針對這些方面的要求，此系統(tǒng)均提供了很好的支撐。

　　二．系統(tǒng)簡介

　　 此系統(tǒng)集認證、授權、安全響應和安全審計為一體，為計算機系統(tǒng)提供了一個統(tǒng)一、集中的授權、訪問控制和審計平臺。

　　三．系統(tǒng)構成

　　系統(tǒng)典型的配置和部署如下圖所示。

 　　系統(tǒng)典型配置

　　安全風險往往出現(xiàn)在"不同"之中，出現(xiàn)在"設想"之外。

此系統(tǒng)從多角度顯示系統(tǒng)在怎樣的運行、后一時刻與前一時刻的運行有何不同，系統(tǒng)的實際運行狀況與設計（或設想）的運行模式有何不同，并針對這些不同作出恰當?shù)捻憫?

　　系統(tǒng)基于”IP數(shù)據(jù)俘獲→強身份認證→應用層數(shù)據(jù)分析→審計和響應”實現(xiàn)各項功能，設計中充分貫徹了平臺化的思路，使得它具備”安全認證和審計工具”的特征，與基于日志收集的審計系統(tǒng)有著很大的區(qū)別。

　　基于日志收集的審計系統(tǒng)將原系統(tǒng)中的日志信息收集起來，綜合形成審計報告，審計功能受限于原系統(tǒng)的日志功能和訪問控制功能，在審計深度、審計響應的實時性方面都難以獲得很好的審計效果。

　　在基本安全功能的基礎上，此系統(tǒng)可針對具體的應用需求，如FTP/Telnet系統(tǒng)維護操作、SQL數(shù)據(jù)庫維護操作，制定應用級別的認證和審計策略，使得系統(tǒng)能針對具體的應用或業(yè)務系統(tǒng)實現(xiàn)命令級別、訪問邏輯級別的的認證和審計。如果再輔以專業(yè)安全服務商提供的安全咨詢和服務，此系統(tǒng)可以更及時、準確地反映系統(tǒng)的安全運行狀況，并進行相應的控制。

　　此系統(tǒng)主要實現(xiàn)以下安全功能：

　　1. 強身份認證和訪問控制：基于CA數(shù)字證書或一次性動態(tài)口令對訪問者進行身份認證，之后根據(jù)經(jīng)認證的身份實現(xiàn)訪問控制，禁止非法用戶訪問被保護的信息。

　　2. 應用級的安全審計和響應：特有的”策略庫（Application Policy Library）”可以深入到應用層協(xié)議（如操作命令、業(yè)務操作過程）實現(xiàn)詳細的安全審計，并根據(jù)安全策略采取諸如記錄、審計、告警、阻斷等響應。

　　3. 提供多視角的審計報告：根據(jù)實時記錄的網(wǎng)絡訪問情況，提供多種安全審計報告，更清晰地了解系統(tǒng)的使用情況以及安全事件的發(fā)生情況，并可根據(jù)這些安全審計報告進一步修改和完善”策略庫（Application Policy Library）”。

　　系統(tǒng)-Console管理控制臺：安裝于Windows2000操作系統(tǒng)之上，提供管理控制界面。
　　系統(tǒng)-Server認證審計服務器：基于專門硬件構建，負責安全策略的生成、解釋、管理，審計數(shù)據(jù)的記錄和整理。
　　系統(tǒng)-Sensor嗅探器：基于專門硬件構建，根據(jù)安全策略對俘獲的數(shù)據(jù)進行比對、分析，并做出響應動作，如告警、阻斷等。
　　系統(tǒng)-Agent認證代理：安裝于客戶端計算機之上，配合此系統(tǒng)-Sensor完成用戶的強身份認證。
　　系統(tǒng)-PL（Policy Library）策略庫：針對不同的應用協(xié)議、應用（業(yè)務）系統(tǒng)提供狀命令級的安全策略支持。是此系統(tǒng)系統(tǒng)中最具特色、最具價值的模塊。

　　此系統(tǒng)獨具特色的”策略庫（Policy Library）”設計，使得系統(tǒng)不但具備了功能強大的安全審計功能，更具備了網(wǎng)絡安全分析工具及”應用層IDS”的特征。用戶可以自己定義符合業(yè)務特征的”策略庫”，也可選用針對特定業(yè)務系統(tǒng)設計的”策略庫”。

　　策略庫分為兩類：基礎策略庫，和針對具體應用、具體業(yè)務的策略庫。

　　基礎策略庫（Basic PL）提供了基于IP報的安全策略的制定功能。用戶可以直接編輯安全策略，也可利用此系統(tǒng)提供的”錄制”功能，在俘獲的IP報的基礎上，提煉出符合需要的安全策略。

