帕拉迪統(tǒng)一安全管理與綜合審計(jì)系統(tǒng)技術(shù)說明書

目錄一．主機(jī)平安現(xiàn)狀分析 31.1 網(wǎng)絡(luò)服務(wù)器平安隱患 3 企業(yè)網(wǎng)絡(luò)平安風(fēng)險(xiǎn)分析 3 嚴(yán)格分權(quán)管理問題 41.2 SOX(薩班斯法案)與IT運(yùn)維管理 4二．帕拉迪網(wǎng)絡(luò)平安管理系統(tǒng)產(chǎn)品優(yōu)勢 52.1超強(qiáng)的規(guī)范管理實(shí)力 62.2最細(xì)粒度的審計(jì)查詢功能 62.3“零”影響部署 7三．帕拉迪網(wǎng)絡(luò)平安管理系統(tǒng)功能介紹 73.1帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)理念 7可視 7可控 8可管理 8可跟蹤 8可鑒定 83.2帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)應(yīng)用 8內(nèi)部網(wǎng)絡(luò)行為管理 8對網(wǎng)絡(luò)邊界網(wǎng)關(guān)設(shè)備的管理 9對數(shù)據(jù)庫的管理 9對黑客行為的防范 93.3產(chǎn)品采納的關(guān)鍵技術(shù) 9程序重用與限制技術(shù) 9邏輯吩咐自動(dòng)識別技術(shù) 10分布式處理技術(shù) 10實(shí)時(shí)監(jiān)控技術(shù) 10日志轉(zhuǎn)儲技術(shù) 10加密傳輸技術(shù) 10多進(jìn)程/線程與同步技術(shù) 11自動(dòng)報(bào)表生成技術(shù) 113.4帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)功能 11產(chǎn)品組件 11細(xì)粒度策略限制功能 11精確日志查詢檢索功能 12菜單類操作回放審計(jì)功能 13密碼代填 13帳號密碼的平安管理 14標(biāo)準(zhǔn)Radius認(rèn)證接口 15擴(kuò)展吩咐 15 FTP/SFTP文件平安傳輸 16跳轉(zhuǎn)登錄操作的智能審計(jì) 16支持標(biāo)準(zhǔn)SYSLOG日志 17日志格式多樣化 17圖形操作審計(jì) 18雙機(jī)熱備 20服務(wù)器集群 21操作“現(xiàn)場回放” 213.5帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)應(yīng)用 22平安管理ISO17799 22 IT運(yùn)維管理ITIL 23 IT內(nèi)控和SOX/COBIT 23四．PLDSECSMS典型部署模型 234.1網(wǎng)關(guān)方式部署 234.2服務(wù)器方式部署 24一．主機(jī)平安現(xiàn)狀分析當(dāng)前隨著信息技術(shù)的發(fā)展和信息化建設(shè)的高速推動(dòng)，業(yè)務(wù)應(yīng)用、辦公系統(tǒng)的不斷開發(fā)和投入運(yùn)行。而支撐這些系統(tǒng)的運(yùn)行平臺網(wǎng)絡(luò)/Linux主機(jī)被廣泛應(yīng)用，在電信運(yùn)營商、財(cái)稅、公安、金融、電力、大型公司和聞名門戶網(wǎng)站，更是運(yùn)用數(shù)量眾多的網(wǎng)絡(luò)/Linux主機(jī)來運(yùn)行關(guān)鍵業(yè)務(wù)，供應(yīng)電子商務(wù)、數(shù)據(jù)庫應(yīng)用、運(yùn)維管理、ERP和協(xié)同工作群件等等的服務(wù)。網(wǎng)絡(luò)服務(wù)器平安隱患由于缺乏相應(yīng)的先進(jìn)工具和手段，企業(yè)無法保證系統(tǒng)管理員嚴(yán)格依據(jù)規(guī)范來進(jìn)行管理，如無法保證系統(tǒng)管理員的真實(shí)管理行為/管理報(bào)告和規(guī)章制度要求一樣，造成企業(yè)網(wǎng)絡(luò)及服務(wù)器常處于不行信、不行控、不行視狀態(tài)。面對系統(tǒng)和網(wǎng)絡(luò)平安性、IT運(yùn)維管理和IT內(nèi)控外審的挑戰(zhàn)，管理人員須要有效的技術(shù)手段，依據(jù)行業(yè)標(biāo)準(zhǔn)進(jìn)行精確管理、事后追溯審計(jì)、實(shí)時(shí)監(jiān)控和警報(bào)。