極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全解決方案

極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全方案 北京市海淀區(qū)上地安寧莊西路9號(hào)院金泰富地大廈808100085電話真務(wù)熱線ttp://

目錄1 概述 -1-1.1 背景 -1-1.2 需求分析 -2-1.2.1 政策需求 -2-1.2.2 管理需求 -2-1.2.3 技術(shù)需求 -2-2 解決方案概述 -6-3 終端管理(JD-ESMS)解決方案 -6-3.1 產(chǎn)品概述 -6-3.2 產(chǎn)品基礎(chǔ)功能 -8-3.2.1 策略管理 -8-3.2.2 日志功能 -9-3.2.3 終端資產(chǎn)管理 -9-3.2.4 終端用戶管理 -10-3.2.5 報(bào)警與響應(yīng)管理 -10-3.3 主要功能 -10-3.3.1 終端準(zhǔn)入管理 -10-3.3.2 終端安全防護(hù) -12-3.3.3 終端行為管理 -13-3.3.4 系統(tǒng)管理 -14-4 堡壘主機(jī)(JD-FORT)解決方案 -16-4.1 系統(tǒng)架構(gòu) -16-4.2 執(zhí)行單元功能 -16-4.2.1 統(tǒng)一賬號(hào)管理 -16-4.2.2 多種認(rèn)證方式 -17-4.2.3 單點(diǎn)登錄 -17-4.2.4 自動(dòng)捕獲用戶命令行輸入，智能識(shí)別命令和編輯輸入 -17-4.2.5 支持TAB補(bǔ)齊等Readline功能 -17-4.2.6 支持組合命令的動(dòng)作審計(jì) -18-4.3 日志服務(wù)功能 -18-4.4 管理單元日志查詢 -18-4.5 執(zhí)行單元實(shí)時(shí)監(jiān)控功能 -19-5 集中身份管理(JD-4A)解決方案 -19-5.1 概述 -19-5.2 功能介紹 -20-5.2.1 集中賬號(hào)管理 -21-5.2.2 集中身份認(rèn)證 -21-5.2.3 集中訪問(wèn)授權(quán) -22-5.2.4 集中安全審計(jì) -22-5.2.5 單點(diǎn)登錄 -22-6 漏洞掃描(JD-SCAN)解決方案 -23-6.1 網(wǎng)絡(luò)漏洞掃描的必要性 -23-6.1.1 漏洞掃描技術(shù)概述 -23-6.1.2 漏洞掃描產(chǎn)品特點(diǎn) -24-6.2 用戶現(xiàn)狀分析 -24-6.3 產(chǎn)品部署 -25-6.4 產(chǎn)品特點(diǎn)介紹 -26-6.4.1 強(qiáng)大的檢測(cè)分析能力 -26-6.4.2 支持分布式掃描 -27-6.4.3 自身高度安全性 -27-6.4.4 支持WEB掃描 -28-7 內(nèi)部網(wǎng)絡(luò)的統(tǒng)一管理 -28-7.1 統(tǒng)一管理方式 -28-7.2 統(tǒng)一管理功效 -29-7.2.1 無(wú)死角 -29-7.2.2 全網(wǎng)安全域管理 -29-7.2.3 遠(yuǎn)程終端與內(nèi)網(wǎng)終端統(tǒng)一管理 -29-7.2.4 統(tǒng)一用戶管理 -29-7.2.5 統(tǒng)一訪問(wèn)授權(quán)管理 -30-7.2.6 全網(wǎng)實(shí)名審計(jì)與統(tǒng)一事件管理 -30-8 《企業(yè)內(nèi)部控制基本規(guī)范》的要求與解決 -30-8.1 內(nèi)控原則 -30-8.2 技術(shù)要求 -31-8.3 風(fēng)險(xiǎn)評(píng)估 -32-8.4 控制活動(dòng) -32-8.5 信息與溝通 -32-8.6 內(nèi)部監(jiān)督 -32-概述背景信息技術(shù)發(fā)展到今天，人們的工作和生活已經(jīng)越來(lái)越依賴于計(jì)算機(jī)和網(wǎng)絡(luò)；然而，自網(wǎng)絡(luò)誕生的那一天起，它就存在著一個(gè)重大隱患——安全問(wèn)題，人們?cè)谙硎苤W(wǎng)絡(luò)所帶來(lái)的便捷同時(shí)，不得不承受著網(wǎng)絡(luò)安全問(wèn)題帶來(lái)的隱痛。說(shuō)到網(wǎng)絡(luò)安全，人們自然就會(huì)想到網(wǎng)絡(luò)邊界安全，但是實(shí)際情況是網(wǎng)絡(luò)的大部分安全風(fēng)險(xiǎn)均來(lái)自于內(nèi)部。常規(guī)安全防御手段往往局限于網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界（防火墻、IDS、漏洞掃描）等方面的防御、重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來(lái)自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)的安全威脅卻是眾多安全管理人員所面臨的棘手的問(wèn)題。內(nèi)部網(wǎng)絡(luò)的安全管理分為四個(gè)方面：一類是前臺(tái)計(jì)算機(jī)，通常指辦公與業(yè)務(wù)的終端計(jì)算機(jī)；另一類是后臺(tái)設(shè)備，通常是服務(wù)器或路由器交換機(jī)等網(wǎng)絡(luò)設(shè)備；還有一類就是用戶單位內(nèi)部的各種應(yīng)用軟件系統(tǒng)；最后，還有一方面就是安全風(fēng)險(xiǎn)管理，它面對(duì)所有以上設(shè)備和應(yīng)用，管理是否存在有安全隱患，是否存在安全風(fēng)險(xiǎn)，以及如何應(yīng)對(duì)等問(wèn)題。如何做好內(nèi)部網(wǎng)絡(luò)這四個(gè)方面的安全管理，是擺在每一個(gè)IT管理者面前的問(wèn)題。極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全方案即針對(duì)此情況，為管理者提供一個(gè)全面、細(xì)致的解決方案，解決終端、服務(wù)器以及應(yīng)用系統(tǒng)安全管理問(wèn)題。需求分析政策需求《等級(jí)保護(hù)》、薩班斯法案(Sarbanes-OxleyAct)等政策明確要求內(nèi)網(wǎng)應(yīng)進(jìn)行嚴(yán)格的管理控制和細(xì)粒度的審計(jì)。國(guó)內(nèi)也已經(jīng)出臺(tái)《企業(yè)內(nèi)部控制基本規(guī)范》，對(duì)內(nèi)部網(wǎng)絡(luò)的信息安全管理提出明確要求。管理需求隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和IT應(yīng)用的不斷深入，對(duì)安全管理的要求越來(lái)越高，企業(yè)內(nèi)部的管理成本越來(lái)越高。如何有效降低管理成本、減少安全風(fēng)險(xiǎn)、提高安全管理效能，成為管理者最先考慮的問(wèn)題。技術(shù)需求前臺(tái)計(jì)算機(jī)管理需求：終端管理前臺(tái)計(jì)算機(jī)，如前所述，通常被稱為終端（End-Point）。對(duì)這些計(jì)算機(jī)的管理也稱為終端管理。終端管理主要有以下內(nèi)容：資產(chǎn)管理對(duì)終端計(jì)算機(jī)的資產(chǎn)情況進(jìn)行管理，對(duì)資產(chǎn)變更進(jìn)行管理。準(zhǔn)入管理不安全的計(jì)算機(jī)不應(yīng)接入內(nèi)網(wǎng)之中，以免在內(nèi)網(wǎng)中引發(fā)安全問(wèn)題。不應(yīng)接觸外網(wǎng)的計(jì)算機(jī)，也不能私自建立對(duì)外的網(wǎng)絡(luò)連接。終端防護(hù)包括補(bǔ)丁分發(fā)管理、安全配置管理、外設(shè)管理、終端防火墻、終端文檔保護(hù)等等。終端行為管理包括移動(dòng)介質(zhì)管理、程序使用管理、流量管理、網(wǎng)頁(yè)訪問(wèn)管理等等信息防泄漏包括移動(dòng)介質(zhì)管理、加密優(yōu)盤、文件加密、文檔權(quán)限管理、文件操作審計(jì)等。另外，終端管理通常也包括病毒、木馬的管理。因這方面有成熟的產(chǎn)品和方案，本方案對(duì)此不予贅述。