常見(jiàn)網(wǎng)絡(luò)安全設(shè)備

常見(jiàn)網(wǎng)絡(luò)安全設(shè)備

WAF（webapplicationfirewall）的消失是由于傳統(tǒng)防火墻無(wú)法對(duì)應(yīng)用層的攻

擊進(jìn)行有效反抗，并且IPS也無(wú)法從根本上防護(hù)應(yīng)用層的攻擊。因此消失了愛(ài)護(hù)

Web應(yīng)用平安的Web應(yīng)用防火墻系統(tǒng)（簡(jiǎn)稱〃WAF〃）。

什么是WAF?

WAF是一種基礎(chǔ)的平安愛(ài)護(hù)模塊，通過(guò)特征提取和分塊檢索技術(shù)進(jìn)行特征

匹配，主要針對(duì)HTTP訪問(wèn)的Web程序愛(ài)護(hù)。

WAF部署在Web應(yīng)用程序前面，在用戶懇求到達(dá)Web服務(wù)器前對(duì)用戶懇

求進(jìn)行掃描和過(guò)濾，分析并校驗(yàn)每個(gè)用戶懇求的網(wǎng)絡(luò)包，確保每個(gè)用戶懇求有

效且平安，對(duì)無(wú)效或有攻擊行為的懇求進(jìn)行阻斷或隔離。

通過(guò)檢查HTTP流量，可以防止源自Web應(yīng)用程序的平安漏洞（如SQL注

入，跨站腳本（XSS）,文件包含和平安配置錯(cuò)誤）的攻擊。

與傳統(tǒng)防火墻的區(qū)分

WAF區(qū)分于常規(guī)防火墻，由于WAF能夠過(guò)濾特定Web應(yīng)用程序的內(nèi)容，

而常規(guī)防火墻則充當(dāng)服務(wù)器之間的平安門(mén)。

WAF不是全能的

WAF不是一個(gè)最終的平安解決方案，而是它們要與其他網(wǎng)絡(luò)周邊平安解決

方案（如網(wǎng)絡(luò)防火墻和入侵防各系統(tǒng)）一起使用，以供應(yīng)全面的防備策略。

入侵檢測(cè)系統(tǒng)（IDS）

什么是IDS?

IDS是英文"IntrusionDetectionSystems"的縮寫(xiě)，中文意思是"入侵檢測(cè)系

統(tǒng)〃。專(zhuān)業(yè)上講就是依照肯定的平安策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，

盡可能發(fā)覺(jué)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)

密性、完整性和可用性。

跟防火墻的比較

假如防火墻是一幢大樓的門(mén)鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一

旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)覺(jué)狀

況并發(fā)出警告。

不同于防火墻，IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽(tīng)設(shè)施，沒(méi)有跨接在任何鏈路

上，無(wú)須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。

部署位置選擇

因此，對(duì)IDS的部署唯一的要求是：IDS應(yīng)掛接在全部所關(guān)注流量都必需流

經(jīng)的鏈路上。在這里，〃所關(guān)注流量〃指的是來(lái)自高危網(wǎng)絡(luò)區(qū)域的訪問(wèn)流量和需

要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文。在如今的網(wǎng)絡(luò)拓?fù)渲?，已?jīng)很難找到以前的

HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級(jí)到交換

式的網(wǎng)絡(luò)結(jié)構(gòu)。

因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在：

盡可能靠近攻擊源；

這些位置通常是：

服務(wù)器區(qū)域的交換機(jī)上；

Internet接入路由器之后的第一臺(tái)交換機(jī)上；

重點(diǎn)愛(ài)護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上

防火墻和IDS可以分開(kāi)操作，IDS是個(gè)臨控系統(tǒng)，可以自行選擇合適的，或

是符合需求的，比如發(fā)覺(jué)規(guī)章或監(jiān)控不完善，可以更改設(shè)置及規(guī)章，或是重新

設(shè)置！

主要組成部分

大事產(chǎn)生器，從計(jì)算環(huán)境中獲得大事，并向系統(tǒng)的其他部分供應(yīng)此大事；

大事分析器，分析數(shù)據(jù);

響應(yīng)單元，發(fā)出警報(bào)或?qū)嵭兄鲃?dòng)反應(yīng)措施；

大事數(shù)據(jù)庫(kù)，存放各種數(shù)據(jù)。

主要任務(wù)

主要任務(wù)包括：

監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；

審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；

識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警；

統(tǒng)計(jì)分析特別行為模式；

評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反平安策略的行為。

工作流程

（1）信息收集

信息收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。入侵檢

測(cè)采用的信息一般來(lái)自系統(tǒng)日志、名目以及文件中的特別轉(zhuǎn)變、程序執(zhí)行中的

特別行為及物理形式的入侵信息4個(gè)方面。

（2）數(shù)據(jù)分析

數(shù)據(jù)分析是入侵檢測(cè)的核心。它首先構(gòu)建分析器，把收集到的信息經(jīng)過(guò)預(yù)

處理，建立一個(gè)行為分析引擎或模型，然后向模型中植入時(shí)間數(shù)據(jù)，在學(xué)問(wèn)庫(kù)

中保存植入數(shù)據(jù)的模型。數(shù)據(jù)分析一般通過(guò)模式匹配、統(tǒng)計(jì)分析和完整性分析3

種手段進(jìn)行。前兩種方法用于實(shí)時(shí)入侵檢測(cè)，而完整性分析則用于事后分析。

可用5種統(tǒng)計(jì)模型進(jìn)行數(shù)據(jù)分析：操作模型、方差、多元模型、馬爾柯夫過(guò)程

模型、時(shí)間序列分析。統(tǒng)計(jì)分析的最大優(yōu)點(diǎn)是可以學(xué)習(xí)用戶的使用習(xí)慣。

（3）實(shí)時(shí)紀(jì)錄、報(bào)警或有限度反擊

入侵檢測(cè)系統(tǒng)在發(fā)覺(jué)入侵后會(huì)準(zhǔn)時(shí)做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、紀(jì)錄大

