1、數據中心安全解決方案目錄第一章解決方案1.1 建設需求1.2 建設思路錯誤！未指定書簽1.3 總體方案1.3.1 IP準入控制系統1.3.2 防泄密技術的選擇1.3.3 主機賬號生命周期管理系統1.3.4 數據庫賬號生命周期管理系統1.3.5 令牌認證系統1.3.6 數據庫審計系統1.3.7 數據脫敏系統1.3.8 應用內嵌賬號管理系統1.3.9 云計算平臺防火墻統一安全運營平臺安全運維服務1.4 實施效果1.4.1 針對終端接入的管理1.4.2 針對敏感數據白使用管理1.4.3 針對敏感數據白訪問管理1.4.4 針對主機設備訪問的管理1.4.5 針對數據庫訪問的管理1.4.6 針對數據庫的審

2、計1.4.7 針對應用內嵌賬號的管理1.4.8 安全運營的規范21.4.9 針對管理的優化第二章項目預算及項目要求2.1 項目預算2.1.1 項目一期預算2.1.2 一期實現目標2.2 項目要求2.2.1 用戶環境配合條件第一章解決方案1.1 建設需求xxxffl戶經過多年的信息化建設，各項業務都順利的開展起來了，數據中心已經積累了很多寶貴的數據，這些無形的資產比硬件資產還重要，但它們卻面臨著非常大的安全挑戰。在早期的系統建設過程中，大多用戶不會考慮數據安全、應用安全層面的問題，經過多年的發展，數據中心越來越龐大，業務越來越復雜，但信息安全完全沒有配套建設，經常會發生一些安全事件，如：數據庫的

3、表被人刪除了、主機密碼被人修改了、敏感數據泄露了、特權賬號被第三方人員使用等等情況，而這些安全事件往往都是特權用戶從后臺直接操作的，非常隱蔽，這時候往往無從查起。其實，信息安全建設在系統的設計初期開始，就應該要介入，始終貫穿其中，這樣花費的人力物力才是最小。當一個系統建成后，發現問題了，回頭再來考慮安全建設，這樣投入的成本將會變得最大。1.2 建設思路數據中心的安全體系建設并非安全產品的堆砌，它是一個根據用戶具體業務環境、使用習慣、安全策略要求等多個方面構建的一套生態體系，涉及眾多的安全技術，實施過程需要涉及大量的調研、咨詢等工作，還會涉及到眾多的安全廠家之間的協調、產品的選型，安全系統建成后

4、怎么維持這個生態體系的平衡，是一個復雜的系統工程，一般建議分期投資建設，從技術到管理，逐步實現組織的戰略目標。整體設計思路是將需要保護的核心業務主機包及數據庫圍起來，與其他網絡區域進行邏輯隔離，封閉一切不應該暴漏的端口、IP，在不影響現有業務的情況下形成數據孤島，設置固定的數據訪問入口，對入口進行嚴格的訪問控制及審計。由之前的被動安全變為主動防御，控制安全事故的發生，對接入系統的人員進行有效的認證、授權、審計，讓敏感操作變得更加透明，有效防止安全事件的發生。在訪問入口部署防火墻、賬號生命周期管理系統、數據加密系統、令牌認證系統、審計系統等安全設施，對所有外界向核心區域主機發起的訪問進行控制、授

5、權、審計，對流出核心區域的批量敏感數據進行加密處理，所有加密的數據將被有效的包圍在安全域之內，并跟蹤數據產生、扭轉、銷毀的整個生命周期，杜絕敏感數據外泄及濫用行為。為了保證XXX用戶的業務連續性，各安全子系統都采用旁路的方式部署到網絡當中，其中賬號生命周期管理系統、審計系統、數據庫都采用雙機的模式，以提供自身的高可靠性；加密系統、特權賬號生命周期管理系統、令牌認證系統都建議部署在VMware云計算平臺上，利用VMware!雖大的服務器虛擬化能力為防泄密系統提供良好的可靠性與可擴展性保證。1.3 總體方案信息安全系統整體部署架構圖1、在核心交換機上部署防護墻模塊或獨立防火墻，把重要的主機、數據庫

6、與其他子網進行邏輯隔離，劃分安全區域，對不必要的端口進行封閉，隔離終端IP對數據中心可達。2、在終端匯聚的交換機上旁路部署IP準入控制系統，實現非法外聯、IP實名制，對接入內網的終端進行有效的控制。3、部署主機賬號管理系統，限制所有終端對主機的訪問只能通過管理系統發起，并對Telnet、SSHRD琳訪問過程進行控制、審計，防止終端將數據從主機上私自復制到本地硬盤，防止誤操作。4、部署數據賬號管理系統，對數據庫訪問工具（PL-SQD、FTP工具等常用維護工具進行統一的發布，對前臺數據庫訪問操作進行審計記錄，把數據包圍在服務器端。對下載數據行為進行嚴格控制，并對提取的數據進行加密處理。5、部署加密