后臺(tái)計(jì)算機(jī)與設(shè)備管理需求：統(tǒng)一授權(quán)管理針對(duì)服務(wù)器的管理，主要指服務(wù)器的訪問(wèn)控制，這是服務(wù)器安全的根本所在。通常服務(wù)器放置在機(jī)房中，由管理員進(jìn)行維護(hù)時(shí)，直接登錄到服務(wù)器上，其過(guò)程缺乏監(jiān)管，造成授權(quán)復(fù)雜、缺乏過(guò)程審計(jì)等諸多問(wèn)題。在安全管理的4個(gè)A（賬號(hào)Account、認(rèn)證Authentication、授權(quán)Authorization、審計(jì)Audit），賬號(hào)和認(rèn)證沒(méi)有統(tǒng)一管理，各服務(wù)器單獨(dú)管理，管理員登錄各服務(wù)器和應(yīng)用系統(tǒng)時(shí)很容易混亂；沒(méi)有統(tǒng)一授權(quán)，各服務(wù)器單獨(dú)對(duì)不同賬號(hào)進(jìn)行授權(quán)，工作量大而容易出錯(cuò)；管理員登錄后的操作也缺乏審計(jì)手段，現(xiàn)有手段嚴(yán)重不足，導(dǎo)致大量審計(jì)缺失。尤其當(dāng)服務(wù)器數(shù)量和應(yīng)用系統(tǒng)數(shù)量多時(shí)，問(wèn)題尤其嚴(yán)重。應(yīng)將的所有服務(wù)器的登錄過(guò)程收集到一個(gè)統(tǒng)一入口，建立統(tǒng)一的賬號(hào)管理和授權(quán)機(jī)制，每個(gè)服務(wù)器應(yīng)用系統(tǒng)的賬戶與授權(quán)均由此統(tǒng)一平臺(tái)進(jìn)行，避免單獨(dú)設(shè)置而導(dǎo)致的混亂。由此入口進(jìn)行統(tǒng)一登錄，登錄確定身份后，可根據(jù)授權(quán)訪問(wèn)相應(yīng)的服務(wù)器和業(yè)務(wù)系統(tǒng)。同時(shí)，應(yīng)對(duì)操作做全程審計(jì)。應(yīng)用管理需求：集中身份管理隨著各個(gè)行業(yè)大公司業(yè)務(wù)的迅速發(fā)展，各種業(yè)務(wù)和經(jīng)營(yíng)支撐系統(tǒng)的不斷增加，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，原有的由各個(gè)系統(tǒng)分散管理用戶和訪問(wèn)授權(quán)的管理方式造成了在業(yè)務(wù)管理和安全之間的失衡，用戶往往在多個(gè)應(yīng)用中均擁有獨(dú)立的賬號(hào)和口令，登錄失敗和發(fā)生錯(cuò)誤的幾率大大上升，許多情況下，為了便于記憶，用戶不得不將賬號(hào)和口令寫(xiě)在紙上，從而使這些賬號(hào)和口令的安全性受到了極大影響。同時(shí)，用戶忘記口令的事件的增多也增大了管理員的工作負(fù)擔(dān)。另外管理員需要在不同的應(yīng)用中維護(hù)獨(dú)立的用戶身份和存取管理，相當(dāng)麻煩。例如有新員工加入企業(yè)以后，管理員需要在每一個(gè)應(yīng)用中添加此用戶信息，根據(jù)此用戶的角色分配不同的權(quán)限；當(dāng)用戶的角色發(fā)生變化時(shí)，需要在不同的應(yīng)用中修改此用戶的權(quán)限。因此原有的賬號(hào)口令管理措施已不能滿足企業(yè)目前及未來(lái)業(yè)務(wù)發(fā)展的要求。用戶面臨以下幾個(gè)方面問(wèn)題：1．企業(yè)的支撐系統(tǒng)中有大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)，分別屬于不同的部門和不同的業(yè)務(wù)系統(tǒng)。各應(yīng)用系統(tǒng)都有一套獨(dú)立的賬號(hào)體系，用戶為了方便登陸，經(jīng)常有如下情況發(fā)生：多系統(tǒng)使用相同的賬號(hào)和密碼，配置強(qiáng)度非常弱的密碼，或者多人共用賬號(hào)等。多系統(tǒng)的賬號(hào)管理混亂，難于對(duì)賬號(hào)的擴(kuò)散范圍進(jìn)行控制，難于確定賬號(hào)的實(shí)際使用者，難免造成安全隱患。2．各系統(tǒng)都有一套獨(dú)立的認(rèn)證體系，如果想加強(qiáng)系統(tǒng)的安全性，就需要對(duì)各系統(tǒng)的認(rèn)證進(jìn)行加強(qiáng)，需要各系統(tǒng)都支持強(qiáng)認(rèn)證方式，這基本是不現(xiàn)實(shí)的。3．各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配權(quán)限，無(wú)法嚴(yán)格按照最小權(quán)限原則分配權(quán)限。另外，隨著用戶數(shù)量的增加，權(quán)限管理任務(wù)越來(lái)越重，當(dāng)維護(hù)人員同時(shí)對(duì)多個(gè)系統(tǒng)進(jìn)行維護(hù)時(shí)，工作復(fù)雜度會(huì)成倍增加。安全性無(wú)法得到充分保證。4．各支撐系統(tǒng)獨(dú)立運(yùn)行、維護(hù)和管理，所以各系統(tǒng)的審計(jì)也是相互獨(dú)立的。每個(gè)網(wǎng)絡(luò)設(shè)備，每個(gè)主機(jī)系統(tǒng)，每個(gè)業(yè)務(wù)系統(tǒng)及每個(gè)數(shù)據(jù)庫(kù)系統(tǒng)都分別進(jìn)行審計(jì)，安全事故發(fā)生后需要排查各系統(tǒng)的日志，單是往往日志找到了，也不能最終定位到行為人。5．用戶經(jīng)常需要在各個(gè)系統(tǒng)之間切換，每次從一個(gè)系統(tǒng)切換到另一支撐系統(tǒng)時(shí)，都需要輸入用戶名和口令進(jìn)行登錄。給用戶的工作帶來(lái)不便，影響了工作效率。漏洞掃描漏洞掃描就是對(duì)計(jì)算機(jī)系統(tǒng)或者其它網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測(cè)，以找出安全隱患和可被黑客利用的漏洞。顯然，漏洞掃描軟件是把雙刃劍，黑客利用它入侵系統(tǒng)，而系統(tǒng)管理員掌握它以后又可以有效的防范黑客入侵。因此，漏洞掃描是保證系統(tǒng)和網(wǎng)絡(luò)安全必不可少的手段，必須仔細(xì)研究利用。定期的網(wǎng)絡(luò)安全自我檢測(cè)、評(píng)估配備漏洞掃描系統(tǒng)，網(wǎng)絡(luò)管理人員可以定期的進(jìn)行網(wǎng)絡(luò)安全檢測(cè)服務(wù)，安全檢測(cè)可幫助客戶最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，有效的利用已有系統(tǒng)，優(yōu)化資源，提高網(wǎng)絡(luò)的運(yùn)行效率。安裝新軟件、啟動(dòng)新服務(wù)后的檢查由于漏洞和安全隱患的形式多種多樣，安裝新軟件和啟動(dòng)新服務(wù)都有可能使原來(lái)隱藏的漏洞暴露出來(lái)，因此進(jìn)行這些操作之后應(yīng)該重新掃描系統(tǒng)，才能是安全得到保障。網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)改造前后的安全規(guī)劃評(píng)估和成效檢驗(yàn)網(wǎng)絡(luò)建設(shè)者必須建立整體安全規(guī)劃，以統(tǒng)領(lǐng)全局，高屋建瓴。在可以容忍的風(fēng)險(xiǎn)級(jí)別和可以接受的成本之間，取得恰當(dāng)?shù)钠胶?，在多種多樣的安全產(chǎn)品和技術(shù)之間作出取舍。配備網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)可以讓您很方便的進(jìn)行安全規(guī)劃評(píng)估和成效檢驗(yàn)網(wǎng)絡(luò)的安全系統(tǒng)建設(shè)方案和建設(shè)成效評(píng)估網(wǎng)絡(luò)承擔(dān)重要任務(wù)前的安全性測(cè)試網(wǎng)絡(luò)承擔(dān)重要任務(wù)前應(yīng)該多采取主動(dòng)防止出現(xiàn)事故的安全措施，從技術(shù)上和管理上加強(qiáng)對(duì)網(wǎng)絡(luò)安全和信息安全的重視，形成立體防護(hù)，由被動(dòng)修補(bǔ)變成主動(dòng)的防范，最終把出現(xiàn)事故的概率降到最低。