　　應用策略庫則針對不同的通信協(xié)議、業(yè)務系統(tǒng)進行設計，目前提供了數(shù)據(jù)庫（DB）策略庫（PL/DB）、Unix主機策略庫（PL/UMG），并提供了專門的模塊，以支持SSH協(xié)議和遠程桌面終端登錄（RDP、3389協(xié)議）的審計。

　　針對不同協(xié)議或業(yè)務系統(tǒng)的應用 “策略庫（Policy Library）”使得用戶可以靈活地制定數(shù)據(jù)俘獲、安全審計及響應策略，根據(jù)系統(tǒng)實際的運行情況輸出恰當?shù)膶徲媹蟾?，更全面、更有重點地了解和掌握系統(tǒng)的運行狀況。

　　隨著研發(fā)工作的不斷深入，我們還會根據(jù)不同的應用協(xié)議或應用系統(tǒng)開發(fā)出具備應用特征、行業(yè)特征的”策略庫（Policy Library）”。這也是此系統(tǒng)最具生命力的特點：隨著系統(tǒng)的應用和 “策略庫（Application Policy Library）”的及時更新， 系統(tǒng)所提供的功能將越來越豐富、越來越接近用戶的實際使用需求。

四．主要功能

　　系統(tǒng)具備四大功能：強身份認證、操作審計、系統(tǒng)性能監(jiān)控和故障分析，并提供可定制的審計報表。

　　◇　強身份認證功能在不改變原系統(tǒng)的網(wǎng)絡配置、軟件的前提下，為系統(tǒng)增加一層安全措施，同時也為集中用戶管理和鑒權提供了技術支撐。
　　◇　操作審計功能真實地解析、分析、記錄用戶操作，當發(fā)現(xiàn)越權操作時，及時告警或阻斷。
　　◇　系統(tǒng)性能監(jiān)控和故障分析則對系統(tǒng)關鍵資源進行實時監(jiān)控，提供響應時間、響應結果的統(tǒng)計；根據(jù)原始信息分析出系統(tǒng)性能波動、系統(tǒng)故障的原因。
　　◇　可定制的審計報告功能允許用戶根據(jù)需要設定審計報表內(nèi)容，從而為系統(tǒng)提供了一種方便、直觀、高效的信息輸出機制。

　　強身份認證和關聯(lián)審計、控制

　　◇　保證只有授權的認證用戶才可登錄到被保護的網(wǎng)段、主機或業(yè)務系統(tǒng)

• 　系統(tǒng)提供了基于CA證書或動態(tài)口令的強身份認證機制；

• 　訪問被保護資源時，需要向系統(tǒng)提交合法的CA證書或一次性動態(tài)口令；

　　　　　完成身份認證后，開放相應的訪問權限；并根據(jù)針對該用戶設定的策略進行審計或控制。

　　◇　對共用賬號的使用進行細粒度的區(qū)分和審計

• 　　　　　多人同時使用一個系統(tǒng)賬號時，基于身份、IP地址等信息，分辨出每個登錄操作者的真實身份，從而進一步細分訪問權限。

　　深入主機、數(shù)據(jù)庫、業(yè)務系統(tǒng)進行操作審計和控制

　　◇　針對主機維護常用協(xié)議，包括FTP、Telnet、rlogin、RCP、SSH等進行命令級的審計和控制；
　　◇　對數(shù)據(jù)庫操作進行命令級、過程級的審計和控制，支持Oracle、Informix 、DB2、Sybase 、MS SQL Server 等主流數(shù)據(jù)庫；
　　◇　針對C/S、B/S業(yè)務系統(tǒng)提供操作審計和控制；
　　◇　用戶自行定義響應內(nèi)容及其響應方式；
　　◇　實時顯示當前用戶登錄情況，可對會話進行實時監(jiān)控。

　　系統(tǒng)性能監(jiān)控和輔助故障分析

　　系統(tǒng)像一臺示波器或邏輯分析儀，可以根據(jù)需要采集并顯示相關信息，為系統(tǒng)性能分析、故障排查提供有力的支持。

　　◇　系統(tǒng)性能監(jiān)控；
　　◇ 　故障分析；
　　◇　通信協(xié)議跟蹤和分析 。

　　強大的審計報表 系統(tǒng)提供了強大的審計報表功能，管理員可以根據(jù)關心的內(nèi)容設置審計報表的輸出。

　　◇　提供多種查詢方式，從多種角度入手，搜尋出用戶關心的內(nèi)容，最終跟蹤到操作人；
　　◇　IP地址、時間，及原始的操作數(shù)據(jù)等；
　　◇　根據(jù)自定義的審計規(guī)則，自動生成審計報告。

　　五．典型應用

　　本系統(tǒng)基于”IP數(shù)據(jù)俘獲→強身份認證→應用層數(shù)據(jù)分析→審計和響應”實現(xiàn)各項功能，無需改變原系統(tǒng)的網(wǎng)絡結構就可以迅速地在系統(tǒng)中進行布置。

