极地内部网络控制统一安全解决方案模板.doc

资源描述

极地内部网络控制统一安全方案北京市海淀区上地安宁庄西路9号院金泰富地大厦808 100085 电话：传真：服务热线：目录 1 概述 - 1 - 1.1 背景 - 1 - 1.2 需求分析 - 2 - 1.2.1 政策需求 - 2 - 1.2.2 管理需求 - 2 - 1.2.3 技术需求 - 2 - 2 处理方案概述 - 6 - 3 终端管理(JD-ESMS)处理方案 - 6 - 3.1 产品概述 - 6 - 3.2 产品基础功效 - 8 - 3.2.1 策略管理 - 8 - 3.2.2 日志功效 - 9 - 3.2.3 终端资产管理 - 9 - 3.2.4 终端用户管理 - 10 - 3.2.5 报警和响应管理 - 10 - 3.3 关键功效 - 10 - 3.3.1 终端准入管理 - 10 - 3.3.2 终端安全防护 - 12 - 3.3.3 终端行为管理 - 13 - 3.3.4 系统管理 - 14 - 4 堡垒主机(JD-FORT)处理方案 - 16 - 4.1 系统架构 - 16 - 4.2 实施单元功效 - 16 - 4.2.1 统一账号管理 - 16 - 4.2.2 多个认证方法 - 17 - 4.2.3 单点登录 - 17 - 4.2.4 自动捕捉用户命令行输入，智能识别命令和编辑输入 - 17 - 4.2.5 支持TAB补齐等Readline功效 - 17 - 4.2.6 支持组合命令动作审计 - 18 - 4.3 日志服务功效 - 18 - 4.4 管理单元日志查询 - 18 - 4.5 实施单元实时监控功效 - 19 - 5 集中身份管理(JD-4A)处理方案 - 19 - 5.1 概述 - 19 - 5.2 功效介绍 - 20 - 5.2.1 集中账号管理 - 21 - 5.2.2 集中身份认证 - 21 - 5.2.3 集中访问授权 - 22 - 5.2.4 集中安全审计 - 22 - 5.2.5 单点登录 - 22 - 6 漏洞扫描(JD-SCAN)处理方案 - 23 - 6.1 网络漏洞扫描必需性 - 23 - 6.1.1 漏洞扫描技术概述 - 23 - 6.1.2 漏洞扫描产品特点 - 24 - 6.2 用户现实状况分析 - 24 - 6.3 产品布署 - 25 - 6.4 产品特点介绍 - 26 - 6.4.1 强大检测分析能力 - 26 - 6.4.2 支持分布式扫描 - 27 - 6.4.3 本身高度安全性 - 27 - 6.4.4 支持WEB扫描 - 28 - 7 内部网络统一管理 - 28 - 7.1 统一管理方法 - 28 - 7.2 统一管理功效 - 29 - 7.2.1 无死角 - 29 - 7.2.2 全网安全域管理 - 29 - 7.2.3 远程终端和内网终端统一管理 - 29 - 7.2.4 统一用户管理 - 29 - 7.2.5 统一访问授权管理 - 30 - 7.2.6 全网实名审计和统一事件管理 - 30 - 8 《企业内部控制基础规范》要求和处理 - 30 - 8.1 内控标准 - 30 - 8.2 技术要求 - 31 - 8.3 风险评定 - 32 - 8.4 控制活动 - 32 - 8.5 信息和沟通 - 32 - 8.6 内部监督 - 32 - 1 概述 1.1 背景信息技术发展到今天，大家工作和生活已经越来越依靠于计算机和网络；然而，自网络诞生那一天起，它就存在着一个重大隐患——安全问题，大家在享受着网络所带来便捷同时，不得不承受着网络安全问题带来隐痛。说到网络安全，大家自然就会想到网络边界安全，不过实际情况是网络大部分安全风险均来自于内部。常规安全防御手段往往局限于网关等级、网络边界（防火墙、IDS、漏洞扫描）等方面防御、关键安全设施大致集中于机房或网络入口处，在这些设备严密监控，来自网络外部安全威胁大大减小。相反，来自网络内部计算机安全威胁却是众多安全管理人员所面临棘手问题。内部网络安全管理分为四个方面：一类是前台计算机，通常指办公和业务终端计算机；另一类是后台设备，通常是服务器或路由器交换机等网络设备；还有一类就是用户单位内部多种应用软件系统；最终，还有首先就是安全风险管理，它面对全部以上设备和应用，管理是否存在有安全隐患，是否存在安全风险，和怎样应对等问题。