配備網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)可以讓您很方便的進(jìn)行安全性測(cè)試。網(wǎng)絡(luò)安全事故后的分析調(diào)查網(wǎng)絡(luò)安全事故后可以通過(guò)網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)分析確定網(wǎng)絡(luò)被攻擊的漏洞所在，幫助彌補(bǔ)漏洞，盡可能多得提供資料方便調(diào)查攻擊的來(lái)源。重大網(wǎng)絡(luò)安全事件前的準(zhǔn)備重大網(wǎng)絡(luò)安全事件前網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)能夠幫助用戶及時(shí)的找出網(wǎng)絡(luò)中存在的隱患和漏洞，幫助用戶及時(shí)的彌補(bǔ)漏洞。解決方案概述根據(jù)以上需求分析，極地安全提出了自己的內(nèi)網(wǎng)安全管理解決方案，此方案由終端管理、內(nèi)控堡壘主機(jī)、集中身份管理系統(tǒng)、網(wǎng)絡(luò)漏洞掃描這四個(gè)解決方案構(gòu)成，可以單獨(dú)使用、滿足終端管理或服務(wù)器管理、應(yīng)用管理的需要，也可以協(xié)同使用，滿足全網(wǎng)統(tǒng)一管理的需要。這四個(gè)解決方案都基于先進(jìn)成熟的產(chǎn)品，均由極地安全自行開(kāi)發(fā)。四個(gè)產(chǎn)品所使用的信息可以相互融合，以構(gòu)成一個(gè)有機(jī)統(tǒng)一的整體，提供全網(wǎng)整體內(nèi)控解決方案。終端管理(JD-ESMS)解決方案極地終端管理解決方案由極地終端安全管理系統(tǒng)實(shí)現(xiàn)。產(chǎn)品概述在傳統(tǒng)的網(wǎng)絡(luò)體系、硬件體系，軟件體系基礎(chǔ)之上，依靠主動(dòng)防御技術(shù)、端點(diǎn)準(zhǔn)入技術(shù)、漏洞掃描以及補(bǔ)丁修復(fù)技術(shù)、智能防火墻技術(shù)、身份認(rèn)證、設(shè)備管理、及數(shù)據(jù)加密技術(shù)等關(guān)鍵的技術(shù)手段的支撐下，形成了終端準(zhǔn)入管理、終端環(huán)境安全和終端行為監(jiān)控三個(gè)子系統(tǒng)，三個(gè)子系統(tǒng)的運(yùn)行、控制和審計(jì)都由系統(tǒng)管理平臺(tái)統(tǒng)一管理呈現(xiàn)。在三個(gè)部分的共同作用下，構(gòu)成終端計(jì)算機(jī)安全管理平臺(tái)。如下圖所示：如圖所示，系統(tǒng)分為終端管理引擎、策略中心、綜合展示三個(gè)平臺(tái)，其中終端管理引擎做為關(guān)鍵支撐平臺(tái)，是承載所有終端管理的基礎(chǔ)平臺(tái)，向上輸出身份信息、資產(chǎn)信息，并提供基礎(chǔ)的統(tǒng)一的報(bào)警與響應(yīng)引擎供各功能模塊調(diào)用；策略中心負(fù)責(zé)所有終端管理的功能性模塊，調(diào)用基礎(chǔ)平臺(tái)的身份管理信息、資產(chǎn)信息，并對(duì)各功能模塊在管理過(guò)程中發(fā)生的安全事件進(jìn)行報(bào)警與響應(yīng)，所有信息上報(bào)給綜合展示平臺(tái)；綜合展示平臺(tái)收集所有終端的資產(chǎn)信息、所有安全事件，并進(jìn)行統(tǒng)一的展示。同時(shí)，通過(guò)全網(wǎng)聯(lián)動(dòng)，將其他安全管理系統(tǒng)的信息和事件聯(lián)動(dòng)到系統(tǒng)中，在終端上進(jìn)行統(tǒng)一的報(bào)警與響應(yīng)。如下圖所示：產(chǎn)品基礎(chǔ)功能策略管理系統(tǒng)所有功能，均通過(guò)策略方式將指令下發(fā)到客戶端進(jìn)行執(zhí)行。而策略本身就包含了各個(gè)功能的所有管理要求，可以為管理員提供詳細(xì)的控制手段，并且通過(guò)豐富的默認(rèn)設(shè)置，可以提供完善的便捷性，管理員可以針對(duì)各個(gè)策略采用大量默認(rèn)設(shè)置而輕松完成策略設(shè)定。除以上策略要素之外，還有兩個(gè)要素需要詳細(xì)說(shuō)明如下?；诓呗詢?yōu)先級(jí)的用戶行為管理功能系統(tǒng)提供了策略優(yōu)先級(jí)的管理功能，管理員可以設(shè)置不同級(jí)別的策略，各種策略可以按照優(yōu)先級(jí)進(jìn)行排序，當(dāng)策略間發(fā)生沖突時(shí)，高優(yōu)先級(jí)的策略可以覆蓋低優(yōu)先級(jí)的策略?；趫?chǎng)景的管理策略系統(tǒng)提供了基于場(chǎng)景的安全管理策略，管理員可以設(shè)置不同的場(chǎng)景，如根據(jù)工作時(shí)間和休息時(shí)間設(shè)定不同的策略，在工作時(shí)間設(shè)定的策略在休息時(shí)間不生效，休息時(shí)間場(chǎng)景的策略在工作時(shí)間亦不生效。對(duì)于違反策略的客戶端操作，可以以多種方式觸發(fā)報(bào)警，通知管理員進(jìn)行處理，例如按文件名、資產(chǎn)類型等信息觸發(fā)警報(bào)。極地終端與內(nèi)網(wǎng)安全管理系統(tǒng)可以對(duì)終端在線/離線2種狀態(tài)下應(yīng)用的策略分別予以設(shè)置?？蛻舳撕头?wù)器連接能夠進(jìn)行通信時(shí)為在線狀態(tài)，無(wú)法和服務(wù)器完成通信時(shí)即為離線狀態(tài)。通過(guò)對(duì)在線/離線2種狀態(tài)設(shè)置不同的策略，對(duì)于經(jīng)常移動(dòng)辦公的設(shè)備（如筆記本）可以提供更加靈活實(shí)用的管理。日志功能系統(tǒng)以策略的形式，提供全套日志服務(wù)，日志內(nèi)容包括下述所有功能的日志，以及管理員通過(guò)控制臺(tái)對(duì)服務(wù)器進(jìn)行的所有操作等日志，終端資產(chǎn)管理通過(guò)自動(dòng)登記和管理檢查的方法，記錄各類終端計(jì)算機(jī)資產(chǎn)清單、軟硬件配置信息和使用者用戶信息，作為終端安全管理的基礎(chǔ)依據(jù)。資產(chǎn)內(nèi)容包括：終端名稱、IP地址、MAC地址、硬件配置信息（CPU、內(nèi)存、硬盤、設(shè)備接口）、軟件信息（操作系統(tǒng)類型/版本、安裝軟件列表）、用戶信息（姓名、所屬組織機(jī)構(gòu)、崗位、聯(lián)系方式），等等。同時(shí)，對(duì)資產(chǎn)的變更進(jìn)行管理：及時(shí)發(fā)現(xiàn)終端計(jì)算機(jī)上是否有變更，對(duì)非法資產(chǎn)變更行自動(dòng)處理。終端用戶管理通過(guò)建立終端角色和用戶，定義角色的操作和控制權(quán)限，并為用戶分配相應(yīng)角色的權(quán)限，以此作為制定安全管理策略的基礎(chǔ)依據(jù)。報(bào)警與響應(yīng)管理當(dāng)終端計(jì)算機(jī)違反設(shè)定的安全策略，或根據(jù)策略設(shè)定進(jìn)行報(bào)警響應(yīng)時(shí)，可自動(dòng)將事件上報(bào)服務(wù)器，并且在終端上對(duì)安全事件進(jìn)行自動(dòng)處理。報(bào)警與響應(yīng)做為基礎(chǔ)平臺(tái)，供所有功能模塊調(diào)用，實(shí)現(xiàn)報(bào)警與響應(yīng)的統(tǒng)一化、標(biāo)準(zhǔn)化、自動(dòng)化。在終端上進(jìn)行自動(dòng)響應(yīng)，響應(yīng)手段包括：桌面消息提示、鎖定終端計(jì)算機(jī)、斷開(kāi)網(wǎng)絡(luò)、彈出指定URL頁(yè)面、斷開(kāi)準(zhǔn)入連接等。