　　中小網(wǎng)絡應用

　　配置要點：

　　系統(tǒng)-Server和系統(tǒng)-Sensor安裝在一個硬件平臺上，接入集線器或交換機的鏡像端口；
　　系統(tǒng)-Console安裝于內(nèi)網(wǎng)任意一臺Windows2000/XP的計算機上；

　　需要認證的用戶配發(fā)USB令牌并安裝此系統(tǒng)-Agent認證代理軟件。

四．主要功能

　　系統(tǒng)具備四大功能：強身份認證、操作審計、系統(tǒng)性能監(jiān)控和故障分析，并提供可定制的審計報表。

　　◇　強身份認證功能在不改變原系統(tǒng)的網(wǎng)絡配置、軟件的前提下，為系統(tǒng)增加一層安全措施，同時也為集中用戶管理和鑒權提供了技術支撐。
　　◇　操作審計功能真實地解析、分析、記錄用戶操作，當發(fā)現(xiàn)越權操作時，及時告警或阻斷。
　　◇　系統(tǒng)性能監(jiān)控和故障分析則對系統(tǒng)關鍵資源進行實時監(jiān)控，提供響應時間、響應結果的統(tǒng)計；根據(jù)原始信息分析出系統(tǒng)性能波動、系統(tǒng)故障的原因。
　　◇　可定制的審計報告功能允許用戶根據(jù)需要設定審計報表內(nèi)容，從而為系統(tǒng)提供了一種方便、直觀、高效的信息輸出機制。

　　強身份認證和關聯(lián)審計、控制

　　◇　保證只有授權的認證用戶才可登錄到被保護的網(wǎng)段、主機或業(yè)務系統(tǒng)

• 　系統(tǒng)提供了基于CA證書或動態(tài)口令的強身份認證機制；

• 　訪問被保護資源時，需要向系統(tǒng)提交合法的CA證書或一次性動態(tài)口令；

　　　　　完成身份認證后，開放相應的訪問權限；并根據(jù)針對該用戶設定的策略進行審計或控制。

　　◇　對共用賬號的使用進行細粒度的區(qū)分和審計

• 　　　　　多人同時使用一個系統(tǒng)賬號時，基于身份、IP地址等信息，分辨出每個登錄操作者的真實身份，從而進一步細分訪問權限。

　　深入主機、數(shù)據(jù)庫、業(yè)務系統(tǒng)進行操作審計和控制

　　◇　針對主機維護常用協(xié)議，包括FTP、Telnet、rlogin、RCP、SSH等進行命令級的審計和控制；
　　◇　對數(shù)據(jù)庫操作進行命令級、過程級的審計和控制，支持Oracle、Informix 、DB2、Sybase 、MS SQL Server 等主流數(shù)據(jù)庫；
　　◇　針對C/S、B/S業(yè)務系統(tǒng)提供操作審計和控制；
　　◇　用戶自行定義響應內(nèi)容及其響應方式；
　　◇　實時顯示當前用戶登錄情況，可對會話進行實時監(jiān)控。

　　系統(tǒng)性能監(jiān)控和輔助故障分析

　　系統(tǒng)像一臺示波器或邏輯分析儀，可以根據(jù)需要采集并顯示相關信息，為系統(tǒng)性能分析、故障排查提供有力的支持。

　　◇　系統(tǒng)性能監(jiān)控；
　　◇ 　故障分析；
　　◇　通信協(xié)議跟蹤和分析 。

　　強大的審計報表 系統(tǒng)提供了強大的審計報表功能，管理員可以根據(jù)關心的內(nèi)容設置審計報表的輸出。

　　◇　提供多種查詢方式，從多種角度入手，搜尋出用戶關心的內(nèi)容，最終跟蹤到操作人；
　　◇　IP地址、時間，及原始的操作數(shù)據(jù)等；
　　◇　根據(jù)自定義的審計規(guī)則，自動生成審計報告。

　　五．典型應用

　　本系統(tǒng)基于”IP數(shù)據(jù)俘獲→強身份認證→應用層數(shù)據(jù)分析→審計和響應”實現(xiàn)各項功能，無需改變原系統(tǒng)的網(wǎng)絡結構就可以迅速地在系統(tǒng)中進行布置。

　　中小網(wǎng)絡應用

　　配置要點：

　　系統(tǒng)-Server和系統(tǒng)-Sensor安裝在一個硬件平臺上，接入集線器或交換機的鏡像端口；
　　系統(tǒng)-Console安裝于內(nèi)網(wǎng)任意一臺Windows2000/XP的計算機上；

　　需要認證的用戶配發(fā)USB令牌并安裝此系統(tǒng)-Agent認證代理軟件。

zengdongjun