怎样做好内部网络这四个方面安全管理，是摆在每一个IT管理者面前问题。极地内部网络控制统一安全方案即针对此情况，为管理者提供一个全方面、细致处理方案，处理终端、服务器和应用系统安全管理问题。 1.2 需求分析 1.2.1 政策需求《等级保护》、萨班斯法案(Sarbanes-OxleyAct)等政策明确要求内网应进行严格管理控制和细粒度审计。中国也已经出台《企业内部控制基础规范》，对内部网络信息安全管理提出明确要求。 1.2.2 管理需求伴随网络规模不停扩大和IT应用不停深入，对安全管理要求越来越高，企业内部管理成本越来越高。怎样有效降低管理成本、降低安全风险、提升安全管理效能，成为管理者最先考虑问题。 1.2.3 技术需求 1.2.3.1 前台计算机管理需求：终端管理前台计算机，如前所述，通常被称为终端（End-Point）。对这些计算机管理也称为终端管理。终端管理关键有以下内容： Ø 资产管理对终端计算机资产情况进行管理，对资产变更进行管理。 Ø 准入管理不安全计算机不应接入内网之中，以免在内网中引发安全问题。不应接触外网计算机，也不能私自建立对外网络连接。 Ø 终端防护包含补丁分发管理、安全配置管理、外设管理、终端防火墙、终端文档保护等等。 Ø 终端行为管理包含移动介质管理、程序使用管理、流量管理、网页访问管理等等 Ø 信息防泄漏包含移动介质管理、加密优盘、文件加密、文档权限管理、文件操作审计等。另外，终端管理通常也包含病毒、木马管理。因这方面有成熟产品和方案，本方案对此不予赘述。 1.2.3.2 后台计算机和设备管理需求：统一授权管理针对服务器管理，关键指服务器访问控制，这是服务器安全根本所在。通常服务器放置在机房中，由管理员进行维护时，直接登录到服务器上，其过程缺乏监管，造成授权复杂、缺乏过程审计等很多问题。在安全管理4个A（账号Account、认证Authentication、授权Authorization、审计Audit），账号和认证没有统一管理，各服务器单独管理，管理员登录各服务器和应用系统时很轻易混乱；没有统一授权，各服务器单独对不一样账号进行授权，工作量大而轻易犯错；管理员登录后操作也缺乏审计手段，现有手段严重不足，造成大量审计缺失。尤其当服务器数量和应用系统数量多时，问题尤其严重。应将全部服务器登录过程搜集到一个统一入口，建立统一账号管理和授权机制，每个服务器应用系统账户和授权均由此统一平台进行，避免单独设置而造成混乱。由此入口进行统一登录，登录确定身份后，可依据授权访问对应服务器和业务系统。同时，应对操作做全程审计。 1.2.3.3 应用管理需求：集中身份管理伴随各个行业大企业业务快速发展，多种业务和经营支撑系统不停增加，网络规模快速扩大，原有由各个系统分散管理用户和访问授权管理方法造成了在业务管理和安全之间失衡，用户往往在多个应用中均拥有独立账号和口令，登录失败和发生错误几率大大上升，很多情况下，为了便于记忆，用户不得不将账号和口令写在纸上，从而使这些账号和口令安全性受到了极大影响。同时，用户忘记口令事件增多也增大了管理员工作负担。另外管理员需要在不一样应用中维护独立用户身份和存取管理，相当麻烦。比如有新职员加入企业以后，管理员需要在每一个应用中添加此用户信息，依据此用户角色分配不一样权限；当用户角色发生改变时，需要在不一样应用中修改此用户权限。所以原有账号口令管理方法已不能满足企业现在及未来业务发展要求。用户面临以下多个方面问题： 1．企业支撑系统中有大量网络设备、主机系统和应用系统，分别属于不一样部门和不一样业务系统。各应用系统全部有一套独立账号体系，用户为了方便登陆，常常有以下情况发生：多系统使用相同账号和密码，配置强度很弱密码，或多人共用账号等。多系统账号管理混乱，难于对账号扩散范围进行控制，难于确定账号实际使用者，难免造成安全隐患。 2．各系统全部有一套独立认证体系，假如想加强系统安全性，就需要对各系统认证进行加强，需要各系统全部支持强认证方法，这基础是不现实。 3．各系统分别管理所属系统资源，为本系统用户分配权限，无法严格根据最小权限标准分配权限。另外，伴随用户数量增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加。安全性无法得到充足确保。 4．