7、系統（DLP），對所有流出數據中心的數據進行自動加密處理，并對數據的產生、扭轉、編輯、銷毀進行生命周期管理。6、部署數據庫審計系統，對數據庫訪問行為進行審計，監控敏感數據訪問情況，監控數據庫操作行為，記錄數據庫后臺變化情況，事后回查。7、在生產庫與測試庫之間部署數據脫敏系統，對從在線庫抽取的數據進行自動脫敏，再導入測試庫，避免數據泄露。對后臺訪問在線庫的人群進行權限管理，對訪問的敏感字段進行自動遮罩。8、部署應用內嵌賬號管理系統，對應用系統內嵌的特權賬號進行有效的托管，實現賬號的定期修改、密碼強度、密碼加密等安全策略。9、部署令牌認證系統，對登入數據中心區的用戶使用雙因素認證，確認訪問數據中心

8、者的身份，杜絕賬號共用現象。10、 部署云計算平臺，為防泄密系統提供良好的運行環境。云計算平臺提高了系統的可靠性、可擴展性，減少宕機時間，降低維護成本。11、 所有系統都采用活動目錄認證，并加以動態令牌做為雙因素認證，實現對用戶身份的準確鑒別。1.3.1 IP準入控制系統現在國內外，有很多廠商推出自己的準入控制系統解決方案，目的就是為了在終端接入網絡前對其進行安全檢查，只允許合法的用戶接入到網絡當中，避免隨意接入網絡給系統帶來風險。主流的解決方案有兩種方式，旁路部署方式都是基于802.1X的，需要跟交換機做聯動；串接的部署方式不需要與交換機聯動，但會給網絡的通過性與性能帶來挑戰，采用的用戶不多

9、。這些解決方案，在復雜的中國環境部署成功的并不多，要么網絡條件非常好，交換機都支持802.1X，要么網絡非常扁平化，終端都可以收斂到同一個出口。IP地址管理困難：接入Intranet的計算機設備都需要一個合法的IP地址，IP地址的分配和管理是一件令網絡管理人員頭疼的事情，IP地址、MAC*址、計算機名冒用、濫用現象廣泛存在，而管理人員缺乏有效的監控手段。局域網上若有兩臺主機IP地址相同，則兩臺主機相互報警，造成應用混亂。因此，IP地址盜用與沖突成了網管員最頭疼的問題。當幾百臺、甚至上千臺主機同時上網，如何控制IP地址盜用與沖突更是當務之急。在實際中，網絡管理員為入網用戶分配和提供的IP地址，只

10、有通過客戶進行正確地注冊后才有效。?這為終端用戶直接接觸IP地址提供了一條途徑。由于終端用戶的介入，入網用戶有可能自由修改IP地址。改動后的IP地址在聯網運行時可導致三種結果：?非法的IP地址，自行修改的IP地址不在規劃的網段內，網絡呼叫中斷。?重復的IP地址，與已經分配且正在聯網運行的合法的IP地址發生資源沖突，無法鏈接。?非法占用已分配的資源，盜用其它注冊用戶的合法IP地址（且注冊該IP地址的機器未通電運行）聯網通訊。IPScan能很好的控制非法的IP接入，并對內網已有的聯網IP通過切斷聯網實現迅速快捷的控制，以很方便的方式實現內網安全威脅的最小化。IPScan通過對IP/MAC的綁定，對

11、每個IP地址都可以進行實時的監控，一旦發現非法的IP地址和某個IP地址進行非法操作的時候，都可以及時對這些IP地址進行操作，有效的防止IP沖突。產品是基于二層（數據鏈路層）的設計理念，可以有效地控制ARPT播病毒，通過探測ARPT播包，可以自動阻止中毒主機大量發送ARP廣播，從而保證了內網的安全。通過實現IP地址的綁定，從而變相的實現了網絡實名制，在接入網絡的終端都被授予唯一的IP地址，在網絡中產生的所有日志將會變得非常有意義，它可以關聯到是哪一個終端哪一個用戶，能讓安全日志產生定責的作用。1.3.2 防泄密技術的選擇國外有良好的法律環境，內部有意泄密相對極少，對內部人員確認為可信，數據泄露主

