无线网络覆盖方案设计

方案总述图3.1无线网络拓扑示意图增加运维难度，影响运维效率的因素有大量的网络节点，复杂的网络拓扑和网络覆盖的地理范畴。网络节点越多意味着网络管理员要维护的设备越多，同时某一节点出现问题的概率越大，从而提高了管理员的工作量。而复杂的网络拓扑让基于业务变更的网络方略调节与优化变的复杂，网络管理员不得不看4分片分区的自下而上的逐级修改配备，由于复杂的网络拓扑造成的错综复杂的网络合同关系给问题排查带来不小的难度。网络所覆盖的地址范畴是不能人为控制的，但是从运维的角度看，减少运维压力提高运维效率就是网络管理员尽量少的跑到接入端去进行问题排查，实现办法就是前端设备尽量少或不需要进行配备，只要接入网络就可通过网络中心进行统一管理，这样现在端接入设备出现故障，只需要找工程人员做简朴的设备更换，而不需要管理员到现场在进行复杂的配备，网络管理运维效率得以提高。在以上三个因素中网络覆盖的地理范畴是不可变化的，而网络节点数和网络拓扑是能够从方案设计上进行优化，因此神州数码在某市教育城域网网项目中在满足教学应用的需求下以简化后期运维量为出发点，在方案设计中使用最少的设备，最简朴的拓扑来满足应用需求。如图2.1所示，在某市教育无线网建设中神州数码采用教育局集中管理，集中运维的思路进行网络设计，学校只作为网络前端进行AP和PoE交换机的布署，无线控制器，实名认证系统、网络管理系统、安全运维审计系统以及无线应用加速系统等网络管理、运维系统将统一布署在某市教育局，实现对全市无线网的统一管理，统一运维。采用这种网络设计当管理员需要修改网络方略对网络进行调节或优化时，他只需要对教育局数据中心的设备进行调节即可全网生效，而不需要从接入端逐级的进行配备修改。能实现如此的管理方式也得益于现在无线网络的布署架构。现在主流的无线网络全部采用无线控制器+瘦AP的架构，无线控制器就像无线网络的大脑，它负责管理与其连接的全部AP的配备方略，而瘦AP只是运算和执行方略，基于此架构，无线网络可直接通过对中心端的无线控制器的配备操作达成修改接入点网络方略的目的，从而实现中心的统一管理，统一运维。无线控制器的选择与布署0无线控制器的选择在中大型无线网络环境中采用无线控制器+瘦AP的网络架构已经成为不争的事实。从无线控制器的形态上分类从现在市场上的产品来看可分为两类：硬件形态的无线控制器和软件形态的无线控制器。硬件形态的无线控制器是从无线控制器+瘦AP架构正是公布后始终延续到现在的一种无线控制器物理形态，现在市场上重要以X86工控机或多核+交换板作为硬件架构。这种架构的产生源于第一代瘦AP架构，第一代瘦AP的数据转发模式采用的是集中式转发，即无线AP全部的数据都要流经无线控制器，再由无线控制器转发到上层网络当中，这种模式就需要无线控制器就较好的数据转发性能，而服务器网卡在数据转发上的性能与带有交换架构的工控机来比就要差某些，因此，无线控制器是以硬件形态出现的。第一代瘦AP重要采用的是IEEE802.11g无线传输合同，IEEE802.11g合同在TCP传输合同下的最大带宽在25Mbps左右，第一代无线控制器采用集中式转发模式不会产生网络瓶颈。随着单一项目的无线网络规模的扩大，双频双模无线AP的出现以及IEEE802.11n合同的无线AP的问世，无线AP的上行带宽越来越高。因此，集中式转发已经成为数据传输瓶颈，为理解决这一问题，提高无线网络传输性能，瘦AP开始采用本地转发，集中管理的架构，即从瘦AP上行的业务数据都有AP直接通过交换机转发到网关，不在经由无线控制器进行转发。只有瘦AP的管理数据和是在无线控制器和AP之间交互，这种交互数据的数据流非常小，因此无线控制器开始采用单臂旁挂核心交换机的方式进行布署，我们称这种布署方式为旁路布署。