終端計(jì)算機(jī)自動(dòng)將安全事件的報(bào)警信息上傳服務(wù)器，并在報(bào)警控制臺(tái)上向管理員進(jìn)行報(bào)警提示。提供報(bào)警信息的查看分析和匯總統(tǒng)計(jì)。支持紅色報(bào)警、橙色報(bào)警、黃色報(bào)警和藍(lán)色報(bào)警等四個(gè)級(jí)別。主要功能終端準(zhǔn)入管理通過(guò)準(zhǔn)入控制管理，可以對(duì)所有客戶端進(jìn)行合法性檢驗(yàn)和控制，非法的、不接受管理的客戶端將被隔離在網(wǎng)絡(luò)之外，而合法的客戶端可以接入網(wǎng)絡(luò)進(jìn)行正常操作。系統(tǒng)提供了最全面的準(zhǔn)入控制方式，可以充分滿足用戶網(wǎng)絡(luò)各種不同環(huán)境下的準(zhǔn)入控制需求。802.1x準(zhǔn)入控制：按照802.1x協(xié)議認(rèn)證內(nèi)部接受管理的終端計(jì)算機(jī)，標(biāo)識(shí)和審批“合法”終端，通過(guò)交換機(jī)聯(lián)動(dòng)方式拒絕未經(jīng)認(rèn)證的“非法”終端接入網(wǎng)絡(luò)。ARP準(zhǔn)入控制：在低端網(wǎng)絡(luò)環(huán)境中，可使用基于ARP協(xié)議的準(zhǔn)入控制方式，對(duì)終端進(jìn)行控制。因ARP方式的特殊性，一般用于要求低成本、效果要求不高的場(chǎng)合。網(wǎng)絡(luò)邊界準(zhǔn)入控制：通過(guò)安全準(zhǔn)入網(wǎng)關(guān)管理的終端計(jì)算機(jī)。應(yīng)用網(wǎng)關(guān)準(zhǔn)入控制：通過(guò)在Portal等關(guān)鍵應(yīng)用上部署應(yīng)用準(zhǔn)入網(wǎng)關(guān)，控制不符合準(zhǔn)入條件的終端計(jì)算機(jī)禁止訪問(wèn)指定的網(wǎng)絡(luò)資源、允許符合準(zhǔn)入條件的計(jì)算機(jī)進(jìn)行訪問(wèn)。應(yīng)用準(zhǔn)入網(wǎng)關(guān)是一個(gè)軟件，適用于各種web應(yīng)用系統(tǒng)。遠(yuǎn)程終端準(zhǔn)入控制：通過(guò)遠(yuǎn)程接入網(wǎng)關(guān)，對(duì)遠(yuǎn)程終端進(jìn)行準(zhǔn)入控制。不符合準(zhǔn)入條件的終端計(jì)算機(jī)禁止連入內(nèi)網(wǎng)、允許符合準(zhǔn)入條件的計(jì)算機(jī)可以連入內(nèi)網(wǎng)。終端安全防護(hù)終端安全防護(hù)的目標(biāo)是保護(hù)終端計(jì)算機(jī)環(huán)境安全、數(shù)據(jù)安全和關(guān)聯(lián)網(wǎng)絡(luò)通訊安全，目的是為業(yè)務(wù)創(chuàng)造良好的安全運(yùn)行環(huán)境，保障公司業(yè)務(wù)正常運(yùn)營(yíng)。系統(tǒng)漏洞修復(fù)檢查發(fā)現(xiàn)轄內(nèi)終端計(jì)算機(jī)操作系統(tǒng)和通用系統(tǒng)軟件安全漏洞，通過(guò)自動(dòng)化的技術(shù)措施及時(shí)修復(fù)漏洞，規(guī)避系統(tǒng)漏洞被黑客、蠕蟲(chóng)利用的風(fēng)險(xiǎn)。防病毒檢查檢測(cè)終端計(jì)算機(jī)是否安裝防病毒軟件，避免因防病毒的缺失帶來(lái)病毒問(wèn)題。終端安全配置管理在終端計(jì)算機(jī)上進(jìn)行關(guān)鍵安全配置的實(shí)時(shí)檢查，防止用戶隨意修改這些關(guān)鍵配置而導(dǎo)致安全問(wèn)題。主要包括“禁用控制面板”、“禁用網(wǎng)絡(luò)屬性”、“禁止‘發(fā)送到’”、“禁止修改IP地址”……等多項(xiàng)操作全面提升客戶端的安全性。同時(shí)，支持對(duì)ARP病毒的防范。外設(shè)管理根據(jù)終端計(jì)算機(jī)的業(yè)務(wù)需要和管理需要，設(shè)定是否允許使用外設(shè)?？晒芾淼耐庠O(shè)包括：軟驅(qū)（Floppy）、光驅(qū)（CD/DVD/HD-DVD/BlueRay）、磁帶機(jī)、Flash存儲(chǔ)設(shè)備（U盤及MP3播放器）、串口和并口（COM/LPT）、SCSI接口、藍(lán)牙設(shè)備、紅外線設(shè)備、打印機(jī)、調(diào)制解調(diào)器、USB接口、火線接口（1394）、PCMCIA插槽等。終端防火墻在終端計(jì)算機(jī)上部署基于桌面的防火墻技術(shù)措施，通過(guò)企業(yè)級(jí)的安全策略對(duì)訪問(wèn)活動(dòng)進(jìn)行控制，防止外來(lái)網(wǎng)絡(luò)非法連接訪問(wèn)、黑客入侵和利用終端對(duì)內(nèi)部網(wǎng)絡(luò)其它服務(wù)系統(tǒng)發(fā)起的網(wǎng)絡(luò)攻擊。文檔操作審計(jì)與防泄密保護(hù)通過(guò)文檔訪問(wèn)操作審計(jì)，詳細(xì)了解終端上的文件操作情況。通過(guò)文檔加密等防泄密的綜合防控措施，有效防范文檔失竊和泄密給公司帶來(lái)的業(yè)終端行為管理移動(dòng)介質(zhì)管理通過(guò)對(duì)移動(dòng)介質(zhì)（例如U盤）的使用限制和安全審計(jì)，降低引入安全威脅和文檔泄密的風(fēng)險(xiǎn)。系統(tǒng)支持兩類不同的移動(dòng)介質(zhì)管理，外部介質(zhì)管理和內(nèi)部介質(zhì)管理。外來(lái)介質(zhì)一般是普通U盤，在內(nèi)網(wǎng)中的使用管理方式為注冊(cè)+授權(quán)。外來(lái)移動(dòng)介質(zhì)必須在管理員處注冊(cè)、分配其使用授權(quán)后才能在內(nèi)網(wǎng)計(jì)算機(jī)中使用。授權(quán)分為允許使用、只讀、禁止使用三種。內(nèi)部介質(zhì)通常只能在內(nèi)網(wǎng)使用，原則上不能在內(nèi)網(wǎng)以外使用。管理方法同樣為注冊(cè)+授權(quán)，不同的是注冊(cè)時(shí)采用加密方式。加密后的介質(zhì)只能由授權(quán)終端讀出，非授權(quán)終端無(wú)法讀出介質(zhì)內(nèi)容。介質(zhì)拿到內(nèi)網(wǎng)以外更無(wú)法讀出。程序?yàn)E用管理通過(guò)程序?yàn)E用管理策略，可以明確規(guī)定哪些程序可以使用、哪些程序不能使用。由此可以預(yù)防終端計(jì)算機(jī)違規(guī)使用程序可能帶來(lái)的風(fēng)險(xiǎn)，并以此協(xié)助公司管理，提高員工勞動(dòng)生產(chǎn)率。流量管理通過(guò)檢查和分析終端計(jì)算機(jī)的網(wǎng)絡(luò)分類流量，發(fā)現(xiàn)異常流量可能帶來(lái)的帶寬資源消耗和可疑的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，并對(duì)異常流量做出控制。非法外聯(lián)控制通過(guò)在終端計(jì)算機(jī)本地的安全策略控制措施，預(yù)防終端計(jì)算機(jī)違規(guī)聯(lián)網(wǎng)可能帶來(lái)的安全風(fēng)險(xiǎn)。網(wǎng)頁(yè)訪問(wèn)控制與審計(jì)通過(guò)在終端計(jì)算機(jī)本地的安全策略控制措施，監(jiān)控終端計(jì)算機(jī)違規(guī)訪問(wèn)危害網(wǎng)站可能帶來(lái)的安全風(fēng)險(xiǎn)。并可審計(jì)所有網(wǎng)頁(yè)訪問(wèn)。系統(tǒng)管理屏幕監(jiān)控策略通過(guò)對(duì)終端上的操作屏幕進(jìn)行及時(shí)監(jiān)控和錄像，防止員工違規(guī)操作單位的電腦。終端運(yùn)維管理能夠?qū)?duì)遠(yuǎn)程終端計(jì)算機(jī)執(zhí)行鎖定、注銷、重啟、關(guān)機(jī)等操作。鎖定計(jì)算機(jī)除非管理員解鎖，否則無(wú)論強(qiáng)制重新啟動(dòng)或者進(jìn)入安全模式均不能使用。同時(shí)，管理人員可以通過(guò)控制臺(tái)遠(yuǎn)程取得客戶機(jī)的控制權(quán)，身臨其境般進(jìn)行操作。