12、要來自外部入侵和內部無意間的泄密。因此，國外DLP（數據防泄漏）解決方案主要用來防止外部入侵和內部無意間泄密，可以解決部分問題，但無法防止內部主動泄密，只能更多地依賴管理手段。而國內環境，法律威懾力小，追蹤難度大，泄密者比較容易逃脫法律制裁，犯罪成本比較小；同時，國內各種管理制度不完善，內部人員無意間泄密的概率也比較大。國內DLP以加密權限為核心，從主動預防的立足點來防止數據泄露，對數據進行加密，從源頭上進行控制。即使內部數據流失到外部，也因為已被加密而無法使用，從而保證了數據的安全。所以國內DLP既能防止內部泄密（包括內部有意泄密和無意泄密），同時也能防止外部入侵竊密。1.3.3 主機賬號生

13、命周期管理系統xxxffl戶局越來越多的業務外包給系統提供商或者其他專業代維公司,這些業務系統涉及了大量的公民敏感信息。如何有效地監控第三方廠商和運維人員的操作行為，并進行嚴格的審計是用戶現在面臨的一個挑戰。嚴格的規章制度只能約束一部分人的行為，只有通過嚴格的權限控制和操作審計才能確保安全管理制度的有效執行，在發生安全事件后，才能有效的還原事故現場，準確的定位到責任人。主機賬號生命周期管理系統能幫助用戶建立集中的和統一的主機運維管理平臺，實現自動化的監控審計，對所有維護人員和支持人員的操作行為（Telnet、SSHRDPFTRSFTPVNCKVM等協議）進行監控和跟蹤審計，（實現對所有登錄系統

14、的人員的所有操作進行全面行為過程審計，達到對所訪問主機的操作行為進行采集，以便實時監控和事后回放分析、重現和檢索，以最大限度地減少運行事故、降低運行風險、進行責任追溯，不可抵賴。同時提供直觀的問題報告工具），防止敏感數據從物理層被竊取。按照規定，一段時間內必須修改一次主機及數據庫的密碼，以符合安全性要求，往往這些密碼太多，修改一次也費時費力，還經常出現root密碼修改后忘記的情況。很多時候，維護人員為了方便記憶密碼，將密碼記錄在一個文件里，以明文方式保存在電腦上，即使文件加了個簡單的密碼，一旦這些數據泄漏，后果不堪設想。現在可采用主機賬號生命周期管理系統進行密碼托管，可以設定定期自動修改主機密

15、碼，不用人工干預了。既提高了信息安全工作的效率，又降低了管理成本，還降低了安全風險。1.3.4 數據庫賬號生命周期管理系統目前，XXX用戶的支持人員及第三方維護人員都是采用PL/SQL等工具對在線庫或離線庫進行直接操作，有的是通過業務系統的某些模塊直接操作數據庫，導致敏感數據可以直接被編輯、刪除，無法對其進行集中控制。針對這種情況，目前較有效的解決方案是通過數據庫賬號生命周期管理系統來實現。通過賬號生命周期管理系統的虛擬化技術，將有高風險的操作工具發布出來（如PL/SQL、業務系統的主界面、C/S架構系統的客戶端等），客戶端零安裝，用戶對程序遠程調用，避免真實數據的傳輸和漏泄，能實現避免數據的

16、泄露、對重要操作進行全程跟蹤審計、對重要命令進行預警。系統禁止所有操作終端與服務器之間的數據復制操作，但操作人員經常需要復制一段代碼或腳本到PL/SQL里面進行查詢操作，如果是用手敲，勢必會影響工作效率。這里就要求數據庫賬號生命周期管理系統具備單向數據流的控制，只允許從終端復制數據到系統，禁止從系統上復制數據到本地磁盤，這樣既保留了用戶的使用習慣，又達到了安全的目的。如果支持人員要把數據保存到本地終端上進行二次處理，需要將文件導出到指定的存儲路徑上，文件產生后會被自動加密處理，支持人員可以在指定的路徑下載加密的文件到本地磁盤，并進行后期的二次處理，同時在存儲上保留有文件副本備查。如果支持人員需

17、要把修改好的數據上傳應用系統中或主機中，需要將文件導入到指定的存儲路徑上，文件上傳后會被自動解密處理，即可被應用系統或主機正常識別。1.3.5 雙因素認證系統目前，系統中的主機賬號共用情況比較普遍，一個賬號多個人使用，這就造成了事后難以定責的尷尬局面，而且靜態的口令也容易被獲取。為了杜絕這種現象，可采用雙因素認證系統加強身份認證的管理。傳統的方式是在每臺需要保護的主機、數據庫上啟用Agent，如果主機數量很多的話，配置工作量很大，維護起來很繁瑣。我們推薦給XXX用戶局的解決方案是將令牌認證系統與主機賬號生命周期管理系統結合做雙因素認證，大大減少了配置工作量的同時，還滿足了系統安全性要求。另外，