各支撑系统独立运行、维护和管理，所以各系统审计也是相互独立。每个网络设备，每个主机系统，每个业务系统及每个数据库系统全部分别进行审计，安全事故发生后需要排查各系统日志，单是往往日志找到了，也不能最终定位到行为人。 5．用户常常需要在各个系统之间切换，每次从一个系统切换到另一支撑系统时，全部需要输入用户名和口令进行登录。给用户工作带来不便，影响了工作效率。 1.2.3.4 漏洞扫描漏洞扫描就是对计算机系统或其它网络设备进行安全相关检测，以找出安全隐患和可被黑客利用漏洞。显然，漏洞扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又能够有效防范黑客入侵。所以，漏洞扫描是确保系统和网络安全必不可少手段，必需仔细研究利用。 l 定时网络安全自我检测、评定配置漏洞扫描系统，网络管理人员能够定时进行网络安全检测服务，安全检测可帮助用户最大可能消除安全隐患，尽可能早地发觉安全漏洞并进行修补，有效利用已经有系统，优化资源，提升网络运行效率。 l 安装新软件、开启新服务后检验因为漏洞和安全隐患形式多个多样，安装新软件和开启新服务全部有可能使原来隐藏漏洞暴露出来，所以进行这些操作以后应该重新扫描系统，才能是安全得到保障。 l 网络建设和网络改造前后安全计划评定和成效检验网络建设者必需建立整体安全计划，以统领全局，高屋建瓴。在能够容忍风险等级和能够接收成本之间，取得合适平衡，在多个多样安全产品和技术之间作出取舍。配置网络漏洞扫描/网络评定系统能够让您很方便进行安全计划评定和成效检验 l 网络安全系统建设方案和建设成效评定 l 网络负担关键任务前安全性测试网络负担关键任务前应该多采取主动预防出现事故安全方法，从技术上和管理上加强对网络安全和信息安全重视，形成立体防护，由被动修补变成主动防范，最终把出现事故概率降到最低。配置网络漏洞扫描/网络评定系统能够让您很方便进行安全性测试。 l 网络安全事故后分析调查网络安全事故后能够经过网络漏洞扫描/网络评定系统分析确定网络被攻击漏洞所在，帮助填补漏洞，尽可能多得提供资料方便调查攻击起源。 l 重大网络安全事件前准备重大网络安全事件前网络漏洞扫描/网络评定系统能够帮助用户立即找出网络中存在隐患和漏洞，帮助用户立即填补漏洞。 2 处理方案概述依据以上需求分析，极地安全提出了自己内网安全管了处理方案，此方案由终端管理、内控堡垒主机、集中身份管理系统、网络漏洞扫描这四个处理方案组成，能够单独使用、满足终端管理或服务器管理、应用管理需要，也能够协同使用，满足全网统一管理需要。这四个处理方案全部基于优异成熟产品，均由极地安全自行开发。四个产品所使用信息能够相互融合，以组成一个有机统一整体，提供全网整体内控处理方案。 3 终端管理(JD-ESMS)处理方案极地终端管了处理方案由极地终端安全管理系统实现。 3.1 产品概述在传统网络体系、硬件体系，软件体系基础之上，依靠主动防御技术、端点准入技术、漏洞扫描和补丁修复技术、智能防火墙技术、身份认证、设备管理、及数据加密技术等关键技术手段支撑下，形成了终端准入管理、终端环境安全和终端行为监控三个子系统，三个子系统运行、控制和审计全部由系统管理平台统一管理展现。在三个部分共同作用下，组成终端计算机安全管理平台。以下图所表示：图所表示，系统分为终端管理引擎、策略中心、综合展示三个平台，其中终端管理引擎做为关键支撑平台，是承载全部终端管理基础平台，向上输出身份信息、资产信息，并提供基础统一报警和响应引擎供各功效模块调用；策略中心负责全部终端管理功效性模块，调用基础平台身份管理信息、资产信息，并对各功效模块在管理过程中发生安全事件进行报警和响应，全部信息上报给综合展示平台；综合展示平台搜集全部终端资产信息、全部安全事件，并进行统一展示。同时，经过全网联动，将其它安全管理系统信息和事件联动到系统中，在终端上进行统一报警和响应。以下图所表示： 3.2 产品基础功效 3.2.1 策略管理系统全部功效，均经过策略方法将指令下发到用户端进行实施。而策略本身就包含了各个功效全部管理要求，能够为管理员提供具体控制手段，而且经过丰富默认设置，能够提供完善便捷性，管理员能够针对各个策略采取大量默认设置而轻松完成策略设定。除以上策略要素之外，还有两个要素需要具体说明以下。 