1、上海东方CJ内控管理、内网监控及数据库审计平台技术解决方案 上海络安信息技术有限公司 2012年02月版权声明上海络安信息技术有限公司是一家提供全面网络安全解决方案的咨询与服务为主的高科技企业，为中国广大的行业用户提供具有国际标准（如ISO17799、ISO15408、BS7799等）的网络安全全面解决方案及咨询服务，并向客户提供全面安全解决方案中所需的各项安全工具，及提供安全解决方案管理所需的管理决策平台、安全咨询、教育培训以及卓越的售后服务。上海络安信息技术有限公司保留此文档的所有电子、纸张类文件资料和相关软件等的所有版权。任何单位和个人未经许可不得复制、转载或用于任何商业目的，上海络安信2、息技术有限公司保留追究法律责任的权利。文档修改日志日期修改理由修改章节版本2012.02.07原始版本1.0目 录第一章项目综述91.1项目背景91.2络安简介10第二章项目需求分析22.1内控管理需求分析2维护管理困难2使用共享帐号的安全隐患2密码策略无法有效执行2用户授权不清晰3访问控制策略不严格3用户操作无法有效审计32.2内网监控需求分析3功能需求分析3项目建设目标5项目效益分析62.3数据库审计需求分析6数据库管理7技术风险7审计风险82.4平台性能需求分析82.5自身安全性需求分析9第三章WEBCARE智能网络监控软件解决方案103.1系统架构设计103.2关键功能简介12集中式监3、控平台12统一资源配置平台13统一展现平台14告警事件管理14产品功能介绍163.3基础设施监控16多种监测手段16监测器一览表183.4业务系统监控19面向业务可用性的监测193.5统一事件平台20故障管理20故障信息的采集20统一的事件处理平台21事件的自动通知21规范的告警处理机制213.6统一运行展现22IP拓扑视图22设备视图23业务视图23自定义视图243.7系统安全性设计24用户权限管理24系统状态监测25系统数据管理25系统技术指标263.8网络管理功能性263.9服务器监测283.10数据库监测293.11应用服务监测303.12扩展接口313.13系统影响评估31对网络带宽4、的影响31对采用SNMP监测的主机系统32对采用Agent监测的Windows服务器32对采用Agent监测的UNIX服务器323.14定制和客户化方案33二次开发必要性33二次开发能力和优势33第四章LANSECS内控堡垒主机解决方案354.1方案目标354.2方案内容35设备集中管理36解决共享账户隐患36密码策略有效执行36解决客户授权不清晰37访问控制策略严格执行38操作审计可追踪394.3产品设计概要说明40整体设计40工作流程40产品功能介绍404.4系统架构404.5功能描述41统一资源管理424.6用户管理43用户生命周期管理43主账号管理44账号管理45用户角色管理45账号同5、步45账号策略管理46资源管理47密码策略474.7授权管理48集中授权48授权审批49资源授权49角色授权49细粒度授权50集中访问控制51单点登陆52B/S单点登录53C/S单点登录53动态短信口令544.8审计管理55内部的审计55审计范围55审计内容56审计查询56审计报表56还原审计57智能告警574.9集中管理平台58子系统管理58账号管理58用户自管理59单点登录59权限管理59数据查询59访问审计59系统自管理59产品优势及部署624.10LanSecS堡垒主机特色624.11LanSecS产品功能优势63可定制性63可扩展性63高安全性64高可靠性64易用性644.12Lan6、SecS内控堡垒主机典型部署65单区域堡垒机部署65多区域堡垒机部署66第五章IMPERVA数据库安全审计解决方案675.1Imperva公司数据库安全解决方案67SecureSphere Database Activity Monitoring Gateway67SecureSphere Database Firewall Gateway67SecureSphere Discovery and Assessment Server67SecureSphere MX Management Server68Imperva Application Defence Centre (ADC)68Secu7、reSphere优势（专利）技术695.2技术实现69SecureSphere 专用硬件平台69数据库代理（Agent）71集中管理架构725.3部署方案72嗅探部署方案72桥接部署方案73代理部署方案745.4工作原理图755.5SecureSphere逻辑架构层次76用户界面层User Interface Layer76管理和报告层Management & Reporting Layer76分析层Analysis Layer77存储层Storage Layer77收集层Collection Layer77数据库访问层DB Access Layer775.6数据捕获775.7SecureSp8、here多层安全检查机制78数据库 IPS79集成防火墙功能80动态建模80数据库协议验证805.8Imperva数据库安全方案的优势81第一章 项目综述1.1 项目背景随着信息技术的不断发展和信息化建设的不断进步，办公系统、商务平台的不断推出和投入运行，信息系统在金融行业内部的运营中全面渗透。而目前大部分企业系统管理员人数较少，不仅管理和维护费时费力，而且帐号或密码外泄、违规访问和操作、人为误操作等安全事件时有发生，也无法对安全事件进行有效的责任定位，这些都会对部门或者企业声誉造成重大影响，并严重影响其经济运行效能。如何提高系统运维管理水平，满足国家或企业内部相关标准要求，防止内部或外部的违9、规行为，降低运维成本，提供控制和审计依据，越来越成为企业关心的问题。通过自动化的技术手段分别从物理层、网络层、应用层三个方面对公司内网的核心服务器群、网络及应用系统进行724小时全天候监测预警，通过持续对各项资源运行状况的监控，建立性能基线，发现系统中的异常并且及时告警，以便快速作出应对措施，有力提高应用服务保障水平。数据库的应用已经十分广泛，深入到各个领域，但随之而来也产生了很多数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰、成败。因此，10、如何保证数据库自身的安全，已成为现代数据库系统的主要评测指标之一。上海东方希杰商务有限公司是做电子商务业务的，电子商务、电子贸易的着眼点集中于WEB服务器、Java和其它新技术的同时，应该记住这些以用户为导向和企业对企业的系统都是以Web服务器后的关系数据库为基础的。它们的安全直接关系到系统的有效性、数据和交易的完整性、保密性。系统拖延效率欠佳，不仅影响商业活动，还会影响公司的信誉。不可避免地，这些系统受到入侵的可能性更大，但是并未对商业伙伴和客户敏感信息的保密性加以更有效的防范。此外，ERP和管理系统，如ASPR/3和PeopleSoft等，都是建立在相同标准的数据库系统中。无人管理的安全漏11、洞与时间拖延、系统完整性问题和客户信任等有直接的关系。所以，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一。1.2 络安简介上海络安的一站式运维服务立足于ITIL/ISO27001国际管理标准，集网络安全技术、产品和资深工程师为一体，向客户、合作伙伴提供增值、全面、完整的安全托管服务。服务范围包括全面的整体安全策略制定、定期、性能监控、流量监控、数据备份与复原、系统加固、白客攻击测试，安全配置、紧急响应、7*24*365 安全监控服务等。依托于上海络安为IDC托管用户提供的高质代维服务，企业可专注于网站主要业务的运营。上海络安致力于为企12、事业单位提供长远的、有效的信息服务解决方案，按需求提供一站式网络运维服务，不断降低企业运营风险水平和长期运营成本。 上海络安是以提供全面IT咨询与网络运维服务为主的高科技企业。 具有自主知识产权的安全监控软件，为各行业用户提供具有国际标准的网络安全全面解决方案及咨询服务。 拥有强大的后端技术支持平台，严格的服务流程专业的工程队伍、完善的监控体系。本公司优势： 具完整咨询、设计、实施经验的服务能力 BCP（业务持续性计划）和DRP（灾难恢复计划）咨询服务能力 量身订作的业务持续性计划咨询及实施计划 企业容灾系统的架构设计 客户应用系统数据移植、数据优化和数据管理 大型容灾项目的实施经验 跨平台的13、系统集成能力 高素质的运维外包项目管理经验 上海络安金桥IDC机房，提供专业IDC服务服务资质： 2008年公司获得高新技术企业和双软件企业的证书； 2009年获得工信部（工信部协200942号）互联网安全接入试点工作的上海市试点工作任务承担单位； 2009年获得上海世博会信息安全保障应急响应支撑单位； 2010年获得工信部颁发的计算机信息系统集成资质 2010年荣获上海世博会信息安全保障工作优秀集体（唯一一家企业单位） 2010年公司荣获上海市创新型企业称号 2010年公司获得工信部颁发的信息安全应急处理服务资质 2010年公司获得中国信息安全测评中心颁发的信息安全服务 第二章 项目需求分析14、2.1 内控管理需求分析上海东方希杰商务有限公司是一家电子商务公司，使用在线网上银行交易系统，所以对数据库的安全性较高。企业数据中心拥有数量众多的Unix/Linux/Windows主机、网络设备、数据库服务器及必要的安全设备，用来支撑和保障电子商务、数据库应用、ERP和协同工作群件等的稳定、安全运行。信息安全管理部门在对以上各种设备进行维护和管理的过程中，面临着如下问题：2.1.1 维护管理困难大量设备和系统的维护管理常常使得系统管理人员忙碌不堪，不同的IP地址登录、繁杂的帐号和密码记忆等，经常导致维护管理混乱、不到位和误操作等问题出现；出现问题后，也无法及时发现和处理，维护管理效率低下。因15、此，需要借助技术平台对设备和系统进行维护管理，以提高管理效能，缓解系统管理人员压力。2.1.2 使用共享帐号的安全隐患企业的支撑系统中的大量网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。各系统都有一套独立的帐号体系，用户为了方便登录，经常出现多人共用帐号的情况。多人共用一个帐号在带来方便的同时，也导致了用户身份唯一性无法确定。发生问题后，无法准确定位恶意操作或误操作的责任人；如果其中有人离职或者将帐号信息外泄给其他无关人员，会使这个帐号的安全性无法保证。此外，如果更改密码，则需要通知所有需要使用此帐号的人员，使密码的管理工作复杂化。2.1.3 密码策略无法有效执行为了保证密16、码的安全性，安全管理员制定了严格的密码策略，如密码要定期修改，密码要保证足够的长度和复杂度等，但是由于管理的机器数量和帐号数量太多，往往导致密码策略的实施流于形式。2.1.4 用户授权不清晰设备多维护人员少是目前大部分企业面临的一个共同问题，一个维护人员可能会同时维护管理多台设备，也就会同时兼任各种系统角色，这就造成了用户权限分配的混乱性和不合理性，不合理和不清晰的用户授权使得系统的安全性无法得到充分保证。2.1.5 访问控制策略不严格目前，在网络管理中没有一个清晰的访问控制列表，无法一目了然看到哪个用户能够以何种身份访问哪些关键设备，同时缺少有效的技术手段来保证访问控制策略被有效执行。2.117、.6 用户操作无法有效审计各系统独立运行、维护和管理，所以各系统的审计信息也是相互独立的。每个网络设备，每个主机系统分别进行审计，安全事故发生后需要排查各设备、系统的日志，费时费力；即使审计日志找到了，也很难定位到行为人。另外，各系统的日志记录能力各不相同，日记记录功能也都存在着一定的缺陷。例如对于Unix系统来说，日志记录功能就存在以下问题：u Unix 系统中，用户在服务器上的操作有一个历史命令记录的文件，但是用户可以随意更改和删除自己的记录；u root 用户不仅仅可以修改自己的历史记录，还可以修改他人的历史记录，系统本身的历史记录文件已经变的不可信；u 记录的命令数量有限制；u 无法记18、录操作人员、操作时间、操作结果等详细内容；2.2 内网监控需求分析2.2.1 功能需求分析上海东方希杰商务有限公司内网监测预警平台是针对主机、网络、应用、数据库的运行性能及安全状态进行监测的应用系统，必须满足如下要求：1、集中运行管理信息系统管理人员面对的往往是异构的管理对象和多种管理需求，如果没有一套统一、集成的管理系统，需要花费很长时间和精力学习管理技能，导致管理效率无法有效的提升，因此需具备统一监测、集中管理功能：（1） 解放人力，依靠智能化技术化的管理手段，降低故障发生率，降低维护成本，并同时提高维护效率。（2） IT资源监测结果综合展现，消除各个监控工具之间各自为政、系统管理员在各个19、界面间频繁切换的情况，并通过统一的展现界面进行展现。（3） 统一的告警平台，建立性能基线，发现系统异常并及时告警，将所有告警纳入监测管理平台，并通过短信、邮件统一告警。（4） 以业务的角度将传统的技术设备的管理整合到基于业务的管理平台上来，不仅能完成对设备监控的需求同时能满足根据业务的组成定位问题根源，定位性能瓶颈，预测业务发展趋势和稳定性。（5） 提供各种报表和视图，呈现IT资源的运行状况和运行趋势。（6） 统一的中文界面，浏览器管理方式，可以多人同时通过浏览器进行访问和操作。2、网络监测监测预警平台针对网络故障和性能瓶颈等各种问题能实现网络流量、网络质量和网络拓扑管理功能：（1） 自动、准20、确地发现网络的拓扑结构；（2） 可持续地监视、报告网络的运行情况；（3） 提供网络运行状态和性能的多角度分析与统计；（4） 对网络、安全设备告警事件进行采集和跨类型、跨厂商的分析。3、主机系统监测监测预警平台能够实现对各种服务器（Linux、AIX、Windows2003等）的监测管理，包括主机硬件、操作系统、文件系统、进程和应用等。监测的重点是对操作系统关键指标，如CPU、内存、进程、文件系统等进行全面的监控管理，要求不仅能够在状态改变或性能指标超越门限时生成告警，同时还应该提供实时和历史的性能数据展现，并能够保存历史性能数据，以形成统计分析报表。4、应用监测监测预警平台可以全面智能的监测各21、种与Web应用相关的服务，如Apache Server、MS IIS Server、FTP、DNS、News、Weblogic等。该监测基于TCP/IP协议族中的各种应用层协议（HTTP、FTP、DNS等），不需要对被监测服务进行配置。