18、對于所有重要的業務系統、安全系統，都應該采用雙因素認證，以避免賬號共用情況，發生安全事件后，能準確的定責。1.3.6 數據庫審計系統審計系統在整個系統中起到一個很好的補充作用。數據庫賬號生命周期管理系統雖然會記錄所有操作數據庫的行為，但他只是記錄前臺的操作過程，但對于發生安全事件后快速定位、還原整個事件過程還是有些欠缺。專業數據庫審計系統會對數據庫操作進行審計，記錄數據庫的日常操作行為，記錄敏感數據的訪問、修改行為，會精確了每一個字符。在安全事件發生后，可以精確的使用操作命令來檢索需要審計的信息，甚至可以組合幾條信息來精確定位，提高了審計的效率。它可以對數據庫發生的所有變化進行回放，讓用戶知道

19、重要操作后數據庫返回了什么樣的結果、發生了什么變化，可以很好的幫助用戶恢復整個事件的原始軌跡，有助于還原參數及取證。并可可以深入到應用層協議（如操作命令、數據庫對象、業務操作過程）實現細料度的安全審計，并根據事先設置的安全策略采取諸如產生告警記錄、發送告警郵件（或短信）、提升風險等級。1.3.7 數據脫敏系統在我們的用戶系統里面，存在著大量的敏感信息：公民數據、業務數據等，業務系統軟件開發的最后階段，是需要盡量真實的數據來作為基礎測試軟件的一系列功能。尤其是用戶系統這樣的大型系統實施或開發的時候，對于基礎數據的要求很嚴格，很多時候都是直接克隆生產環境的數據來進行軟件系統的測試，但是隨之而來的影

20、響卻是深遠的，生產數據中，首先它是一個真實的數據，透過數據基本上掌握了整個數據庫的資料。其次，在這當中包含很多敏感數據，不光是敏感數據，而且還是真實的敏感數據。如果在測試環境中發生了信息泄露問題，那么對于用戶數據安全將造成致命的后果。近年來，政府行業重大的敏感數據泄漏事件時有發生，如下圖所示：核心數據脫敏模塊的建設基于動態數據脫敏技術，通常是應用于生產系統，當對數據庫提出讀取數據的請求時，動態數據脫敏按照訪問用戶的角色執行不同的脫敏規則。如下圖所示：授權用戶可以讀取完整的原始數據，而非授權用戶只能看到脫敏后的數據。1.3.8 應用內嵌賬號管理系統復雜的IT環境，在其中包含過個腳本，進程，應用程

21、序需要訪問多個平臺的資源和數據庫中存取敏感信息。為了更好地訪問這些資源，應用程序和腳本會利用數據庫上的帳號去獲取數據，有些帳號只有只讀權限，還有些帳號具有讀寫權限。保護、管理和共享這類與應用程序相關的帳號成為了IT部門或者應用負責人的巨大挑戰，也是放在用戶面前的審計難題。調查表明42%的用戶從不修改嵌入在應用程序內的帳號密碼。這是一個嚴重的安全風險，并且明顯地違背了許多法律法規的要求，同樣也是直接導致運維效率低下的主要原因。應用程序的內嵌帳號通常也是具有非常高的權限的，可以毫無控制地訪問后端系統。如果該帳號不有效管理起來，勢必帶來繞開常規管理流程的非法訪問。以上圖的Billing系統為例，前端

22、Bill應用通過內置的數據庫用戶連接數據庫，用以更新數據庫中相關記錄。非授權的第三方人員一旦知曉該密碼，則可以肆無忌憚地進入數據庫，刪除記錄，修改數據。如上描述，嵌入在應用程序中的密碼會帶來如下安全風險：密碼不定期修改：為了獲得更高的安全水平，密碼需要定期修改。而應用程序內嵌密碼其密碼修改過程非常復雜，因為密碼會被寫入在應用程序的多處。運維人員和開發人員都知曉應用密碼：由于應用程序密碼被嵌入在程序中，并且不會定期修改，所以通常密碼在IT運維人員和開發人員整個企業中是共享的，特別還包括離職員工以及外包人員。密碼強度不夠：由于密碼是IT運維人員或者開發人員手工創建的，為了能夠應對緊急情況，這些密碼