3.2.1.1 基于策略优先级用户行为管理功效系统提供了策略优先级管理功效，管理员能够设置不一样等级策略，多种策略能够根据优先级进行排序，当策略间发生冲突时，高优先级策略能够覆盖低优先级策略。 3.2.1.2 基于场景管理策略系统提供了基于场景安全管理策略，管理员能够设置不一样场景，如依据工作时间和休息时间设定不一样策略，在工作时间设定策略在休息时间不生效，休息时间场景策略在工作时间亦不生效。对于违反策略用户端操作，能够以多个方法触发报警，通知管理员进行处理，比如按文件名、资产类型等信息触发警报。极地终端和内网安全管理系统能够对终端在线/离线2种状态下应用策略分别给予设置。用户端和服务器连接能够进行通信时为在线状态，无法和服务器完成通信时即为离线状态。经过对在线/离线2种状态设置不一样策略，对于常常移动办公设备（如笔记本）能够提供愈加灵活实用管理。 3.2.2 日志功效系统以策略形式，提供全套日志服务，日志内容包含下述全部功效日志，和管理员经过控制台对服务器进行全部操作等日志， 3.2.3 终端资产管理经过自动登记和管理检验方法，统计各类终端计算机资产清单、软硬件配置信息和使用者用户信息，作为终端安全管理基础依据。资产内容包含：终端名称、IP地址、MAC地址、硬件配置信息（CPU、内存、硬盘、设备接口）、软件信息（操作系统类型/版本、安装软件列表）、用户信息（姓名、所属组织机构、岗位、联络方法），等等。同时，对资产变更进行管理：立即发觉终端计算机上是否有变更，对非法资产变更行自动处理。 3.2.4 终端用户管理经过建立终端角色和用户，定义角色操作和控制权限，并为用户分配对应角色权限，以此作为制订安全管理策略基础依据。 3.2.5 报警和响应管理当终端计算机违反设定安全策略，或依据策略设定进行报警响应时，可自动将事件上报服务器，而且在终端上对安全事件进行自动处理。报警和响应做为基础平台，供全部功效模块调用，实现报警和响应统一化、标准化、自动化。在终端上进行自动响应，响应手段包含：桌面消息提醒、锁定终端计算机、断开网络、弹出指定URL页面、断开准入连接等。终端计算机自动将安全事件报警信息上传服务器，并在报警控制台上向管理员进行报警提醒。提供报警信息查看分析和汇总统计。支持红色报警、橙色报警、黄色报警和蓝色报警等四个等级。 3.3 关键功效 3.3.1 终端准入管理经过准入控制管理，能够对全部用户端进行正当性检验和控制，非法、不接收管理用户端将被隔离在网络之外，而正当用户端能够接入网络进行正常操作。系统提供了最全方面准入控制方法，能够充足满足用户网络多种不一样环境下准入控制需求。 Ø 802.1x准入控制：根据802.1x协议认证内部接收管理终端计算机，标识和审批“正当”终端，经过交换机联动方法拒绝未经认证“非法”终端接入网络。 Ø ARP准入控制：在低端网络环境中，可使用基于ARP协议准入控制方法，对终端进行控制。因ARP方法特殊性，通常见于要求低成本、效果要求不高场所。 Ø 网络边界准入控制：经过安全准入网关管理终端计算机。 Ø 应用网关准入控制：经过在Portal等关键应用上布署应用准入网关，控制不符合准入条件终端计算机严禁访问指定网络资源、许可符合准入条件计算机进行访问。应用准入网关是一个软件，适适用于多种web应用系统。 Ø 远程终端准入控制：经过远程接入网关，对远程终端进行准入控制。不符合准入条件终端计算机严禁连入内网、许可符合准入条件计算机能够连入内网。 3.3.2 终端安全防护终端安全防护目标是保护终端计算机环境安全、数据安全和关联网络通讯安全，目标是为业务发明良好安全运行环境，保障企业业务正常运行。 3.3.2.1 系统漏洞修复检验发觉辖内终端计算机操作系统和通用系统软件安全漏洞，经过自动化技术方法立即修复漏洞，规避系统漏洞被黑客、蠕虫利用风险。 3.3.2.2 防病毒检验检测终端计算机是否安装防病毒软件，避免因防病毒缺失带来病毒问题。 3.3.2.3 终端安全配置管理在终端计算机上进行关键安全配置实时检验，预防用户随意修改这些关键配置而造成安全问题。关键包含“禁用控制面板”、“禁用网络属性”、“严禁‘发送到’”、“严禁修改IP地址”……等多项操作全方面提升用户端安全性。同时，支持对ARP病毒防范。 3.3.2.4 外设管理依据终端计算机业务需要和管理需要，设定是否许可使用外设。