如何提高系統(tǒng)運(yùn)維管理水平，滿意相關(guān)標(biāo)準(zhǔn)要求，防止黑客的入侵和惡意訪問，跟蹤服務(wù)器上用戶行為，降低運(yùn)維成本，供應(yīng)限制和審計(jì)依據(jù)，已經(jīng)成為越來越困擾這些企業(yè)的問題。企業(yè)網(wǎng)絡(luò)平安風(fēng)險(xiǎn)分析網(wǎng)絡(luò)管理人員須要監(jiān)控第三方程序操作和吩咐用戶登錄系統(tǒng)，執(zhí)行mysql、oracle等吩咐，簡單產(chǎn)生數(shù)據(jù)破壞或者網(wǎng)絡(luò)攻擊，全部的這些操作須要被跟蹤和限制。大型集中應(yīng)用環(huán)境不易統(tǒng)一監(jiān)控、管理和快速響應(yīng)對于大型應(yīng)用環(huán)境，網(wǎng)絡(luò)管理員要管理和配置大量網(wǎng)絡(luò)/LINUX服務(wù)器，大量事故響應(yīng)，網(wǎng)絡(luò)管理人員不堪重負(fù)。無法供應(yīng)對網(wǎng)絡(luò)通信設(shè)備的操作，修改等行為審計(jì)網(wǎng)絡(luò)通信設(shè)備經(jīng)常在網(wǎng)絡(luò)/LINUX系統(tǒng)上通過ssh遠(yuǎn)程登錄進(jìn)行管理，對網(wǎng)絡(luò)通信設(shè)備的操作無法審計(jì)，埋下平安隱患。網(wǎng)絡(luò)管理人員須要統(tǒng)一的手段，對服務(wù)器組進(jìn)行平安愛護(hù)網(wǎng)絡(luò)管理人員常用防火墻，IDS等設(shè)備，針對網(wǎng)段進(jìn)行隔離和操作限制，因此，網(wǎng)絡(luò)管理人員須要不同手段，對外網(wǎng)/內(nèi)網(wǎng)用戶應(yīng)用不同平安愛護(hù)策略，應(yīng)用和實(shí)施麻煩，簡單疏忽造成隱患。服務(wù)器及其集群的運(yùn)行狀態(tài)監(jiān)控已及性能調(diào)控現(xiàn)有服務(wù)器監(jiān)控軟件基本上都是單機(jī)、單服務(wù)器方式運(yùn)行，須要高素養(yǎng)管理人才進(jìn)行管理。將服務(wù)器狀態(tài)信息集中化，發(fā)覺企業(yè)服務(wù)器運(yùn)行狀態(tài)及瓶頸，成為網(wǎng)絡(luò)應(yīng)用比較急迫和關(guān)切的問題。嚴(yán)格分權(quán)管理問題嚴(yán)格分權(quán)管理屬于多用戶多賬號管理方式，用戶在自己權(quán)限下生產(chǎn)和工作，但是，由于生產(chǎn)的特別性，經(jīng)常須要用戶具有ROOT賬戶權(quán)限。這就造成生產(chǎn)和管理的沖突，臨時(shí)ROOT權(quán)限分發(fā)可以解決ROOT權(quán)限生產(chǎn)問題，但是，這極大增大管理的困難性和擔(dān)心全性，稍有疏忽，就可能造成管理的混亂。不分發(fā)ROOT權(quán)限，可能導(dǎo)致生產(chǎn)不能正常進(jìn)行，至少影響生產(chǎn)效率。現(xiàn)有操作系統(tǒng)存在很多平安隱患，暴力破解、溢出攻擊、社會(huì)工程等攻擊方式，都可能使一般用戶或者黑客獲得ROOT賬戶權(quán)限，進(jìn)而執(zhí)行一般用戶權(quán)限外的操作，產(chǎn)生破壞。嚴(yán)格分權(quán)管理管理負(fù)擔(dān)比較重，管理員要對權(quán)限的安排和服務(wù)器上行為負(fù)責(zé)，同時(shí)，用戶在服務(wù)器上行為對管理員來說不行視，不行審計(jì)，出現(xiàn)問題，沒人負(fù)責(zé)。SOX(薩班斯法案)與IT運(yùn)維管理SOX是Sarbanes-OxleyAct簡稱，正式名為PublicCompanyAccountingReformandInvestorProtectionActof2002。于二零零二年由總統(tǒng)布什通過成為法例。此法案針對當(dāng)年一連串上市公司(Enron、ArthurAndersen、WorldCom等)的財(cái)務(wù)丑聞而立。它為在美上市公司內(nèi)部財(cái)務(wù)的管理定下了一些規(guī)范，以保障投資者和公司職員。因?yàn)?，企業(yè)的經(jīng)營活動(dòng)，企業(yè)管理、項(xiàng)目和投資基本建立在IT基礎(chǔ)之上，以下兩點(diǎn)就顯得特別重要。如圖1.2302節(jié)：要求行政人員證明他們公司設(shè)計(jì)和執(zhí)行了適當(dāng)?shù)南拗?，以保證全部財(cái)務(wù)報(bào)表都牢靠而且付合公認(rèn)會(huì)計(jì)準(zhǔn)則(GAAP)。