图3.2-1集中转发&本地转发示意图前面讲到数据采用本地转发的瘦AP与无线控制器之间的管理数据流量很小，无线控制器的数据转发性能，随着服务器性能的大幅提高以及虚拟化技术的完善和普及，软件形态的无线控制器应运而生。诸多人把简朴的认为软件形态的无线控制器就是把硬件形态无线控制器里的系统抽离出来形成的，因此除了形态上的差别之外其它都是同样的。其实这是一种简朴并且错误的理解，软件形态的无线控制器的产生更多由于虚拟化技术和云数据中心的普及而产生的，因此软件形态的无线控制器本身的首要特性就是虚拟化特性，云特性。例如一台软件形态的无线控制器，能够根据不同顾客群定制属于自己的虚拟化控制器，用于实现对自己区域的无线AP的个性化管理。我们把这种虚拟化称为1：N虚拟化。而当一种大型网络中有多台软件形态的无线控制器，他们能够形成一种统一无线管理控制器池，任何一种控制节点出现问题都不会出现瘦AP脱管的现象，形成一种统一的，整体的无线网络控制云平台，我们把这种虚拟化称为N：1虚拟化。由此我们能够看出软件形态的无线控制器的基本特性就是支持虚拟化和云特性。基于这些虚拟化特性我们也把软件形态的无线控制器成为“云”无线控制器。现在采用“云”无线控制器的重要代表厂家有思科和神州数码。两种形态的无线控制含有哪些特性差别，如表3.2.1，我们对两种无线控制器的重要差别特性做了简朴的对比。表3.2.1无线控制器特性对比：特性硬件形态无线控制器“云”无线控制器含有虚拟化特性不含有含有管理AP数量单台≤4000（主流产品）软件系统无AP管理上限端口配备千兆电/光口≥4；含有万兆端口或扩展插槽端口依靠于服务器配备的网卡类型AP数据转发方式支持本地转发和集中转发支持本地转发AP布署方式二层布署、三层布署二层布署、三层布署、跨NAT布署根据两种形态的无线控制器的特性差别我们来做一种简朴的综合分析。传统的硬件形态无线控制器一台设备可管理的最大AP数量普通在4000台左右，市场上现在主流销售的硬件无线控制器最大管理AP数量在台下列，由此能够看出传统硬件无线控制器重要用于园区无线网络的布署。某市教育城域网项目的大型城域级的无线网络如果采用硬件无线控制器由于管理AP数的限制，就只能采用分布式布署的方式，即以学校或者更小的区域为单位，将无线控制器分别布署在这些单位中，或者采用集中式分组布署，即将多台无线控制器集中放置在区教育局中心机房，以管理地址段作为划分手段将AP分别指不同的无线控制器来管理。以上两种布署办法确实能够解决无线AP的管理问题，但是如前面所讲，从后期管理运维的角度考虑，这两种布署方式在网络中增加了多台无线控制器，网络拓扑变的复杂，网络管理员需要维护的设备数量增加。网路认证方略，QoS方略需要在每台控制器上配备一次，在网络出现问题时，需要做大量的数据检测和排除工作，运维效率减少。“云”无线控制器从功效设计上并没有AP管理上限。AP管理上限取决于承载“云”无线控制器的服务器硬件性能。而“云”无线控制器的虚拟化特性允许采用服务器横向扩展（Scaleout）的方式来提高管理性能，同时还实现了冗余。由于“云”无线控制器的虚拟化特性，即使服务器采用横向扩展方式进行扩容，它从管理运维的角度看只是一种管理节点，网络管理员看到的管到的始终是一台无线控制器，不需要为学校的AP归哪个控制器管而划分群组。从端口配备上看，某市教育城域网这种大型的无线网络布署无线控制器都会采用旁路布署，无线AP采用本地数据转发的方式，这种方式无线AP与无线控制器之间之交互管理数据，数据流量小，只需要1到2个万兆接口接入核心交换就能够完毕链路布署。