對(duì)于遠(yuǎn)端客戶機(jī)出現(xiàn)的問(wèn)題，管理人員能夠即時(shí)、方便的解決。在遠(yuǎn)程維護(hù)或者遠(yuǎn)程操作業(yè)務(wù)系統(tǒng)中發(fā)揮多方面的作用。級(jí)聯(lián)管理通過(guò)級(jí)聯(lián)管理，實(shí)現(xiàn)上級(jí)對(duì)下級(jí)的管理。級(jí)別數(shù)無(wú)限。支持策略優(yōu)先級(jí)的傳遞。綜合分析呈現(xiàn)通過(guò)統(tǒng)一的終端安全管理平臺(tái)，提供直觀的、可視化的、全局的終端計(jì)算機(jī)安全運(yùn)行狀態(tài)、安全事件分布和安全保護(hù)效果，使得高層管理人員能夠據(jù)此全面掌握終端計(jì)算機(jī)安全狀況、掌控全局，為安全調(diào)度、管理決策以及合規(guī)檢查提供依據(jù)。綜合統(tǒng)計(jì)支持按終端資產(chǎn)、按部門、按安全級(jí)別、按地域等，進(jìn)行安全事件的綜合查詢統(tǒng)計(jì)，真實(shí)有效地展現(xiàn)終端安全現(xiàn)狀。以圖文、報(bào)表、統(tǒng)計(jì)報(bào)告等方式，直觀展示整體安全運(yùn)行狀態(tài)、安全風(fēng)險(xiǎn)狀態(tài)、從全局上對(duì)資源和事件進(jìn)行全程監(jiān)控和預(yù)警，及時(shí)體現(xiàn)安全防范的效果。雙機(jī)熱備系統(tǒng)支持雙機(jī)熱備功能，可在重要網(wǎng)絡(luò)中部署兩臺(tái)服務(wù)器互相備份，實(shí)現(xiàn)無(wú)間斷運(yùn)行。堡壘主機(jī)(JD-FORT)解決方案極地服務(wù)器管理解決方案由極地內(nèi)控堡壘主機(jī)實(shí)現(xiàn)。系統(tǒng)架構(gòu)極地內(nèi)控堡壘主機(jī)由管理單元和執(zhí)行單元兩部分組成。管理單元用于完成用戶管理、授權(quán)管理及策略設(shè)置等操作。執(zhí)行單元包含用戶輸入模塊、命令捕獲引擎、策略控制和日志服務(wù)。產(chǎn)品組件關(guān)系拓?fù)淙缦拢簣?zhí)行單元功能執(zhí)行單元負(fù)責(zé)完成命令的采集、策略動(dòng)作執(zhí)行等功能。執(zhí)行單元安裝在服務(wù)器上，同用戶使用環(huán)境和習(xí)慣相配合，完成對(duì)用戶行為的監(jiān)視與控制功能。統(tǒng)一賬號(hào)管理管理員通過(guò)賬號(hào)信息管理界面維護(hù)主賬號(hào)的整個(gè)生命周期，對(duì)賬號(hào)進(jìn)行增加、修改、刪除及鎖定、解鎖等操作，同時(shí)設(shè)置賬號(hào)的密碼使用策略及用戶的級(jí)別定義。系統(tǒng)用戶可以通過(guò)自服務(wù)功能管理自身賬號(hào)信息，對(duì)手機(jī)、郵件及密碼等個(gè)人信息進(jìn)行編輯。多種認(rèn)證方式用戶通過(guò)用戶密碼方式登錄到極地內(nèi)控堡壘主機(jī)，選擇資產(chǎn)賬號(hào)，直接登錄目標(biāo)資產(chǎn)用戶通過(guò)數(shù)字證書(shū)、動(dòng)態(tài)令牌等方式登錄到管理單元，由管理單元向執(zhí)行單元發(fā)放一次性口令登錄目標(biāo)資產(chǎn)。單點(diǎn)登錄用戶登錄到極地內(nèi)控堡壘主機(jī)后，直接選擇目標(biāo)資產(chǎn)及賬號(hào)，由堡壘主機(jī)完成賬號(hào)及密碼的代填，完成登錄。自動(dòng)捕獲用戶命令行輸入，智能識(shí)別命令和編輯輸入執(zhí)行單元可以自動(dòng)捕獲用戶命令行輸入，如ls,ps,ifconfig等。執(zhí)行單元支持多行長(zhǎng)命令的捕獲，多行命令的編輯操作（如回退，DEL，光標(biāo)移位等）不影響命令捕獲結(jié)果。執(zhí)行單元智能的支持歷史操作，支持UP，DOWN功能鍵，支持對(duì)歷史操作命令的抓取，支持對(duì)以“！”方式執(zhí)行歷史命令的控制和相關(guān)命令抓取。執(zhí)行單元智能識(shí)別編輯狀態(tài)和命令狀態(tài)，支持對(duì)所有shell下命令的抓取，支持mysql，telnet，ssh等客戶端程序內(nèi)部呈現(xiàn)命令的捕獲功能。支持TAB補(bǔ)齊等Readline功能執(zhí)行單元支持命令的TAB補(bǔ)全，支持回退鍵，刪除鍵，方向鍵等功能鍵。支持組合命令的動(dòng)作審計(jì)執(zhí)行單元支持命令的組合使用，支持管道“|”，支持邏輯或“||”和與“&&”操作，支持分號(hào)命令“；”。執(zhí)行單元支持拒絕和允許兩個(gè)策略動(dòng)作對(duì)拒絕的命令，執(zhí)行單元能夠保證該命令不被執(zhí)行，忠實(shí)地履行安全策略執(zhí)行動(dòng)作。 日志服務(wù)功能執(zhí)行單元日志服務(wù)負(fù)責(zé)記錄服務(wù)器上發(fā)生過(guò)的命令，輸出屏幕和原始硬拷貝流，以供事后分析和調(diào)查取證。極地內(nèi)控堡壘主機(jī)日志服務(wù)將日志記錄為文本文件，同時(shí)可以向其他日志服務(wù)器發(fā)送SYSLOG日志。執(zhí)行單元日志服務(wù)記錄每個(gè)用戶登錄系統(tǒng)的用戶名，登陸IP地址，登陸時(shí)間以及在服務(wù)器上操作的所有命令。執(zhí)行單元日志服務(wù)和管理單元配合，完成對(duì)日志的記錄、分析和查詢等工作。管理單元日志查詢支持按服務(wù)器方式進(jìn)行查詢通過(guò)對(duì)特定服務(wù)器地址進(jìn)行查詢，可以發(fā)現(xiàn)該服務(wù)器上發(fā)生的命令和行為。支持按用戶名方式進(jìn)行查詢通過(guò)對(duì)用戶名進(jìn)行查詢，可以發(fā)現(xiàn)該用戶的所有行為。支持按登陸地址方式進(jìn)行查詢通過(guò)對(duì)特定IP地址進(jìn)行查詢，可以發(fā)現(xiàn)該地址對(duì)應(yīng)主機(jī)及其用戶在服務(wù)器上進(jìn)行的所有操作。支持按照登陸時(shí)間進(jìn)行查詢通過(guò)對(duì)登錄時(shí)間進(jìn)行查詢，可以發(fā)現(xiàn)特定時(shí)間內(nèi)登錄服務(wù)器的用戶及其進(jìn)行過(guò)的所有操作。支持對(duì)命令發(fā)生時(shí)間進(jìn)行查詢可以通過(guò)對(duì)命令發(fā)生的時(shí)間進(jìn)行查詢，可以查詢到特定時(shí)間段服務(wù)器上發(fā)生過(guò)的所有行為。支持對(duì)命令名稱進(jìn)行查詢通過(guò)查詢特定命令如ls，可以查詢到使用過(guò)該命令的所有用戶及其使用的時(shí)間等。支持上述六個(gè)查詢條件的任意組合查詢?nèi)?，可以查詢“誰(shuí)（用戶名）”“什么時(shí)間登錄（登錄時(shí)間）”服務(wù)器并在“什么時(shí)間（命令發(fā)生時(shí)間）”在“服務(wù)器（目標(biāo)服務(wù)器）”上執(zhí)行過(guò)“什么操作（命令）”。支持對(duì)日志的備份操作處理支持對(duì)日志的刪除處理執(zhí)行單元實(shí)時(shí)監(jiān)控功能執(zhí)行單元實(shí)時(shí)監(jiān)視服務(wù)器上正在發(fā)生的行為，可以實(shí)時(shí)察看用戶執(zhí)行的命令、執(zhí)行結(jié)果等；實(shí)時(shí)查看用戶行為支持查看用戶的實(shí)時(shí)切換支持對(duì)用戶歷史命令的查看集中身份管理(JD-4A)解決方案概述極地集中身份管理系統(tǒng)是集賬號(hào)（Account）管理、授權(quán)（Authorization）管理、認(rèn)證（Authentication）管理和綜合審計(jì)（Audit）于一體的集中賬號(hào)管理系統(tǒng)。極地集中身份管理系統(tǒng)采用模塊化設(shè)計(jì)，不但可以根據(jù)用戶需要和環(huán)境特點(diǎn)進(jìn)行選擇、組合，而且可以提供定制化的開(kāi)發(fā)，能夠方便地實(shí)現(xiàn)與用戶應(yīng)用的有機(jī)結(jié)合。