23、盡量定義地簡單，便于能夠記憶。這將導致企業特權帳號密碼的策略不合規。密碼存儲在明文中：嵌入的密碼在配置文件或者源代碼中是明文存儲的，有時密碼也不符合強度要求。所以這些密碼很容易被訪問到源代碼和配置文件的人員獲得。對應用程序內嵌密碼缺乏審計：在緊急情況下，IT運維人員和開發人員都需要使用應用程序密碼，現有的密碼方案無法提供相應的使用記錄的控制和審計。審計與合規：無法保護應用程序帳號，審計其使用記錄會違法安全標準和法規，并且導致無法通過內審和外審要求。應用程序帳號管理常見需求如之前章節描述，由于應用程序密碼濫用狀況引起了安全與合規性風險。擁有了應用程序就可以訪問企業的核心應用，為了成功地控制這些應

24、用帳號，所選擇的解決方案必須滿足如下要求：安全需求：1. 加密：應用程序密碼必須存儲在安全的場所，無論是存儲，還是被傳送至應用程序，密碼必須被加密。2. 訪問控制：必須有很強的訪問控制作用在密碼使用之上，嚴格限定能夠訪問密碼的人員或者是應用程序3. 審計：能夠快速審計到任何訪問密碼的活動，包括個人訪問記錄。4. 高可用性：相應的應用程序無法接受宕機時間。應用程序始終能夠訪問這些密碼，不管是在網絡連接的問題或者存儲發生故障。管理需求：1. 廣泛的平臺支持性：一個企業一般會擁有不同類型的系統、應用和腳本等。為了能夠支持企業中不同應用的需求，應用程序密碼管理方案必須支持如下廣泛平臺：a）腳本一She

25、ll,Perl,bat,Sqlplus,JCL等b）應用程序-自定義開發的C/C+®用程序，Java,.NET,Cobol等，也有一些諸如Oracle,SAP的商業系統c）應用服務器-大部分企業至少會擁有常見應用服務器的一款：比如IBMWebSphere,OracleWebLogic,JBOSS或者Tomcat2. 簡單和靈活的整合：改變應用消除硬編碼密碼的方式應該簡單明了。整個方式應該簡化和縮短應用程序向動態密碼管理遷移的周期。3. 支持復雜的分布式環境：大型企業中分布式系統非常多見。例如，一個集中的數據中心和多很分支機構運行著連接到中心的應用程序。網絡連接不是時時刻刻可靠的，偶爾

26、也會斷網或發生震蕩，所以企業應用程序的高可用性是非常重要的，方案應該允許分支機構在連接到總部的網絡發生故障時，依舊能夠運行良好。預設賬號口令管理系統通地在改變業務系統請求預設帳號方式，由傳統的應用內置帳號密碼，更改為向預設賬號口令管理系統發起預設帳號密碼請求，通過對網絡傳輸中的請求、返回數據進行加密，對請求源進行認證與授權的方式，安全保證最新的帳號密碼信息的供應。1.3.9 云計算平臺目前，大多數用戶的數據中心都部署了VMware的云計算平臺，這個平臺可以很好的融入到信息安全體系當中。賬號生命周期管理系統、加密系統、雙因素認證系統、活動目錄、內嵌賬號管理、數據脫敏系統、統一安全運營平臺、文件服

27、務器都是標準軟件應用，都可以跑在VMwareg計算平臺上。利用VMwar到以方便的對信息安全子系統做快照、系統遷移、系統擴容等，在發生故障時可快速恢復系統，為信息安全系統提供了良好的支撐平臺，降低了宕機時間，降低了維護成本，提高了工作效率。1.3.10 防火墻在數據中心部署獨立高性能防火墻，利用防火墻邏輯隔離出兩個區域，一個是內部核心服務器及數據庫區域（數據中心區），一個是信息安全系統及其他對外服務器區域（DMZE軍事區）。在主機賬號生命周期管理系統上線運行后，數據中心防火墻需要配置安全策略，對FTRSSHTelnet、RD叫及所有未使用的端口進行封閉，禁止任何外部終端對數據中心主機直接發起有

28、效連接，禁止終端直接接觸數據中心的資產，只允許其通過管理系統來訪問數據中心，但允許數據中心內部主機之間的互相連接。在數據庫賬號生命周期管理系統上線運行后，數據中心防火墻需要做安全策略，對數據庫端口進行封閉，禁止任何外部終端直接采用數據庫工具操作數據庫，但允許數據中心內部主機之間的數據同步。1.3.11 統一安全運營平臺隨著信息架構與應用系統日漸龐大，現行IT架構中，早已不是單一系統或是單一設備的單純環境，系統中往往擁有各種安全設備、主機設備、網絡設備、應用系統、中間件數據庫等等，每天產生巨大的日志文件，即使是派專人都無法處理過來，一個安全事件的追查，對于結合異質系統、平臺的問題上，卻又需要花費