组合使用它们可以对WEB、Email、DNS、FTP、ERP、CRM、中间件等从应用可用性、系统资源占用和性能指标三个层面进行全面深入的监测管理，保证服务的可用性和性能。5、数据库监测监测预警平台能对Oracle、MS-SQL、MySQL、DB2等多种数据库从应用可用性、系统资源占用和数据库性能指标三个方面提供全面的监测管理策略，确保数据库的运行正常。数据库监测22、主要是对关键参数，例如文件存储空间、系统资源使用率、配置情况、当前的各种锁资源情况、进程状态、进程所占内存空间、缓冲区命中率、可用性等实现监测。监测预警平台可以在数据库运行服务中断时捕获问题信息，并且自动发送到告警控制台，使系统管理员能够及时采取措施，避免灾难性的事故。2.2.2 项目建设目标通过上海东方希杰商务有限公司内网监测预警平台的建设，将做到IT系统故障早发现、早解决，确保计算机系统、网络和应用的连续、可靠、安全运行，降低发生故障的可能性，提高IT系统运行管理水平和服务保障能力。实现对各业务系统、应用程序、服务器、存储设备、网络系统、网络设备以及安全系统等的监测和管理，直接提供与应用相23、关的集中监测的能力、手段和工具。具体目标如下：1、面向基础设施的管理：1）全面管理系统资源：提供对网络、主机、存储设备、安全设备、数据库、中间件及应用软件等IT资源的全面管理。2）智能化故障管理：自动收集各种管理功能产生的故障事件，完成故障事件收集和自动告警等工作，以实现对故障的快速定位、处理。3）性能管理与优化：对网络和应用等性能进行监控，定期提供性能报表和趋势表，为网络性能优化提供科学依据。2、面向维护管理者：1）运维服务管理：实现日常运维工作的自动化；2）智能总控中心：实时展现当前IT系统的运行状态及趋势，帮助管理人员快速发现问题，分析故障问题所在；3、面向决策者：综合报表：对系统运行状24、况信息进行汇总，帮助领导更全面的了解网络系统的运行状况和趋势，为领导决策提供科学依据。2.2.3 项目效益分析通过预警监测平台建设和部署，可以实现如下积极和有益的目标：建成提前预警、快速定位故障的综合监控系统，监测各种业务系统基础资源，如网络设备、数据库、服务器、中间件等，通过设定各个基础资源性能阀值，一旦触发性能阀值，就发出告警，并且以短信、声音、邮件等即时方式通知管理员，让管理员可以在众多的资源中提前定位故障源，把故障扼杀在萌芽之中，减少业务系统的故障风险。建成规范、科学、灵活、符合用户使用习惯的运维电子流程，转变过去手工无序的运维模式为主动可控有序的运维服务模式，让运维过程可以跟踪、审计25、量化，通过规范的流程服务，减少运维成本的投入，提高运维效率，提升信息部门的运维形象，增强运维工作的影响力。建成针对业务系统可用性的状态监控机制，对业务系统可用性进行实时监控，通过醒目颜色图标表示业务系统状况，起到直观整体掌控业务的状态，提高管理员运维的效率和提高业务系统无故障率，让业务系统真正无忧运行。建成通过集中的管理平台，集中展现各种视图，如网络拓扑视图、业务拓扑视图、机房视图等等，可以起到管理多系统展现目的。2.3 数据库审计需求分析上海东方希杰商务有限公司目前的业务系统中大多数关键数据均存储在数据库服务器中，这些关键的数据库系统也成为了公司信息系统和业务系统的心脏。这些数据库中储存着26、诸如银行账户、订单信息、客户信息、生产或交易明细、产品资料等极其重要和敏感的信息。针对上海东方希杰商务有限公司的现状，我们总结了以下主要风险和需求分析：2.3.1 数据库管理 内部人员误操作、违规操作、越权操作，损害业务系统安全运行内部人员的误操作、违规操作、越权操作缺少实时告警和阻拦机制，通常在事件发生后并造成严重后果后才能被发现，这时可能已经对业务系统造成严重影响。因此，我们希望能够建立一套完善的实时告警机制，能对上述情况进行实时告警。能够第一时间消除潜在风险。 多人公用一个帐号，责任难以分清目前，只能通过简单的数据库访问日志查看相关人员的操作记录。但是，因为维护人员多使用相同维护账号，很27、难区分责任。我们需要更为强大的审计工具，能够记录源地址、源应用程序、远程登录的OS主机名、OS主机账号等信息区分责任。 第三方维护人员的误操作，恶意操作和篡改第三方人员的误操作、恶意操作、篡改、数据窃取也需要有系统能够监管。目前缺乏对这些人员的监管。 超级管理员用户操作难以监管和审计超级管理员、特权用户都有着非常大的权限，目前缺少监管手段。而且，有很多数据库数据库管理员还可以访问和管理审计日志，这就明显违反了审计中权责分离的要求。 数据库权限分配问题数据库用户权限分配混乱。随着应用的不断增加和时间的推移，存在大量赋予过高权限的数据库用户和长期没有人使用的数据库账号，我们需要定期对这些数据库账号28、进行清理，严格遵照“业务必须知道”的最小原则来进行数据库账号分配。2.3.2 技术风险 数据库服务器操作系统漏洞攻击我们需要定期针对数据库服务器操作系统进行安全漏洞扫描，确认其是否存在安全漏洞，并及时修补或者通过安全系统防护。 数据库系统漏洞攻击数据库系统本身的漏洞以及不安全、不合理的配置也需要定期进行扫描，并修补。或者通过安全系统防护。 离职员工留下后门需要对用户权限进行及时管理；对异常的数据库访问进行及时分析和处理。2.3.3 审计风险 审计日志缺失或不完整目前只有部分数据库系统可以提供的审计日志，而这些审计日志非常不完整。例如，缺少源程序的记录、数据库返回信息的记录、Bind参数的记录、29、等等。而且因为在数据库系统上启用审计功能会大大影响现有数据库系统的性能，因此，大多数数据库系统并没有都启用审计功能。 不同数据库的审计目前公司内数据库系统越来越多、数据库的类型也不断增加，这为数据库系统审计的集中管理带来了相当大的挑战。因为，数据库种类不同，自身的审计功能也不同，这为审计日志的查看带来相当大的困难。同时，数据库数量的增加，又无法集中进行统一查看。因此，我们需要采用更为集中的、独立的、可以同时支持多种数据库平台、多个数据库的审计系统。 审计独立性的问题启用数据库自身的审计功能，既影响自身性能，又存在了严重的审计独立性问题。审计规范中要求数据库管理员和审计人员必须权责分离。 安全事30、件难以追查和定位目前的公司现状根本无法准确定位和最终相关数据库安全事件。需要进行技术方案的优化和改进。因此，我们建议上海东方希杰商务有限公司采用Imperva专业的数据库安全方案，可以完满的应对上述风险和场景。2.4 平台性能需求分析作为对企业内部各种服务器、网络设备和安全设备等核心资产的综合管理平台，除需要强大技术功能支撑外，系统本身也需要具有良好的性能，以保障正常、安全的对被管资源进行维护和管理。2.5 自身安全性需求分析作为内部服务器和网络设备的统一入口和集中管理平台，系统会成为非法用户攻击的重点，无论是系统的登录认证还是数据的传输，都需要进行严格的控制和保护，防止恶意用户通过各种非法手31、段进入系统或篡改数据。同时，也需要对进入系统的用户行为进行详细的审计，并对审计记录进行安全保护，防止篡改审计记录的情况发生，以保证审计数据的有效性。第三章 Webcare智能网络监控软件解决方案3.1 系统架构设计上海络安提供的Webcare智能网络监控软件解决方案，能解决已往对网络、服务器、数据库、中间件、应用系统等的分割化管理，将各类资源进行统一监控与预警，从而实现对资源的集中、统一、全面的管控，以满足规划、维护、管理、审计的多方面要求的整合，实现规范化、细颗粒、标准化、流程化的统一业务信息监控管理平台能力，提升管理效率和服务水平。上海络安的Webcare智能网络监控软件整体方案设计框架如32、下图：图1. 系统架构如上图，整个管理平台在保持技术的先进性、扩展性的基础上，采用系统化、层次化、模块化的设计理念，提供和主流管理厂商产品的对接，通过开放的接口来持续集成，同时解决方案对系统的实用性、合理性进行完善，通过合理的层次和角色来降低系统的使用难度，提高运维的效率，推动项目的生命周期管理。从整个系统层次上看，系统按照逻辑层次上划分为：基础设施与业务系统数据采集层、监控制数据代理与传输层和监控数据处理服务层，通过综合事件库将所有采集上来的各种性能数据、故障告警以及各种事件信息进行统一的分析、处理和存储。基础设施与业务系统数据采集层主要针对各类信息资源，包括基础架构的网络设备、服务器、操作33、系统、数据库、中间件、应用、文件系统以及各业务系统等基本实体。监控数据代理与传输主要完成监控数据的上传和动态指令的下发，能够将基础设施监控系统所采集到的网络、IT资源和业务系统的运行信息、故障告警信息以及其他事件信息上传至综合事件库进行统一分析、整理、归类和存储。而事件处理服务层实际完成基础设施和业务系统的数据分析、归并、处理、存储和展现功能，监控系统采集网络设备、服务器、操作系统、数据库、中间件、各种应用系统等性能、告警信息，通过各自的监控数据采集接口，通过代理与传输层上传给数据归并统计模块、通过统一性能分析和统一事件分析处理引擎、配置数据管理跟踪等功能模块，经过数据处理后，再为统一展现和处34、理提供数据支持。统一事件分析引擎是大型管理平台的处理核心，是真正体现管理价值，提供完善运行服务的基础，系统应具备接入不同的基础监测系统的事件；利用事件规则库进行事件的过滤压缩、关联分析，大大压缩告警数量，定位真正故障原因；提供事件处理的策略，完成真正告警的通知和自动化处理；并且在此基础上提供业务关联性分析。通过全面的展现和通知手段，使运行值班人员掌控各类IT系统运行状况，保障业务的稳定运行。通过集中化的各种视图，为不同角色的人员提供完整的运维监控界面。事件处理服务层具备事件接口，将从底层采集到告警数据与运维服务流程管理实现双向数据操作。从监控管理系统，可以将告警事件信息传输给IT服务管理系统中35、的管理流程，由相应管理流程进行事件处理，事件处理完成之后，可通过接口传递给监控管理系统，对相应的事件状态进行同步。上海络安根据多年管理系统的设计开发、项目实施和系统集成经验，在充分了解用户的现状，遵循了高度模块化设计、数据的采集与数据的分析分离、表示逻辑和处理逻辑分离、各个模块之间通过接口完成等最优设计原则，所采用的解决方案设计原则完全贴合用户需求。3.2 关键功能简介上海络安为本次项目提供的Webcare智能网络监控软件遵循IT综合运维平台一体化、标准化、高效性、扩展性等指导原则，采用先进的模块化建设理念来组织系统逻辑架构，使得系统间关系明确、流程清晰，功能界定准确，衔接紧密。图2. Web36、care智能网络监控软件操作界面3.2.1 集中式监控平台Webcare智能网络监控软件能够实现对IT基础设施的所有监控，包含有基础架构的网络设备、服务器、操作系统、数据库、中间件、各种应用系统的监控管理，实现所有IT基础设施的集中式监控管理等功能，做到“有故障、早发现、早解决”的建设思路。Webcare智能网络监控软件定位于对网络和业务应用实施深入而全面的监控，提供高细粒度的全方位监控方案，保障业务应用健康有序的运行。对监控对象提供基于“性能基线”的阀值告警机制，通过根据一段时间的运行参数采集，系统自动掌握信息系统在“忙时”和“闲时”的负荷情况，自动生成性能负荷基线，在超过（或低于）基线一定37、比例（如15%）为告警阀值，实现性能与故障监控的智能化，显著降低告警的误报比例，在为管理员提供了工具的同时，也提供了经验。同时，以业务应用系统为主线，对业务应用提供“人工感知式”的可用性监测，系统自动模拟人工访问被监控的应用系统，从网站用户登陆-模拟操作-结束提出，全程掌控系统的可用性、服务响应时延等信息，从业务角度、“端到端”的保证服务的可用性。通过底层监控平台，实现对IT基础设施的故障、性能、运行状态及服务可用性的监控，并提供统一的运行展现和故障告警，实现资源的集中监控。通过统一事件平台处理机制，实现对各类告警的标准化、识别、过滤和关联分析，去伪存真，快速定位故障根源，并通过指定的告警方式38、（如手机短信、邮件等）及时通知到相关人员。系统同时具备独立的告警通知平台，支持以短信猫或者短信接入平台的方式，实现以手机短信的方式故障告警发送。3.2.2 统一资源配置平台Webcare智能网络监控软件的资源库（ResourceDB）采用自动收集的手段，在提供设备实时CPU、内存、流量等性能数据的同时，还能提供设备的型号、厂商、责任人、联系方式、部门信息等等。Webcare智能网络监控软件提供编辑工具，用户通过编辑工具，即可按照需建立资源与业务的关联关系，形成直观、易懂的资源展现视图。通过自定义的漂亮动态图表，客户能够根据实际需要实时关注网络系统运行情况，为用户带来非常实用的客户体验。3.2.39、3 统一展现平台Webcare智能网络监控软件为运维管理员提供了一个集中的展现与恢复处理的平台，管理员不需要跳转到各个不同的模块中进行相关操作。在设计上采用先进的可视化展现模型编辑器，以统一的资源配置为基础，基于FLEX展现技术，显示了动态的、变化的数据和图形，提高了技术人员在WEB平台上的交互式操作能力。Webcare智能网络监控软件在展现内容上，基于先进的WEB Portal 技术，提供模块化、可定义的Portal浏览视窗，为用户提供了灵活定制的工作平台。Webcare智能网络监控软件提供访问认证的控制机制、采用灵活的角色和权限控制，保障了系统访问安全性的同时，兼顾了系统访问的便捷性。3.40、2.4 告警事件管理Webcare智能网络监控软件支持多种告警信息的采集方式，如SNMP Trap、Syslog、主机监控Agent、配置变更触发以及性能阀值告警等。系统能够自动能够自动获得整个IT环境的各种事件，包括网络设备的故障、性能的过载、流量的异常、服务器的异常性能、各类应用的故障、各类终端的变更等等。平台能够集中呈现所有的网络、系统、应用、安全等告警信息，包含告警的时间、告警源、告警类型、告警描述、当前处理情况等。可以根据告警类型分类浏览所有的告警信息以及查看详细的告警信息，包括：故障的名称、故障来源、故障的等级、故障发生的时间、故障的具体描述、故障当前的处理状态。 Webcare智41、能网络监控软件针对检测到的告警事件有一些处理过程：1、 故障定位于相关性分析Webcare智能网络监控软件提供的业务拓扑中的有向连接即直观地表现出了资源之间的影响依赖关系，沿着依赖关系链，追溯事件影响，直至发现问题根源，以提高统一事件管理平台的效率。图3. 事件的影响视图2、 告警通知、确认与清除系统提供了丰富的故障通知方法，包括：声音、EMAIL、短信等方法，如果用户已经有自身的短信平台，可采用接入短信通知平台，实现告警通知自动化系统能够根据设定的规则自动对已经恢复正常的告警事件进行标记确认，支持手工标记确认系统告警事件。