可管理外设包含：软驱（Floppy）、光驱（CD/DVD/HD-DVD/BlueRay）、磁带机、Flash存放设备（U盘及MP3播放器）、串口和并口（COM/LPT）、SCSI接口、蓝牙设备、红外线设备、打印机、调制解调器、USB接口、火线接口（1394）、PCMCIA插槽等。 3.3.2.5 终端防火墙在终端计算机上布署基于桌面防火墙技术方法，经过企业级安全策略对访问活动进行控制，预防外来网络非法连接访问、黑客入侵和利用终端对内部网络其它服务系统提议网络攻击。 3.3.2.6 文档操作审计和防泄密保护经过文档访问操作审计，具体了解终端上文件操作情况。经过文档加密等防泄密综合防控方法，有效防范文档失窃和泄密给企业带来业 3.3.3 终端行为管理 3.3.3.1 移动介质管理经过对移动介质（比如U盘）使用限制和安全审计，降低引入安全威胁和文档泄密风险。系统支持两类不一样移动介质管理，外部介质管理和内部介质管理。外来介质通常是一般U盘，在内网中使用管理方法为注册+授权。外来移动介质必需在管理员处注册、分配其使用授权后才能在内网计算机中使用。授权分为许可使用、只读、严禁使用三种。内部介质通常只能在内网使用，标准上不能在内网以外使用。管理方法一样为注册+授权，不一样是注册时采取加密方法。加密后介质只能由授权终端读出，非授权终端无法读出介质内容。介质拿到内网以外更无法读出。 3.3.3.2 程序滥用管理经过程序滥用管理策略，能够明确要求哪些程序能够使用、哪些程序不能使用。由此能够预防终端计算机违规使用程序可能带来风险，并以此帮助企业管理，提升职员劳动生产率。 3.3.3.3 流量管理经过检验和分析终端计算机网络分类流量，发觉异常流量可能带来带宽资源消耗和可疑网络攻击风险，并对异常流量做出控制。 3.3.3.4 非法外联控制经过在终端计算机当地安全策略控制方法，预防终端计算机违规联网可能带来安全风险。 3.3.3.5 网页访问控制和审计经过在终端计算机当地安全策略控制方法，监控终端计算机违规访问危害网站可能带来安全风险。并可审计全部网页访问。 3.3.4 系统管理 3.3.4.1 屏幕监控策略经过对终端上操作屏幕进行立即监控和录像，预防职员违规操作单位电脑。 3.3.4.2 终端运维管理能够对对远程终端计算机实施锁定、注销、重启、关机等操作。锁定计算机除非管理员解锁，不然不管强制重新开启或进入安全模式均不能使用。同时，管理人员能够经过控制台远程取得用户机控制权，身临其境般进行操作。对于远端用户机出现问题，管理人员能够即时、方便处理。在远程维护或远程操作业务系统中发挥多方面作用。 3.3.4.3 级联管理经过级联管理，实现上级对下级管理。等级数无限。支持策略优先级传输。 3.3.4.4 综合分析展现经过统一终端安全管理平台，提供直观、可视化、全局终端计算机安全运行状态、安全事件分布和安全保护效果，使得高层管理人员能够据此全方面掌握终端计算机安全情况、掌控全局，为安全调度、管理决议和合规检验提供依据。综合统计支持按终端资产、按部门、按安全等级、按地域等，进行安全事件综合查询统计，真实有效地展现终端安全现实状况。以图文、报表、统计汇报等方法，直观展示整体安全运行状态、安全风险状态、从全局上对资源和事件进行全程监控和预警，立即表现安全防范效果。 3.3.4.5 双机热备系统支持双机热备功效，可在关键网络中布署两台服务器相互备份，实现无间断运行。 4 堡垒主机(JD-FORT)处理方案极地服务器管了处理方案由极地内控堡垒主机实现。 4.1 系统架构极地内控堡垒主机由管理单元和实施单元两部分组成。 Ø 管理单元用于完成用户管理、授权管理及策略设置等操作。 Ø 实施单元包含用户输入模块、命令捕捉引擎、策略控制和日志服务。产品组件关系拓扑以下： 4.2 实施单元功效实施单元负责完成命令采集、策略动作实施等功效。实施单元安装在服务器上，同用户使用环境和习惯相配合，完成对用户行为监视和控制功效。 4.2.1 统一账号管理管理员经过账号信息管理界面维护主账号整个生命周期，对账号进行增加、修改、删除及锁定、解锁等操作，同时设置账号密码使用策略及用户等级定义。系统用户能够经过自服务功效管理本身账号信息，对手机、邮件及密码等个人信息进行编辑。 4.2.2 多个认证方法用户经过用户密码方法登录到极地内控堡垒主机，选择资产账号，直接登录目标资产用户经过数字证书、动态令牌等方法登录到管理单元，由管理单元向实施单元发放一次性口令登录目标资产。 