29、大量的人力時間，對于問題解決的時間花費與異構平臺問題查找，都無法有效管理與降低成本。統一安全運營平臺可從單一位置實時搜尋、報警及報告任何使用者、網絡、系統或應用程序活動、配置變更及其它IT數據。消除設置多重主控臺的需要，從單一位置即可追查攻擊者的行蹤。現在可以執行更為深入的分析，并更快速而徹底地予以回應，降低風險及危險暴露的程度。意外事件回應在接獲任何可疑活動的報警或報告時，統一安全運營平臺將會是第一個處理的窗口。只需在統一安全運營平臺搜尋框中輸入你所掌握的詳細數據，包括IDS報警的來源及目標IP，或是認為其私人數據已外泄的客戶賬戶ID即可。統一安全運營平臺會立即傳回整個網絡中所有應用程序、主

30、機及裝置中，與該搜尋條件有關的每一事件。雖然開始傳回的數據非常多，但統一安全運營平臺可協助用戶理出頭緒，并依照所希望的方式加以整理。其會自動擷取及讓用戶篩選時間及其它字段、依據關鍵詞及模式將事件分類，因此用戶可快速處理完所有的活動數據。若用戶發現值得注意的事件，并希望加以追蹤，僅要點擊任何名詞，即可針對所點擊的詞匯執行新搜尋。正因為統一安全運營平臺可為任何IT數據制作索引而不僅是安全性事件或日志文件，因此用戶只需使用統一安全運營平臺，即可掌握全盤狀況。用戶可在此單一位置中，搜尋及發現攻擊者當下可能執行的程序、過去執行的程序，并查看其可能已修改的配置變更。安全性監控統一安全運營平臺可讓用戶非常容

31、易跨越IT束縛監控安全性事件；搜尋用戶路由器及防火墻日志文件中的數據流違反情況，尋找服務器及應用程序上的違反情況，或是尋找未經授權或不安全的配置變更。運用統一安全運營平臺的趨勢分析、分類及執行識別功能，即可快速識別極為復雜的使用情況，例如可疑的執行及模式，或是網絡活動的變化。報警功能可透過電子郵件、RSS短信或觸發腳本寄送通知，可輕易與用戶現有的監控主控臺整合。報警還能觸發自動化動作，以便立即響應特定狀況，譬如命令防火墻封鎖入侵者日后的數據流。變更偵測通過統一安全運營平臺，可持續監測所有路徑上的檔案，無須另行部署其它代理程序。每次在用戶所監控的路徑上加入、變更或刪除檔案時，統一安全運營平臺皆會

32、記錄一個事件。用戶也可以讓統一安全運營平臺在每次整體檔案有所變更時，皆為其制作快照索引。若已部署專用的變更監控工具，亦無影響，只要使用統一安全運營平臺為其所記錄的事件制作索引，代替直接監控變更即可。無論來源為何，只要索引中的數據變更，用戶就會接獲重大配置設定變更的警示，并能輕易追蹤配置變更的錯誤癥結原因。安全性報告統一安全運營平臺為用戶提供單一位置，可跨越所有的IT基礎結構及技術產生報告，包括跨越所有服務器、設備及應用程序，為安全性事件、效能統計數據及配置變更提供報告，并使用趨勢圖表及摘要辨識異常及可疑變化。其報告采用交互式能讓用戶深入發掘，以了解問題的原因及影響。使用統一安全運營平臺可傳達用

33、戶基礎結構的安全性基本原則、檢查存取控制，或是密切監視使用者的行為，并為用戶的客戶、管理階層或同事制作自動化的調度報表，或產生特定操作的報告。然后將報告結果列在儀表板上，為用戶組織中的資產管理人提供應用程序及系統的實時檢查，以增加對狀況的掌握能力。1.3.12 安全運維服務?漏洞掃描服務：漏洞掃描結果、對比分析報告、漏洞情況匯總表?系統加固服務：系統加固和優化解決方案，系統加固實施報告（輔助）?基線評估：對目標系統進行最小安全策略評估?安全滲透測試服務：滲透測試方案，滲透測試報告?安全設備巡檢服務：巡檢規范、巡檢報告?系統安全評審服務：系統安全審核報告（安全策略）?安全顧問咨詢服務：信息安全咨