对已经标记确认告警事件，系统自动将告警事件退出告警视图，将其加入历史告42、警记录中。产品功能介绍3.3 基础设施监控Webcare智能网络监控软件的监测器负责从各种设备、主机、数据库及其它可达的软硬件资源中采集状态和性能数据。Webcare智能网络监控软件丰富灵活的监测器几乎能够支持所有通用的IT架构环境。Webcare智能网络监控软件采用面向对象的开放体系，每一种监测器都是一个相对独立的小插件。这种基于以插件形式的监测器体系旨在适应复杂异构的网络环境、不断发展的网络技术、IT基础架构的频繁升级改造。新型监测器能够不断“插入”系统，易于扩展，伸缩自如。3.3.1 多种监测手段Webcare智能网络监控软件监测器的主要监测手段是基于SNMP协议实现的。同时也充分考虑到43、实际网络中复杂异构的设备类型和用户业务的不同要求，对于不支持或者不开放SNMP协议的被管理对象，提供基于SSH 和Agent(代理模块)、WMI、脚本等监测方式。当用户创建一个监测器的时候，可以选择适合自己的监测方式。Webcare智能网络监控软件 对被管资源的数据采集支持“自动发现”和手工输入两种方式配置被监测对象的配置参数，并通过主动轮巡机制，使用SNMP、Agent等多种采集方式来实现性能数据的采集。主要的监测方式：系统能够依据管理的需要，定时向需要监测的管理对象（可以是一个设备或者一项服务）发出监测请求，并将记录返回数据作为告警和性能的依据。具体的数据采集方式有以下几种：n 支持SNM44、P轮巡的数据采集。n 支持在被管服务器上使用代理程序Agent的采集方式；Agent方式应能够支持主流的Unix、Linux、Windows服务器平台；并且支持单一Agent模式，当主机服务器上的被监测应用项目发生变更或增加时，无需更换或添加额外Agent程序。n 使用Agent数据采集方式，可以对被管服务器进行文件扫描、目录检测、接口调用等方法来扩展监测的范围；并可以实现对业务系统自身关键性能点的自定义监测。n 系统还支持其他Socket方式，如TCP端口监测、JDBC数据源、HTTP协议等方式进行数据采集。其中，系统提供SNMP、SSH、Agent三种主动监测方式可以互为补充，充分满足不同45、设备和监测对象的实际情况。a) SNMP方式通过SNMP get/trap/work/scan等多种手段获取监测数据。系统还能够支持用户创建指定OID参数的通用SNMP监测器。优点是：配置简单，即插即用，可直接获取准确的各项参数；能够自动发现被监测的设备和设备上的服务。缺点是：无法监测用户自行开发的非标准应用产生的可管理数据；有些非主流操作系统对SNMP协议支持不够。但对网络设备监测，必须采用SNMP方式监测，也是目前业界对网络设备监测的唯一途径。各网络设备厂商对SNMP协议的支持也相对规范。b) SSH方式SSH 方式的监测，是基于SSH协议的监测手段，Webcare智能网络监控软件通过SS46、H协议远程登陆到被管理网元，并自动下发和执行监测器中定义好的脚本，并接收脚本返回的数据信息。优点是：能够补充SNMP监测方式不能实现的监测点，基于脚本获取监测数据，大大扩展了可监测的范围和类型，能够支持任何用户自定义的脚本监测。缺点是：配置时需要提供被管理网元的登录密码，SSH登录认证的效率比较低。一般仅用于测试实施，而不推荐作为正式实施的采集方式。c) Agent方式安装代理模块（Agent）的监测方式，需要在被管理的网元上安装轻量级的代理小模块（Agent），Webcare智能网络监控软件监测器能够向Agent下发定义好的内嵌脚本，Agent负责响应Webcare智能网络监控软件的通讯请求47、执行脚本、并返回执行结果。优点是：执行效率是三种监测方式中最高的一种，对被管理网元和网络通讯的影响最小。能够补充SNMP监测方式，基于脚本获取监测数据，大大扩展了可监测的范围和类型；能够集成任何用户自定义的应用监测。缺点是：需要在被管理的网元上安装代理小模块。图4. Webcare智能网络监控软件采集图3.3.2 监测器一览表通过上述多种监测手段和丰富的监测器，Webcare智能网络监控软件能够适应于对各种异构的网络环境和系统应用的管理。Webcare智能网络监控软件采用开放平台的体系结构，能以模块化插件方式引入任何新的监测器，不断扩展其管理的范围和深度，始终适应不断升级和改造的网络环境。下48、面列出Webcare智能网络监控软件支持的监测器列表：网络监测器系统监测器应用监测器互联网服务监测器可扩展的通用监测器Checkpoin防火墙Topsec防火墙Cisco防火墙NetScreen防火墙Cisco设备Nortel设备HuaWei设备RadWare设备F5 Big-IP设备Juniper设备NOKIA设备Veritas设备TCP端口RADIUSPINGInterface/IP端口TimeDayTimeFINGERCharGenWHOISEcho。平均负载磁盘空间CPU日志文件内存使用系统脚本远程PING IO状态NetStatPaging Space交换空间NT服务虚拟内存文件系统49、进程文件目录Win RegistryAIX系统。数据库(JDBC)Informix数据库MYSQL 数据库MS-SQL数据库Oracle 数据库Sybase 数据库DB2数据库TuxedoWebLogicWebsphereJBOSSResin ApacheMS-IISLDAPIBM CICSIBM GMD DeviceIBM HACMPIBM TSMLotus Dnomino serverMSExchange server。IMAPDNSEMAILNEWSURL TFTPPOP3SMTPFTP。自定义 Shell 脚本监测器自定义 WMI 脚本监测器自定义 SNMP 监测器自定义 TCP 端口50、监测器3.4 业务系统监控3.4.1 面向业务可用性的监测用户IT架构中从网络、系统、应用到业务的每个环节，每个节点、每个应用的性能好坏都直接影响到网络和业务的正常运行。所以,采集孤立IT元素的数据并不是Webcare智能网络监控软件的目的，而是保障企业IT业务的可用性。正是基于前面介绍的丰富灵活的监测器机制，使得Webcare智能网络监控软件能够集成包括网络、系统、应用到业务的各个层次的完整IT架构管理。而正是具备这样的统一性和完整性，才可能全面综合的分析各个IT元素的可用性和性能数据，并最终通过SLA机制和业务视图科学的映射出用户业务的可用性和健康性。3.5 统一事件平台3.5.1 故障管51、理Webcare智能网络监控软件能够对用户网络及系统发出的预警信息和故障信息进行整合和自动化的处理。利用不同类型的监测器采集系统级和应用级可用性信息，并在监测器指标测量失败时发送告警事件。Webcare智能网络监控软件将上述告警信息进行统一格式化后实现集中统一的监测和管理。图5. 告警事件截图3.5.2 故障信息的采集Webcare智能网络监控软件其底层的事件接收器，可以对网络设备进行直接的采集和状态监测，从而了解网络设备的运行情况。故障信息的采集包括以下几种方式： 利用Syslog接收器获取相关设备或系统转发的Syslog信息，发送给告警管理模块。 利用SNMP Trap接收器获取设备或系统52、转发的的Trap事件信息，发送给告警管理模块。 系统内部监测器将每次轮询采集到的数据与监测器中配置的阀值进行比对，当违反阀值时依据告警规则向告警模块发送告警事件。3.5.3 统一的事件处理平台Webcare智能网络监控软件在同一告警管理窗口集中显示来自不同信息源的事件信息。告警控制台同时提供灵活的分类过滤工具，可依据告警中的任一信息进行匹配分类。管理员可以从告警浏览器中选中一条或多条告警，以对其执行各种管理操作：如查看详细信息、确认告警、延后处理、添加注释、添加专家意见、取消确认、删除告警、指定负责人、创建告警过滤条件等。通过点击告警的“详细信息”可以对告警的详细信息进行查看和修改。告警的详细53、信息包括：发出告警的对象、具体问题描述、告警发生的历史记录，附加信息等等。3.5.4 事件的自动通知当新发生的事件信息满足预先定制的分类条件时，通过调用内部或外部命令的方式实现对告警事件的自动前转。如，自动发送E-Mail、手机短信、警报声音、弹出窗口等方式将告警信息及时通知到相关的管理员。3.5.5 规范的告警处理机制Webcare智能网络监控软件的告警管理模块提供了符合电信级规范的告警处理机制。包括：确认、反确认、清除、添加评注等等。当管理员看到或收到告警通知以后，必须及时进行“确认”和“清除”，以确保任何告警事件没有被遗漏。系统记录告警被那个用户确认和清除，并记录确认和清除的准确时间。告54、警的责任管理员可以在告警详细信息中追加“评注”记录故障原因。清除后的告警保留在历史告警中供以后查询统计。对于当前告警和历史告警都能够依据灵活配置的分类规则分别进行统计分析报表。3.6 统一运行展现Webcare智能网络监控软件从不同角度不同层次提供多种表现形式的网络拓扑显示：包括IP拓扑、设备视图、业务视图和自定义视图。并实时监测和显示视图中网络元素的状态。拓扑图中的网络颜色标识，不仅仅是简单的红、黄、绿，而是可以实时根据报警的事件级别显示颜色，以表示目前该设备所发生的故障的级别，这样管理人员通过拓扑视图，可以更细致的观察网络的状态变化。当拓扑中呈现不正常颜色时，能够直接点击拓扑节点查看相关的55、告警信息。3.6.1 IP拓扑视图IP拓扑视图是传统网管意义上的拓扑视图；Webcare智能网络监控软件依据自动发现的设备配置和连接信息以及节点上的配置信息，自动对每一节点的端口和IP路径进行发现和建模，自动建立IP拓扑视图，并在拓扑视图上监测其服务的健康和可用性。3.6.2 设备视图IT部门对网络结构都有自己特有的划分和管理模式，设备视图则是用于建立与内部管理模式相适应的逻辑设备视图，比如，可以按照网段分布、地域分布等划分创建不同的子设备视图。3.6.3 业务视图以业务为主线，将每项业务所依赖的网络资源、系统资源、应用软件贯穿起来，形成绑定业务的拓扑视图，实现面向业务的监测和管理。当业务所依56、赖的某个IT资源出现告警和故障时，代表此项业务的图标将在拓扑图中呈现不同的报警颜色。3.6.4 自定义视图除了上述基于网络结构视角的“设备视图”和基于业务视角的“业务视图”，还可以上传各种背景视图如如下：3.7 系统安全性设计3.7.1 用户权限管理Webcare智能网络监控软件作为IT架构的综合管理工具，为运营商和企业提供了多层次多方位的管理功能，不同岗位的管理者所需管理的对象、以及各自的操作职权都不尽相同。v 用户和角色管理为保证安全性，所有登录系统的用户均采用统一的安全认证。通过用户和角色控制每个管理员的权限，实现用户和角色的多对多管理，严格划分职责和权限。超级管理员可以创建角色和用户，57、并为不同的角色分配不同的功能权限和管理域权限。一个角色可以包含多个用户，一个用户可以属于多个角色。v 角色功能权限管理功能权限是指管理员在系统管理页面中能进行哪些功能操作。超级管理员可以为不同的角色分配不同的功能权限，比如，可以指定业务人员只能查看系统告警但不能对告警进行任何操作，或者指定开发人员没有“资源管理”权限。不同权限的管理员通过Web登录后将看到完全不同的功能页面。v 角色管理域权限管理管理域权限是指管理员对树型设备视图结构和树型业务视图结构中的哪些对象和分支有管理的权限。超级管理员可以为不同的角色分配不同的管理域权限。管理员登录后只能收到来自其管理域的事件，只能对其管理域中的监测对58、象监测和操作。3.7.2 系统状态监测Webcare智能网络监控软件具备自我监测能力，利用核心进程控制的高可靠性对自身的各个系统进程进行统一管理，监视进程状态。3.7.3 系统数据管理Webcare智能网络监控软件提供系统数据的备份和恢复功能。所有的配置信息和性能历史数据可以备份和导出。系统技术指标3.8 网络管理功能性n 网络拓扑序号技术指标1.系统呈现网络的真实拓扑图，通过不同的拓扑多角度管理网络。2.可将客户端的拓扑图直接发布到B/S的客户端进行远程监控，而不需要其他浏览器插件，方便非技术人员以IE浏览器的形式了解全网运行状态。3.直观清晰地显示全网所有骨干网络设备、子网和互联关系4.多59、种方式表现网络拓扑视图。按表现形式可以分为树视图和网状视图。要求系统能够按照地理位置区域组织和展现拓扑视图5.提供查看设备的网络标识、IP、软硬件型号与版本、网络接口参数等基本配置信息，同时能够显示该设备所属单位以及相应单位联系人信息6.系统应该提供灵活的编辑工具，使网络管理员可以手动添加、删除、修改各种网络管理对象7.拓扑图能够显示所有链路、网络设备的性能和工作状态，并能实时显示当前视图所有链路的实际流量。8.网络故障和告警要显示在拓扑视图的相应设备以及相关的子网视图中，告警状态按照用户定义的传播策略传递给相关的其他网络对象9.设备互联的链路显示时，使用线条颜色表示带宽利用率情况。使用标准的60、告警信息的级别对应颜色表示不同的带宽利用率情况10.设备不同的工作负荷级别，采用不同的颜色来表示，工作负荷级别和颜色可以由客户自行定义。设备的工作负荷参数必须包含CPU和内存两个项目。n 网络故障管理序号技术指标1.重要故障事件的监测1) 骨干网链路通断情况；2) 骨干网路由器的端口状态；3) 由性能管理中根据阈值判断触发的性能告警；2.故障事件处理1) 对事件能够进行确认处理，已确认事件可以进行事件分析信息输入操作，未确认事件一直存在告警区。2) 用户能够自定义故障类型和告警方式。3) 对事件的严重级别加以分类，并分别通知相关人员（如：普通故障就只通知网络管理员，重大故障同时通知主管领导和网61、络管理员）；不同的用户可以为自己定义自己的过滤和通知策略。建立设备责任人制度，设备发生告警时，可以自动将告警信息发送给责任人。4) 故障管理能够实时监视并截获网络运行过程中所出现的故障，确定故障位置，以声光、电子邮件、手机短信等多种方式通知网络管理员，并给出故障原因。n 网络性能管理序号技术指标1.实时性能监测1) Ping延时及丢包率；2) 链路出入流量及丢包、错包率；3) 设备CPU、内存利用率；4) 设备各端口出入流量、平均包长及丢包、错包率。2.