同時(shí)，極地集中身份管理系統(tǒng)產(chǎn)品的每個(gè)模塊采用開(kāi)放接口，便于用戶按照網(wǎng)絡(luò)和應(yīng)用需要整合符合用戶需求的4A管理平臺(tái)，達(dá)到以下目的：1．統(tǒng)一的資源訪問(wèn)入口。為集中管理各個(gè)業(yè)務(wù)系統(tǒng)、應(yīng)用、主機(jī)、網(wǎng)絡(luò)設(shè)備提供了技術(shù)手段，可以集中管理、登陸各個(gè)業(yè)務(wù)系統(tǒng)，包括各種C/S應(yīng)用和B/S應(yīng)用，主機(jī)和網(wǎng)絡(luò)設(shè)備，在未來(lái)增加新業(yè)務(wù)系統(tǒng)時(shí)也能迅速、方便的通過(guò)該系統(tǒng)進(jìn)行發(fā)布。用戶訪問(wèn)4A系統(tǒng)時(shí)，可以根據(jù)用戶的訪問(wèn)權(quán)限，系統(tǒng)為每個(gè)用戶提供自己的操作平臺(tái)，顯示所有所能訪問(wèn)的業(yè)務(wù)系統(tǒng)、主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備。2．集中賬號(hào)管理。管理員在一點(diǎn)上即可對(duì)不同系統(tǒng)中的賬號(hào)進(jìn)行管理，不同系統(tǒng)下都能自動(dòng)收集賬號(hào)和推送賬號(hào)，另外賬號(hào)創(chuàng)建、分配過(guò)程均有審計(jì)日志。3．集中身份認(rèn)證。管理員可以根據(jù)賬號(hào)身份，選擇不同的身份認(rèn)證方式?？梢栽诓桓幕蛑贿M(jìn)行有限更改的情況下，對(duì)原有系統(tǒng)增加強(qiáng)身份認(rèn)證手段，提高系統(tǒng)安全性。4．集中訪問(wèn)授權(quán)。對(duì)企業(yè)資產(chǎn)進(jìn)行集中授權(quán)，防止私自授權(quán)或權(quán)限未及時(shí)收回對(duì)企業(yè)信息資產(chǎn)造成的安全損害。在人員離職、崗位變動(dòng)時(shí)，只需要在一處進(jìn)行更改，即可在所有應(yīng)用中改變權(quán)限?？梢约?xì)粒度授權(quán)，如只有在規(guī)定的時(shí)間段或是特定的人員才能訪問(wèn)指定的資源。5．集中安全審計(jì)。能夠?qū)θ藛T的所有操作進(jìn)行審計(jì)，所有審計(jì)信息可以關(guān)聯(lián)到行為人，達(dá)到實(shí)名審計(jì)的效果。6．單點(diǎn)登錄。訪問(wèn)授權(quán)資源時(shí)，只需要登錄極地集中身份管理平臺(tái)。7．細(xì)粒度訪問(wèn)控制。通過(guò)堡壘主機(jī)實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)行為細(xì)粒度策略控制，即時(shí)操作“現(xiàn)場(chǎng)直播”，實(shí)時(shí)監(jiān)控，實(shí)時(shí)操作回放。功能介紹極地集中身份管理系統(tǒng)功能模塊分為：集中賬號(hào)管理、集中身份認(rèn)證、集中訪問(wèn)授權(quán)、集中安全審計(jì)、單點(diǎn)登錄五大部分。集中賬號(hào)管理集中賬號(hào)管理包含對(duì)所有子系統(tǒng)賬號(hào)的集中管理。賬號(hào)和資源的集中管理是集中授權(quán)、認(rèn)證和審計(jì)的基礎(chǔ)。集中賬號(hào)管理可以完成對(duì)用戶整個(gè)生命周期的監(jiān)控和管理，而且還降低了企業(yè)管理大量用戶賬號(hào)的難度和工作量。同時(shí)，通過(guò)統(tǒng)一的管理還能夠發(fā)現(xiàn)賬號(hào)中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶賬號(hào)安全策略。通過(guò)建立集中賬號(hào)管理，企業(yè)可以實(shí)現(xiàn)將賬號(hào)與具體的自然人相關(guān)聯(lián)。通過(guò)這種關(guān)聯(lián)，可以實(shí)現(xiàn)多級(jí)的用戶管理和細(xì)粒度的用戶授權(quán)。而且，還可以實(shí)現(xiàn)針對(duì)自然人的行為審計(jì)，以滿足合規(guī)審計(jì)的需要。集中賬號(hào)管理系統(tǒng)能夠自動(dòng)發(fā)現(xiàn)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)上的已有賬號(hào)。系統(tǒng)可以定期手動(dòng)觸發(fā)或自動(dòng)搜索所有被管理的系統(tǒng)，從中發(fā)現(xiàn)、收集所有新創(chuàng)建的賬號(hào)。系統(tǒng)還可以通過(guò)賬號(hào)推送機(jī)制，通過(guò)集中賬號(hào)管理系統(tǒng)在被管系統(tǒng)中創(chuàng)建新的賬號(hào)。 集中賬號(hào)管理對(duì)賬號(hào)的產(chǎn)生到刪除的各種狀態(tài)進(jìn)行管理。包括統(tǒng)一的用戶創(chuàng)建、維護(hù)、刪除等功能。統(tǒng)一的用戶審批管理流程（添加、修改、禁用、啟用、刪除）。制定人員兼職、調(diào)動(dòng)、離職的管理機(jī)制。集中身份認(rèn)證極地集中身份管理系統(tǒng)為用戶提供統(tǒng)一的認(rèn)證接口。采用統(tǒng)一的認(rèn)證接口不但便于對(duì)用戶認(rèn)證的管理，而且能夠采用更加安全的認(rèn)證模式，提高認(rèn)證的安全性和可靠性。集中身份認(rèn)證提供靜態(tài)密碼、Windows域、WindowsKerberos、雙因素、一次性口令和生物特征等多種認(rèn)證方式，而且系統(tǒng)具有靈活的定制接口，可以方便的與其它第三方認(rèn)證服務(wù)器之間結(jié)合。集中訪問(wèn)授權(quán)極地集中身份管理系統(tǒng)提供統(tǒng)一的界面，對(duì)用戶、角色及行為和資源進(jìn)行授權(quán)，以達(dá)到對(duì)權(quán)限的細(xì)粒度控制，最大限度保護(hù)用戶資源的安全。通過(guò)集中訪問(wèn)授權(quán)和訪問(wèn)控制可以對(duì)用戶通過(guò)B/S、C/S對(duì)主機(jī)、網(wǎng)元和各業(yè)務(wù)系統(tǒng)的訪問(wèn)進(jìn)行審計(jì)和阻斷。在集中訪問(wèn)授權(quán)里強(qiáng)調(diào)的“集中”是邏輯上的集中，而不是物理上的集中。即在各網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)中可能擁有各自的權(quán)限管理功能，管理員也由各自的歸口管理部門委派，但是這些管理員在極地集中身份管理系統(tǒng)上，可以對(duì)各自的管理對(duì)象進(jìn)行授權(quán)，而不需要進(jìn)入每一個(gè)被管理對(duì)象才能授權(quán)。授權(quán)的對(duì)象包括用戶、用戶角色、資源和用戶行為。系統(tǒng)不但能夠授權(quán)用戶可以通過(guò)什么角色訪問(wèn)資源這樣基于應(yīng)用邊界的粗粒度授權(quán)，對(duì)某些應(yīng)用還可以限制用戶的操作，以及在什么時(shí)間進(jìn)行操作這樣應(yīng)用內(nèi)部的細(xì)粒度授權(quán)。集中安全審計(jì)集中安全審計(jì)管理主要審計(jì)人員的賬號(hào)分配情況、權(quán)限分配情況、賬號(hào)使用（登錄、資源訪問(wèn)）情況、資源使用情況等。在各主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)的訪問(wèn)日志記錄都采用統(tǒng)一的賬號(hào)、資源進(jìn)行標(biāo)識(shí)后，集中審計(jì)能更好地對(duì)賬號(hào)的完整使用過(guò)程進(jìn)行追蹤。極地集中身份管理系統(tǒng)通過(guò)系統(tǒng)自身的用戶認(rèn)證系統(tǒng)、用戶授權(quán)系統(tǒng)，以及訪問(wèn)控制和堡壘主機(jī)等詳細(xì)記錄整個(gè)會(huì)話過(guò)程中用戶的全部行為日志。