事和報(bào)警等。響應(yīng)一般分為主動(dòng)響應(yīng)（阻擋攻擊或影響進(jìn)而轉(zhuǎn)變攻擊的進(jìn)程）

和被動(dòng)響應(yīng)（報(bào)告和紀(jì)錄所檢測(cè)出的問(wèn)題）兩種類(lèi)型。

主動(dòng)響應(yīng)由用戶驅(qū)動(dòng)或系統(tǒng)本身自動(dòng)執(zhí)行，可對(duì)入侵者實(shí)行行動(dòng)（如斷開(kāi)

連接）、修正系統(tǒng)環(huán)境或收集有用信息；被動(dòng)響應(yīng)則包括告警和通知、簡(jiǎn)潔網(wǎng)

絡(luò)管理合同（SNMP）陷阱和插件等。此外，還可以按策略配置響應(yīng)，可分別實(shí)

行馬上、緊急、適時(shí)、本地的長(zhǎng)期和全局的長(zhǎng)期等行動(dòng)。玦點(diǎn)

（1）誤報(bào)、漏報(bào)率高

（2）沒(méi)有主動(dòng)防備力量

（3）不能解析加密數(shù)據(jù)流

入侵預(yù)防系統(tǒng)（IPS）

什么是入侵預(yù)防系統(tǒng)

入侵預(yù)防系統(tǒng)（IntrusionPreventionSystem,IPS）,又稱為入侵偵測(cè)與預(yù)防

系統(tǒng)（intrusiondetectionandpreventionsystems,IDPS）,是計(jì)算機(jī)網(wǎng)絡(luò)平安設(shè)

施，是對(duì)防病毒軟件（AntivirusSoftwares）和防火墻的補(bǔ)充。入侵預(yù)防系統(tǒng)是一

部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)施的網(wǎng)絡(luò)數(shù)據(jù)傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)平安設(shè)施，能夠

即時(shí)的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袚p害性的網(wǎng)絡(luò)數(shù)據(jù)傳輸行為。

為什么在存在傳統(tǒng)防火墻和IDS時(shí)，還會(huì)消失IPS?

雖然防火墻可以依據(jù)英特網(wǎng)地址（IP-Addresses）或服務(wù)端口（Ports）過(guò)濾

數(shù)據(jù)包。但是，它對(duì)于采用合法網(wǎng)址和端口而從事的破壞活動(dòng)則無(wú)能為力。由

于，防火墻極少深化數(shù)據(jù)包檢查內(nèi)容。

在ISO/OSI網(wǎng)絡(luò)層次模型（見(jiàn)OSI模型）中，防火墻主要在其次到第四層起

作用，它的作用在第四到第七層一般很微弱。而除病毒軟件主要在第五到第七

層起作用。為了彌補(bǔ)防火墻和除病毒軟件二者在第四到第五層之間留下的空

檔，幾年前，工業(yè)界已經(jīng)有入侵檢測(cè)系統(tǒng)投入使用。入侵偵查系統(tǒng)在發(fā)覺(jué)特別

狀況后準(zhǔn)時(shí)向網(wǎng)絡(luò)平安管理人員或防火墻系統(tǒng)發(fā)出警報(bào)。惋惜這時(shí)災(zāi)難往往已

經(jīng)形成。雖然，亡羊補(bǔ)牢，尤未為晚，但是，防衛(wèi)機(jī)制最好應(yīng)是在危害形成之

前先期起作用。隨后應(yīng)運(yùn)而生的入侵反應(yīng)系統(tǒng)(IRS:lntrusionResponse

Systems)作為對(duì)入侵偵查系統(tǒng)的補(bǔ)充能夠在發(fā)覺(jué)入侵時(shí)，快速做出反應(yīng)，并自

動(dòng)實(shí)行阻擋措施。而入侵預(yù)防系統(tǒng)則作為二者的進(jìn)一步進(jìn)展，吸取了二者的特

長(zhǎng)。

IPS如何工作

入侵預(yù)防系統(tǒng)特地深化網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部，查找它所熟識(shí)的攻擊代碼特征，過(guò)

濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包，并進(jìn)行記載，以便事后分析。除此之外，更

重要的是，大多數(shù)入侵預(yù)防系統(tǒng)同時(shí)結(jié)合考慮應(yīng)用程序或網(wǎng)絡(luò)傳輸層的特別狀

況，來(lái)幫助識(shí)別入侵和攻擊。比如，用戶或用戶程序違反平安條例、數(shù)據(jù)包在

不應(yīng)消失的時(shí)段消失、操作系統(tǒng)或應(yīng)用程序弱點(diǎn)的空子正在被采用等等現(xiàn)象。

入侵預(yù)防系統(tǒng)雖然也考慮已知病毒特征，但是它并不僅僅依靠于已知病毒特

征。

應(yīng)用入侵預(yù)防系統(tǒng)的目的在于準(zhǔn)時(shí)識(shí)別攻擊程序或有害代碼及其克隆和變

種，實(shí)行預(yù)防措施，先期阻擋入侵，防患于未然?；蛘咧辽偈蛊湮：π猿浞纸?/p>

低。入侵預(yù)防系統(tǒng)一般作為防火墻和防病毒軟件的補(bǔ)充來(lái)投入使用。在必要

時(shí)，它還可以為追究攻擊者的刑事責(zé)任而供應(yīng)法律上有效的證據(jù)

(forensic)o

入侵預(yù)防技術(shù)

特別偵查。正如入侵偵查系統(tǒng)，入侵預(yù)防系統(tǒng)知道正常數(shù)據(jù)以及數(shù)據(jù)之間

關(guān)系的通常的樣子，可以對(duì)比識(shí)別特別。

在遇到動(dòng)態(tài)代碼(ActiveX,JavaApplet,各種指令語(yǔ)言scriptlanguages等

等)時(shí)，先把它們放在沙盤(pán)內(nèi)，觀看其行為動(dòng)向，假如發(fā)覺(jué)有可疑狀況，則停

止傳輸，禁止執(zhí)行。

有些入侵預(yù)防系統(tǒng)結(jié)合合同特別、傳輸特別和特征偵查，對(duì)通過(guò)網(wǎng)關(guān)或防

火墻進(jìn)入網(wǎng)絡(luò)內(nèi)部的有害代碼實(shí)行有效阻擋。內(nèi)核基礎(chǔ)上的防護(hù)機(jī)制。用戶程

序通過(guò)系統(tǒng)指令享用資源(如存儲(chǔ)區(qū)、輸入輸出設(shè)施、中心處理器等)。

入侵預(yù)防系統(tǒng)可以截獲有害的系統(tǒng)懇求。

對(duì)Library、Registry、重要文件和重要的文件夾進(jìn)行防守和愛(ài)護(hù)。

與IDS相比，IPS的優(yōu)勢(shì)