历史性能统计分析1) 链路连通率；2) Ping延时及丢包率；3) Remote ping延时及丢包率；4) 链路出入流量及及丢包、错包率；562、) 设备CPU、内存利用率；6) 能对全网流量分布进行分析，对全网所有使用的端口的各种指标进行排名，了解设备的利用情况以及网络性能的瓶颈；7) 系统提供网络性能分析图，提供多种图形化显示方式；8) 自动记录网络的通断时间，统计网络的畅通率。3.性能告警1) 所有的性能参数都支持基于阈值条件的告警触发机制，在发现数据满足阈值条件时，实时发送告警给告警管理模块；2) 告警类型、比较条件、告警信息等能够用户定制。3.9 服务器监测n 服务器监测序号技术指标1.支持对Windows、Linux、HPUX、IBM AIX、SUN Solaris等系统的监测。2.支持对主机系统的CPU、MEM利用率的监测63、；3.支持对磁盘系统利用率的监测；4.支持对指定应用的进程数量、存活情况、内存占用情况的监测；5.支持对Windows系统服务的监测；6.支持对Windows 系统Eveng Log的监测。3.10 数据库监测n Oracle数据库监测序号技术指标1可用性监测监测数据库能否正常被访问、进程的状态2性能监测监测数据库连接数大小、高速缓存命中率、空闲内存大小等3数据库容量监测监测数据库表空间大小、使用率，支持设定阀值，当达到或超过阀值时触发告警。4数据库文件监测 监测数据库文件大小和状态，支持设定阀值，当达到或超过阀值时触发告警。5数据库资源锁定策略 监测指定的资源和锁定时间n SQLServer64、数据库监测序号技术指标1.可用性监测监测数据库能否正常被访问、进程的状态2.性能监测连接数是否过大、数据库内存使用大小、数据库SQL查询优化区大小、数据库锁空间大小、数据库SQL缓存大小、数据库Cache命中率、数据库的CPU占用率、数据库每分钟执行事务次数3.数据库容量监测数据文件大小。n MySQL数据库监测序号技术指标1.可用性监测数据库能否正常被访问、进程的状态2.性能监测数据库请求处理速度、数据库线程池大小和占用比率、表锁获取失败和获取成功的比例、数据库Key Buffer利用率 、查询缓存区的命中率3.数据库容量监测数据文件大小。3.11 应用服务监测序号技术指标1.支持对HTTP65、/HTTPS服务的监测，包括端口和服务是否正常，计算主页存活率，并且可以对HTTP/HTTPS返回的结果进行分析，判断服务器的实际工作是否正常。2.支持对SMTP/POP3服务的监测，监测邮件发送服务器的工作状态、邮件接收服务器的工作状态（包括邮件数量和邮箱使用量）。3.支持对FTP服务的监测，监测FTP服务器的工作状态。在判断条件中可以选择是否允许匿名登录、验证登录、验证文件是否存在等。4.支持对DNS服务的监测，包括DNS服务的运行、DNS服务的延时及DNS服务的正确性。5.支持对LDAP服务的监测，包括LDAP服务的运行、LDAP服务的延时、是否可查找到指定内容等。6.支持对Apache66、服务的监测，包括Apache服务器的CPU负载、Apache运行时间、每秒钟的请求、每秒处理字节数、繁忙作业数、空闲作业数7.支持对其它特定进程及应用系统运行TCP/UDP端口的监测。3.12 扩展接口序号技术指标1.实现与短信平台的集成。根据系统所分权限，自动将告警信息发送到相关人员手机3.13 系统影响评估3.13.1 对网络带宽的影响Webcare智能网络监控软件带宽的使用主要为SNMP采集所产生的流量。由于设备基本信息等为非经常性变化的数据，SNMP采集的频度很小，所占用的带宽可以忽略。下面主要就性能和流量等需要进行定时采集（而且采集频度较高）的部分进行带宽需求计算：1. 网络性能监测67、：对于网络设备的性能数据采集，假设每个设备需要采集的性能指标有6个（端口流量除外），平均每次请求/应答流量 1 Kbyte，每5分钟采集一次，则带宽需求为：6 * 1K*8 / 300 = 0.16 Kbit/s2. 端口流量采集：对于网络设备端口信息的采集，假设每个设备需要采集端口的数量为20， 每次采集一个端口的请求/应答流量约1 Kbyte，每5分钟采集一次，则所需带宽为：20 * 1 K *8/ 300 = 0.536 Kbit/s3. 链路性能采集：对于网络链路的性能数据采集，每条采集时请求/应答流量 1Kbyte，每5分钟采集一次，则所需带宽为：1K*8 / 300 = 0.02468、 Kbit/s4. 设备性能监测部分：对于主机设备的性能数据采集，假设每个设备需要采集的性能指标有20个:如果使用SNMP方式进行采集，平均每次采集请求/应答流量约为 1 Kbyte，每5分钟采集一次，则带宽需求为：20 * 1K*8 / 300 = 0.536 Kbit/s如果采用Agent方式进行采集，平均每次采集请求/应答流量约为 0.3 Kbyte，每5分钟采集一次，则带宽需求为：20 * 0.3K*8 / 300 = 0.016 Kbit/s3.13.2 对采用SNMP监测的主机系统各主流操作系统，如Windows、HP-UX、AIX、Linux、Solaris系统自身均提供了SNM69、P管理代理组件，它与操作系统平台的结合度是很高的，稳定性也很好，都可以设置SNMP访问控制。据我们长期管理项目中的统计，通过该SNMP代理完成对主机系统的监测对系统的影响很小，系统资源占用平均不超过0.8%。3.13.3 对采用Agent监测的Windows服务器对Windows服务器进行监测的代理（Agent），采用Windows的WMI、VBScript技术，与系统结合紧密，对代理进行60天模拟压力测试，测试得出代理约占系统内存10M左右，平均CPU利用率小于1%，代理具有很高的稳定性和可靠性。同时代理的接口及其与管理端的通讯交互采用信息加密的方式，之间的通讯具有一定的安全性，避免了信息的70、泄漏及被第三方软件利用的可能性。3.13.4 对采用Agent监测的UNIX服务器对UNIX服务器系统进行监测的代理（Agent），代理的实现采用了Java技术，具有很强的通用性和易用性，通过对代理长达60天的压力测试，测试得出代理约占系统内存1520M左右，CPU利用率小于1%，代理具有很高的稳定性和可靠性。同时代理的接口及其与管理端的通讯交互采用信息加密的方式，之间的通讯具有一定的安全性，避免了信息的泄漏及被第三方软件利用的可能性。3.14 定制和客户化方案3.14.1 二次开发必要性Webcare智能网络监控软件虽然基本上能满足本项目的整体需求，但我们认为，由于本次项目具有自身显著的行业71、特色和地域特色，所以任何厂商都不能仅仅依靠产品实施安装就可以真正满足用户的实际工作需要。为了能够更好的切合用户的实际情况和管理思路，我们需要以现有系统平台为基础，按照用户需求进行定制开发和客户化，才能更好的满足用户的需求，确保监测预警系统能成为综合监控运维管理向服务和业务运维发展的推动力。3.14.2 二次开发能力和优势上海络安在多年的客户IT管理平台建设项目中，沉淀了对中国客户IT运维管理的深入理解，为用户提供端到端的软件支持服务。目前公司设有专门的软件定制开发项目团队为客户和集成商提供支持。在为用户提供优秀软件产品和基础平台的同时，通过和合作伙伴合作按照项目的具体情况进行客户化定制，为用户72、量身定制，确保系统更加贴近用户的管理环境和特色需求，使得IT运维综合管理系统在客户环境下具有最优化的功能体现。Webcare智能网络监控软件为上海络安自主开发产品，具有全部源代码，便于本次项目的二次开发和后续升级维护。我们具有其他集成厂商、国外厂商无法比拟的定制开发优势： 我们专注于IT管理领域，不涉及其他IT领域，专业开发人员的总数超过大多数的国外厂商和国内多元化发展的IT企业，具有专业精干的专业开发队伍； 我们具有专业的团队和熟悉政府行业业务的集成商配合，针对用户的实际业务环境进行客户化； 上海络安掌握所有的核心技术和代码，通过和集成商更加紧密的源代码级别协作，可以应对一些特殊的定制情况，73、而在国外平台上开发的集成商，由于国内无法拿到相应的核心代码，在修改一些底层技术的时候往往处处受限，影响整个平台的功能合理性和性能效率； 系统平台对运维服务提供了全面的支持，系统在ITIL理念的指导下，结合了国内的一些实际需求，包括计划任务、层次化权限管理、值班管理等，为运维服务管理的快速改进和客户化提供了支撑。上海络安开发人员全部面向IT管理专业领域，核心团队具有8年以上的网管开发经验；具有专业的知识积累，包括SNMP、TCP/IP、CLI、WMI、各种协议和服务器等多个方面，熟悉各主流厂商的网络设备的内核平台特性。第四章 LanSecS内控堡垒主机解决方案4.1 方案目标以项目背景、需求分析74、为基础，以解决主要问题为方向，建立起一套合规、稳定、高效的基础平台认证系统。通过本期工程，可以达到以下效果：1) 实现对用户生命周期的管理，主要表现在添加、修改、删除用户必须经过管理层授权，避免由于权限问题对各个业务系统造成影响。2) 帐号口令按照萨班斯法案的符合性要求进行设置，并且按照萨班斯要求进行定期修改。3) 实现对主账号的管理及用户角色（从帐号）的管理，并且实现从账号的帐号和系统同步。4) 实现集中认证,提供多种认证方式对被保护资源进行安全性保护，集中认证服务器可以支持令牌、动态口令、短信、证书等认证方式。5) 实现集中授权，将不同的网络设备、主机系统以及数据库系统的授权机制通过标准化75、接口，统一到管理架构中。6) 实现安全审计，对所有通过的行为进行记录，并且与授权管理产品联动，当审计产品发现某用户操作，已经超过授权管理的权限时，审计产品立即阻断此越权行为，保障系统的安全性。7) 满足与第404条款相关的内部控制手册相关控制点的技术实现要求。4.2 方案内容针对以上我们分析金融行业出现的实际问题，总结出在目前信息化的安全建设中，网络安全建设的重点已经从最初的互联网边界防护、终端防护向行业业单位网络设备（路由器、交换机）、服务器（数据库、linux、unix）转移，因此我们必须认识到信息安全管理的重要性，从集中账户管理、集中认证、集中控制、集中审计四个方面，对重点服务器和网络设76、备的访问和控制行为做全面防护，“防患于未然”。为了加强金融行业设备访问控制以及一切操作行为事件的追踪性，防止非法访问、越权访问与数据的泄漏，监控和记录一切针对网络设备和服务器的操作行为，提高企业设备和数据的安全性，同时根据金融行业提出的一些新的方案功能需求，我们提出如下LanSecS（堡垒主机）内控管理平台解决方案。4.2.1 设备集中管理LanSecS（堡垒主机）内控管理平台提供了集中帐号管理功能，可对所有服务器、网络设备的帐号进行集中管理，完成对帐号整个生命周期的监控和管理，降低设备管理员管理大量用户帐号的难度。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准的用户77、帐号安全策略。LanSecS（堡垒主机）内控管理平台还提供了基于 B/S的单点登录，运维人员通过一次登录，就可以访问被授权的多种系统；单点登录为在整个IT系统中具有多帐号的用户提供了方便快捷的访问途径，使用户无需记忆多个登录帐号ID和口令，提高了运维的效率。4.2.2 解决共享账户隐患LanSecS（堡垒主机）内控管理平台，通过引入自然人与从账户的概念，集中统一角色授权，通过不同自然人登录，进行日常管理与业务操作。LanSecS（堡垒主机）内控管理平台可针对不同自然人做运维管理审计，从而在根本上解决了共享账户存在的安全风险。4.2.3 密码策略有效执行LanSecS内控管理平台（内控堡垒机）集78、成了密码策略，实现集中的密码管理，并按照密码策略的要求，自动、集中、定期修改系统账号的口令，对口令强度和周期实行统一的管理。LanSecS内控管理平台（内控堡垒机）按照SOX法案相关要求，设置了严格的用户帐号安全策略，并且可以根据需要自行配置，策略包括密码强度、生存周期等，可以根据需要自动定时对从帐号口令进行修改，并且能够将结果自动同步到所有被管理系统中去。a) 密码制定策略用户必须按照规定设置相关主、从账号密码（如密码长度、复杂度等），系统还提供多种密码制定策略，满足不同系统对密码安全的需要：u 可以设定最小和最大口令长度；u 可以设定最小和最大字符数目；u 可以设定最小和最大数字数目；u 79、可以设定最小和最大标点符号数目；u 可以设定不能使用的口令（如特定的词、与账号相关的变种）；u 可以进行相似口令检查；u 可以进行连续字符检查；u 可以进行口令更改时间间隔限制；u 可以设置同一口令的使用限制；u 可以设置导致账号被锁定的尝试登录失败次数；u 可以进行自动的口令重设；u 可以对管理员用户和普通用户分别设置口令管理和认证方式的选择策略。b) 密码修改计划此功能可实现用户从账号密码的定期变更，提高密码的安全性。c) 密码定期检查通过系统定时任务，或相关管理员执行密码检查，找出系统中存在不满足要求的用户口令。d) 密码失效策略系统自动使不满足安全要求的密码失效。e) 密码存储策略密码80、的存储采用加密存储，加密方式分为RSA或DES。4.2.4 解决客户授权不清晰LanSecS（堡垒主机）内控管理平台通过统一的登录平台，采用集中管理、集中授权模式对用户权限进行管理，不再需要进入每一个被管理对象进行授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但具有基于边界的粗粒度授权（如能够授权用户可以通过什么角色访问资源等）功能，而且具有基于内部的细粒度授权功能，如限制用户的操作权限以及进行操作行为的时间等。4.2.5 访问控制策略严格执行传统的访问控制通过防火墙设置，通过命令的方式实现，如果访问控制列表设置过多，网管员不易理解，或者不易有效的执行访问控制策略。LanSecS（81、堡垒主机）内控管理平台提供多种访问控制策略，合理分权，优化网络运维管理平台，并提供图形化访问设置功能，提升网管员工作效率。具体内容如下：1、强身份认证入口检测LanSecS（堡垒主机）内控管理平台支持多种强认证方式，在运维管理的入口进行身份的合法性检查，具体内容如下： 认证方式认证方式包含静态密码、RSA令牌、RADIUS、动态口令、短信认证、智能卡以及静态密码与动态密码相结合的强认证方式；动态密码的发送，支持与短信系统相结合的方式，避免单点登录带来的安全风险。 集中认证以IT管理平台作为维护访问的统一入口，前者完成统一的用户身份认证，管理平台完成基础平台管理员统一的强身份认证。