還可以通過(guò)遠(yuǎn)程日志，文件等形式獲得其它系統(tǒng)產(chǎn)生的日志。單點(diǎn)登錄極地集中身份管理系統(tǒng)提供了基于B/S的單點(diǎn)登錄系統(tǒng)，用戶通過(guò)一次登錄系統(tǒng)后，就可以無(wú)需認(rèn)證的訪問(wèn)包括被授權(quán)的多種基于B/S和C/S的應(yīng)用系統(tǒng)。單點(diǎn)登錄為具有多賬號(hào)的用戶提供了方便快捷的訪問(wèn)途經(jīng)，使用戶無(wú)需記憶多種登錄用戶ID和口令。它通過(guò)向用戶和客戶提供對(duì)其個(gè)性化資源的快捷訪問(wèn)提高生產(chǎn)效率。同時(shí)，由于系統(tǒng)自身是采用強(qiáng)認(rèn)證的系統(tǒng)，從而提高了用戶認(rèn)證環(huán)節(jié)的安全性。集中不同(B/S架構(gòu)和C/S架構(gòu))業(yè)務(wù)應(yīng)用系統(tǒng)(如OA，ERP，MIS等)，主機(jī)系統(tǒng)(如UNIX，LINUX，WINDOWS等)，網(wǎng)絡(luò)設(shè)備（如交換機(jī)，防火墻）的用戶身份認(rèn)證。單點(diǎn)登錄可以實(shí)現(xiàn)與用戶授權(quán)管理的無(wú)縫連接，這樣可以通過(guò)對(duì)用戶、角色、行為和資源的授權(quán)，增加對(duì)資源的保護(hù)，和對(duì)用戶行為的監(jiān)控及審計(jì)。漏洞掃描(JD-SCAN)解決方案網(wǎng)絡(luò)漏洞掃描的必要性內(nèi)部網(wǎng)絡(luò)的統(tǒng)一管理，必須對(duì)內(nèi)網(wǎng)的安全及時(shí)作出安全風(fēng)險(xiǎn)評(píng)估，這里可以采用極地網(wǎng)絡(luò)漏洞掃描（JD-SCAN）來(lái)實(shí)現(xiàn)。通過(guò)風(fēng)險(xiǎn)評(píng)估，可以更有針對(duì)性的采取內(nèi)控安全管理措施。漏洞掃描技術(shù)概述漏洞掃描通常采用兩種策略，第一種是被動(dòng)式策略，第二種是主動(dòng)式策略。所謂被動(dòng)式策略就是基于主機(jī)之上，對(duì)系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查；而主動(dòng)式策略是基于網(wǎng)絡(luò)的，它通過(guò)執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。利用被動(dòng)式策略掃描稱為系統(tǒng)安全掃描，利用主動(dòng)式策略掃描稱為網(wǎng)絡(luò)安全掃描。

現(xiàn)有的信息安全產(chǎn)品中主要包括以下五大件：防火墻、入侵檢測(cè)、安全評(píng)估（漏洞掃描或者脆弱性分析）、身份認(rèn)證、數(shù)據(jù)備份。這樣，在部署安全策略時(shí)，有許多其它的安全基礎(chǔ)設(shè)施要考慮進(jìn)來(lái)，如防火墻，防病毒，認(rèn)證與識(shí)別產(chǎn)品，訪問(wèn)控制產(chǎn)品，加密產(chǎn)品，虛擬專用網(wǎng)等等。如何管理這些設(shè)備，是安全掃描系統(tǒng)和入侵檢測(cè)系統(tǒng)的職責(zé)。通過(guò)監(jiān)視事件日志，系統(tǒng)受到攻擊后的行為和這些設(shè)備的信號(hào)，作出反應(yīng)。這樣，漏洞掃描系統(tǒng)就把這些設(shè)備有機(jī)地結(jié)合在一起。因此，而漏洞掃描是一個(gè)完整的安全解決方案中的一個(gè)關(guān)鍵部分，在企業(yè)部署安全策略中處于非常重要的地位。

防火墻和漏洞掃描的必須同時(shí)存在，這是因?yàn)閮H有防火墻是不夠的。防火墻充當(dāng)了外部網(wǎng)和內(nèi)部網(wǎng)的一個(gè)屏障，但是并不是所有的外部訪問(wèn)都是通過(guò)防火墻的。比如，一個(gè)未經(jīng)認(rèn)證的調(diào)制解調(diào)器把內(nèi)部網(wǎng)連到了外部網(wǎng)，就對(duì)系統(tǒng)的安全構(gòu)成了威脅。此外，安全威脅往往并不全來(lái)自外部，很大一部分來(lái)自內(nèi)部。另外，防火墻本身也很有可能被黑客攻破。

結(jié)合了入侵檢測(cè)功能后，漏洞掃描系統(tǒng)具有以下功能：①

協(xié)調(diào)了其它的安全設(shè)備；②

使枯燥的系統(tǒng)安全信息易于理解，告訴了你系統(tǒng)發(fā)生的事情；③

跟蹤用戶進(jìn)入，在系統(tǒng)中的行為和離開(kāi)的信息；④

可以報(bào)告和識(shí)別文件的改動(dòng)；⑤

糾正系統(tǒng)的錯(cuò)誤設(shè)置；⑥

識(shí)別正在受到的攻擊；⑦

減輕系統(tǒng)管理員搜索最近黑客行為的負(fù)擔(dān)；⑧

使得安全管理可由普通用戶來(lái)負(fù)責(zé)；⑨

為制定安全規(guī)則提供依據(jù)。漏洞掃描產(chǎn)品特點(diǎn)模擬攻擊黑客的攻擊一般分為3步：第一步，掃描端口，探測(cè)那些端口是開(kāi)放的；第二步，發(fā)現(xiàn)漏洞，對(duì)開(kāi)放的端口調(diào)用測(cè)試程序或數(shù)據(jù)串，通過(guò)特定的反應(yīng)檢測(cè)是否存在漏洞。第三步，發(fā)起攻擊，發(fā)現(xiàn)漏洞后，黑客就查找相關(guān)的攻擊工具進(jìn)行攻擊。漏洞掃描系統(tǒng)的前兩步和黑客的攻擊很相似，不同的是在第三步，發(fā)現(xiàn)漏洞后會(huì)立即向用戶提示漏洞的存在和解決辦法，而不是發(fā)起攻擊。因?yàn)榍皟刹嫉南嗨菩?，漏洞掃描系統(tǒng)也稱為模擬攻擊測(cè)試。進(jìn)攻是最好的防守，傳統(tǒng)的安全產(chǎn)品都是單純從防御的角度來(lái)達(dá)到目的，而漏洞掃描產(chǎn)品是唯一從進(jìn)攻的角度檢測(cè)系統(tǒng)安全性的安全工具，可以發(fā)揮其他安全產(chǎn)品無(wú)法發(fā)揮的作用未雨綢繆通過(guò)事前的模擬攻擊測(cè)試，漏洞掃描系統(tǒng)可以在黑客發(fā)起進(jìn)攻之前就發(fā)現(xiàn)黑客可能發(fā)起攻擊的隱患，提示用戶修補(bǔ)漏洞和采取防范措施，防范于未然。事前防范比事件發(fā)生時(shí)的防范更從容完整的入侵檢測(cè)技術(shù)包括事前的檢測(cè)，事中的探測(cè)和報(bào)警，事后的分析和應(yīng)對(duì)。漏洞掃描系統(tǒng)在攻擊發(fā)起之前進(jìn)行自我防護(hù)和積極應(yīng)對(duì)，比事中、事后的措施更有效。直接保護(hù)被攻擊對(duì)象傳統(tǒng)手段是通過(guò)層層設(shè)防，防止黑客接觸到主機(jī)（或其他被保護(hù)節(jié)點(diǎn)），但是一旦各種保護(hù)層被突破，主機(jī)仍然要承受攻擊。漏洞掃描是直接加強(qiáng)被攻擊對(duì)象的強(qiáng)壯性，即使外部的保護(hù)措施失效，本身強(qiáng)壯的主機(jī)仍然可以保證安全。性價(jià)比高在目前的安全產(chǎn)品中，漏洞掃描產(chǎn)品的價(jià)位比防火墻稍高，遠(yuǎn)遠(yuǎn)低于其他安全產(chǎn)品的投資。漏洞掃描產(chǎn)品的安裝運(yùn)行簡(jiǎn)單、效果好、見(jiàn)效快，同時(shí)該類產(chǎn)品網(wǎng)絡(luò)運(yùn)行相對(duì)獨(dú)立，不會(huì)影響到正常的業(yè)務(wù)，具有很高的性能價(jià)格比。使用方便安全掃描產(chǎn)品不僅能發(fā)現(xiàn)漏洞，還裝載了大量的信息安全知識(shí)。通過(guò)使用安全掃描產(chǎn)品，系統(tǒng)管理員可以借鑒專業(yè)安全工程師的知識(shí)和信息積累，大大減輕了自己的勞動(dòng)強(qiáng)度，有利于全網(wǎng)安全策略的統(tǒng)一和穩(wěn)定。