同時(shí)具備檢測(cè)和防備功能IPS不僅能檢測(cè)攻擊還能阻擋攻擊，做到檢測(cè)和防

備兼顧，而且是在入口處就開(kāi)頭檢測(cè)，而不是等到進(jìn)入內(nèi)部網(wǎng)絡(luò)后再檢測(cè)，這

樣，檢測(cè)效率和內(nèi)網(wǎng)的平安性都大大提高。

可檢測(cè)到IDS檢測(cè)不到的攻擊行為IPS是在應(yīng)用層的內(nèi)容檢測(cè)基礎(chǔ)上加上主

動(dòng)響應(yīng)和過(guò)濾功能，彌補(bǔ)了傳統(tǒng)的防火墻+IDS方案不能完成更多內(nèi)容檢查的不

足，填補(bǔ)了網(wǎng)絡(luò)平安產(chǎn)品基于內(nèi)容的平安檢查的空白IPS是一種失效既阻斷機(jī)制

當(dāng)IPS被攻擊失效后，它會(huì)阻斷網(wǎng)絡(luò)連接，就像防火墻一樣，使被愛(ài)護(hù)資源與外

界隔斷。

平安運(yùn)營(yíng)中心（SOC）

什么是平安運(yùn)營(yíng)中心？

SOC,全稱是SecurityOperationsCenter,是一個(gè)以IT資產(chǎn)為基礎(chǔ)，以業(yè)務(wù)信

息系統(tǒng)為核心，以客戶體驗(yàn)為指引，從監(jiān)控、審計(jì)、風(fēng)險(xiǎn)和運(yùn)維四個(gè)維度建立

起來(lái)的一套可度量的統(tǒng)一業(yè)務(wù)支撐平臺(tái)，使得各種用戶能夠?qū)I(yè)務(wù)信息系統(tǒng)進(jìn)

行可用性與性能的監(jiān)控、配置與大事的分析審計(jì)預(yù)警、風(fēng)險(xiǎn)與態(tài)勢(shì)的度量與評(píng)

估、平安運(yùn)維流程的標(biāo)準(zhǔn)化、例行化和常態(tài)化，最終實(shí)現(xiàn)業(yè)務(wù)信息系統(tǒng)的持續(xù)

平安運(yùn)營(yíng)。

本質(zhì)上，SOC不是一款單純的產(chǎn)品，而是一個(gè)簡(jiǎn)單的系統(tǒng)，他既有產(chǎn)品，

又有服務(wù)，還有運(yùn)維（運(yùn)營(yíng)），SOC是技術(shù)、流程和人的有機(jī)結(jié)合。SOC產(chǎn)品是

SOC系統(tǒng)的技術(shù)支撐平臺(tái)，這是SOC產(chǎn)品的價(jià)值所在。

為什么會(huì)消失SOC?

過(guò)去我們都讓平安專(zhuān)家來(lái)管理各種類(lèi)型的防火墻、IDS和諸如此類(lèi)的平安措

施，這主要是由于平安問(wèn)題一般都發(fā)生在網(wǎng)絡(luò)中特別具體的某個(gè)地點(diǎn)。但是，

現(xiàn)在的狀況已經(jīng)變化，平安問(wèn)題己經(jīng)不再像當(dāng)年那么簡(jiǎn)潔。平安是一個(gè)動(dòng)態(tài)的

過(guò)程，由于敵方攻擊手段在變，攻擊方法在變，漏洞不斷消失；我方業(yè)務(wù)在

變，軟件在變，人員在變，妄圖通過(guò)一個(gè)系統(tǒng)、一個(gè)方案解決全部的問(wèn)題是不

現(xiàn)實(shí)的，也是不行能的，平安需要不斷地運(yùn)營(yíng)、持續(xù)地優(yōu)化。平安措施應(yīng)被實(shí)

施在應(yīng)用層、網(wǎng)絡(luò)層和存儲(chǔ)層上。它已經(jīng)成為您的端對(duì)端應(yīng)用服務(wù)中的一部

分，與網(wǎng)絡(luò)性能的地位特別接近。

平安管理平臺(tái)在將來(lái)平安建設(shè)中的地位尤其重要，它能夠站在管理者的角

度去‘俯瞰'整個(gè)平安體系建設(shè)，對(duì)其中每一層產(chǎn)品都可以進(jìn)行全面、集中、統(tǒng)一

的監(jiān)測(cè)、調(diào)度和指揮掌握。可以說(shuō)，將來(lái)的態(tài)勢(shì)感知的根基就是平安管理平

臺(tái)。

主要功能（以venustech公司的soc產(chǎn)品為例）

面對(duì)業(yè)務(wù)的統(tǒng)一平安管理

系統(tǒng)內(nèi)置業(yè)務(wù)建模工具，用戶可以構(gòu)建業(yè)務(wù)拓?fù)?，反映業(yè)務(wù)支撐系統(tǒng)的資

產(chǎn)構(gòu)成，并自動(dòng)構(gòu)建業(yè)務(wù)健康指標(biāo)體系，從業(yè)務(wù)的性能與可用性、業(yè)務(wù)的脆弱

性和業(yè)務(wù)的威逼三個(gè)維度計(jì)算業(yè)務(wù)的健康度，幫助用戶從業(yè)務(wù)的角度去分析業(yè)

務(wù)可用性、業(yè)務(wù)平安大事和業(yè)務(wù)告警。

全面的日志采集

可以通過(guò)多種方式來(lái)收集設(shè)施和業(yè)務(wù)系統(tǒng)的日志，例如Syslog.