404節(jié)：要求全部在302節(jié)中所限制的過程都有可信的財(cái)務(wù)報(bào)表。這法令要求IT經(jīng)理對全部有關(guān)財(cái)務(wù)報(bào)表的產(chǎn)生過程負(fù)責(zé)。404節(jié)規(guī)定外國在美的上市公司必需在零五七月十五日前完成有關(guān)的更改，零五三月美國證券交易委員會(huì)將這死線推遲了一年至零六年七月十五日。ITIL是InformationTechnologyInfrastructureLibrary的縮寫，最早由英國商務(wù)部開發(fā)，是為了應(yīng)對行業(yè)不斷增長地對IT服務(wù)的要求，供應(yīng)IT管理最佳實(shí)踐。ITIL融合全球最佳實(shí)踐，是IT部門用于安排、研發(fā)、實(shí)施和運(yùn)維的高質(zhì)量的服務(wù)準(zhǔn)則，是目前全球IT服務(wù)領(lǐng)域最受認(rèn)可的系統(tǒng)而好用的結(jié)構(gòu)化方法。全球10,000多家在各行業(yè)處于領(lǐng)先地位的組織都在運(yùn)用ITIL流程改進(jìn)IT服務(wù)的效率和溝通，大量的勝利實(shí)踐表明實(shí)施ITSM可以提高IT部門營運(yùn)效率25-300%。ITIL自1980年頭起先發(fā)展，經(jīng)過行業(yè)專家、顧問和實(shí)施者的共同努力，已經(jīng)成為IT服務(wù)管理領(lǐng)域最佳實(shí)踐事實(shí)上的國際標(biāo)準(zhǔn)。ITIL可以與ISO9001兼容，供應(yīng)IT組織服務(wù)質(zhì)量。二．帕拉迪網(wǎng)絡(luò)平安管理系統(tǒng)產(chǎn)品優(yōu)勢帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)（PLDSECSMS）是杭州帕拉迪網(wǎng)絡(luò)科技有限公司，經(jīng)過長時(shí)間的技術(shù)積累和攻關(guān)研發(fā)，于2005年Q3推出針對網(wǎng)絡(luò)服務(wù)器平安管理、審計(jì)，業(yè)界領(lǐng)先并且擁有自主學(xué)問產(chǎn)權(quán)的一款產(chǎn)品。帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)（PLDSECSMS）主要用于網(wǎng)絡(luò)服務(wù)器系統(tǒng)平安防護(hù)，讓網(wǎng)絡(luò)服務(wù)器的操作、管理和運(yùn)行更加可視、可控、可管理、可跟蹤、可鑒定，解決網(wǎng)絡(luò)服務(wù)器系統(tǒng)級別的平安問題、平安威逼，為國家重要部門和企業(yè)網(wǎng)絡(luò)服務(wù)器的正常有序運(yùn)行，供應(yīng)牢靠的平安保障。另外，也可以對數(shù)據(jù)庫，網(wǎng)絡(luò)設(shè)備，平安設(shè)備等各種IT設(shè)備進(jìn)行操作行為管理。2.1超強(qiáng)的規(guī)范管理實(shí)力可兼容管理全部支持（ssh/telnet、ftp標(biāo)準(zhǔn)協(xié)議）CLI吩咐方式管理的設(shè)備。對高危吩咐的操作系統(tǒng)將實(shí)時(shí)阻斷或賜予警告（可手機(jī)短信通知信息主管人員）。對授權(quán)用戶的吩咐操作實(shí)時(shí)全程監(jiān)控。對第三方廠商程序開發(fā)人員、系統(tǒng)維護(hù)人員、數(shù)據(jù)庫管理人員等多種角色進(jìn)行身份的認(rèn)證及操作監(jiān)控。規(guī)范用戶操作習(xí)慣（防止授權(quán)用戶的誤操作、無用操作）。全方位的主機(jī)信息平安保障，可以制定嚴(yán)格的策略和用戶權(quán)限的安排做到事前預(yù)防，事中危急操作的實(shí)時(shí)阻斷，事后的責(zé)任認(rèn)定。2.2最細(xì)粒度的審計(jì)查詢功能用戶可依據(jù)詳細(xì)的操作吩咐、用戶名、時(shí)間、IP地址等8個(gè)條件隨意組合查詢、定位操作日志。對菜單向?qū)ь惒僮鞯闹悄軐徲?jì)并可對其操作過程實(shí)時(shí)的歷史回放，如：informix數(shù)據(jù)庫操作、smitty吩咐。對共用帳號的操作進(jìn)行全記錄全審計(jì)（如：對多個(gè)擁有root權(quán)限的操作人員做強(qiáng)身份識別）。對用戶在服務(wù)器間的跳轉(zhuǎn)登錄的全記錄，每個(gè)跳轉(zhuǎn)動(dòng)作單獨(dú)生成一個(gè)Session。2.3“零”影響部署不影響任何業(yè)務(wù)數(shù)據(jù)流。