4.2.3 单点登录用户登录到极地内控堡垒主机后，直接选择目标资产及账号，由堡垒主机完成账号及密码代填，完成登录。 4.2.4 自动捕捉用户命令行输入，智能识别命令和编辑输入实施单元能够自动捕捉用户命令行输入，如ls,ps,ifconfig等。实施单元支持多行长命令捕捉，多行命令编辑操作（如回退，DEL，光标移位等）不影响命令捕捉结果。实施单元智能支持历史操作，支持UP，DOWN功效键，支持对历史操作命令抓取，支持对以“！”方法实施历史命令控制和相关命令抓取。实施单元智能识别编辑状态和命令状态，支持对全部shell下命令抓取，支持mysql，telnet，ssh等用户端程序内部展现命令捕捉功效。 4.2.5 支持TAB补齐等Readline功效实施单元支持命令TAB补全，支持回退键，删除键，方向键等功效键。 4.2.6 支持组合命令动作审计实施单元支持命令组合使用，支持管道“|”，支持逻辑或“||”和和“&&”操作，支持分号命令“；”。实施单元支持拒绝和许可两个策略动作对拒绝命令，实施单元能够确保该命令不被实施，忠实地推行安全策略实施动作。 4.3 日志服务功效实施单元日志服务负责统计服务器上发生过命令，输出屏幕和原始硬拷贝流，以供事后分析和调查取证。极地内控堡垒主机日志服务将日志统计为文本文件，同时能够向其它日志服务器发送SYSLOG日志。实施单元日志服务统计每个用户登录系统用户名，登陆IP地址，登陆时间和在服务器上操作全部命令。实施单元日志服务和管理单元配合，完成对日志统计、分析和查询等工作。 4.4 管理单元日志查询 Ø 支持按服务器方法进行查询经过对特定服务器地址进行查询，能够发觉该服务器上发生命令和行为。 Ø 支持按用户名方法进行查询经过对用户名进行查询，能够发觉该用户全部行为。 Ø 支持按登陆地址方法进行查询经过对特定IP地址进行查询，能够发觉该地址对应主机及其用户在服务器上进行全部操作。 Ø 支持根据登陆时间进行查询经过对登录时间进行查询，能够发觉特定时间内登录服务器用户及其进行过全部操作。 Ø 支持对命令发生时间进行查询能够经过对命令发生时间进行查询，能够查询到特定时间段服务器上发生过全部行为。 Ø 支持对命令名称进行查询经过查询特定命令如ls，能够查询到使用过该命令全部用户及其使用时间等。 Ø 支持上述六个查询条件任意组合查询如，能够查询“谁（用户名）”“什么时间登录（登录时间）”服务器并在“什么时间（命令发生时间）”在“服务器（目标服务器）”上实施过“什么操作（命令）”。 Ø 支持对日志备份操作处理 Ø 支持对日志删除处理 4.5 实施单元实时监控功效实施单元实时监视服务器上正在发生行为，能够实时察看用户实施命令、实施结果等； Ø 实时查看用户行为 Ø 支持查看用户实时切换 Ø 支持对用户历史命令查看 5 集中身份管理(JD-4A)处理方案 5.1 概述极地集中身份管理系统是集账号（Account）管理、授权（Authorization）管理、认证（Authentication）管理和综合审计（Audit）于一体集中账号管理系统。极地集中身份管理系统采取模块化设计，不仅能够依据用户需要和环境特点进行选择、组合，而且能够提供定制化开发，能够方便地实现和用户应用有机结合。同时，极地集中身份管理系统产品每个模块采取开放接口，便于用户根据网络和应用需要整合符适用户需求4A管理平台，达成以下目标： 1．统一资源访问入口。为集中管理各个业务系统、应用、主机、网络设备提供了技术手段，能够集中管理、登陆各个业务系统，包含多种C/S应用和B/S应用，主机和网络设备，在未来增加新业务系统时也能快速、方便经过该系统进行公布。用户访问4A系统时，能够依据用户访问权限，系统为每个用户提供自己操作平台，显示全部所能访问业务系统、主机系统和网络设备。 2．集中账号管理。管理员在一点上即可对不一样系统中账号进行管理，不一样系统下全部能自动搜集账号和推送账号，另外账号创建、分配过程全部有审计日志。 3．集中身份认证。管理员能够依据账号身份，选择不一样身份认证方法。能够在不更改或只进行有限更改情况下，对原有系统增加强身份认证手段，提升系统安全性。 4．集中访问授权。对企业资产进行集中授权，预防私自授权或权限未立即收回对企业信息资产造成安全损害。