SNMPTrap>FTP>OPSECLEA>NETBIOS、ODBC、WMLShell腳本、WebService

等等。

智能化平安大事關(guān)聯(lián)分析

借助先進(jìn)的智能大事關(guān)聯(lián)分析引擎，系統(tǒng)能夠?qū)崟r(shí)不間斷地對(duì)全部范式化

后的日志流進(jìn)行平安大事關(guān)聯(lián)分析。系統(tǒng)為平安分析師供應(yīng)了三種大事關(guān)聯(lián)分

析技術(shù)，分別是：基于規(guī)章的關(guān)聯(lián)分析、基于情境的關(guān)聯(lián)分析和基于行為的關(guān)

聯(lián)分析，并供應(yīng)了豐富的可視化平安大事分析視圖，充分提升分析效率，結(jié)合

威逼情報(bào)，更好的關(guān)心平安分析師發(fā)覺(jué)平安問(wèn)題。

全面的脆弱性管理

系統(tǒng)實(shí)現(xiàn)與天鏡漏掃、網(wǎng)御漏掃和綠盟漏掃系統(tǒng)的實(shí)時(shí)高效聯(lián)動(dòng)，內(nèi)置平

安配置核查功能，從技術(shù)和管理兩個(gè)維度進(jìn)行全面的資產(chǎn)和業(yè)務(wù)脆弱性管控。

主動(dòng)化的預(yù)警管理

用戶可以通過(guò)預(yù)警管理功能發(fā)布內(nèi)部及外部的早期預(yù)警信息，并與網(wǎng)絡(luò)中

的IP資產(chǎn)進(jìn)行關(guān)聯(lián)，分析出可能受影響的資產(chǎn)，提前讓用戶了解業(yè)務(wù)系統(tǒng)可能

患病的攻擊和潛在的平安隱患。系統(tǒng)支持內(nèi)部預(yù)警和外部預(yù)警；預(yù)警類(lèi)型包括

平安通告、攻擊預(yù)警、漏洞預(yù)警和病毒預(yù)警等；預(yù)警信息包括預(yù)備預(yù)警、正式

預(yù)警和歸檔預(yù)警三個(gè)狀態(tài)。

主動(dòng)化的網(wǎng)絡(luò)威逼情報(bào)采用

系統(tǒng)供應(yīng)主動(dòng)化的威逼情報(bào)采集，通過(guò)采集實(shí)時(shí)威逼情報(bào)，結(jié)合規(guī)章關(guān)聯(lián)

和觀看列表等分析方式，使平安管理人員準(zhǔn)時(shí)發(fā)覺(jué)來(lái)自己發(fā)覺(jué)的外部攻擊源的

威逼。

基于風(fēng)險(xiǎn)矩陣的量化平安風(fēng)險(xiǎn)評(píng)估

系統(tǒng)參照GB/T20984-2007信息平安風(fēng)險(xiǎn)評(píng)估法律規(guī)范、ISO27005:2022信

息平安風(fēng)險(xiǎn)管理，以及OWASP威逼建模項(xiàng)目中風(fēng)險(xiǎn)計(jì)算模型的要求，設(shè)計(jì)了一

套有用化的風(fēng)險(xiǎn)計(jì)算模型，實(shí)現(xiàn)了量化的平安風(fēng)險(xiǎn)估算和評(píng)估。

指標(biāo)化宏觀態(tài)勢(shì)感知

針對(duì)系統(tǒng)收集到的海量平安大事，系統(tǒng)借助地址焙分析、熱點(diǎn)分析、威逼

態(tài)勢(shì)分析、KPI分析等數(shù)據(jù)挖掘技術(shù)，關(guān)心管理員從宏觀層面把握整體平安態(tài)

勢(shì)，對(duì)重大威逼進(jìn)行識(shí)別、定位、猜測(cè)和跟蹤。

多樣的平安響應(yīng)管理

系統(tǒng)具備完善的響應(yīng)管理功能，能夠依據(jù)用戶設(shè)定的各種觸發(fā)條件，通過(guò)

多種方式（例如郵件、短信、聲音、SNMPTrap、即時(shí)消息、工單等）通知用

戶，并觸發(fā)響應(yīng)處理流程，直至跟蹤到問(wèn)題處理完畢，從而實(shí)現(xiàn)平安大事的閉

環(huán)管理。

豐富敏捷的報(bào)表報(bào)告

出具報(bào)表報(bào)告是平安管理平臺(tái)的重要用途，系統(tǒng)內(nèi)置了豐富的報(bào)表模板，

包括統(tǒng)計(jì)報(bào)表、明細(xì)報(bào)表、綜合審計(jì)報(bào)告，審計(jì)人員可以依據(jù)需要生成不同的

報(bào)表。系統(tǒng)內(nèi)置報(bào)表生成調(diào)度器，可以定時(shí)自動(dòng)生成口報(bào)、周報(bào)、月報(bào)、季

報(bào)、年報(bào)，并支持以郵件等方式自動(dòng)投遞，支持以PDF、Excel、Word等格式導(dǎo)

出，支持打印。

系統(tǒng)還內(nèi)置一套報(bào)表編輯器，用戶可以自行設(shè)計(jì)報(bào)表，包括報(bào)表的頁(yè)面版

式、統(tǒng)計(jì)內(nèi)容、顯示風(fēng)格等流平安分析

除了采集各類(lèi)平安大事，系統(tǒng)還能夠采集形如NetFlow的流量數(shù)據(jù)并進(jìn)行

可視化展現(xiàn)。針對(duì)采集來(lái)的NetFlow流量數(shù)據(jù)的分析，系統(tǒng)能夠建立網(wǎng)絡(luò)流量

模型，通過(guò)泰合特有的基于流量基線的分析算法，發(fā)覺(jué)網(wǎng)絡(luò)特別行為。

學(xué)問(wèn)管理

系統(tǒng)具有國(guó)內(nèi)完善的平安管理學(xué)問(wèn)庫(kù)系統(tǒng)，內(nèi)容涵蓋平安大事庫(kù)、平安策

略庫(kù)、平安公告庫(kù)、預(yù)警信息庫(kù)、漏洞庫(kù)、關(guān)聯(lián)規(guī)章庫(kù)、處理預(yù)案庫(kù)、案例