34、詢、安全規劃、解決方案咨詢。?安全事件響應：安全事件報告?安全駐點服務：提供周報、月報、安全系統日常運維操作?安全項目實施：調研、訪談、業務需求1.4實施效果各安全子系統上線后，給數據中心的安全管理來帶明顯的效果，對終端、用戶、賬號、主機、網絡、中間件、數據庫、應用系統、安全管理等各個層面進行有效的補充，形成一個縱深的防御體系，并結合日常的安全運維服務，讓安全體系維持更新與運作，對安全事件有主動預防及事后回查的效果。1.4.1 針對終端接入的管理?完整掌控企業內部所有IP/MAC地址資源，自動收集、偵測IP/MAC地址。?提供在線、離線、未使用及未授權IP地址使用者的信息。?基于Layer2（

35、MAC層）及Layer3（IP層）阻斷網絡設備接入。?自動阻斷未授權MAC地址使用者接入網絡。?自動阻斷未授權IP地址使用者接入網絡。?具備IP與MAC地址綁定功能，自動阻斷非授權綁定的使用者接入網絡。?自動檢測IP地址沖突，并自動阻斷非授權該IP使用者接入網絡。?提供對重要應用系統設備IP地址的保護能力。?提供網絡上IP/MAC地址詳細信息的功能。?自動探測并阻斷網絡上未授權的DHCP服務器。?具備偵測并阻斷未授權設備（如無線AP）。?內建SecuredDHCP功能（具備IP/MAC地址管理功能，防止靜態IP地址與DHCPIP范圍沖突）?具備硬件網絡設備偵測功能。?支持外部數據的導入等聯動功

36、能。?支持多重VLAN。?Server與數據庫具備冗余功能。?提供異常EventLog及報表功能。?可輸出Excel文件形式提供各種情況的信息CSV、HTML、Txt文件輸出。?提供API接口做第三方的拓展性開發。1.4.2 針對敏感數據的使用管理?根據用戶的不同級別，可以設置文件的不同使用權限和期限；?實時監控敏感文件使用者使用文件的情況；?防止用戶非法拷貝、復制、打印、下載文件；?防止用戶通過電子郵件、移動硬盤、優盤、軟盤等泄密；?防止屏幕拷貝，屏幕錄制等使用第三方軟件非法操作；?可以從服務器端及時控制加密文件的使用權限及期限；?可以進行用戶、用戶組、安全策略的管理；?根據工作流程建立策略

37、，對用戶權限實現模塊化設置；?可以把用戶的密鑰，權限與指定的臺式機，筆記本電腦進行綁定，實現離線瀏覽；?可以把用戶的密鑰，權限與指定的USB鎖進行綁定，實現離線瀏覽；?可以控制用戶的閱讀，打印次數；?結合水印技術可以查找文件泄密渠道；1.4.3 針對敏感數據的訪問管理?采用SQLProxy技術，動態攔截SQL命令，并按照數據脫敏規則對SQL命令進行調整，不需更改和另行轉換數據庫實際內容。?可依據“數據庫、數據表、和字段名稱”定義數據自動脫敏規則，并可以使用數據庫自帚的內置函數，定制數據脫敏規則。?數據脫敏規則支持：?部分脫敏（例如：姓名“王大名>王某某”）?隱藏脫敏（例如：密碼>“

38、confidential”）?依據“特定條件”進行脫敏（例如：根據A字段的內容，來決定是否對B字段進行脫敏）?脫敏使用的字符，支持中英文各種標準字符；?可對英文數字主鍵值數據（如：身份證號碼）進行脫敏，并使應用系統的主鍵值關聯查詢功能仍維持正常，不會因主鍵值脫敏后查不到資料。?支持“*、？”等萬用字符，可以彈性設定數據庫表和字段的名稱；?支持“中英文編碼”脫敏功能，支持BIG5與UNICODE編碼，不會因字符編碼長度不同而導致中文脫敏后產生亂碼。?可按照“數據庫用戶、連接數據庫的應用系統名稱、主機名稱、時間、SQL命令關鍵字等多條件組合，來定義不同的脫敏規則。?建立UNIX類服務器、LINUX

39、類服務器、Windows類服務器、網絡安全等重要設備的統一操作管理平臺，統一操作管理入口，并對用戶操作管理等網絡訪問行為進行控制，避免用戶直接接觸目標服務器重要資源，構建安全規范的服務器操作管理唯一通道。?準確識別用戶操作意圖，識別用戶輸入操作命令，并對用戶操作進行限制。操作限制支持時間、用戶原始IP地址、目標服務器地址、用戶名稱、系統帳號、使用的命令等策略因子。對高危命令要能自動阻斷命令的執行，對越權操作行為要能及時警告。?用戶通過SSH、TELNET、RDP、X-WINDOW、VNC、FTP、SFTP、SCP等方式在服務器上的所有操作行為，都能做到全記錄、全審計。?在審計對象出現故障或有管