設(shè)備的部署不更改現(xiàn)有的網(wǎng)絡(luò)拓?fù)?。不增加系統(tǒng)和網(wǎng)絡(luò)性能的負(fù)載。部署方式敏捷多樣，適合任何構(gòu)架的網(wǎng)絡(luò)環(huán)境.部署周期短。不變更管理員操作習(xí)慣（不須要安裝客戶端工具）。三．帕拉迪網(wǎng)絡(luò)平安管理系統(tǒng)功能介紹3.1帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)理念帕拉迪產(chǎn)品平安管理理念可視PLDSECSMS能夠動(dòng)態(tài)實(shí)時(shí)的捕獲網(wǎng)絡(luò)系統(tǒng)用戶運(yùn)用的操作吩咐，真正做到讓網(wǎng)絡(luò)服務(wù)器上的操作和行為可視。系統(tǒng)管理員可以直觀的了解服務(wù)器上發(fā)生過的操作吩咐及其運(yùn)行結(jié)果，結(jié)束網(wǎng)絡(luò)服務(wù)器操作管理的黑匣子時(shí)代。PLDSECSMS可以實(shí)時(shí)監(jiān)控系統(tǒng)管理員操作過程，供應(yīng)實(shí)時(shí)監(jiān)控中心和值班中心，可以集中實(shí)時(shí)的監(jiān)控全部用戶的操作行為和過程。可控PLDSECSMS動(dòng)態(tài)實(shí)時(shí)的捕獲系統(tǒng)管理員操作行為，并可以對其進(jìn)行策略審計(jì)，違反平安策略的用戶吩咐，將被禁止執(zhí)行，運(yùn)用危急吩咐的用戶，將被剔出系統(tǒng)。這樣，網(wǎng)絡(luò)服務(wù)器將增加一層平安防護(hù)功能，即運(yùn)用戶（惡意用戶、黑客）取得吩咐的操作權(quán)限，該吩咐也不能生效，進(jìn)而愛護(hù)網(wǎng)絡(luò)服務(wù)器上關(guān)鍵資源和重要服務(wù)。可管理PLDSECSMS可以依據(jù)須要對指定用戶或全部用戶綻開監(jiān)控，可以限制和管理可疑用戶行為，真正讓網(wǎng)絡(luò)服務(wù)器擺脫操作和運(yùn)用的黑匣子狀態(tài)，監(jiān)控和管理網(wǎng)絡(luò)服務(wù)器上用戶操作行為。同時(shí)，PLDSECSMS還對CPU、MEM、DISK、PROCESS和網(wǎng)絡(luò)I/O進(jìn)行監(jiān)控管理，并通過圖形化方式直觀的顯示服務(wù)器運(yùn)行狀態(tài)，可以對網(wǎng)絡(luò)服務(wù)器進(jìn)行故障診斷?？筛橮LDSECSMS通過遠(yuǎn)程日志服務(wù)器保存全部用戶操作行為和運(yùn)行結(jié)果，可以通過對用戶操作行為及其結(jié)果進(jìn)行回放，跟蹤用戶在服務(wù)器上的操作過程，查看用戶在服務(wù)器上的全部操作行為，精確無誤的了解用戶的行為意圖。PLDSECSMS日志服務(wù)器供應(yīng)日志動(dòng)態(tài)查詢功能，支持特色化報(bào)表生勝利能，可以依據(jù)用戶環(huán)境進(jìn)行報(bào)表定制，剛好直觀的報(bào)告用戶所關(guān)切的資源運(yùn)用狀況?？设b定PLDSECSMS運(yùn)用二次日志記錄系統(tǒng)，保存用戶操作行為過程。日志文件不行修改，不行杜撰，通過對用戶操作行為日志的分析，可以鑒定用戶行為，并進(jìn)行責(zé)任認(rèn)定。二次日志記錄加強(qiáng)了原始日志材料的防偽防杜撰功能，通過對比保存于兩臺日志服務(wù)器上的日志材料，可以精確牢靠的進(jìn)行故障鑒定和責(zé)任認(rèn)定。3.2帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)應(yīng)用帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)特別適合于企事業(yè)加強(qiáng)對網(wǎng)絡(luò)服務(wù)器的平安管理，減輕和防止企事業(yè)的網(wǎng)絡(luò)系統(tǒng)平安級別威逼。PLDSECSMS應(yīng)用領(lǐng)域特別廣袤，產(chǎn)品多種部署方式，可以特別敏捷的兼容于企事業(yè)現(xiàn)有平安架構(gòu)。內(nèi)部網(wǎng)絡(luò)行為管理嚴(yán)峻的攻擊來自系統(tǒng)內(nèi)部(75%來自內(nèi)部攻擊)，帕拉迪網(wǎng)絡(luò)服務(wù)器主要應(yīng)用于內(nèi)部用戶行為管理，保證內(nèi)部用戶的操作和行為可控、可視、可管理、可跟蹤、可鑒定，防止內(nèi)部人員對機(jī)密材料的非法獲得和運(yùn)用，愛護(hù)企事業(yè)核心機(jī)密。