因此硬件控制器上所配备的丰富的接口和高速的数据转发性能都起不到什么作用。基于以上分析能够看出，在某市教育城域网项目中，使用“云”无线控制器含有扩容更容易，拓扑更简朴的特点，更易于后期的网络维护。无线控制器的布署某市教育城域网骨干某市教育城域网骨干图3.2.2-1“云”无线控制器布署示意图如图3.2.2-1所示，“云“无线控制器只需要布署在教育局网络中心的运维管理区。建议配备两台服务器运行“云”无线控制器，服务器前端配合一台链路负载均衡，两台服务器对AP管理实现负载均衡，并且避免单点故障引发网络问题。无线AP的选择与布署无线AP首先要满足某市教育局无线控制器管理规定，能通过CAPWAP合同与某市教育局的无线控制器进行对接。AP需要满足50人同时接入，因此无线AP要采用IEEE802.11n/IEEE802.11ac合同的无线AP，并且支持2.4GHz和5.8GHz双频双模，AP要采用2x2：2或以上MIMO架构。无线AP支持IEEE802.3af或IEEE802.3at供电合同，通过PoE方式供电。由于无线AP的最大传输带宽已经超出百兆，因此上行PoE交换机建议采用千兆PoE交换机。交换机要支持最少370W的PoE功率输出，并且支持IEEE802.3af和IEEE802.3at合同。在本项目中推荐采用神州数码的DCWL-8200系列AP和S5750E系列PoE交换机。实名认证系统布署要满足全市内账户漫游，就需要一种统一的实名认证系统对某市所辖学校全部网络账户进行统一管理和统一认证，网络顾客不管身处哪所学校都能够使用自己的账户登陆网络。现在主流的认证系统普通分为两类，一类是网关型认证系统，以硬件形态为主，普通串行在网络出口。第二类是软件型认证系统，普通布署在网络中心机房的管理区，通过与作为认证发起设备的联动实现认证。某市信息化教学应用非常丰富，干网带宽已经达成万兆，如果采用网关型认证系统可能会产生网络瓶颈，鉴于此，本项目中推荐使用软件型认证计费系统。神州数码的软件计费系统是有DCSM-RS认证服务平台和DCSM-BW综合业务管理平台两部分构成。DCSM-RS提供集中的宽带网络顾客认证，授权和计费，及接入方略管理，为电信运行商和大中型园区网提供类型丰富、配备灵活的宽带运行业务模式，如集中认证、漫游认证、内外网准入准出认证、Portal认证、免认证Portal推送、无感知认证等，以及WLAN、远程/VPN、PPPoE拨号、IPoE、802.1x等多个基于身份的认证支持。DCSM-BW是作为DCSM-RS配套使用的综合业务管理后台软件，实现宽带运行中的方略配备、顾客管理、顾客业务办理、账务解决、统计输出等综合业务功效，是顾客对宽带运行管理的统一操作界面。DCSM-RS实名认证系统布署方式：图3.4.1-1实名认证系统布署示意图DCSM-RSRadius平台普通与DCSM-BW宽带业务管理平台同时布署，DCSM-RSRadius平台负责顾客实时认证、计费、控制方略下发以及Portal页面推送，DCSM-BW宽带业务管理平台则负责顾客管理、业务方略配备、账务解决、统计报表输出、自助服务、数据维护等后台业务功效。DCSM-RS与DCSM-BW服务器均需旁路布署在受防火墙等网络安全设备保护的数据中心中，原网络的布署与构造无需调节，只需接入控制层的网络设备支持有关的Radius和Portal合同，另外防火墙等网络安全设备须允许RADIUS、PORTAL报文通信。网络认证方式主流的认证方式有802.1x认证，Portal认证，无感知认证，PPPOE认证，手机短信认证，二维码认证。