在人员离职、岗位变动时，只需要在一处进行更改，即可在全部应用中改变权限。能够细粒度授权，如只有在要求时间段或是特定人员才能访问指定资源。 5．集中安全审计。能够对人员全部操作进行审计，全部审计信息能够关联到行为人，达成实名审计效果。 6．单点登录。访问授权资源时，只需要登录极地集中身份管理平台。 7．细粒度访问控制。经过堡垒主机实现内部网络行为细粒度策略控制，即时操作“现场直播”，实时监控，实时操作回放。 5.2 功效介绍极地集中身份管理系统功效模块分为：集中账号管理、集中身份认证、集中访问授权、集中安全审计、单点登录五大部分。 5.2.1 集中账号管理集中账号管理包含对全部子系统账号集中管理。账号和资源集中管理是集中授权、认证和审计基础。集中账号管理能够完成对用户整个生命周期监控和管理，而且还降低了企业管理大量用户账号难度和工作量。同时，经过统一管理还能够发觉账号中存在安全隐患，而且制订统一、标准用户账号安全策略。经过建立集中账号管理，企业能够实现将账号和具体自然人相关联。经过这种关联，能够实现多级用户管理和细粒度用户授权。而且，还能够实现针对自然人行为审计，以满足合规审计需要。集中账号管理系统能够自动发觉主机、网络设备、数据库上已经有账号。系统能够定时手动触发或自动搜索全部被管理系统，从中发觉、搜集全部新创建账号。系统还能够经过账号推送机制，经过集中账号管理系统在被管系统中创建新账号。集中账号管理对账号产生到删除多种状态进行管理。包含统一用户创建、维护、删除等功效。统一用户审批管理步骤（添加、修改、禁用、启用、删除）。制订人员兼职、调动、离职管理机制。 5.2.2 集中身份认证极地集中身份管理系统为用户提供统一认证接口。采取统一认证接口不仅便于对用户认证管理，而且能够采取愈加安全认证模式，提升认证安全性和可靠性。集中身份认证提供静态密码、Windows域、Windows Kerberos、双原因、一次性口令和生物特征等多个认证方法，而且系统含有灵活定制接口，能够方便和其它第三方认证服务器之间结合。 5.2.3 集中访问授权极地集中身份管理系统提供统一界面，对用户、角色及行为和资源进行授权，以达成对权限细粒度控制，最大程度保护用户资源安全。经过集中访问授权和访问控制能够对用户经过B/S、C/S对主机、网元和各业务系统访问进行审计和阻断。在集中访问授权里强调“集中”是逻辑上集中，而不是物理上集中。即在各网络设备、主机系统、应用系统中可能拥有各自权限管理功效，管理员也由各自归口管理部门委派，不过这些管理员在极地集中身份管理系统上，能够对各自管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权对象包含用户、用户角色、资源和用户行为。系统不仅能够授权用户能够经过什么角色访问资源这么基于应用边界粗粒度授权，对一些应用还能够限制用户操作，和在什么时间进行操作这么应用内部细粒度授权。 5.2.4 集中安全审计集中安全审计管理关键审计人员账号分配情况、权限分配情况、账号使用（登录、资源访问）情况、资源使用情况等。在各主机、网络设备、应用系统访问日志统计全部采取统一账号、资源进行标识后，集中审计能愈加好地对账号完整使用过程进行追踪。极地集中身份管理系统经过系统本身用户认证系统、用户授权系统，和访问控制和堡垒主机等具体统计整个会话过程中用户全部行为日志。还能够经过远程日志，文件等形式取得其它系统产生日志。 5.2.5 单点登录极地集中身份管理系统提供了基于B/S单点登录系统，用户经过一次登录系统后，就能够无需认证访问包含被授权多个基于B/S和C/S应用系统。单点登录为含有多账号用户提供了方便快捷访问途经，使用户无需记忆多个登录用户ID和口令。它经过向用户和用户提供对其个性化资源快捷访问提升生产效率。同时，因为系统本身是采取强认证系统，从而提升了用户认证步骤安全性。集中不一样(B/S架构和C/S架构)业务应用系统(如OA，ERP，MIS等)，主机系统(如UNIX，LINUX，WINDOWS等)，网络设备（如交换机，防火墙）用户身份认证。单点登录能够实现和用户授权管理无缝连接，这么能够经过对用户、角色、行为和资源授权，增加对资源保护，和对用户行为监控及审计。 