對網(wǎng)絡(luò)邊界網(wǎng)關(guān)設(shè)備的管理網(wǎng)絡(luò)邊界平安設(shè)備是企事業(yè)網(wǎng)絡(luò)平安防護(hù)系統(tǒng)的重要組成部分，網(wǎng)絡(luò)邊界平安設(shè)備的平安策略，對企事業(yè)內(nèi)部網(wǎng)絡(luò)平安，起著特別重要的作用。PLDSECSMS可以記錄管理員對這些平安設(shè)備的配置過程，保證平安策略的一樣性，其生成的日志系統(tǒng)，可以比較便利的集成到企事業(yè)現(xiàn)有平安策略管理架構(gòu)中。對數(shù)據(jù)庫的管理數(shù)據(jù)庫是企事業(yè)核心機(jī)密的重中之重，PLDSECSMS可以記錄用戶對數(shù)據(jù)庫（如：MYSQL，Oracle）的操作過程，防止用戶人為修改數(shù)據(jù)庫數(shù)據(jù)記錄，防止用戶刪除數(shù)據(jù)記錄。PLDSECSMS可以還原用戶操作過程，對于重要數(shù)據(jù)庫的防護(hù)，有特別重要的價(jià)值。對黑客行為的防范黑客經(jīng)常通過手段（如：社會(huì)工程、惡意程序、系統(tǒng)設(shè)置漏洞、緩沖區(qū)溢出程序等）獲得用戶權(quán)限，然后運(yùn)用該權(quán)限登陸系統(tǒng)。PLDSECSMS可以記錄該黑客的操作過程，對于事后查證和數(shù)據(jù)復(fù)原，有特別好的適用價(jià)值。PLDSECSMS還可以通過地址邦定功能對黑客行為進(jìn)行限制，即使黑客取得系統(tǒng)權(quán)限，也不能對系統(tǒng)做任何操作。3.3產(chǎn)品采納的關(guān)鍵技術(shù)帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)采納系列先進(jìn)技術(shù)，勝利實(shí)現(xiàn)吩咐捕獲與限制，為網(wǎng)絡(luò)系統(tǒng)平安運(yùn)行，供應(yīng)強(qiáng)有力的武器。程序重用與限制技術(shù)帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)采納先進(jìn)的程序重用與限制技術(shù)，可以啟用和限制任何網(wǎng)絡(luò)程序。通過程序重用與限制技術(shù)，可以完全利用現(xiàn)有程序的先進(jìn)功能，避開重新開發(fā)，同時(shí)，在重用的過程中，可以限制重用程序的行為，實(shí)現(xiàn)新的功能需求。如：通過重用bash，可以實(shí)現(xiàn)對bash吩咐行的限制功能。帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)限制被重用程序的輸入與輸出，再通過高效同步技術(shù)，完備重用和限制現(xiàn)成網(wǎng)絡(luò)類程序，同時(shí)，對程序現(xiàn)有功能進(jìn)行擴(kuò)充，變更現(xiàn)有程序行為，增加現(xiàn)有程序功能。該技術(shù)還可以進(jìn)行自定義擴(kuò)充，如：截獲數(shù)據(jù)、自動(dòng)輸入、隱藏或者變更輸出等，達(dá)到自動(dòng)限制程序運(yùn)行效果。邏輯吩咐自動(dòng)識別技術(shù)帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)自動(dòng)識別當(dāng)前操作終端，對當(dāng)前終端的輸入輸出進(jìn)行限制，組合輸入輸出流，自動(dòng)識別邏輯語義吩咐。系統(tǒng)會(huì)依據(jù)輸入輸出上下文，確定邏輯吩咐編輯過程，進(jìn)而自動(dòng)捕獲出用戶運(yùn)用的邏輯吩咐。該項(xiàng)技術(shù)解決了邏輯吩咐自動(dòng)捕獲功能，在傳統(tǒng)鍵盤捕獲與限制領(lǐng)域取得新的突破，可以更加精確的限制用戶意圖。該技術(shù)能自動(dòng)識別吩咐狀態(tài)和編輯狀態(tài)以及私有工作狀態(tài)，精確捕獲邏輯吩咐，現(xiàn)在該技術(shù)已經(jīng)申請專利。分布式處理技術(shù)帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)采納分布式處理架構(gòu)進(jìn)行處理，啟用吩咐捕獲引擎機(jī)制，通過策略服務(wù)器完成策略審計(jì)，通過日志服務(wù)器存儲操作審計(jì)日志，并通過實(shí)時(shí)監(jiān)視中心，實(shí)時(shí)察看用戶在服務(wù)器上行為。