40、理事故時，審計管理系統可以快速、準確的定位查詢相關日志。回放事件的整個過程，用以問題的解決和責任認定。?在服務器上所有的字符命令操作日志，都可以與第三方的syslog日志分析系統做無縫結合。?不在服務器上安裝任何代理軟件，設備的部署不影響企業正常的業務數據流，不會發生正常業務流單點故障。?不會更改現有的網絡拓撲，不會改變用戶的使用習慣?支持現有標準TELNET、SSH、SFTP、FTP、RDP等客戶端，不需安裝任何第三方特殊功能客戶端，不需要特殊客戶端軟件和本產品配合使用。?日志可以長期保存，以備日后查詢審計。1.4.5 針對數據庫訪問的管理?數據庫賬號生命周期管理系統可以實現資源的統一，無論

41、B/S、C/S架構應用（如PL/SQL），還是其他計算機資源，都可以采用統一的瀏覽器方式發布，構建統一應用門戶，提高用戶訪問體驗，做到快速部署新增應用系統；?統一的應用發布平臺，統一的應用訪問門戶，統一的接入方式，方便的應用權限管理，支持單點登錄及雙因素認證，一次登錄后用戶可以直觀的看到自己所能訪問的應用資源;?數據采用集中方式管理，讓用戶自由選擇網點及設備進行應用訪問，只有鼠標、鍵盤、屏幕數據經過網絡，大大加強了數據中心的安全性，杜絕泄密。?由于網絡中不走實際應用數據，所以對帶寬的需求是固定的（一個終端100K即可），能夠有效降低訪問帶寬，合理利用帶寬資源；?可以方便的控制方便的控制訪問數據

42、庫賬號生命周期管理系統的客戶端權限，如：本地打印、添加本地設備、映射本地目錄、虛擬化目錄訪問、訪問時間等；?復雜的應用結構往往對終端的要求越來越高，如安裝眾多的插件、眾多的應用端口、兼容性問題、C/S架構導致終端運行緩慢、終端補丁升級、終端病毒感染、機器的老化等，維護的成本越來越高，數據庫賬號生命周期管理系統的建立，對終端的要求是只需要瀏覽器，對終端的配置及系統環境沒有太多要求，大大降低了維護的成本，并且只需要開放80端口，防火墻的配置不需要再經常變化，加強了安全性，降低了管理成本；?方便的監控應用訪問情況，對終端的應用訪問過程進行有效監控，并對訪問行為進行審計記錄；1.4.6 針對數據庫的審

43、計?數據庫不安全配置；數據庫潛在弱點；數據庫用戶弱口令；數據庫軟件補丁層次；數據庫潛藏木馬等等。?能夠針對TNS、TDS等協議進行解析還原，包括數據訪問的各項要素，如執行的SQL命令、請求內容、包長度、操作回應、作用數量、執行時長；以及客戶端及主機端IP、MAC地址、客戶端操作系統用戶名、主機名、端口、工具、及數據庫登錄用戶名、服務標識等內容。?針對于數據庫的操作行為進行實時檢測，根據預設置的風險控制策略，結合對數據庫活動的實時監控信息，進行特征檢測，任何嘗試的攻擊操作都會被檢測到并進行阻斷或告警。?不僅支持對數據請求的報文進行審計，同時應對請求的返回結果進行審計，如操作回應、作用數量、執行時

44、長等內容，并能夠根據返回的回應進行審計策略定制。?提供全方位的多層（應用層、中間層、數據庫層）的訪問審計，通過多層業務審計可實現數據操作原始訪問者的精確定位。?提供針對用戶（數據庫）、表、字段、操作的審計規則；?提供對存儲過程、函數、包的審計規則；?提供對視圖、索引的審計規則；?精細到表、字段、具體報文內容的細粒度審計規則，實現對敏感信息的精細監控；?基于IP地址、MAC地址和端口號審計；?提供可定義作用數量動作門限，如SQL操作返回的記錄數或受影響的行數大于等于此值時觸發策略設定；?提供可設定關聯表數目動作門限，如SQL操作涉及表的個數大于等于此值時觸發策略設定；?可根據SQL執行的時間長短設定規則；如命令執行時長超過30秒進行?可根據SQL執行的結果設定規則；?支持多級部署環境下數據查詢；?支持多級管理下審計規則分發；?可預設置安全策略；?告警（郵件、短信、SYSLOG、SNMP、屏幕）。?提供詳細的操作