庫(kù)、報(bào)表庫(kù)等，并供應(yīng)定期或者不定期的學(xué)問(wèn)庫(kù)升級(jí)服務(wù)。

用戶管理

系統(tǒng)采納三權(quán)分立的管理體制，默認(rèn)設(shè)置了用戶管理員、系統(tǒng)管理員、審

計(jì)管理員分別管理。系統(tǒng)用戶管理采納基于角色的訪問(wèn)掌握策略，即依據(jù)對(duì)系

統(tǒng)中角色行為來(lái)限制對(duì)資源的訪問(wèn)。

自身系統(tǒng)管理

實(shí)現(xiàn)了系統(tǒng)自身平安及維護(hù)管理。主要包括組織管理、系統(tǒng)數(shù)據(jù)庫(kù)及功能

組件運(yùn)行狀態(tài)監(jiān)控、日志維護(hù)及其他一些與系統(tǒng)本身相關(guān)的運(yùn)行維護(hù)的管理和

配置功能。

一體化的平安管控界面

系統(tǒng)供應(yīng)了強(qiáng)大的一體化平安管控功能界面，為不同層級(jí)的用戶供應(yīng)了多

視角、多層次的管理視圖。

信息平安和大事管理(SIEM)

SIEM,信息平安和大事管理，全稱是securityinformationandevent

management,由SEM和SIM兩部分構(gòu)成。

什么是SIEM?

SIEM軟件能給企業(yè)平安人員供應(yīng)其IT環(huán)境中所發(fā)生活動(dòng)的洞見(jiàn)和軌跡紀(jì)

錄。

SIEM技術(shù)最早是從日志管理進(jìn)展起來(lái)的。它將平安大事管理(SEM)——實(shí)時(shí)

分析日志和大事數(shù)據(jù)以供應(yīng)威逼監(jiān)視、大事關(guān)聯(lián)和大事響應(yīng)，與平安信息管理

(SIM)一一收集、分析并報(bào)告日志數(shù)據(jù)，結(jié)合了起來(lái)。

SIEM的運(yùn)作機(jī)制是什么？

SIEM軟件收集并聚合公司全部技術(shù)基礎(chǔ)設(shè)施所產(chǎn)生的日志數(shù)據(jù)，數(shù)據(jù)來(lái)源

從主機(jī)系統(tǒng)及應(yīng)用，到防火墻及殺軟過(guò)濾器之類(lèi)網(wǎng)絡(luò)和平安設(shè)施都有。

收集到數(shù)據(jù)后，SIEM軟件就開(kāi)頭識(shí)別并分類(lèi)大事，對(duì)大事進(jìn)行分析。

該軟件的主要目標(biāo)有兩個(gè)：

產(chǎn)出平安相關(guān)大事的報(bào)告，比如勝利/失敗的登錄、惡意軟件活動(dòng)和其他可

能的惡意活動(dòng)。

假如分析表明某活動(dòng)違反了預(yù)定義的規(guī)章集，有潛在的平安問(wèn)題，就發(fā)出

警報(bào)。

除了傳統(tǒng)的日志數(shù)據(jù)，許多SIEM技術(shù)還引入了威逼情報(bào)饋送，更有多種

SIEM產(chǎn)品具備平安分析力量，不僅監(jiān)視網(wǎng)絡(luò)行為，還監(jiān)測(cè)用戶行為，可針對(duì)某

動(dòng)作是否惡意活動(dòng)給出更多情報(bào)。

如今，大型企業(yè)通常都將SIEM視為支撐平安運(yùn)營(yíng)中心(SOC)的基礎(chǔ)。

如何最大化SIEM的價(jià)值？

首先，SIEM技術(shù)是資源密集型工具，需要閱歷豐富的人員來(lái)實(shí)現(xiàn)、維護(hù)和

調(diào)整一一這種員工不是全部企業(yè)都能完全投入的。(團(tuán)隊(duì))

想要最大化SIEM軟件產(chǎn)出，就需要擁有高品質(zhì)的數(shù)據(jù)。數(shù)據(jù)源越大，該工

具產(chǎn)出越好，越能識(shí)別出特別值。(數(shù)據(jù))

軟件的局限

在檢測(cè)可接受活動(dòng)和合法潛在威逼上，SIEM并非完全精確，正是這種

差異，導(dǎo)致了許多SIEM部署中消失了大量誤報(bào)。該狀況需要企業(yè)內(nèi)有強(qiáng)力監(jiān)管

和有效規(guī)程，避開(kāi)平安團(tuán)隊(duì)被警報(bào)過(guò)載拖垮。

漏洞掃描器(VulnerabilityScanner)

漏洞掃描是檢查計(jì)算機(jī)或網(wǎng)絡(luò)上可能采用的漏洞點(diǎn)，以識(shí)別平安漏洞。

什么是漏洞掃描器？

漏洞掃描器是一類(lèi)自動(dòng)檢測(cè)本地或遠(yuǎn)程主機(jī)平安弱點(diǎn)的程序，它能夠快速

的精確的發(fā)覺(jué)掃描目標(biāo)存在的漏洞并供應(yīng)應(yīng)使用者掃描結(jié)果。

漏洞掃描器的工作原理

工作原理是掃描器向目標(biāo)計(jì)算機(jī)發(fā)送數(shù)據(jù)包，然后依據(jù)對(duì)方反饋的信息來(lái)

推斷對(duì)方的操作系統(tǒng)類(lèi)型、開(kāi)發(fā)端口、供應(yīng)的服務(wù)等敏感信息。

漏洞掃描器的作用

通過(guò)掃描器，提前探知到系統(tǒng)的漏洞，預(yù)先修復(fù)。

分類(lèi)

端口掃描器(Portscanner)

例如Nmap

網(wǎng)絡(luò)漏洞掃描器(Networkvulnerabilityscanner)

例如Nessus,Qualys,SAINT,OpenVAS,INFRASecurityScanner,Nexpose

Web應(yīng)用平安掃描器(Webapplicationsecurityscanner)

例如

Nikto,Qualys,Sucuri,High-TechBridge,BurpSuite,OWASPZAP,w3afo

數(shù)據(jù)庫(kù)平安掃描器(atabasesecurityscanner)

基于主機(jī)的漏洞掃描器(Hostbasedvulnerabilityscanner)

例如Lynis

ERP平安掃描器(ERPsecurityscanner)

單一漏洞測(cè)試(Singlevulnerabilitytests)

統(tǒng)一威逼管理(UTM)

什么是UTM?