這種分體式設(shè)計(jì)有利于策略的正確執(zhí)行和操作記錄日志的平安。同時(shí)，各組件之間采納平安連接進(jìn)行通信，防止策略和日志被篡改。各組件可以獨(dú)立工作，可以分布于不同的服務(wù)器上，亦可全部組件安裝于一臺服務(wù)器。實(shí)時(shí)監(jiān)控技術(shù)帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)實(shí)現(xiàn)遠(yuǎn)程值班中心和實(shí)時(shí)監(jiān)控中心，集團(tuán)網(wǎng)絡(luò)服務(wù)器運(yùn)行狀態(tài)監(jiān)控可以實(shí)時(shí)進(jìn)行。實(shí)時(shí)監(jiān)控中心干脆和吩咐捕獲引擎通信，避開日志服務(wù)器和策略服務(wù)器的運(yùn)行負(fù)載，有利于系統(tǒng)實(shí)時(shí)性的提高。日志轉(zhuǎn)儲技術(shù)帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)供應(yīng)日志本地存儲和異地存儲，本地存儲干脆保存在本機(jī)上，異地存儲是與專業(yè)存儲設(shè)備對接實(shí)現(xiàn)異地存儲功能，確保監(jiān)控日志平安。通過多種存儲技術(shù)，實(shí)現(xiàn)日志冗余目的，解決了日志單一存儲丟失的問題，為事故責(zé)任鑒定供應(yīng)有力依據(jù)。加密傳輸技術(shù)帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)全部組件之間采納平安連接技術(shù)，避開數(shù)據(jù)在傳輸過程中被監(jiān)聽，修改。系統(tǒng)采納3-DES算法進(jìn)行加密。另外，系統(tǒng)還采納rc2和rc4等加密算法，實(shí)現(xiàn)日志的保密處理。多進(jìn)程/線程與同步技術(shù)帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)主體采納多進(jìn)程/線程技術(shù)實(shí)現(xiàn)，利用獨(dú)特的通信和數(shù)據(jù)同步技術(shù)，精確限制程序行為。多進(jìn)程/線程方式邏輯處理精確，事務(wù)處理不會(huì)發(fā)生干擾，這有利于保證系統(tǒng)的穩(wěn)定性、健壯性。自動(dòng)報(bào)表生成技術(shù)帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)利用正則表達(dá)式，通過規(guī)則文件方式，實(shí)現(xiàn)WEB自動(dòng)報(bào)表功能。每個(gè)規(guī)則文件定義須要自動(dòng)報(bào)告的特征和正則表達(dá)式，描述輸出形式。嵌入WEB服務(wù)器依據(jù)該規(guī)則文件，自動(dòng)生成WEB報(bào)表。自動(dòng)報(bào)表技術(shù)可以產(chǎn)生一個(gè)數(shù)字的報(bào)告，如：登陸用戶數(shù)目統(tǒng)計(jì)，也可以產(chǎn)生長篇累牘的報(bào)表，其中，報(bào)表列數(shù)，報(bào)表標(biāo)題，報(bào)表字段顏色等，都可以在規(guī)則文件內(nèi)自定義。3.4帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)功能產(chǎn)品組件帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)由吩咐捕獲引擎、策略服務(wù)器、日志服務(wù)器、用戶接入和集中配置服務(wù)器等五大模塊組成。各模塊之間相互關(guān)系如下圖：各模塊處理關(guān)系3.4.2細(xì)粒度策略限制功能策略采納類防火墻策略，利用正則表達(dá)式進(jìn)行模式匹配，符合通常運(yùn)用習(xí)慣，支持對登陸地址、服務(wù)器地址、用戶名、操作時(shí)間、操作吩咐等元素進(jìn)行策略審計(jì)。策略支持“非”邏輯。限制策略定義精確日志查詢檢索功能PLDSECSMS供應(yīng)了人性化的日志管理、查詢功能。管理人員可以依據(jù)：用戶吩咐、主機(jī)地址、主機(jī)帳號、時(shí)間范圍等多項(xiàng)條件隨意組合，進(jìn)行快速、精確的日志定位查詢。日志查詢菜單類操作回放審計(jì)功能PLDSECSMS支持AIXSMITTY操作審計(jì)，支持INFORMIXDBACCESS數(shù)據(jù)庫前端操作審計(jì)，支持SQLPLUS數(shù)據(jù)庫操作審計(jì)，支持文件內(nèi)容修改審計(jì)。