802.1x认证普通需要采用客户端或者配备启用终端系统自带的802.1x客户端来进行认证，对终端顾客的技术规定较高，多系统平台的兼容性较低，管理员维护工作量增加。因此在本项目中不建议采用。Poral认证采用WEB页面重定向方式用浏览器为顾客推送认证页面，顾客终端不需要其它第三方软件就可实现认证。市场上主流的视窗类系统都支持，兼容性高。由于认证时通过顾客惯用浏览器进行认证，对顾客的技术规定低，管理员维护工作量很小。在确保网络安全认证的同时，顾客规定简化认证流程，因此神州数码推出了无感知认证，顾客在第一次通过Protal认证之后，再次连接网络就不需要在进行认证，直接就能够接入网络，大幅简化认证流程。是本项目中作为首选的认证方式。PPPOE认证同样需要使用客户端进行拨号上网，对于移动终端系统的兼容性低，后期维护工作量大。手机短信认证重要用于外来访客的上网认证需求。例如，学生家长，其它地区的参观团，当这些顾客有接入网络需求，如果通过管理员一种一种的开通账户效率低，工作量大。采用手机短信认证的方式，顾客通过自己的手机按需开通账户，管理员只需要预设好账户有效时间，账户到期后会自动销户。不需要管理员花时间精力去管理这些账户。管理员可根据实际状况随时打开或关闭短信认证方式。二维码认证是现在基于移动终端应用的一种认证方式，系统将访客终端的MAC地址信息以二维码的方式体现出来，网络授权由顾客通过手机扫描二维码的方式进行授权。下面对Portal认证，二维码认证，手机短信认证和二维码认证做一种解说。Portal认证Portal认证是通过浏览器重定向顾客访问页面，将通过网页浏览的方式进行顾客认证的方式。顾客上线认证方式有两种：CHAP和PAP，其中CHAP方式为必选功效，PAP方式为可选功效。PAP是明文认证方式，因此普通建议采用CHAP加密认证方式。以Chap为例的顾客上线认证流程，以下图所示：图3.4.2-1认证流程示意图顾客访问网站，通过AC重定向到DCSM-RS，DCSM-RS推送认证页面；顾客填入顾客名、密码，提交页面，向DCSM-RS发起连接请求；DCSM-RS向AC请求Challenge；AC分派Challenge给DCSM-RS；DCSM-RS向AC发起认证请求；而后AC进行RADIUS认证，获得RADIUS认证成果；AC向DCSM-RS送认证成果；DCSM-RS将认证成果填入页面，和门户网站一起推送给客户；DCSM-RS回应确认收到认证成果的报文。DCSM-RS集成功效完整的Portal门户推送平台，支持运行商及厂家接入设备Portal合同，可基于位置（VLAN/IP）和终端类型推送指定的页面，使之成为运行商优秀的基于Portal门户页面的广告运行、业务推广等增值业务平台。DCSM-RSPortal功效特性：快捷便利的Portal页面编辑内置Portal页面编辑工具，可针对不同网络位置或商户选择或编辑Portal，实时动态定义页面风格、样式、内容及使用方式等等，充足呈现顾客的个性，使运行商能够快速更新门户信息，快速响应市场及合作商的需求，同时也促使终端顾客感受有效的信息体验，增加顾客对Portal门户的粘度。WEBPortal认证和兼容性支持行业原则的Portal通讯合同和漫游认证合同规范。遵照《中国移动WLAN业务PORTAL合同规范》、《中国移动WLANPortal设备规范》、《中国电信WLAN漫游认证WISPr合同规范》支持Cisco、Aruba、华三等主流无线设备厂家Portal合同基于终端类型的页面推送自动匹配顾客终端类型的页面推送，如智能手机、平板电脑、笔记本电脑等，为顾客提供优质便利的接入体验。基于位置的内容推送根据顾客的位置（VLAN/IP段）推送不同的内容，为场地运行者（如公共区域的不同商户、公司等）提供个性化的网络门户，实现广告运行、消费者互动等增值业务和商业模式。