統(tǒng)一威逼管理(UTM,UnifiedThreatManagement),顧名思義，就是在單

個(gè)硬件或軟件上，供應(yīng)多種平安功能。這跟傳統(tǒng)的平安設(shè)施不同，傳統(tǒng)的平安

設(shè)施一般只解決一種問(wèn)題。包含的功能

基礎(chǔ)功能：

網(wǎng)絡(luò)防火墻(NetworkFirewall)

入侵檢測(cè)(IntrusionDetection)

入侵預(yù)防(IntrusionPrevention)

可能會(huì)有的功能：

防病毒網(wǎng)關(guān)(GatewayAnti?Virus)

應(yīng)用層防火墻和掌握器(ApplicationLayerFirewallandcontrol)

深度包檢測(cè)(Deeppacketinspection)

Web代理和內(nèi)容過(guò)濾(WebProxy&contentfiltering)

數(shù)據(jù)丟失預(yù)防(DLP)

平安信息和大事管理(SIEM)

虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)

網(wǎng)絡(luò)沼澤(NetworkTarpit)

UTM的優(yōu)勢(shì)是什么？

UTM通過(guò)為管理員供應(yīng)統(tǒng)一管理的方式，使得平安系統(tǒng)的管理人員可以集

中管理他們的平安防備，而不需要擁有多個(gè)單一功能的設(shè)施，每個(gè)設(shè)施都需要

人去熟識(shí)、關(guān)注和支持；

一體化方法簡(jiǎn)化了安裝、配置和維護(hù)；

與多個(gè)平安系統(tǒng)相比，節(jié)約了時(shí)間、金錢(qián)和人員。

UTM的缺點(diǎn)是什么？

單點(diǎn)故障

雖然UTM供應(yīng)了一個(gè)單一設(shè)施管理的簡(jiǎn)便性，但這引入了單點(diǎn)故障，一旦

UTM設(shè)施出問(wèn)題，整個(gè)平安防備會(huì)失效。

內(nèi)部防備薄弱

由于UTM的設(shè)計(jì)原則違反了深度防備原則，雖然UTM在防備外部威逼特

別有效，但面對(duì)內(nèi)部威逼就無(wú)法發(fā)揮作用了。

抗DDOS產(chǎn)品

抗DDOS產(chǎn)品的防備方式

拒絕服務(wù)攻擊的防備方式通常為入侵檢測(cè)，流量過(guò)濾和多重驗(yàn)證，旨在堵

塞網(wǎng)絡(luò)帶寬的流量將被過(guò)濾，而正常的流量可正常通過(guò)。

擴(kuò)大帶寬

流量清洗和封IP

CDN

防火墻（Firewall）

什么是防火墻

在計(jì)算機(jī)科學(xué)領(lǐng)域中，防火墻（英文：Firewall）是一個(gè)架設(shè)在互聯(lián)網(wǎng)與企

業(yè)內(nèi)網(wǎng)之間的信息平安系統(tǒng)，依據(jù)企業(yè)預(yù)定的策略來(lái)監(jiān)控往來(lái)的傳輸。防火墻

可能是一臺(tái)專(zhuān)屬的網(wǎng)絡(luò)設(shè)施或是運(yùn)行于主機(jī)上來(lái)檢查各個(gè)網(wǎng)絡(luò)接口上的網(wǎng)絡(luò)傳

輸。它是目前最重要的一種網(wǎng)絡(luò)防護(hù)設(shè)施，從專(zhuān)業(yè)角度來(lái)說(shuō)，防火墻是位于兩

個(gè)（或多個(gè)）網(wǎng)絡(luò)間，實(shí)行網(wǎng)絡(luò)間訪問(wèn)或掌握的一組組件集合之硬件或軟件。

功能

防火墻最基本的功能就是隔離網(wǎng)絡(luò)，通過(guò)將網(wǎng)絡(luò)劃分成不同的區(qū)域（通常

狀況下稱為ZONE）,制定出不同區(qū)域之間的訪問(wèn)掌握策略來(lái)掌握不同信任程度

區(qū)域間傳送的數(shù)據(jù)流。

類(lèi)型

網(wǎng)絡(luò)層（數(shù)據(jù)包過(guò)濾型）防火墻

運(yùn)作于TCP/IP合同堆棧上。管理者會(huì)先依據(jù)企業(yè)/組織的策略預(yù)先設(shè)置好數(shù)

據(jù)包通過(guò)的規(guī)章或采納內(nèi)置規(guī)章，只允許匹配規(guī)章的數(shù)據(jù)包通過(guò)。

應(yīng)用層防火墻

應(yīng)用層防火墻是在TCP/IP堆棧的〃應(yīng)用層〃上運(yùn)作，使用掃瞄器時(shí)所產(chǎn)生的

數(shù)據(jù)流或是使用FTP時(shí)的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出

某應(yīng)用程序的全部數(shù)據(jù)包，并且封鎖其他的數(shù)據(jù)包（通常是直接將數(shù)據(jù)包丟棄）。

理論上，這一類(lèi)的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)受愛(ài)護(hù)的機(jī)器里。

代理服務(wù)

代理（Proxy）服務(wù)器（可以是一臺(tái)專(zhuān)屬的網(wǎng)絡(luò)設(shè)施，或是在一般電腦上的

一套軟件）采納應(yīng)用程序的運(yùn)作方式，回應(yīng)其所收到的數(shù)據(jù)包（例：連接要

求）來(lái)實(shí)現(xiàn)防火墻的功能，而封鎖/拋棄其他數(shù)據(jù)包。

缺點(diǎn)

正常狀況下，全部互聯(lián)網(wǎng)的數(shù)據(jù)包軟件都應(yīng)經(jīng)過(guò)防火墻的過(guò)濾，這將造成

網(wǎng)絡(luò)交通的瓶頸。例如在攻擊性數(shù)據(jù)包消失時(shí)，攻擊者會(huì)不時(shí)寄出數(shù)據(jù)包，讓

防火墻疲于過(guò)濾數(shù)據(jù)包，而使一些合法數(shù)據(jù)包軟件亦無(wú)法正常進(jìn)出防火墻。

虛擬專(zhuān)用網(wǎng)（VPN）

什么是VPN?