2、访问控制策82、略集成企业级数据库中心机房、网络设备、服务器，为单位的日常业务运行提供强大支撑，虽然在防火墙上做过ACL访问控制策略，但无法直观查看，更不能有效控制网管员操作服务器设备的时间段、访问的IP段及其他的细粒度执行命令。为此，LanSecS（堡垒主机）内控管理平台从用户的实际需求角度出发，提供多种访问控制策略，更加简单、直观。如下图：IP 地址策略：全称为客户端地址策略，可限制运维平台IP地址访问控制，针对网段、单个IP地址，支持可变长子网掩码。IP地址访问类型包括可访问网段和非可访问网段两种类型。主机命令策略：分为黑名单和白名单两种，可针对UNIX 、FTP等操作命令进行限制。访问时间策略：可以控83、制访问堡垒主机的时间点、时间范围，有效地杜绝非法用户非工作时间的访问。密码变更策略：密码随机生成，并周期性变更策略，可按照用户设置的密码复杂度要求设置密码，有利于保护密码安全！4.2.6 操作审计可追踪部分企业在维护数据中心机房的服务器和网络设备时，基本上没有技术手段对用户的操作行为进行审计，出现问题后也无法追踪定位。LanSecS内控管理平台（内控堡垒主机）可支持审计内容、命令、回放、监视四项内容做详细审计，并根据Unix主机访问命令统计表、Unix 主机访问协议表等范围，按照用户ID、时间、客户端IP地址等进行分类，并可导出EXCEL报表，方便用户查询与统计。4.3 产品设计概要说明4.384、.1 整体设计本期项目建议在上海东方希杰商务有限公司内部部署一套LanSecS（堡垒主机）内控管理平台，通过全网部署LanSecS（堡垒主机）内控管理平台，进行集中帐号管理、认证、授权、审计和单点登录。 针对行业单位内多个或单个办公区域之间的信任关系以及现阶段存在的问题，前置机部署在各分公司或单个办公区域，主要负责对所在分公司或单个办公区域的资源帐号的收集工作和用户访问具体资源的访问控制。4.3.2 工作流程为了对字符终端、图形终端操作行为进行审计和监控，堡垒主机对各种字符终端和图形终端使用的协议进行代理，实现多平台的操作支持和审计，例如Telnet、SSH、FTP、Windows平台的RDP85、远程桌面协议，Linux/Unix平台的X Window图形终端访问协议等。当运维机通过堡垒主机访问服务器时，首先由堡垒主机模拟成远程访问的服务端，接受运维机的连接和通讯，并对其进行协议的还原、解析、记录，最终获得运维机的操作行为，之后堡垒主机模拟运维机与真正的目标服务器建立通讯并转发运维机发送的指令信息，从而实现对各种维护协议的代理转发过程。在通讯过程中，堡垒主机会记录各种指令信息，并根据策略对通信过程进行控制，如发现违规操作，则不进行代理转发，并由堡垒主机反馈禁止执行的回显提示。产品功能介绍4.4 系统架构LanSecS（堡垒主机）内控管理平台采用层次化、模块化的设计，产品整体分为认证层、86、操作层、权限层、审计层、核心层。系统从可扩展性、高性能、系统的松耦合性、安全性等角度进行了充分的考虑，为安全信息系统的管理提供了一个商业级、智能化的访问管理平台。总体结构图如下所示：4.5 功能描述LanSecS（堡垒主机）内控管理平台模块分为：用户管理、认证管理、授权管理和集中审计四大部分，功能结构如下图所示：4.5.1 统一资源管理LanSecS（堡垒主机）内控管理平台实现了对自然人的生命周期管理和授权管理，围绕这人员入职、换岗、离职等一系列周期过程进行从帐号的推拉、登记访问流程的审批、角色授权、访问控制策略等一整套安全控制措施的管理，以及提供可大大减轻管理员工作量的用户自服务功能。Lan87、SecS（堡垒主机）内控管理平台提供用户分组管理的功能，所有的帐号策略、授权策略、访问控制策略等均可通过组的方式来进行批量的设定，同时也可以对单个用户进行精细的策略授权。用户分组的层次可按需要任意设计多级子组，并且每个组均可以设置单独的管理员进行组内管理。这可以在安全的控制范围内，提供各业务系统或子单位进行内部帐号自管理的能力，并且大幅提高帐号管理的效率和响应速度，也能够大大减轻网络运维人员的管理维护工作量。LanSecS（堡垒主机）内控管理平台提供流程引擎，满足帐号申请、审批、分配、通知等流程管理制度的需要，并且能够与BMC Remedy、HP OSD、CA HelpDesk等主流电子运维流88、程进行无缝集成，便于企业建立统一的安全运维管理。LanSecS（堡垒主机）内控管理平台提供角色授权与访问控制等一系列策略管理功能，满足企业对人员访问安全的各种需求，能够实现对人员、时间、地点、被访资源、操作、频率次数等的授权、访问控制和审计能力。4.6 用户管理LanSecS（堡垒主机）内控管理平台，用于存储内部的所有管理信息，包括所管理的设备、系统，各设备、系统下的所有从账号，从账号与主账号的对应关系等。在账号管理数据库中可以不存储个人信息，而是在需要的时候通过外部数据接口访问企业安全目录，获取个人信息。根据系统资源的管理实现自然人，集中账号管理系统角色，及设备帐号三者之间关联；用户权限的模89、型应遵从业界基于角色的权限控制(RBAC)模型，实现用户角色权限资源的权限模型。用户管理包含对所有系统子系统等的账号的集中管理，以及整个系统中各种资源的集中管理。账号和资源的集中管理是集中授权、认证和访问控制的基础。 集中用户管理可以完成对用户整个生命周期的监控和管理，而且还降低了企业管理大量用户账号的难度和工作量。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准的用户帐号安全策略。通过建立集中用户管理，企业还可以实现将账号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足合规审计的需要。4.6.190、 用户生命周期管理用户生命周期管理是指对用户从产生到删除各存在状态进行管理。包括统一的用户创建、维护、删除等功能。统一的用户审批管理流程(添加、修改、禁用、启用、删除)。制定人员兼职、调动、离职的管理机制。生命周期管理功能项：1) 用户信息导入用户管理子系统能够从用户人事管理系统中通过定制接口或文件的形式导入人员信息；2) 手动添加用户信息具有相关管理权限的用户可以手动添加用户信息；用户管理子系统还可以通过定制开发的接口，将新加的用户信息同步到相关人事管理系统中；3) 用户信息修改具有相关管理权限的用户可以对用户信息进行修改；4) 用户信息自维护用户可以通过用户管理子系统对自己信息进行维护，同91、时，系统会自动将修改发布到相关系统或管理员；5) 用户入职系统能够根据用户工作职能，权限等，按照预定义的相关入职策略，创建用户信息，以及为用户建立相关账号；6) 用户职责变更系统能够根据用户工作职能，权限变换等，按照预定义的相关职责策略，修改用户相关账号；7) 用户离职系统能够根据离职策略，处理遗留在系统中的用户信息，以及对用户的相关账号执行相关操作处理，例如，删除等。4.6.2 主账号管理1) 主账号与自然人（相关用户及用户信息）对应系统中每个主账号只与一个自然人对应，而一个自然人可以具备多个主账号；2) 主账号的基本管理相关权限管理员可以对主账号进行增删改查；3) 详细功能描述这个功能体现92、了统一身份及访问管理系统用户的管理，即主用户的管理：u 用户按树形划分（划分方式以管理员的理解进行，例如按部门，业务，地域等）；u 树的每个节点，作为一个管理单元，包含若干用户，也有各种策略属性（如登录失败控制策略、登录时间策略以及资源访问策略）；u 每个节点，可以指定其下的一个或多个用户为管理员，管理员对这个节点，节点下的子节点，以及节点和子节点下的用户进行管理，如增删改用户，增删改子节点，为用户或节点设置策略；u 管理员只能对自己管理的节点下子节点进行操作。4.6.3 账号管理从帐号进行分类定义并做为资源从帐号的属性，包括孤立帐号、交叉帐号和等，并且赋予了一些基本的管理功能。罗列主要的资源93、从帐号属性如下：u 孤立帐号：任何被管资源上的从帐号如果在没有被分配给自然人帐号的情况下，则标记为孤立帐号，并能够向管理员产生报告以便及时发现非法帐号或滥用帐号的存在；u 共享帐号：被做为角色并且分配给了多个自然人的资源从帐号，则标记为共享帐号，并提供帐号报告；u 直属帐号：唯一对应且仅仅从属于单一自然人的资源从帐号，则标记为直属帐号，并提供帐号报告；4.6.4 用户角色管理集中账号管理系统实现基于用户角色的用户管理体系，将自然人与相关角色和系统资源进行统一的管理，便于对用户、角色的授权和制定对资源的访问控制策略：通过集中账号管理系统创建、撤消角色；通过集中账号管理系统分配角色权限，包括角色能94、够访问哪些应用，能够在应用中以什么样的方式访问哪些资源。角色通常与职权、职位以及分担的权利和责任有关。4.6.5 账号同步集中账号管理系统能够自动发现主机、网络设备、数据库上的已有账号。系统可以定期手动触发或自动搜索所有被管理的系统，从中发现、收集所有新创建的账号。系统还可以通过帐号推送机制，通过集中帐号管理系统在被管系统中创建新的帐号。集中帐号管理系统还可以通过同步机制，与用户现有的用户管理系统，例如、域用户系统等用户管理系统实现帐号的同步。制定人员信息导入的机制(可以与HR系统的集成)。系统通过客户端（账号同步驱动、程序或接口）、telnet、ftp方式获得各种主机，网络设备、安全设备、数95、据库和业务系统账号信息以及账号所对应的权限。其中主机包括各版本的Windows、UNIX、Linux等操作系统，网络设备包括Cisco、华为等交换路由设备，安全系统包括各种防火墙，防病毒和入侵检测系统等， SQLSERVER、Oracle、DB2、Informix等主流数据库的账号，用户各种业务系统如MISC、SAP等系统账号。相关权限管理员可以在通过用户管理系统为用户创建相关角色，以及创建角色账号和为账号设置相应权限，由系统通过客户端（账号同步驱动、程序或接口）、telnet、ftp方式推送到相关资源、系统中。客户端支持AD、RDB 、LDAP等用户存储方式。4.6.6 账号策略管理帐号策略96、管理提供了丰富的自动化帐号管理功能，能够根据帐号类型和相应的管理策略满足用户多样的管理需求。这些管理需求包括：1) 自动发现和自动监测：满足用户对各IT资源上的帐号监控需求，周期性的采集、同步和监测被管资源上的帐号。2) 主从帐号一致性：满足用户对授权资源内的自然人帐号的统一与同步需求，保证在授权资源范围内对每个自然人帐号维持一套独有的、一致性的资源从帐号。此功能不同于角色管理模式，在角色管理模式下，多个自然人可能共享同一套资源从帐号。3) 特殊帐号一致性推拉：满足用户对特定用户、特定资源范围内的应用系统帐号的快速推广需求，满足其他IT管理系统对企业IT资源的自动化监管需求。例如，网管系统的自97、动巡检模块需要根据网管系统的值班帐号来采集主机、网络设备或系统等的配置、性能等状态数据。4) 动态密码计划：满足对被管资源从帐号的安全保护需求，对资源从帐号进行周期性的高强度密码变更，维护账号的安全性。5) 帐号处理策略：满足对各种帐号类型的处理需求，将帐号划分为交叉帐号、共享帐号、孤立帐号等：u 交叉帐号：交叉帐号是被其他系统内部使用的帐号，它的密码不能随意改变。因此这类帐号不能进入密码计划；u 共享账号：在内部被授予多个用户使用的帐号，这个账号的删除不能随一个账号的删除而删除；u 孤立帐号：在内部未被授权的用户，这类账号会一告警的方式被告知管理源；4.6.7 资源管理这个功能体现了统一身份98、及访问管理系统接入资源的管理，即主机，网络设备，网元，应用的管理。1) 资源与主账号（用户）的对应系统相关管理员可以指定主账号的资源的访问权限；2) 资源按树形划分（划分方式以管理员的理解进行，例如按部门，业务，地域等）；3) 树的每个节点，作为一个管理单元，包含若干资源； 4) 每个节点，可以指定一个或多个用户为管理员，管理员对这个节点，节点下的子节点，以及节点和子节点下的资源进行管理，如增删改子节点，增删改资源，对资源账号进行同步等。4.6.8 密码策略实现集中的密码管理，并按照密码策略的要求，自动、集中、定期修改系统账号的口令，对口令强度和周期实行统一的管理。实现集中删除一个自然人的所有99、或者部分系统账号。系统按照SOX要求设置了严格的用户帐号安全策略，并且可以根据需要自行配置，策略包括密码强度、生存周期等，可以根据需要自动定时对从帐号口令进行修改，并且能够将结果自动同步到所有被管理系统中去。1) 密码制定策略2) 用户必须按照规定涉及相关主、从账号密码（长度、字符等），系统还提供多种密码制定策略，满足不同系统对密码安全的需要；u 可以设定最小和最大口令长度u 可以设定最小和最大字符数目u 可以设定最小和最大数字数目u 可以设定最小和最大标点符号数目u 可以设定不能使用的口令（如特定的词、与账号相关的变种）u 可以进行相似口令检查u 可以进行连续字符检查u 可以进行口令更改时间100、间隔限制u 可以设置同一口令的使用限制u 可以设置导致账号被锁定的尝试失败登录次数u 可以进行自动的口令重设u 可以对于管理员用户和普通用户分别设置口令管理和认证方式的选择策略。3) 密码修改计划功能概述：这个功能为了实现，用户从账号密码的定期变更，提高密码的安全性；4) 密码定期检查通过系统定时任务，或相关管理员执行密码检查，找出系统中存在不满足要求的用户口令；5) 密码失效策略系统自动使不满足要求的密码失效；6) 密码存储策略密码的存储采用加密存储，加密方式：RSA或DES；4.7 授权管理授权内系统提供统一的界面，来对用户、角色及行为和资源进行授权管理，以达到对权限的细粒度控制，最大限度101、保护用户资源的安全。集中账号管理系统通过集中授权和访问控制可以对用户通过B/S、C/S对主机、网元和各业务系统的访问进行审计和阻断。4.7.1 集中授权在集中授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、主机系统、应用系统中可能还拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员从统一的授权系统进去以后，可以对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作这样102、集体到应用内部的细粒度授权。4.7.2 授权审批用户创建帐号之后，对于权限的审批需要通过系统内置的工单系统来进行权限的审批，每一步的审批过程均有详细的记录，便于事后对责任的追查。