无感知认证顾客无感知认证方式，解决顾客需要提高使用者体验的同时，又确保了网络使用的安全性。顾客无感知认证，顾客在第一次portal认证后，后续上网行为无需再输入账号密码，在顾客无感知的状况下认证通过上网，确保安全性的同时提高了顾客体验。具体实现设计以下图所示：图3.4.2-2顾客初次认证示意图图3.4.2-3顾客再次上线认证示意图注意：图中的MAC绑定服务器并不是单独的一种设备，是在AAAserver中的扩展功效，为了表述清晰，将其单独提出。顾客使用体验流程：图3.4.2-4无感知认证流程图如流程图所示，顾客在第一次连接网络的时候，需要弹出portal，输入账号密码，点击确认，认证通过后能够访问网络；后续上网，无需再弹出portal，输入账号名密码等繁琐操作，给顾客的感觉是连接wifi，就直接上网了；实际底层是通过了安全身份认证。该种方式，确保无线网络的安全性，网络顾客使用可追溯，确保了顾客管理的需要，又避免了网络顾客的繁琐操作，提高了顾客上网体验。手机短信认证无线上网顾客重要分成内部固定顾客、外来访客顾客两种，在无线覆盖环境中，由于顾客流动性强，如何有效的对外来访客进行管理，体现无线的便捷性及安全性，成为重中之重。对于外来访客，为了网络安全，接入公司的无线网自然需要通过身份认证，方便监控与管理。为了提供应访客简朴快捷的获取上网账号密码的方式，特别是对于办公区域面积比较大的园区，像拥有多个办公楼的园区，让访客只能在一种固定的地方且需要通过人工办理的方式获取上网账号密码，既费时又占用人力，因此访客自助获取账号密码是比较简便快捷的方式。短信认证是指通过短信发送密码，由后台服务器通过短信猫和短信通道发送，短信猫用的最多是socket接口，短信通道普通为http接口，三大运行商基本都是用http接口，具体调用接口的内容各有不同。DCN无线网络运行方案提供多个短信认证接口，包含通过短信猫方式、与本地运行商对接方式以及与短信运行公司对接方式。与本地运行商购置短信网关服务普通在顾客本地运行商，都有短信网关服务，无线网络管理者直接跟运行商进行短信购置即可。短信发送账号密码拓扑示意图以下：图3.4.2-5短信网关认证流程图如图所示，在短信网关使用的状况下，网络架构是无需变化调节的，只需后台RadiusServer软件开通短信通道接口即可。与短信运行公司对接为节省运行管理者的成本，RadiusServer软件的短信通道也支持与该类运行公司对接，通过运行公司的固有出口连接到移动、联通等各大运行商网，实现短信下发到最后顾客。无线网的运行管理者只需与短信类运行公司进行资费洽谈以及短信量购置，该费用会低于直接与各大运行商直接购置费用，同时无需多个运行商洽谈的麻烦。拓扑示意图以下：图3.4.2-6短信运行公司认证流程图短信猫方式。单独购置一台短信猫设备，通过socket接口与认证计费系统对接。普通不建议用短信猫方式，短信猫相称于一种手机，单条短信成本高，按普通短信价格收，顾客体验不好，且容易被运行商屏蔽。顾客短信认证环节：打开手机，打开手机，portal推送，短信申请短信获取账号密码输入后，上网冲浪图3.4.2-7认证环节DCN方案同时支持终端portal页面推送的定制，方式便捷易用。通过手机申请帐号，便于对流动顾客的管理，对网络访问问题可有效追查定位。