產(chǎn)品部署通常在核心交換機(jī)上部署一臺(tái)機(jī)架式漏洞掃描服務(wù)器，同時(shí)在其他的各個(gè)不同的網(wǎng)段配置一臺(tái)分布式漏洞掃描儀，定期地對(duì)網(wǎng)絡(luò)中多個(gè)不同的網(wǎng)段的主機(jī)進(jìn)行檢測(cè)，同時(shí)給出相應(yīng)的解決建議，用戶根據(jù)這些解決建議來(lái)做出相應(yīng)的防護(hù)。產(chǎn)品特點(diǎn)介紹強(qiáng)大的檢測(cè)分析能力能夠?qū)Σ僮飨到y(tǒng)、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫(kù)進(jìn)行掃描，指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測(cè)報(bào)告和相應(yīng)的修補(bǔ)措施，安全建議；能夠通過(guò)本機(jī)掃描插件下載的方式，下載插件進(jìn)行本地補(bǔ)丁掃描，突破防火墻的限制，或者最準(zhǔn)確的主機(jī)漏洞信息。軟件設(shè)計(jì)采用了最先進(jìn)的層次化軟件體系結(jié)構(gòu)，框架清晰、運(yùn)行穩(wěn)定；漏洞庫(kù)的升級(jí)不會(huì)影響到程序的穩(wěn)定，從而使先進(jìn)性和可靠性得到了完美的統(tǒng)一。綜合了國(guó)外著名安全產(chǎn)品的優(yōu)點(diǎn)和思路，起點(diǎn)高技術(shù)先進(jìn)，檢測(cè)范圍廣，可覆蓋Internet/Intranet的所有主流部件。擁有強(qiáng)大的檢測(cè)漏洞庫(kù)，根據(jù)服務(wù)分為19大類別，現(xiàn)有漏洞數(shù)量20000余條（2009年11月）。每條漏洞都包含詳細(xì)漏洞描述和可操作性強(qiáng)的解決方案。通過(guò)網(wǎng)絡(luò)和本地?cái)?shù)據(jù)包，每周至少升級(jí)更新漏洞庫(kù)一次，以保證能夠檢測(cè)最新的漏洞；擁有強(qiáng)大的結(jié)果文件分析能力，可以預(yù)定義、自定義和多角度多層次的分析結(jié)果文件，提供html、doc等多種格式。支持分布式掃描隨著網(wǎng)絡(luò)規(guī)模的逐步龐大、逐步復(fù)雜，核心級(jí)網(wǎng)絡(luò)、部門級(jí)網(wǎng)絡(luò)、終端/個(gè)人用戶級(jí)網(wǎng)絡(luò)的建設(shè)，各個(gè)網(wǎng)絡(luò)之間存在著防火墻、交換機(jī)等過(guò)濾機(jī)制的存在，漏洞掃描發(fā)送的數(shù)據(jù)包大部分將被這些設(shè)備過(guò)濾，降低了掃描的時(shí)效性和準(zhǔn)確性。針對(duì)這種分布式的復(fù)雜網(wǎng)絡(luò)，不能依舊采用傳統(tǒng)的軟件安裝方式或者機(jī)架方式那種不易移動(dòng)的產(chǎn)品，漏洞掃描系統(tǒng)能夠充分發(fā)揮自身可移動(dòng)的優(yōu)勢(shì)，能夠很好的適應(yīng)這種分布式網(wǎng)絡(luò)掃描。自身高度安全性IP地址限定每個(gè)掃描系統(tǒng)所能掃描的IP地址范圍被嚴(yán)格鎖定和限制，并在國(guó)家授權(quán)機(jī)關(guān)進(jìn)行安全備案，杜絕了網(wǎng)絡(luò)漏洞掃描系統(tǒng)被惡意使用的可能?？构粼O(shè)計(jì)掃描系統(tǒng)運(yùn)行的操作系統(tǒng)是經(jīng)過(guò)專門優(yōu)化的LINUX系統(tǒng)，對(duì)操作系統(tǒng)的漏洞進(jìn)行了全面的修補(bǔ)，并對(duì)掃描系統(tǒng)本身進(jìn)行了各種攻擊下的防范測(cè)試。多級(jí)的安全權(quán)限系統(tǒng)有完備的安全設(shè)計(jì)，防止超越權(quán)限操作現(xiàn)象發(fā)生；系統(tǒng)分級(jí)分層授權(quán)，以保證信息的安全和保密；充分考慮在網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用等方面的安全性傳輸數(shù)據(jù)的加密采用多種數(shù)據(jù)加密方法對(duì)重要數(shù)據(jù)進(jìn)行加密，保證數(shù)據(jù)的安全讀取與傳輸。不論是掃描腳本還是用戶的掃描結(jié)果，都以嚴(yán)格加密的形式進(jìn)行傳送。既保證了測(cè)試腳本不會(huì)被竊取，也保證了用戶的評(píng)估情況不會(huì)泄漏。支持WEB掃描Web漏洞掃描方法主要有兩類：信息獲取和模擬攻擊。信息獲取就是通過(guò)與目標(biāo)主機(jī)TCP／IP的Http服務(wù)端口發(fā)送連接請(qǐng)求，記錄目標(biāo)主機(jī)的應(yīng)答。通過(guò)目標(biāo)主機(jī)應(yīng)答信息中狀態(tài)碼和返回?cái)?shù)據(jù)與Http協(xié)議相關(guān)狀態(tài)碼和預(yù)定義返回信息做匹配，如果匹配條件則視為漏洞存在。模擬攻擊就是通過(guò)使用模擬黑客攻擊的方法，對(duì)目標(biāo)主機(jī)Web系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，比如認(rèn)證與授權(quán)攻擊、支持文件攻擊、包含文件攻擊、SQL注入攻擊和利用編碼技術(shù)攻擊等對(duì)目標(biāo)系統(tǒng)可能存在的已知漏洞進(jìn)行逐項(xiàng)進(jìn)行檢查，從而發(fā)現(xiàn)系統(tǒng)的漏洞。遠(yuǎn)程字典攻擊也是漏洞掃描中模擬攻擊的一種，其原理與其他攻擊相差較大，若攻擊成功，可以直接得到登陸目標(biāo)主機(jī)系統(tǒng)的用戶名和口令。Web漏洞掃描原理就是利用上面的掃描方法，通過(guò)分析掃描返回信息，來(lái)判斷在目標(biāo)系統(tǒng)上與測(cè)試代碼相關(guān)的漏洞是否存在或者相關(guān)文件是否可以在某種程度上得以改進(jìn)，然后把結(jié)果反饋給用戶端(即瀏覽端)，并給出相關(guān)的改進(jìn)意見(jiàn)。內(nèi)部網(wǎng)絡(luò)的統(tǒng)一管理統(tǒng)一管理方式在用戶內(nèi)網(wǎng)中，統(tǒng)一部署極地終端與內(nèi)網(wǎng)安全管理系統(tǒng)、極地內(nèi)控堡壘主機(jī)、極地網(wǎng)絡(luò)漏洞掃描系統(tǒng)后，可與用戶已經(jīng)部署的防火墻、IDS、VPN等設(shè)備聯(lián)動(dòng)，聯(lián)動(dòng)接口為標(biāo)準(zhǔn)規(guī)范。實(shí)施聯(lián)動(dòng)后，所有設(shè)備實(shí)現(xiàn)信息共享，并按照統(tǒng)一的原則和策略實(shí)現(xiàn)統(tǒng)一管理。例如IDS檢測(cè)到某終端有攻擊行為后向終端管理系統(tǒng)報(bào)告，終端管理系統(tǒng)立即禁止此終端所有網(wǎng)絡(luò)連接，防止攻擊行為對(duì)內(nèi)網(wǎng)產(chǎn)生影響。統(tǒng)一管理功效有了針對(duì)終端計(jì)算機(jī)和服務(wù)器的管理系統(tǒng)以后，結(jié)合用戶已經(jīng)建設(shè)的防火墻、IDS、VPN等系統(tǒng)，可以實(shí)現(xiàn)真正意義上的全網(wǎng)統(tǒng)一管理：無(wú)死角通過(guò)抓住所有安全事件的源頭：終端與服務(wù)器，可以將全網(wǎng)所有事件納入管理范圍，無(wú)論安全事件從哪里發(fā)生都能準(zhǔn)確定位和處理。全網(wǎng)安全域管理通過(guò)終端虛擬安全域，可劃分更細(xì)粒度的安全域，將安全域由傳統(tǒng)的網(wǎng)絡(luò)邊界粒度擴(kuò)展到單臺(tái)終端，與傳統(tǒng)的基于網(wǎng)絡(luò)邊界訪問(wèn)控制的安全域結(jié)合，實(shí)現(xiàn)更細(xì)粒度、更自由的安全域管理。遠(yuǎn)程終端與內(nèi)網(wǎng)終端統(tǒng)一管理通過(guò)遠(yuǎn)程終端安全準(zhǔn)入控制，終端計(jì)算機(jī)不再區(qū)分遠(yuǎn)程接入或局域網(wǎng)接入，可以按相同的管理策略進(jìn)行管理。統(tǒng)一用戶管理全網(wǎng)