4.7.3 资源授权资源授权的范围主要包括主机、网络设备、数据库、网元、OMC、安全设备和应用系统（业务支撑系统、网管系统、信息化系统、其他）等。对资源授权主要包括实体授权和资源级授权： 实体级集中授权，授权粒度只精确到应用、设备、主机，就是用户是否有权连接某个IP地址端口。 实体内部资源级集中授权，授权粒度精确到应用、设备、主机内的资源。资源包括应用的功能模块、HTML页面、数据库表或字段；主机内的文件或目录等。集中103、账号管理系统通过对用户授权，可以定义用户可以访问哪些应用，以及以什么样的方式在什么时间访问，可以防止未被授权的用户、角色对资源的访问。4.7.4 角色授权集中帐号管理系统通过对角色授权，可以用户以什么身份访问应用，以及可以执行的操作。当在系统中对角色进行创建、分配权限、修改、删除后，会被同步到资源，多个角色构成一个角色组，身份及访问管理来系统不直接对应用和系统权限进行管理，但能够将权限授予角色和从帐号，应用系统必须按照角色进行树立，使权限按照角色进行管理。对应关系如下：u 一个自然人对应一个主帐号u 一个主帐号对应多个角色组或多个从帐号u 一个角色组对各多个资源上的多个角色u 一个从帐号对应一104、个资源上的角色u 一个角色对应资源上的多个权限u 主帐号和角色组信息在身份及访问管理系统存储，从帐号和角色在身份及访问管理系统和资源上存储，权限信息可在系统平台和资源上存储，以便进行访问控制。4.7.5 细粒度授权LanSecS（堡垒主机）内控管理平台负责构建企业资源访问角色，并制定一系列访问控制策略。集中授权管理可实现完善的角色授权管理功能，从用户、角色和资源进行用户授权管理。可以制定到资源边界的粗粒度授权，即，用户按照角色权限和管理资源范围的不同，能够访问的资源IP和Port也不同；也可以制定针对资源操作的细粒度授权，即，能够对用户进行登录时间、访问地点、目的资源、次数、频率、失败控制、操105、作命令、操作参数等等的具体行为、时间、地点、目的的精细控制。提供基于java的api实现授权信息的下发。包含的信息：主用户，设备地址（ip，port），从账户，命令黑白名单。集中授权管理可实现强大的访问控制能力。对于用户对资源的访问控制，通过对其授予不同的访问策略来实现，例如用于登录失败策略、登录时间策略、堡垒主机策略等：1) 利用资源内部进行访问控制：对自然人账号授权资源从帐号，实现了自然人账号到资源访问的基本授权，由于从帐号包含有资源访问的内部授权信息（例如用户组、Shell等），可以依靠资源内部实现一定粒度的访问控制2) 利用堡垒主机进行集中的访问控制：通过对自然人账号授权相应的访问策略106、，并通过策略执行单元堡垒主机的干预，可以对自然人账号访问资源作进一步的授权控制，例如对于字符应用，授权可以控制到命令及命令参数和级的粒度；对于web应用可以授权到指定的url，并可以授权到指定的时段，ip段等。u 集成SSL VPN方式的集中接入和访问控制；u 集成反向代理（Access Manager）方式的集中接入和访问控制；u 集成堡垒主机方式的集中接入和访问控制；3) 利用AAA实现的访问控制：通过将支持Radius的资源的认证指向堡垒主机内置的Radius Server来保证资源访问的授权。4.7.6 集中访问控制B/S系统通过访问控制服务器结合相应用户B/S访问请求，并且根据访问控107、制策略进行阻断、告警。C/S系统，可以通过堡垒主机对用户行为进行细粒度访问控制，例如telnet、ftp、ssh和图形方式的应用的审计RDP等。1) 堡垒主机字符堡垒主机是应用级的网关，可以对字符应用的访问做到命令的访问控制，会话内容的审计。a) 功能特点：u 对各种字符应用，Telnet、SSH、FTP等等作应用级的控制转发。其工作原理是对堡垒主机的Shell模块做了审计、访问控制加强，所以其工作原理简单可靠，其并发数可吞吐量基本和主机本身的性能成正比。u 访问控制：通过和堡垒主机访问控制策略服务器进行联动，可以对各种字符应用作基于命令的访问控制，例如对于用户使用了未授权命令，可以对命令进行108、阻断。u 审计：可以对其转发的数据直接记录日志，并记录会话ID以形成回放能力。b) 优点：u 工作在应用层，可以获得会话过程中的用户名信息，IP信息、端口信息。有利于更加完整的获得用户的会话审计信息，更加有效的控制用户发送的操作命令。u 访问控制的力度很细，能够对用户发出的命令做访问控制，可以控制到命令本身，和命令操作的对象，如目录、文件、用户、组等系统对象。2) RDP堡垒主机RDP堡垒主机能够实现Windows Terminal、xWindows等图形终端的集中接入和访问控制，可以做到应用边界的访问控制并且可以进行全程录像和回放。a) 功能特点：u 访问控制：通过和堡垒主机访问控制策略服务109、器进行联动，可以对用户所能够访问的Windows主机、Unix主机进行边界级的访问控制。u 审计：可以对用户的整个操作过程进行录像并回放。b) 优点：u 可以满足用户对图形化终端的使用需求。u 可以做到资源边界的访问控制。u 可以做会话录像。c) 缺点：u 控制粒度较粗u 操作过程无法控制4.7.7 单点登陆身份认证和访问管理系统提供了基于B/S的单点登录系统，用户通过一次登录单点登录系统后，就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用和系统。单点登录系统为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录过程、用户ID和口令。它通过向用户和客户提供对其个性化资源110、的快捷访问提高生产效率和利润。同时，由于单点登录系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。集中不同(B/S架构和C/S架构)业务应用系统(如OA，MIS，BI，CRM，ERP等)，主机系统(如UNIX，LINUX，WINDOWS等)，网络设备(如交换机，防火墙)的用户身份认证。单点登录系统与自身可以实现与用户授权管理的无缝连接，这样可以通过对用户、角色、行为和资源的授权，增加对资源的保护，和对用户行为的监控及审计。4.7.8 B/S单点登录B/S单点登录系统通过应用发布的方式实现B/S应用的单点登录。用户通过登录集中应用发布平台，然后可以直接访问平台所发布的B/S应用。通过单111、点登录，以及单点登录账号（主账号与自然人关联）对用户进行授权访问和基于自然人的行为审计。1) 单点登录：u 通过堡垒主机 Portal自动提交表单的方式：用户访问Web应用系统时，堡垒主机 Portal通过构造隐藏的登录表单并自动提交的方式进入Web应用系统。此种方式下，客户端在首次通过堡垒主机 Portal的强认证和单独登录认证后直接与Web应用系统交互，其访问行为需要堡垒主机来进行授权控制。u 通过SSL VPN、反向代理表单注入的方式：堡垒主机设备在作代理的过程中当发现有登录特征的http内容，自动注入表单内容，完成web应用登录。2) 单点登出：u 通过SSL VPN、反向代理和进行策112、略联动的方式。当用户登出堡垒主机 Portal时SSLVPN、反向代理设备收到堡垒主机 Server的联动策略后，断开用户和WEB应用的连接，实现登出。4.7.9 C/S单点登录C/S单点登录系统通过应用发布的方式实现C/S应用的单点登录。用户通过登录集中应用发布平台，然后可以直接访问平台所发布的C/S应用。LanSecS（堡垒主机）内控管理平台可以直接将C/S应用发布到中央管理平台，系统会根据用户的分级和对资源（应用是对资源的访问形式）授权，为用户提供相关C/S应用。1) 单点登录：u 通过浏览器代填控件进行代填：用户在通过堡垒主机 Portal的强认证后，代填控件会被自动下载到客户端浏览器113、中，控件会对C/S的客户端进行挂钩，分析特征事件序列，进行窗口控件级操作实现代填动作，单独登录后的访问行为需要堡垒主机来进行授权控制。此种方式需要客户端预先安装C/S的Client端。2) 单点登出：u 通过SSL VPN，堡垒主机，Citrix等这些C/S访问控制设备，和进行策略联动的方式。当用户登出堡垒主机 Portal时SSLVPN、堡垒主机，Citrix收到堡垒主机 Server的联动策略后断开用户和应用的连接，实现登出。4.7.10 动态短信口令1) 认证以提供基于短信动态密码（SMS-OTP）的认证方式为主，能够提供符合SOX等国际标准和法规要求的高强度认证服务；2) 自动判断登录114、IP网段，能够根据不同的IP网段确定是否触发短信动态密码认证；3) 短信动态密码认证服务器在生成并向用户发送动态口令之前，必需对用户的身份进行验证，验证通过后才能向用户注册手机号码发送生成的一次性口令；4) 触发过程中，用户的验证密码（PIN码等）不能在网络上明文传输；5) 短信动态密码认证服务器的触发机制必须能够抵御恶意的动态密码触发请求，防止拒绝服务攻击；6) 认证平台只能接受一次动态密码的登录认证请求，成功后动态密码立即失效，此后再采用该动态密码进行登录均被视为违法操作；7) 短信动态密码具有一定的生命周期，即使用户没有使用该动态密码进行登录，超出时间范围后该动态密码仍将自动过期。4.8115、 审计管理审计管理功能主要实现统一身份及访问管理系统内部的管理审计、用户统一身份及访问管理系统用户访问资源行为的审计4.8.1 内部的审计LanSecS（堡垒主机）内控管理平台会将系统自身的所有操作进行日志，并且会将日志发送内部审计系统。用户可以在内部审计系统中查看相关审计日志，以及产生各种审计报表。内部审计主要包括如下部分：1) 集中审计管理主要审计人员的帐号管理、认证、账号分配情况、权限分配情况、账号使用（登录、资源访问、操作行为）情况等。2) 对账号分配情况的审计：包括主账号与自然人的对应关系，主账号与从账号的对应关系，主账号、角色（从账号）的创建时间、创建人等；3) 对登录过程和用户身116、份的审计；4) 对登录后用户行为，对资源的访问，以及具体操作行为的审计；5) 对审计的信息按照严重、警告、一般进行分级管理。6) 按照IP、时间主从帐号、资源、关键操作和关键数据进行规则过滤。4.8.2 审计范围LanSecS（堡垒主机）内控管理平台可以对以下资源的访问行为进行审计：1) 操作系统：Windows、Linux、Unix等；2) 网络设备：交换机、路由器；3) 安全设备：防火墙、IDS/IPS、代理服务器（网关设备）、病毒墙等；4) 应用平台：.NET、Websphere、WebLogic、Tomcat、TUXEDO、VisiBroker等；5) 数据库：Oracle、DB2、M117、ySQL 、Sybase、Informix、SQL Server、Teradata等。6) 应用系统：业务支撑系统、网管系统、企业信息化系统等。4.8.3 审计内容审计的内容包括如下部分：1) 能够对本系统运行的全部行为，包括任何人（含系统管理员）的任何操作进行记录；2) 系统通过单点登录，统一认证方式，将某个账号的操作行为与自然人关联，实现对自然人行为审计的目的；3) 能够对主机，网络设备，数据库等的所有用户指令操作的记录；4) 对主机、网络设备、数据库上的日志进行集中存储和集中审计；5) 系统能够实现对特定信息进行统计关联（某时间段内发生次数）审计。4.8.4 审计查询审计查询包括如下查询118、方式：1) 审计查询支持交互式查询。自然人、信息类型（非法登录、非法操作、重大操作、敏感数据访问）、事件级别（严重、警告、一般）、内容、时间进行查询，查询可以通过与、或方式进行多级查询条件组合，提高查询准确性。例如查询2006-2-20 23:00:00至2006-2-21 4:00:00期间内，配置过.78交换机的全部日志；2) 提供对查询条件的自定义设置，将查询条件进行保存，减少查询的操作复杂；4.8.5 审计报表LanSecS（堡垒主机）内控管理平台具有强大的报表审计功能：1) 系统提供PDF、Excel等多种形式的报表；2) 系统可以按照日、星期、月年产生多种形式的固定报表；3) 系统119、可以按照用户自定义的查询条件产品自定义报表；4) 系统可以按照用户定义条件，以及系统自定义的报表模板制定综合报表；系统可按照访问者、被保护对象、行为方式、操作内容（例如数据库表名称）等自动生成统计报表，并能按照移动的要求添加、修改报表数量、格式及内容，以满足SOX审计的要求。5) 可按照各业务系统的要求添加、修改报表数量及内容，并可分专业生成各业务系统的审计报表。报表系统可根据不同专业使用人员分别显示不同的报表，比如短信审计人员只需看到关于短信业务系统的审计报表。6) 可对人员的操作以及所管辖的业务系统通过多种报表展示途径，提供形象的展示方式，方便领导和管理员查看系统授权的合理性。4.8.6 120、还原审计堡垒主机的审计管理以集中的资源管理为基础，通过各种堡垒主机、网络嗅探能够实现用户资源访问会话的还原审计。1) 对于字符堡垒主机，可以还原完整的用户会话内容：用户对字符应用的访问是经过堡垒主机的，堡垒主机在会话层转发对对应用的各种操作命令，由于在会话层对操作命令和执行结果作相应的转发，因此可以对这些转发的内容（会话）计入日志，进行审计。2) 对于RDP类堡垒主机，可以对用户的会话进行录像，完整记录用户的图形操作：RDP类堡垒主机通过转发用户对图形应用操作的各种动作（键盘鼠标事件）和图形应用的各种绘图操作，实现图形应用的会话级代理。由于在会话层对操作动作和绘图操作作转发，因此可以对转发的内121、容进行录像，并进行审计。3) 网络嗅探、数据库嗅探：可以对用户的资源操作在网络层做相应的嗅探分析，对协议内容进行记录，经过匹配规则实现会话还原。4.8.7 智能告警LanSecS（堡垒主机）内控管理平台提供智能告警功能及多样化的告警方式：1) 告警内容：堡垒主机能够按照自然人、信息类型（非法登录、非法操作、重大操作、敏感数据访问）、事件级别（严重、警告、一般）、内容、时间进行分析和处理，并进行告警。2) 告警方式：u 提供丰富多样的通知方式，包括短信、邮件、电话和可执行命令行程序等。u 提供SNMP Trap、Syslog两种公共通讯方式发送告警。u 提供与第三方统一电子运维系统的无缝集成能力122、，派发工作单到对应的管理员或用户组。4.9 集中管理平台部署中央管理平台，能够达到以下目的：1) 将来自不同厂家的产品或功能模块整合成为一个整体，真正体现出框架各模块之间的联系；2) 使不同级别的管理员在一个统一的管理系统上、通过一个统一的入口，就可以行使不同的管理权限；3) 在统一身份及访问管理系统其它部分出现故障时，提供一个紧急入口，至少能够通过日志分析，找出事故原因。