顾客自助完毕上网账号获取，能够节省公司管理方的人力成本和维护成本，下面以本系统在珠海移动无线都市的案例为例，介绍自助上网获取的过程：无线顾客访问任意网址后，通过Portal强制重定向指定页面，输入个人手机号码，以下图：第二步：点击获取密码第一步：输入珠海移动本地手机号第二步：点击获取密码第一步：输入珠海移动本地手机号图3.4.2-8认证界面如果输入手机号码对的，则提示动态密码发送成功，以下图：图3.4.2-9认证密码发送提示登录成功后页面以下提示：图3.4.2-10顾客通过认证Portal页面可自动匹配顾客的终端类型，如手机顾客，则系统推送的Portal页面以下：图3.4.2-11手机认证页面二维码认证二维码认证能够授权人能够通过手机扫描认证系统为被授权人生成的二维码来对被授权人进行授权，当通过授权后被授权人就能够使用自己的终端直接访问网络。这种方式避免了管理员为来访者逐个开户，管理员只需要将网络授权时间设定好，超时后临时账户自动删除。认证流程以下图：认证系统分权管理在认证和账户管理上某市教育局规定进行统一认证，统一管理。但是使用主体是学校，学校由于某些临时规定需要对账户进行开户，销户等操作，而如果每次都通过教育局管理员来操作效率低下，不能满足需求。而DCSM校园宽带认证计费系统支持完善的角色权限管理。可觉得学校管理员分派一定的账户权限，让学校管理员能够针对本校需求进行简朴的账户开户，销户的操作。DCSM-RS可觉得角色信息配备工号、姓名、别名，能够分别用其中之一登录系统。能够配备系统使用者与否能够多点登录系统及源地址范畴绑定等。功效权限：系统导航的每个功效点都能够在权限中进行具体配备；内容权限：对多个套餐组、资费组、地区组等组属性能够具体配备各个系统使用者允许操作与查看的组，从而决定能够管理的顾客范畴。方便实现不同校区的权限管理。图认证系统分权管理界面顾客自服务平台自助服务系统支持丰富的自助查询与自助业务办理功效，自助系统开放的功效能够在后台管理界面上由系统管理员统一配备，例如允许开放的自助查询业务、自助变更套餐、停/开机等。另外，还能够灵活配备允许自助维护顾客资料的选项，例如哪些顾客资料允许变更，哪些允许一次性变更等。支持界面的换肤功效，顾客能够选择自己喜欢的界面风格，为最后上网顾客提供和谐的使用感受。无线管理系统布署神州数码的DCLM是一套有线无线一体化的综合网络管理平台，可从计划、实施、监控、配备、问题解决、报告等对公司网络进行全方面的管理。通过集中、直观、易于使用的顾客管理界面明显地减少了网络运行成本。提供清晰的网络管理和控制平台，无线管理组件DCLM-Wlan，支持涉及AC、AP和移动客户端的位置的实时监控，wlan安全实施和防御的网络实时监控，网络自动化和调度范畴内的配备，快速、高效的故障排除。支持发现并管理有线设备,DCLM-Lan组件提供有线服务，包含设备的状态、设备名称、设备组、IP地址、MAC地址、位置、联系人、设备类型、供应商、型号、软件版本、硬件版本、固件版本、配备版本、设备序列号、TOP10告警信息、CPU和内存使用率、响应时间和丢包率、交换机的全部的接口信息等等功效。倘若现在交换机是POE设备，还能够对接口进行开关设立。支持位置服务功效，其DCLM-Location组件支持在热点地图上定位客户端、流氓客户端或流氓AP的位置等功效。图3.5-1无线终端定位支持无线规划功效：DCLM-Planner组件能够协助顾客在地图上手动或自动的规划AP的位置，确保满足热点覆盖率。DCLM产品重要配合神州数码设备使用，提供简易的图形化的配备界面，实现通过智能的准时按需方式对单个或批量设备进行配备修改,配备文献备份/恢复,和固件升级，从而大大减少管理员的维护强度和难度。能够满足从小型，中型，大型wlan和lan布署多达数万的网络设备的需求，支持神州数码全系列无线AC和AP产品,以及全系列路由和交换产品，并支持第三方网络设备的发现,拓扑和统一监控。