IBM、HP等服務(wù)器操作系統(tǒng)，運(yùn)用自身供應(yīng)的集中管理工具管理服務(wù)器，這些管理工具基于圖形菜單設(shè)計(jì)，審計(jì)“圖形”菜單操作行為，便利后期管理查詢和審計(jì)，是帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)的一大特色。菜單操作歷史回放密碼代填為了增加主機(jī)帳號密碼平安，帕拉迪網(wǎng)絡(luò)平安管理系統(tǒng)供應(yīng)密碼代填功能。在網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)WEB限制臺上，管理員為每臺主機(jī)資產(chǎn)添加帳號與密碼。用戶通過二次跳轉(zhuǎn)的方式登錄目標(biāo)主機(jī)進(jìn)行操作，只要輸入一次網(wǎng)關(guān)用戶登錄密碼，然后選擇目標(biāo)資產(chǎn)編號和賬號編號就完成目標(biāo)主機(jī)登錄任務(wù)，目標(biāo)主機(jī)帳號密碼對用戶透亮有效防止主機(jī)密碼的泄漏，同時(shí)也便利了用戶操作服務(wù)器。密碼代填帳號密碼的平安管理主機(jī)賬號密碼自動(dòng)分發(fā)，自動(dòng)依據(jù)固定時(shí)間和更新周期，更新目標(biāo)主機(jī)賬號密碼，削減管理員工作量。大型異構(gòu)網(wǎng)絡(luò)，密碼管理成為管理員特別頭痛的事情。帕拉迪網(wǎng)絡(luò)平安管理系統(tǒng)可以自動(dòng)依據(jù)管理員要求，定時(shí)或者周期更改遠(yuǎn)程主機(jī)相關(guān)賬號密碼，增大密碼更新頻度，避開密碼長時(shí)間不變被泄露，造成平安隱患。同時(shí)，系統(tǒng)支持密碼推送結(jié)構(gòu)郵件分發(fā)和密碼管理員WEB下載功能（須要二次身份驗(yàn)證），最新密碼副本可以平安的分發(fā)到管理員手中，避開密碼丟失風(fēng)險(xiǎn)。郵件服務(wù)設(shè)置帳號動(dòng)態(tài)密碼設(shè)置標(biāo)準(zhǔn)Radius認(rèn)證接口PLDSECSMSUTM支持標(biāo)準(zhǔn)的Radius認(rèn)證協(xié)議，能夠很便利的和身份認(rèn)證產(chǎn)品集成，提升產(chǎn)品平安性和擴(kuò)展性。用戶認(rèn)證配置擴(kuò)展吩咐用戶操作服務(wù)器重復(fù)輸入某些吩咐的狀況時(shí)有發(fā)生，帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)針對這一狀況供應(yīng)了擴(kuò)展吩咐功能，用戶如要在某臺服務(wù)器上重復(fù)執(zhí)行吩咐集，只需將重復(fù)執(zhí)行的吩咐添加到擴(kuò)展吩咐表中，當(dāng)用戶通過二次跳轉(zhuǎn)方式登錄目標(biāo)主機(jī)時(shí)，網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)對用戶自定義吩咐集進(jìn)行預(yù)處理。擴(kuò)展吩咐管理FTP/SFTP文件平安傳輸為了提高平安性，在部署PLDSECSMS后系統(tǒng)將斷開操作用戶與目標(biāo)服務(wù)器之間的連接，為便利服務(wù)器的維護(hù)和文件傳輸?shù)钠桨?，帕拉迪推出兩種文件傳輸方式，一種是FTP代理，一種是SFTP一站式傳輸，用戶干脆將文件通過網(wǎng)絡(luò)平安管理系統(tǒng)，將文件SFTP到目標(biāo)主機(jī)，中間沒有停留，干脆到站。整個(gè)運(yùn)用FTP/SFTP方式傳輸文件的過程，都會(huì)被PLDSECSMS實(shí)時(shí)完整的記錄下來。FTP/SFTP審計(jì)設(shè)置跳轉(zhuǎn)登錄操作的智能審計(jì)用戶行為跳轉(zhuǎn)分析，每次跳轉(zhuǎn)（TELNET、SSH方式登錄目的服務(wù)器）會(huì)自動(dòng)生成新的操作SESSION，便利管理員干脆查詢目標(biāo)服務(wù)器上行為，支持多重嵌套跳轉(zhuǎn)。跳轉(zhuǎn)分析可以便利用戶行為跟蹤，管理員可以干脆查詢目標(biāo)服務(wù)器上發(fā)生的操作行為，節(jié)約管理員精力和時(shí)間。支持標(biāo)準(zhǔn)SYSLOG日志支持標(biāo)準(zhǔn)SYSLOG日志輸出，便利與第三方日志分析類產(chǎn)品集成整合，用戶可以實(shí)時(shí)直觀的在線監(jiān)控服務(wù)器操作管理行為.SYSLOG輸出事務(wù)包括：用戶登錄事務(wù)、用戶退出事務(wù)、用戶操作吩咐、用戶屏幕。