虛擬私人網(wǎng)絡(luò)（英語(yǔ)：VirtualPrivateNetwork,縮寫(xiě)為VPN）是一種常用于

連接中、大型企業(yè)或團(tuán)體與團(tuán)體間的私人網(wǎng)絡(luò)的通訊方法。虛擬私人網(wǎng)絡(luò)的訊

息透過(guò)公用的網(wǎng)絡(luò)架構(gòu)（例如：互聯(lián)網(wǎng)）來(lái)傳送內(nèi)部網(wǎng)的網(wǎng)絡(luò)訊息。它采用己

加密的通道合同（TunnelingProtocol）來(lái)達(dá)到保密、發(fā)送端認(rèn)證、消息精確

性等私人消息平安效果。這種技術(shù)可以用擔(dān)心全的網(wǎng)絡(luò)（例如：互聯(lián)網(wǎng)）來(lái)發(fā)

送牢靠、平安的消息。需要留意的是，加密消息與否是可以掌握的。沒(méi)有加密

的虛擬專(zhuān)用網(wǎng)消息依舊有被竊取的危急。上網(wǎng)行為管理

什么是上網(wǎng)行為管理？

上網(wǎng)行為管理，就是通過(guò)軟件或硬件，掌握用戶訪問(wèn)網(wǎng)絡(luò)的權(quán)限。功能包

括行為管理、應(yīng)用掌握、流量管控、信息管控、非法熱點(diǎn)管控、行為分析、無(wú)

線網(wǎng)絡(luò)管理等。

云主機(jī)平安

云服務(wù)商在云主機(jī)中部署自己的agent程序，做監(jiān)控、管理和平安監(jiān)測(cè)。

功能

木馬查殺

對(duì)各類(lèi)惡意文件進(jìn)行檢測(cè)，包括各類(lèi)WebShell后門(mén)和二進(jìn)制木馬，對(duì)檢測(cè)

出來(lái)的惡意文件進(jìn)行訪問(wèn)掌握和隔離操作，防止惡意文件的再次采用。

密碼破解攔截

對(duì)密碼惡意破解類(lèi)行為進(jìn)行檢測(cè)和攔截，共享全網(wǎng)惡意IP庫(kù)，自動(dòng)化實(shí)施

攔截策略。

登錄行為審計(jì)

依據(jù)登錄流水?dāng)?shù)據(jù)，識(shí)別常用的登錄區(qū)域，對(duì)可疑的登錄行為供應(yīng)實(shí)時(shí)告

警通知。

漏洞管理

對(duì)主機(jī)上存在的高危漏洞風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)預(yù)警和供應(yīng)修復(fù)方案，包括系統(tǒng)漏

洞、web類(lèi)漏洞，關(guān)心企業(yè)快速應(yīng)對(duì)漏洞風(fēng)險(xiǎn)。

資產(chǎn)管理

支持對(duì)機(jī)器進(jìn)行分組標(biāo)簽管理，基于組件識(shí)別技術(shù)，快速把握服務(wù)器中軟

件、進(jìn)程、端口的分布狀況。

數(shù)據(jù)庫(kù)審計(jì)(DBAudit)

數(shù)據(jù)庫(kù)審計(jì)服務(wù)，是為了保證單位或者個(gè)人核心數(shù)據(jù)的平安，可針對(duì)數(shù)據(jù)

庫(kù)SQL注入、風(fēng)險(xiǎn)操作等數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)操作行為進(jìn)行紀(jì)錄與告警。

功能

用戶行為發(fā)覺(jué)審計(jì)

關(guān)聯(lián)應(yīng)用層和數(shù)據(jù)庫(kù)層的訪問(wèn)操作

可溯源到應(yīng)用者的身份和行為

多維度線索分析

風(fēng)險(xiǎn)和危害線索：高中低的風(fēng)險(xiǎn)等級(jí)、SQL注入、黑名單語(yǔ)句、違反授權(quán)策

略的SQL行為會(huì)話線索：依據(jù)時(shí)間、用戶、IP、應(yīng)用程序、和客戶端多角度分

具體語(yǔ)句線索：供應(yīng)用戶、IP、客戶端工具、訪問(wèn)時(shí)間、操作對(duì)象、SQL操

作類(lèi)型、勝利與否、訪問(wèn)時(shí)長(zhǎng)、影響行數(shù)等多種檢索條件

特別操作、SQL注入、黑白名單實(shí)時(shí)告警

特別操作風(fēng)險(xiǎn)：通過(guò)IP、月戶、數(shù)據(jù)庫(kù)客戶端工具、時(shí)間、敏感對(duì)象、返

回行數(shù)、系統(tǒng)對(duì)象、高危操作等多種元素細(xì)粒度定義要求監(jiān)控的風(fēng)險(xiǎn)訪問(wèn)行為

SQL注入：系統(tǒng)供應(yīng)了系統(tǒng)性的SQL注入庫(kù)，以及基于正則表達(dá)式或語(yǔ)法

抽象的SQL注入描述，發(fā)覺(jué)特別馬上告警

黑白名單：供應(yīng)精確而抽象的方式，對(duì)系統(tǒng)中的特定訪問(wèn)SQL語(yǔ)句進(jìn)

行描述，使這些SQL語(yǔ)句消失時(shí)能夠快速報(bào)警

針對(duì)各種特別行為的精細(xì)化報(bào)表

會(huì)話行為：登錄失敗報(bào)表、會(huì)話分析報(bào)表

SQL行為：新型SQL報(bào)表、SQL語(yǔ)句執(zhí)行歷史報(bào)表、失敗SQL報(bào)表

風(fēng)險(xiǎn)行為：告警報(bào)表、通知報(bào)表、SQL注入報(bào)表、批量數(shù)據(jù)訪問(wèn)行為報(bào)表

政策性報(bào)表：塞班斯報(bào)表

堡壘機(jī)（運(yùn)維審計(jì)與管控系統(tǒng)）

為什么需要堡壘機(jī)