安全运维审计布署由于信息系统的脆弱性、技术的复杂性、操作的人为因素，在设计以防止、减少或消除潜在的风险或风险暴露的安全控制时，还应考虑运维管理与操作监控机制以防止、发现错误或违规事件，对IT风险进行事前防备、事中控制、事后监督和纠正的组合控制。IT运维审计作为防止性控制的有效补充，并检查、监控控制的适宜性与充足性，在信息科技风险管理中发挥极重要作用。对IT系统运维进行审计，是控制内部风险的一种重要手段，但大型机构的IT系统构成复杂，操作人员众多，如何有效地执行审计工作，是长久困扰各组织信息科技和风险稽核部门的一种重大课题。对任意组织而言，采用基于计算机的审计技术或工具（CAATs,ComputerAssistedAuditTechniques/Tools）无疑是实现监管信息化、提高工作绩效的重要途径。但首先需要解决的问题是：组织需要关心哪些类型的审计信息？哪些信息或行为对组织尤为核心？现在通用的审计工具大多从网络层面或服务器日志层面获取较为庞杂的信息，往往会造成核心的管理信息或敏感操作沉没于日常业务数据中，或无法追溯操作行为轨迹、理解操作行为意图，可能影响审计的有效性或效率。我们因应市场对IT运维审计的需求，集其数年信息安全领域运维管理与安全服务的经验，结合行业最佳实践与合规性规定，率先推出基于硬件服务器平台的“安全审计系统（DCSAS）”，针对于核心资产的运维管理，再现核心行为轨迹，探索操作意图，集全局实时监控与敏感过程回放等功效特点，有效解决了信息化监管中的一种核心问题。“安全审计系统（DCSAS）”目的是为组织IT系统核心服务器的运维操作提供强有力的监控、审计手段，使其切实满足内控管理中的合规性规定。安全审计系统（DCSAS）可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计，对方略配备、系统维护、内部访问等进行具体的统计，提供细粒度的审计，并支持操作过程的全程回放。安全审计系统（DCSAS）弥补了传统审计系统的局限性，将运维审计由事件审计提高为内容审计，并将身份认证、授权、管理、审计有机地结合，确保只有正当顾客才干使用其拥有运维权限的核心资源。安全审计系统（DCSAS）为组织在IT操作风险控制、内控安全和合规性等方面提供一套完善、有效的审计手段。鉴于网络及管理架构的复杂性，安全审计系统（DCSAS）系统提供了灵活的布署方式，既能够采用串连模式，也能够采用单臂模式接入到公司内部网络中。采用串连模式布署时，安全审计系统（DCSAS）含有一定程度上的网络控制的功效，可提高核心服务器访问的安全性；采用单臂模式布署时，不变化网络拓扑，安装调试过程简朴，可按照网络架构的实际状况灵活接入。图3.6-1：单臂模式接入图3.6-2：串联模式接入无论串连模式还是在单臂模式，通过安全审计系统（DCSAS）访问IT基础服务资源的操作都将被具体的统计和存储下来，作为审计的基础数据。安全审计系统（DCSAS）的布署不会对业务系统、网络中的数据流向、带宽等重要指标产生负面影响，无需在核心服务器上安装任何软硬件系统。系统特性：完整的身份管理和认证为了确保正当顾客才干访问其拥有权限的后台资源，解决IT系统中普遍存在的交叉运维而无法定位到具体人的问题，满足审计系统“谁做的”规定，系统提供一套完整的身份管理和认证功效。 支持静态口令、动态口令、LDAP、AD域认证方式； 支持密码强度、密码效期、口令尝试死锁、顾客激活等安全管理功效； 支持顾客分组管理； 支持顾客信息导入导出，方便批量解决。灵活、细粒度的授权系统提供基于顾客、运维合同、目的主机、运维时间段（年、月、日、周、时间）、会话时长、运维客户端IP等组