6 漏洞扫描(JD-SCAN)处理方案 6.1 网络漏洞扫描必需性内部网络统一管理，必需对内网安全立即作出安全风险评定，这里能够采取极地网络漏洞扫描（JD-SCAN）来实现。经过风险评定，能够更有针对性采取内控安全管理方法。 6.1.1 漏洞扫描技术概述漏洞扫描通常采取两种策略，第一个是被动式策略，第二种是主动式策略。所谓被动式策略就是基于主机之上，对系统中不适宜设置，脆弱口令和其它同安全规则抵触对象进行检验；而主动式策略是基于网络，它经过实施部分脚本文件模拟对系统进行攻击行为并统计系统反应，从而发觉其中漏洞。利用被动式策略扫描称为系统安全扫描，利用主动式策略扫描称为网络安全扫描。现有信息安全产品中关键包含以下五大件：防火墙、入侵检测、安全评定（漏洞扫描或脆弱性分析）、身份认证、数据备份。这么，在布署安全策略时，有很多其它安全基础设施要考虑进来，如防火墙，防病毒，认证和识别产品，访问控制产品，加密产品，虚拟专用网等等。怎样管理这些设备，是安全扫描系统和入侵检测系统职责。经过监视事件日志，系统受到攻击后行为和这些设备信号，作出反应。这么，漏洞扫描系统就把这些设备有机地结合在一起。所以，而漏洞扫描是一个完整安全处理方案中一个关键部分，在企业布署安全策略中处于很关键地位。防火墙和漏洞扫描必需同时存在，这是因为仅有防火墙是不够。防火墙充当了外部网和内部网一个屏障，不过并不是全部外部访问全部是经过防火墙。比如，一个未经认证调制解调器把内部网连到了外部网，就对系统安全组成了威胁。另外，安全威胁往往并不全来自外部，很大一部分来自内部。另外，防火墙本身也很有可能被黑客攻破。结合了入侵检测功效后，漏洞扫描系统含有以下功效：① 协调了其它安全设备；② 使枯燥系统安全信息易于了解，告诉了你系统发生事情；③ 跟踪用户进入，在系统中行为和离开信息；④ 能够汇报和识别文件改动；⑤ 纠正系统错误设置；⑥ 识别正在受到攻击；⑦ 减轻系统管理员搜索最近黑客行为负担；⑧ 使得安全管理可由一般用户来负责；⑨ 为制订安全规则提供依据。 6.1.2 漏洞扫描产品特点 l 模拟攻击黑客攻击通常分为3步：第一步，扫描端口，探测那些端口是开放；第二步，发觉漏洞，对开放端口调用测试程序或数据串，经过特定反应检测是否存在漏洞。第三步，提议攻击，发觉漏洞后，黑客就查找相关攻击工具进行攻击。漏洞扫描系统前两步和黑客攻击很相同，不一样是在第三步，发觉漏洞后会立即向用户提醒漏洞存在和处理措施，而不是提议攻击。因为前两布相同性，漏洞扫描系统也称为模拟攻击测试。进攻是最好防守，传统安全产品全部是单纯从防御角度来达成目标，而漏洞扫描产品是唯一从进攻角度检测系统安全性安全工具，能够发挥其它安全产品无法发挥作用 l 未雨绸缪经过事前模拟攻击测试，漏洞扫描系统能够在黑客提议进攻之前就发觉黑客可能提议攻击隐患，提醒用户修补漏洞和采取防范方法，防范于未然。事前防范比事件发生时防范更从容完整入侵检测技术包含事前检测，事中探测和报警，事后分析和应对。漏洞扫描系统在攻击提议之前进行自我防护和主动应对，比事中、事后方法更有效。 l 直接保护被攻击对象传统手段是经过层层设防，预防黑客接触到主机（或其它被保护节点），不过一旦多种保护层被突破，主机仍然要承受攻击。漏洞扫描是直接加强被攻击对象强壮性，即使外部保护方法失效，本身强壮主机仍然能够确保安全。 l 性价比高在现在安全产品中，漏洞扫描产品价位比防火墙稍高，远远低于其它安全产品投资。漏洞扫描产品安装运行简单、效果好、见效快，同时该类产品网络运行相对独立，不会影响到正常业务，含有很高性能价格比。 l 使用方便安全扫描产品不仅能发觉漏洞，还装载了大量信息安全知识。经过使用安全扫描产品，系统管理员能够借鉴专业安全工程师知识和信息积累，大大减轻了自己劳动强度，有利于全网安全策略统一和稳定。 6.2 产品布署通常在关键交换机上布署一台机架式漏洞扫描服务器，同时在其它各个不一样网段配置一台分布式漏洞扫描仪，定时地对网络中多个不一样网段主机进行检测，同时给出对应处理提议，用户依据这些处理提议来做出对应防护。 6.3 产品特点介绍 6.3.1 强大检测分析能力 l 能够对操作系统、网络设备和数据库进行扫描，指出相关网络安全漏洞及被测系统微弱步骤，给出具体检测汇报和对应修补方法，安全提议； l 能够经过本机扫描插件下载方法，下载插件进行当地补丁扫描，突破防火墙限制

展开阅读全文