远程接入或局域网接入，能够按相同的治理策略进行治理。统一用户治理全网统一身份，服务器与终端基于统一的