標(biāo)準(zhǔn)Syslog日志日志格式多樣化網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)日志支持多種格式的輸出，包括txt、pdf、xls，用戶可以依據(jù)自己的須要進(jìn)行審計(jì)日志的查看。txt格式輸出日志pdf格式輸出日志xls格式輸出日志圖形操作審計(jì)針對圖形終端的遠(yuǎn)程操作，帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)推出特有的圖形操作審計(jì)功能。用戶對Windows、網(wǎng)絡(luò)服務(wù)器的遠(yuǎn)程桌面操作全部集中登陸到PLDSECSMSUTM系統(tǒng)上，再通過二次跳轉(zhuǎn)的方式對服務(wù)器進(jìn)行遠(yuǎn)程操作，系統(tǒng)將依據(jù)用戶的權(quán)限安排給用戶可訪問的資源，實(shí)現(xiàn)用戶遠(yuǎn)程桌面操作強(qiáng)審計(jì)，且審計(jì)結(jié)果不行更改、不行杜撰。用戶運(yùn)用帕拉迪RDP審計(jì)客戶端連接網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)進(jìn)行圖形操作日志下載、播放，日志播放支持快進(jìn)、暫停、播放點(diǎn)定位等功能，便利管理員追溯關(guān)鍵操作。RDP審計(jì)客戶端網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)支持圖形界面操作審計(jì)包括：RDP、X-WINDOW、VNCRDP日志播放X-WINDOW日志播放雙機(jī)熱備隨著業(yè)務(wù)數(shù)據(jù)重要性的增加，企業(yè)對網(wǎng)絡(luò)系統(tǒng)運(yùn)行的牢靠性提出了更高的要求。發(fā)生單點(diǎn)故障是用戶不能容忍的，雙機(jī)熱備解決方案的出現(xiàn)免除了用戶對單點(diǎn)故障的顧慮。正常狀況下主機(jī)處于工作狀態(tài)，備機(jī)處于監(jiān)控狀態(tài)，主備之間監(jiān)控運(yùn)用“心跳線”和“參考地址”方式實(shí)現(xiàn)。當(dāng)主機(jī)出現(xiàn)故障時(shí)，備機(jī)主動(dòng)接管主機(jī)的工作并自動(dòng)升級為主機(jī)身份。故障主機(jī)復(fù)原正常后處于備機(jī)狀態(tài)，不供應(yīng)服務(wù)，只負(fù)責(zé)監(jiān)控工作主機(jī)的狀態(tài)。當(dāng)主機(jī)再次發(fā)生故障，備機(jī)同樣主動(dòng)接管主機(jī)的全部工作，保證服務(wù)的不間斷運(yùn)行，實(shí)現(xiàn)高可用性。熱備配置服務(wù)器集群服務(wù)器集群功能的實(shí)現(xiàn)徹底緩解了單臺服務(wù)器的工作壓力，網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)采納分級部署實(shí)現(xiàn)集群管理功能。集群中心負(fù)責(zé)全部配置和調(diào)度工作，其中包含監(jiān)控的統(tǒng)一啟用與停止以及為各節(jié)點(diǎn)安排管理資產(chǎn)，各節(jié)點(diǎn)負(fù)責(zé)供應(yīng)實(shí)際的審計(jì)工作。集群配置操作“現(xiàn)場回放”服務(wù)器操作WEB播放功能可再現(xiàn)用戶操作全過程，特地用來即時(shí)監(jiān)控用戶在服務(wù)器上操作行為，讓管理員可以實(shí)時(shí)察看用戶執(zhí)行的吩咐、吩咐結(jié)果等?？梢杂脕肀O(jiān)控第三方維護(hù)人員、一般用戶在服務(wù)器、網(wǎng)關(guān)等設(shè)備上的操作，剛好發(fā)覺、阻斷非法用戶和授權(quán)用戶的惡意操作行為。用戶操作WEB播放WEB播放須要JAVA運(yùn)行環(huán)境的支持。3.5帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)應(yīng)用平安管理ISO17799帕拉迪網(wǎng)絡(luò)服務(wù)器平安管理系統(tǒng)特別適合于企事業(yè)加強(qiáng)對網(wǎng)絡(luò)服務(wù)器的平安管理，做到對服務(wù)器上行為的可視、可控、可管理、可跟蹤、可鑒定，減輕企業(yè)