；4) 能够提供B/S方式的人机接口良好的管理界面，管理员在一点上即可对不同系统中的账号进行管理。支持以B/S方式对主机（Windows/UNIX/LINUX）、网络设备、数据库的定义接入和访问，随机或定时的统一密码修改；5123、) 支持分级部署管理配置，具备统一平台，分散管理的能力。能够提供中心管理和分布管理两种不同管理方式支持基于组织结构平台的管理平台实现； 6) 管理单元支持分级、层次化的授权机制支持基于容器的树状结构管理，支持LDAP的树状管理结构；7) 安全管理员应该可以通过方便的图形用户界面或Web浏览器与系统交互，对用户及信息资源进行管理。4.9.1 子系统管理统一身份及访问管理系统的各子系统，包括集中账号管理系统、集中授权管理系统、集中身份认证系统、集中安全审计系统等。4.9.2 账号管理考虑到中央管理平台虽然是对整个统一身份及访问管理系统进行管理，但是又不可能完全交给一个人进行管理，因此账号必须分级，124、以适应分部门、分管理层次的分级管理要求；不同级别的账号可以行使不同级别的权限，包括对不同的模块进行管理。但是所有级别的管理账号都可以在一个统一的平台下完成管理功能。将用户、主从账号、口令、权限和资源进行有效的统一管理。4.9.3 用户自管理普通用户可以登录中央管理平台对自己身份信息进行维护管理。而且，系统会根据企业的要求、特点制定用户信息自维护的流程。例如，如果需要修改流程中应该包括审计，审批和执行等，并且全过程都会进行审计备案。4.9.4 单点登录用户通过登录中央管理平台账号，可以实现单点登录。4.9.5 权限管理即对不同级别的账号，分配账号能够管理的子系统。4.9.6 数据查询能够对管理数125、据进行统计、查询，包括目前有哪些子系统、有哪些账号、每个账号管理哪些子系统、每个子系统受哪些账号管理，等等。4.9.7 访问审计能够对用户使用账号对资源进行访问操作进行审计。为了保证安全，所有管理过程必须留下详细的日志记录，并且提供对日志的审计、备份功能。4.9.8 系统自管理系统自管理功能主要完成系统的基本配置工作：1) 字典管理：这个功能对各种字典信息进行维护，如政治面貌、省市、地区、国籍等；2) 基本配置信息：这个功能对系统的一些参数进行配置，如LDAP连接信息，数据库连接信息，目录存储的节点位置，列表的分页行数等；3) 信息发布：公告信息的发布；4) 帐号管理Account：将自然人与126、其拥有的所有系统账号关联，集中进行管理，包括按照密码策略自动更改密码，不同系统间的账号同步等。5) 认证管理Authentication：实现业务系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说，身份认证是一个基本的安全考虑。身份认证的方式可以有多种，包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。6) 授权管理Authorization：对用户使用业务系统资源的具体情况进行合理分配的技术，实现不同用户对系统不同部分资源的访问。7) 审计Audit：指收集、记录用户对支撑系统资源的使用情况，以便于统计用户对网络资源的访问情况，不仅能够对人员的登127、录过程、登录后进行的操作进行审计，而且能够将多个主机、设备、应用日志进行对比分析，从中发现问题。并且在出现安全事故时，可以追踪原因，追究相关人员的责任，以减少由于内部计算机用户滥用网络资源造成的安全危害。8) 与PKI和RADIUS系统的结合：着重从企业应用系统的安全性出发，为信息系统提供高安全的认证及加密方式。9) 帐号的生命周期管理：是指对账号从产生到删除各存在状态进行管理。包括对账号属性的更改，口令的重设，账号使用情况的审计等。集中账号管理系统必须覆盖整个生存期管理。10) 自我服务系统：自我服务系统使用户不需要帮助桌面或支持人员的帮助，就能够对自己的基本信息如部门、职务、联系方式、职责128、等进行管理；能够在用户忘记账号口令时重设口令，并且能够提供自动提醒用户修改主账号口令的手段等。自我服务系统使得系统的安全策略得以贯彻，并能显著减轻系统管理人员的维护负担。11) 单点登录SSO：一次登录，到处通行，即用户在SSO服务器上进行一次登录后，在从SSO服务器登出前，访问所有纳入SSO管理范围的应用系统、主机、网络设备时均不需要再次手工登录，而是由SSO系统带为登录。一次登出，全部登出。即用户如果从SSO服务器登出，则当前所有已经登录的、被纳入SSO管理范围的应用系统、主机、网络设备均同时登出。12) 基于堡垒主机技术进行安全访问控制：在知道了使用者的身份并规定了系统范围内的权限，具备129、了对该用户身份的操作检查审计机制后，通过使用堡垒主机或安全网关技术，对使用者的合法系统操作进行协议级层面的控制是系统不可或缺的功能补充。13) 身份管理同步驱动与统一企业安全目录：能够实现对常见操作系统、数据库系统、网络设备、应用系统、业务系统等IT资源系统的帐号拉、推、删除、修改和同步管理，建立企业统一安全目录，梳理用户树（包含主帐号、丛帐号）和资源树的管理关系。产品优势及部署4.10 LanSecS堡垒主机特色1) 统一的web管理方式u 支持B/S架构加密方式，管理LanSecS（堡垒主机）内控管理平台；u Web方式访问资源，用户登录堡垒主机后可以看到所有授权资源列表，访问资源时不用再130、输入帐号和密码，做到真正意义上的单点登录。2) 内含认证组件平台内部提供认证服务器组件，所有对资源的访问都是认证服务器提供的临时会话号，即使会话号被截获，也无法通过此会话号再次访问资源，提高资源访问的安全性。3) 支持强认证方式平台集成多种强认证方式：u 证书认证u 智能卡认证u 短信认证u 生物特征认证（指纹、视网膜等）u 动态口令认证u .4) 简单易用的访问控制策略u 主机命令策略u 访问时间策略u 客户端地址策略u 访问锁定策略5) 强大的查询与审计平台提供强大的查询功能，可以灵活的按照各种查询条件进行查询统计，查询用户的操作行为；对于主机命令查询，一次可以配置多条主机命令，查询的结果131、可方便的形成报表。6) 扩展与集成u 在4A项目中，放弃帐号、认证、授权的集中管理，只提供执行单元，完成基础访问控制和操作审计功能。u 在非4A项目中除提供基础的访问控制和操作审计功能外，还提供精简的帐号、认证、授权集中管理功能。4.11 LanSecS产品功能优势4.11.1 可定制性1) 统一身份及访问管理系统除了满足标准的设备之外，由于各个用户的环境不同，主要的工作是在定制层面；2) 拥有一支资深的软件研发队伍，拥有强大的研发实力，对系统定制能得到迅速和有效的支持；3) 有很多对客户业务系统符合性修改的经验，能快速的满足客户在业务逻辑方面的需求。4.11.2 可扩展性1) 统一身份及访问132、管理系统完全采用模块化的开发模式，系统各模块之间可以灵活的组合与对接，而且可以通过通用接口与第三方的产品进行对接；2) 系统支持现有主流的各种主机设备、操作系统和应用系统；3) 系统能够提供快捷的开发平台，方便用户针对一些特有系统的二次开发；4) 硬件系统采用模块化结构，以保证系统内存、CPU及储存容量的扩展；5) 在软件系统的开发中保持高聚合低耦合原则，模块复用率高，减少系统扩展的复杂性。4.11.3 高安全性1) 自身系统设置了严格的用户帐号安全策略，防止弱口令以及修改口令策略等；2) 用户登录采用强身份认证，而且可以进行各种组合级联认证：如，用户名/密码与RSA SecurID令牌；3)133、 数据传输采用SSL加密传输,包括系统维护，用户登录和日志记录等，保证在传输过程中数据不被窃听；4) 全面、强大的自身审计功能，并且对审计的数据进行完整性校验，保证审计数据不被篡改。4.11.4 高可靠性1) 系统提供硬件和软件的容错、数据存储的备份等系统可靠性措施；2) 重要模块具有自检功能对系统内各功能模块和子系统进行监控；3) 本系统提供热备份和负载均衡特性，可以满足大型分布式网络的需求，扩展服务器带宽和增加吞吐量，加强数据处理能力；4) 系统提供分级，旁路等灵活的部署方式，减少对用户现有系统的影响；4.11.5 易用性1) 系统提供详细的帮助手册，并且系统还提供了在线帮助功能，用户直接134、在界面上可以查看帮助信息；2) 提供通用的用户界面，操作及选择键的功能定义在全系统保持一致；4.12 LanSecS内控堡垒主机典型部署4.12.1 单区域堡垒机部署4.12.2 多区域堡垒机部署第五章 Imperva数据库安全审计解决方案5.1 Imperva公司数据库安全解决方案5.1.1 SecureSphere Database Activity Monitoring GatewaySecureSphere Database Activity Monitoring Gateway提供了数据库审计的自动化工具，可以帮助用户完美的完成法规遵从的各种要求，包括初始化、持续的数据库评估、控制、135、审计、监控以及风险衡量等。SecureSphere将提供独立、详尽的数据库访问记录，包括通过Oracle E-Business Suite, SAP, PeopleSoft等著名第三方应用，或者自定义的应用对数据库的访问，也包括数据库管理员对数据库的本地直接访问。所有的审计和报告功能都由独立的SecureSphere设备完成，对于数据库性能没有任何的影响；也无需用户不断手工调整各种审计参数，SecureSphere提供了大量缺省的审计策略模板和法规遵从模板。DAM网关可选择使用专用硬件网关，也提供虚拟网关。5.1.2 SecureSphere Database Firewall Gateway136、SecureSphere Database Firewall Gateway提供了DAM的所有功能，同时还可以对数据库架构以及敏感数据的访问提供保护和控制。SecureSphere采用自动建模的方法以及各种安全策略，可将控制范围细化到每一个应用程序、每一个用户、每一个查询来进行安全保护。并对数据库的各种安全漏洞提供了多层次的防御保护，包括安全威胁签名、攻击关联检查、数据库协议分析等等。DBF网关也同时提供硬件和虚拟设备两种选择。5.1.3 SecureSphere Discovery and Assessment ServerSecureSphere Discovery and Assessm137、ent Server为企业提供了简单有效的发现数据资产、归属数据来源、分类数据属性、评估数据库缺陷、发现错误数据库配置以及潜在漏洞的工具。SecureSphere Discovery and Assessment Server为客户提供了自动化的评估工具，大大减少了客户繁重、重复的人工审核评估流程。另外，该工具还提供了图形视图的风险分析工具，为用户提供了各种风险分布及情况的关键视图，为用户优化安全方案，加强法规遵从提供了指导依据。User Rights Management（URM）也可以作为SecureSphere Discovery and Assessment Server（DAS）产品138、的一个附加模块。URM可以帮助用户集中化管理各种数据库权限。帮助企业安全管理员、数据库管理员、审计团队了解各种权限和敏感数据的关系、是否存在权限滥用的或者冬眠的权限账号。使用URM，企业可以很好的遵从SOX、PCI 7、PCI 8.5中相关审计的需求。5.1.4 SecureSphere MX Management ServerSecureSphere MX Management Server提供了集中化管理、报告多个网关的功能。可统一为多个网关设备设定策略、实时监控、日志、报告。MX管理服务器也同样可提供硬件和虚拟两种平台。5.1.5 Imperva Application Defence 139、Centre (ADC)Imperva Application Defence Centre是Imperva公司全球安全研究机构，该机构每日扫描和发现全球最新的应用安全威胁，并及时将研究结果更新给用户。目前SecureSphere系列产品中的签名信息超过了6000多种。这些签名信息，包括了对数据库的后门、缓冲区溢出、敏感数据泄露、蠕虫以及其他的重大数据库安全漏洞。该研究中心由Imperva公司CTO，Amichai Shulman先生带领（2006年被InfoWorld评为年度最佳CTO）。ADC专注于研究和发现最新的网页应用、数据库应用的最新安全威胁和风险，并将这些研究成功及时更新到Secu140、reSphere产品中。更多详细信息可以参考，ADC官方主页：ADC最新研究结果公布：ADC发布白皮书：5.1.6 SecureSphere优势（专利）技术Imperva SecureSphere产品在行业中拥有着绝对领先的优势技术：l 动态建模技术 Dynamic Profiling该技术可以通过分析实时流量，自动的侦测和学习各种应用的行为和使用模型，从而为每一个用户形成一个正确使用数据的安全基线（Profile），这种安全基线（Profile）将不断根据使用情况的变化而动态调整。SecureSphere可将用户的各种使用活动比对安全基线（Profile）信息，从而在发现未授权的使用行为或者141、异常的访问活动时实时发出警告并阻断。l 全局用户跟踪Universal User Tracking 该技术可将数据库访问的各种活动同各个用户关联起来，从而帮助企业方便的审计和控制用户访问敏感数据。无论用户是通过网页应用访问数据库还是通过本地控制台，SecureSphere都可以准确的最终用户信息，而且该技术无需修改数据库配置或者应用程序参数。l 透明检测Transparent Inspection该技术实现了透明的分析应用逻辑和数据使用，无需修改任何应用、数据库或者是网络架构，并且可高性能的处理几个G的业务流量，延迟仅在亚毫秒级别（串联模式下）。l 相关攻击验证Correlated Attac142、k Validation该技术可识别各种复杂高超的渗透攻击技术，为数据库系统提供最高级别的安全防御。SecureSphere将观察一段时间内的、贯穿应用使用各个层次的相关信息，确定可疑行为是否确实是一个攻击行为，最终可以实现阻断并保护数据库。