當(dāng)今的時(shí)代是一個(gè)信息化社會(huì)，信息系統(tǒng)已成為各企事業(yè)單位業(yè)務(wù)運(yùn)營(yíng)的

基砒由于信息系統(tǒng)運(yùn)維人員把握著信息系統(tǒng)的最高權(quán)限，一旦運(yùn)維操作消失平

安問(wèn)題將會(huì)給企業(yè)或單位帶來(lái)巨大的損失。因此，加強(qiáng)對(duì)運(yùn)維人員操作行為的監(jiān)

管與審計(jì)是信息平安進(jìn)展的必定趨勢(shì)。在此背景之下，針對(duì)運(yùn)維操作管理與審計(jì)

的堡壘機(jī)應(yīng)運(yùn)而生。堡壘機(jī)供應(yīng)了一套多維度的運(yùn)維操作控管控與審計(jì)解決方

案，使得管理人員可以全面對(duì)各種資源（如網(wǎng)絡(luò)設(shè)施、服務(wù)器、平安設(shè)施和數(shù)據(jù)

庫(kù)等）進(jìn)行集中賬號(hào)管理、細(xì)粒度的權(quán)限管理和訪問(wèn)審計(jì)，關(guān)心企業(yè)提升內(nèi)部風(fēng)

險(xiǎn)掌握水平。

分類(lèi)

網(wǎng)關(guān)型堡壘機(jī)

網(wǎng)關(guān)型的堡壘機(jī)被部署在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，其本身不直接向外部

供應(yīng)服務(wù)而是作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，用于供應(yīng)對(duì)內(nèi)部網(wǎng)絡(luò)特定資源

的平安訪問(wèn)掌握。這類(lèi)堡壘機(jī)不供應(yīng)路由功能，將內(nèi)外網(wǎng)從網(wǎng)絡(luò)層隔離開(kāi)來(lái)，

因此除非授權(quán)訪問(wèn)外還可以過(guò)濾掉一些針對(duì)內(nèi)網(wǎng)的來(lái)自應(yīng)用層以下的攻擊，為

內(nèi)部網(wǎng)絡(luò)資源供應(yīng)了一道平安屏障。但由于此類(lèi)堡壘機(jī)需要處理應(yīng)用層的數(shù)據(jù)

內(nèi)容，性能消耗很大，所以隨著網(wǎng)絡(luò)進(jìn)出口處流量越來(lái)越大，部署在網(wǎng)關(guān)位置

的堡壘機(jī)漸漸成為了性能瓶頸，因此網(wǎng)關(guān)型的堡壘機(jī)漸漸被日趨成熟的防火

墻、UTM、IPS、網(wǎng)閘等平安產(chǎn)品所取代。

運(yùn)維審計(jì)型堡壘機(jī)

其次種類(lèi)型的堡壘機(jī)是審計(jì)型堡壘機(jī)，有時(shí)也被稱作“內(nèi)控堡壘機(jī)〃，這種

類(lèi)型的堡壘機(jī)也是當(dāng)前應(yīng)用最為普遍的一種。

運(yùn)維審計(jì)型堡壘機(jī)的原理與網(wǎng)關(guān)型堡壘機(jī)類(lèi)似，但其部署位置與應(yīng)用場(chǎng)景

不同且更為簡(jiǎn)單。運(yùn)維審計(jì)型堡壘機(jī)被部署在內(nèi)網(wǎng)中的服務(wù)器和網(wǎng)絡(luò)設(shè)施等核

心資源的前面，對(duì)運(yùn)維人員的操作權(quán)限進(jìn)行掌握和操作行為審計(jì);運(yùn)維審計(jì)型堡

壘機(jī)即解決了運(yùn)維人員權(quán)限難以掌握混亂局面，又可對(duì)違規(guī)操作行為進(jìn)行掌握

和審計(jì)，而且由于運(yùn)維操作本身不會(huì)產(chǎn)生大規(guī)模的流量，堡壘機(jī)不會(huì)成為性能

的瓶頸，所以堡壘機(jī)作為運(yùn)維操作審計(jì)的手段得到了快速進(jìn)展。

最早將堡壘機(jī)用于運(yùn)維操作審計(jì)的是金融、運(yùn)營(yíng)商等高端行業(yè)的用戶，由

于這些用戶的信息化水平相對(duì)較高進(jìn)展也比較快，隨著信息系統(tǒng)平安建設(shè)進(jìn)展

其對(duì)運(yùn)維操作審計(jì)的需求表現(xiàn)也更為突出，而且這些用戶更簡(jiǎn)潔受到“信息系統(tǒng)

等級(jí)愛(ài)護(hù)〃、〃薩班斯法案〃等法規(guī)政策的約束，因此基于堡壘機(jī)作為運(yùn)維操作審

計(jì)手段的上述特點(diǎn)，這些高端行業(yè)用戶領(lǐng)先將堡壘機(jī)應(yīng)用于運(yùn)維操作審計(jì)。

堡壘機(jī)運(yùn)維操作審計(jì)的工作原理

作為運(yùn)維操作審計(jì)手段的堡壘機(jī)的核心功能是用于實(shí)現(xiàn)對(duì)運(yùn)維操作人員的

權(quán)限掌握與操作行為審計(jì)。

主要技術(shù)思路

如何實(shí)現(xiàn)對(duì)運(yùn)維人員的權(quán)限掌握與審計(jì)呢？堡壘機(jī)必需能夠截獲運(yùn)維人員

的操作，并能夠分析出其操作的內(nèi)容。堡壘機(jī)的部署方式，確保它能夠截獲運(yùn)

維人員的全部操作行為，分析出其中的操作內(nèi)容以實(shí)現(xiàn)權(quán)限掌握和行為審計(jì)的

目的，同時(shí)堡壘機(jī)還采納了應(yīng)月代理的技術(shù)。運(yùn)維審計(jì)型堡壘機(jī)對(duì)于運(yùn)維操作

人員相當(dāng)于一臺(tái)代理服務(wù)器(P