5.2 技术实现5.2.1 SecureSphere 专用硬件平台Imperva SecureSphere硬件平台提供了卓越的性能和高可靠性，适合于各种网络环境。硬件平台提供Fail Open的网卡，可在出现故障时快速实现故障切换。设备还提供带外管理接口，提高了管理的安全性。前面板的各种提示信息也方便用户快速了解设备运行状态。用户可以根据需要监测的数据库流143、量来选择合适的硬件网关。X系列硬件网关：如果环境中有多台网关，或者需要获得更佳的网关工作性能，还可以选择专用的管理服务器。MX管理服务器：5.2.2 数据库代理（Agent）SecureSphere对于特定的需要监控数据库本地操作的场景，可以选择在数据库服务器上安装Database Agent，该代理程序可以监控所有到达该数据库的各种数据库活动进行监控，包括Telnet、SSH、RDP、IPC等各种TCP或UDP隧道。Imperva提供了支持多种操作系统、多种数据库类型的代理程序安装文件，包括windows、Linux、AIX、HPUnix、Solaris等等。Agent代理程序具备以下主要特144、性： 数据库代理程序采用轻型工作架构，对数据库本机影响很小。通常在流量峰值时刻，最高5-7%的CPU峰值，也可以设置CPU耗用最高上限值。 提供高级过滤功能，确保只将需要分析的数据库活动发送给SecureSphere网关。 可监控所有的数据库活动内容，无论是通过本地操作（Bequeath, named Pipes,等等），还是网络访问。 可集中配置和管理Agent。 代理程序支持注册到两个SecureSphere网关，实现高可用。数据库代理工作原理图5.2.3 集中管理架构SecureSphere提供了灵活的三层管理架构，方便用户可以同时管理多个SecureSphere网关，并可以集中策略管理145、和日志查询。三层管理架构说明：第一层：网页管理界面，提供https加密管理界面。第二层：SecureSphere管理服务器，对所有的网关设备提供集中管理，以及日志汇聚。第三层：SecureSphere网关，执行各种数据库活动审计和数据库保护。5.3 部署方案5.3.1 嗅探部署方案SecureSphere 使用无在线故障点和性能瓶颈的透明网络网关，以确保为部署和集成消除此类安全产品通常所具有的风险。阻止是通过发送 TCP 重置实现 - 但这无法保证阻止操作一定成功，因此 TCP 重置可能：m不能到达受保护的服务器m被发送设备忽略嗅探网关是一种被动嗅探设备。用于连接企业集线器与交换机，可控制受保146、护服务器的通信。通信信息将会被复制到该设备，而不会直接通过。因为不是在线的，因此嗅探网关不会影响性能，也不会影响服务器的稳定性。单个 SecureSphere 网关可以轻松监控多个网段，因为它包含多个可用于嗅探不同网段的网络接口端口。唯一的限制就是其所能处理的通信量。单个网关可以监控不同类型的服务器（例如：Web 服务器、数据库和电子邮件服务器）。不需要在多个不同网关之间分离这些任务。5.3.2 桥接部署方案如果要为数据中心提供最高级别的安全性保护，则可以将 SecureSphere 网关部署为桥接模式。在此部署方案中，网关充当外部网络与受保护的网段之间的连接设备。网关将阻止在线（即：丢弃包）147、恶意通信。一个在线网关虽然能够保护最多两个网段并拥有六个网络接口端口。但不能工作于在线/嗅探混合模式。其中的两个端口用于管理：一个用于连接管理服务器，另一个是可选的，可用于连接外部局域网。其他四个端口属于两个用于在线检查的网桥。每个网桥都包含一个外部网络端口和一个受保护网络端口。5.3.3 代理部署方案通过在数据库服务器上安装代理软件，从而实现本地或者网络上数据库访问的审计。这种方法可以通上面两种网络部署模式进行混合部署。带程序采用轻量级的代理程序设计，低 CPU 使用率 (可设定上限)低内存使用率 (可设定上限)极低的 I/O 开销加密数据传输支持两种工作模式：Local 仅捕捉本地特权访问148、Global 完整的数据库代理审计功能，包括本地访问和网络访问。 5.4 工作原理图下面的图形是SecureSphere各组件协同工作的工作原理图。管理员可以通过浏览器管理界面将配置信息发送到管理服务器，由管理服务器下发到SecureSphere网关；被监控的数据被送达SecureSphere网关，网关中的分析引擎会根据预定义的审计规则和安全规则进行匹配。如果需要阻断，安全检测引擎将发送阻断信息或丢弃数据包。相应的告警将被发送到管理服务器。工作原理图5.5 SecureSphere逻辑架构层次为了方便客户理解，我们把SecureSphere工作层次划分为6个逻辑层次，每一个层次在数据监控和安全149、管理中都有着不同的职责。SecureSphere工作逻辑层次5.5.1 用户界面层User Interface Layer用户界面层位用户提供了安全的用户管理界面可以监控和管理数据库安全配置、数据库安全事件、数据库审计。用户界面层无需用户安装任何软件，只需要在普通PC上的浏览器就可以进行管理了。5.5.2 管理和报告层Management & Reporting LayerImperva的管理服务器位于该层工作，并为后台的系统 集中管理和报告提供服务。所有的系统配置、网关活动均由管理服务器来实现管理。5.5.3 分析层Analysis Layer分析层是由Imperva的网关构成的。分析层的主150、要工作就是汇聚和分析该层获得或者更底层获得的SQL交易信息。所有的处理逻辑学习、分类、存储和获取SQL应用流量都是在这一层进行的。如果网关设备是串联部署的，那么网关则可以实时阻断未授权的网络数据库活动。网关部署的位置也应该是在数据库访问客户端和数据库服务器之间。5.5.4 存储层Storage Layer存储层是同时和管理及报告层以及分析层协同工作的层次。一方面，存储层可以为网关设备提供在线的SQL交易记录存储；另一方面，也可以作为管理服务器外部存档的存储空间。Imperva网关针对数据库审计数据巨大的客户提供SAN（Storage Area Network）的扩展，可实时将巨大的审计数据记录151、到SAN中。对于需要定期存档的审计数据，则可以通过管理服务器定期归档到外部的NAS上。5.5.5 收集层Collection Layer收集层主要是收集所有需要分析和审计的数据库活动。一方面，我们可以通过网关设备直接采用旁路监听或者串联接入的方式，无需在DB上安装组件，就可以收集到需要监控和分析的数据；但是，另一方面，对于一些非网络或者SSH、RDP之类的无法进行网络分析的场景进行监控，我们可以采用数据库代理的方式来收集数据库本地活动信息。我们可以混合使用这两种方式来进行数据库活动收集。5.5.6 数据库访问层DB Access Layer数据库访问层代表了所有可能访问数据库的主机、中间件、应152、用等等。这个层次代表了数据库安全系统需要管理的IP地址、主机名、用户名、应用程序等等。5.6 数据捕获SecureSphere对数据库活动数据的捕获并不是通过数据库本身的审计日志、触发器、交易记录等，而是完全通过分析网络数据或者本地通讯数据本身。通过对数据库协议和应用本身的理解，了解其中的具体数据和内容。而采用其他方法则存在了许多弊病： 造成数据库额外的负载开启数据库自身的审计功能，通常会造成10-25%的性能下降，这会大大影响数据库的自身性能，而且如果需要分析交易日志以及其关联的逻辑联系则需要更大的性能开销。 篡改的问题数据库自身的审计功能，通常仍然由DBA管理，这样审计的独立性很难保证，可153、能会出现DBA篡改审计日志的问题。 缺失的操作信息数据库自身的交易记录是不提供DCL操作的内容的，例如，SHUTDOWN，GRANTs等 缺失的用户信息一些数据库是不会提供SYSDBA的操作审计日志的，例如，Oracle。同时，交易日志也无法提供访问者的详细用户信息（OS用户名、主机名、IP、通过何种应用程序访问的，等）5.7 SecureSphere多层安全检查机制SecureSphere产品充分考虑到目前的复杂安全环境，需要在多个层次对各种安全威胁检查才可以对数据库提供足够的安全保障。SecureSphere的安全模型中提供了包括防火墙、签名、协议检查、Profile、攻击关联等多种检查机154、制来综合验证可疑的访问行为。SecureSphere安全检测引擎5.7.1 数据库 IPSSecureSphere 数据库IPS 基于特征来识别以已知数据库平台软件漏洞为攻击目标的攻击。通过将与 Snort 兼容的特征数据库和由 Imperva 的国际安全研究机构 应用防御中心 (ADC) 开发的特定于专用数据库的特征相组合，SecureSphere 的独有 IPS 技术完全满足数据库部署的要求。 ADC 还利用上下文属性（如受影响的系统、风险、准确度和攻击频率）对每个特征进行优化。用户可利用这些属性自定义 IPS 策略，使其符合特定环境。最后，Imperva 的数据中心安全更新服务每周自动进155、行特征更新，以确保持断实施最新保护。5.7.2 集成防火墙功能SecureSphere集成了部分网络防火墙功能。可以在网络层过滤不需要开放的协议、网络、用户等等。通常在同类产品中是无法提供这部分功能的。5.7.3 动态建模SecureSphere的动态建模技术可监视实时数据库通信，从而创建经过验证的代表每个用户正常行为的基准模型。然后，通过比较该模型与所观察的行为，SecureSphere就可识别与模型存在重大差异的活动。例如，如果一个无需知道业务信息的数据库管理员突然检索了 10000 条客户记录，则SecureSphere会设立一个标记。动态建模的核心是统计学习算法，该算法可将模型中的随机156、事件过滤掉，并使系统随着时间的逐渐推移不断适应合法行为的变化。其他审计系统宣称具有“学习”能力，其实仅会在指定学习期限内不加区分地记录所有活动。市场上这些同类产品所采用的这种过分简单化的方法存在着两个问题。1.由于其他产品在单调记录期间将所有活动都包含到基准模型中，因此随机事件和可能的异常事件均成为基准的一部分。相反，SecureSphere 学习算法会将随机事件从模型中过滤掉。SecureSphere 具备数据库漏洞知识，因而能够将企图利用这些漏洞的异常事件过滤出来。2.一旦其他同类产品的指定单调记录期限结束，合规管理人员就必须不断地手动更新基准，以及时反映数据库活动的变化。如果这些产品在某157、一时间自动学习而成一个新的基准，则它们将丢失对基准所做过的所有手动更改。相反，SecureSphere 学习算法从不会停止其作用。每个模型都会随着时间不断适应行为变化，且随时都可手动修改模型。由于 SecureSphere 的动态建模技术能持续见效，因此除了标准的审计记录外，还可以配置差异能够触发实时警报。在实时警报的协助下，SecureSphere 管理员就可在必要时，立即对严重事件做出响应。5.7.4 数据库协议验证攻击者可能会利用数据库协议漏洞来达到各种欺诈目的：未经验证的数据访问、绕过自身审计日志等。为了检测此类活动，SecureSphere采用了业界独有的数据库协议验证技术。该技术采158、用了 Imperva 的应用防御中心 (ADC) 开发的一种独特的数据库协议结构模型，该模型用作对比当前协议消息和期望消息的基准。任何与期望消息不符的情况均会记录下来，并列入预配置报告供审计人员查看。数据库协议验证技术在业界是独一无二的，原因如下: 数据库协议不符合任何开放标准。它们是每个数据库供应商所专有的，而且获得这些文档非常不容易，甚至根本无法获得。而SecureSphere协议模型只要通过广泛的基础研究即可获得。 新的数据库软件版本中数据库协议经常有所修改，而且这种修改并不公开通知。为了持断向SecureSphere客户提供所有协议支持，应用防御中心 (ADC) 会不断对每个协议进行跟159、踪和测试。任何对协议验证模型的必要更改以及其他监视功能会随 ADC 发送给所有SecureSphere客户的每周自动更新得到更新。由于这些挑战的存在，其他所有数据库监视系统供应商均无法解决与协议验证相关的技术难题和操作难题。5.8 Imperva数据库安全方案的优势相对于其他同类解决方案，Imperva方案具备如下优势：l 完整的数据库安全解决方案，包括数据库安全评估、数据库审计、数据库防火墙、数据库用户权限管理、数据库企业应用支持等多个功能模块。l 行业中支持数据库种类最多、覆盖面最广最完整的数据库审计及安全方案l 支持多种部署方式。部署方案完全不影响现有网络架构，不变更数据库现有配置和性能160、，无需安装任何附加软件和插件。l 预置了上千种的数据库软件弱点、安全配置检查、访问权限检查的扫描规则，可定期检查数据库配置，发现弱点后并可结合防火墙功能进行虚拟补丁。l 提供了数据库发现和敏感数据分类功能，可计划扫描数据库发现新增数据库服务和敏感数据所在，导入后可直接作为审计和安全策略的对象。l 强大的数据库用户权限管理功能，可集中管理和审查所有的已有数据库账号权限是否分配合理，是否存在权限滥用和冬眠账号。l 数据库审计和安全的全部场景的覆盖，包括对数据库直接连接的访问，以及前台应用程序对数据库的访问；如果应用通过加密方式访问数据库，同样应该可以监控或审计。l 行业中最详尽的数据库审计方案，可161、以提供25种以上的审计字段，包括可以对操作系统账号、源应用程序、Bind变量、数据库查询响应内容等。l 独一无二的用户跟踪能力，无需特殊设定即可分析获得数据库的数据库用户、源IP、主机名、源应用程序、操作系统账号等信息；通过自身产品配置可实现对前台Web用户和后台数据库查询的关联分析；企业应用（SAP、EBS、People Soft）应用用户和后台数据库查询的关联分析。l 数据库防火墙功能，提供了基于数据库已知攻击的特征签名防护；还可以使用数据库动态模型策略自动发现异常数据库访问行为；也可以用户自定义数据库安全访问策略。l 专利技术的数据库动态建模技术。可根据用户环境中，正常数据库访问流量，动态建立数据库访问的正常行为基线，从而发现异常数据库访问行为，并可进行实时告警和阻断。l 实时告警功能，对于违反安全策略的数据库访问第一时间进行告警，可支持邮件、syslog、snmp、自定义脚本等多种实时告警输出方式，保证管理员第一时间发现危险的数据库操作。l 独立、加密存储审计日志，保证审计系统的独立性l 可无缝扩展Imperva的其他方案，例如网页应用防火墙、文件安全解决方案等。这些方案可运行在相同平台上，并使用统一界面管理。