1、上海東方CJ內(nèi)控管理、內(nèi)網(wǎng)監(jiān)控及數(shù)據(jù)庫審計平臺技術解決方案 上海絡安信息技術有限公司 2012年02月版權聲明上海絡安信息技術有限公司是一家提供全面網(wǎng)絡安全解決方案的咨詢與服務為主的高科技企業(yè)，為中國廣大的行業(yè)用戶提供具有國際標準（如ISO17799、ISO15408、BS7799等）的網(wǎng)絡安全全面解決方案及咨詢服務，并向客戶提供全面安全解決方案中所需的各項安全工具，及提供安全解決方案管理所需的管理決策平臺、安全咨詢、教育培訓以及卓越的售后服務。上海絡安信息技術有限公司保留此文檔的所有電子、紙張類文件資料和相關軟件等的所有版權。任何單位和個人未經(jīng)許可不得復制、轉(zhuǎn)載或用于任何商業(yè)目的，上海絡安信

2、息技術有限公司保留追究法律責任的權利。文檔修改日志日期修改理由修改章節(jié)版本2012.02.07原始版本1.0目 錄 TOC o 1-3 h z u HYPERLINK l _Toc316482279 第一章項目綜述 PAGEREF _Toc316482279 h 9 HYPERLINK l _Toc316482280 1.1項目背景 PAGEREF _Toc316482280 h 9 HYPERLINK l _Toc316482281 1.2絡安簡介 PAGEREF _Toc316482281 h 10 HYPERLINK l _Toc316482282 第二章項目需求分析 PAGEREF _

3、Toc316482282 h 2 HYPERLINK l _Toc316482283 2.1內(nèi)控管理需求分析 PAGEREF _Toc316482283 h 2 HYPERLINK l _Toc316482284 2.1.1維護管理困難 PAGEREF _Toc316482284 h 2 HYPERLINK l _Toc316482285 2.1.2使用共享帳號的安全隱患 PAGEREF _Toc316482285 h 2 HYPERLINK l _Toc316482286 2.1.3密碼策略無法有效執(zhí)行 PAGEREF _Toc316482286 h 2 HYPERLINK l _Toc31

4、6482287 2.1.4用戶授權不清晰 PAGEREF _Toc316482287 h 3 HYPERLINK l _Toc316482288 2.1.5訪問控制策略不嚴格 PAGEREF _Toc316482288 h 3 HYPERLINK l _Toc316482289 2.1.6用戶操作無法有效審計 PAGEREF _Toc316482289 h 3 HYPERLINK l _Toc316482290 2.2內(nèi)網(wǎng)監(jiān)控需求分析 PAGEREF _Toc316482290 h 3 HYPERLINK l _Toc316482291 2.2.1功能需求分析 PAGEREF _Toc3164

5、82291 h 3 HYPERLINK l _Toc316482292 2.2.2項目建設目標 PAGEREF _Toc316482292 h 5 HYPERLINK l _Toc316482293 2.2.3項目效益分析 PAGEREF _Toc316482293 h 6 HYPERLINK l _Toc316482294 2.3數(shù)據(jù)庫審計需求分析 PAGEREF _Toc316482294 h 6 HYPERLINK l _Toc316482295 2.3.1數(shù)據(jù)庫管理 PAGEREF _Toc316482295 h 7 HYPERLINK l _Toc316482296 2.3.2技術風

6、險 PAGEREF _Toc316482296 h 7 HYPERLINK l _Toc316482297 2.3.3審計風險 PAGEREF _Toc316482297 h 8 HYPERLINK l _Toc316482298 2.4平臺性能需求分析 PAGEREF _Toc316482298 h 8 HYPERLINK l _Toc316482299 2.5自身安全性需求分析 PAGEREF _Toc316482299 h 9 HYPERLINK l _Toc316482300 第三章Webcare智能網(wǎng)絡監(jiān)控軟件解決方案 PAGEREF _Toc316482300 h 10 HYPER

7、LINK l _Toc316482301 3.1系統(tǒng)架構設計 PAGEREF _Toc316482301 h 10 HYPERLINK l _Toc316482302 3.2關鍵功能簡介 PAGEREF _Toc316482302 h 12 HYPERLINK l _Toc316482303 3.2.1集中式監(jiān)控平臺 PAGEREF _Toc316482303 h 12 HYPERLINK l _Toc316482304 3.2.2統(tǒng)一資源配置平臺 PAGEREF _Toc316482304 h 13 HYPERLINK l _Toc316482305 3.2.3統(tǒng)一展現(xiàn)平臺 PAGEREF

8、_Toc316482305 h 14 HYPERLINK l _Toc316482306 3.2.4告警事件管理 PAGEREF _Toc316482306 h 14 HYPERLINK l _Toc316482307 產(chǎn)品功能介紹 PAGEREF _Toc316482307 h 16 HYPERLINK l _Toc316482308 3.3基礎設施監(jiān)控 PAGEREF _Toc316482308 h 16 HYPERLINK l _Toc316482309 3.3.1多種監(jiān)測手段 PAGEREF _Toc316482309 h 16 HYPERLINK l _Toc316482310 3.

9、3.2監(jiān)測器一覽表 PAGEREF _Toc316482310 h 18 HYPERLINK l _Toc316482311 3.4業(yè)務系統(tǒng)監(jiān)控 PAGEREF _Toc316482311 h 19 HYPERLINK l _Toc316482312 3.4.1面向業(yè)務可用性的監(jiān)測 PAGEREF _Toc316482312 h 19 HYPERLINK l _Toc316482313 3.5統(tǒng)一事件平臺 PAGEREF _Toc316482313 h 20 HYPERLINK l _Toc316482314 3.5.1故障管理 PAGEREF _Toc316482314 h 20 HYPER

10、LINK l _Toc316482315 3.5.2故障信息的采集 PAGEREF _Toc316482315 h 20 HYPERLINK l _Toc316482316 3.5.3統(tǒng)一的事件處理平臺 PAGEREF _Toc316482316 h 21 HYPERLINK l _Toc316482317 3.5.4事件的自動通知 PAGEREF _Toc316482317 h 21 HYPERLINK l _Toc316482318 3.5.5規(guī)范的告警處理機制 PAGEREF _Toc316482318 h 21 HYPERLINK l _Toc316482319 3.6統(tǒng)一運行展現(xiàn) P

11、AGEREF _Toc316482319 h 22 HYPERLINK l _Toc316482320 3.6.1IP拓撲視圖 PAGEREF _Toc316482320 h 22 HYPERLINK l _Toc316482321 3.6.2設備視圖 PAGEREF _Toc316482321 h 23 HYPERLINK l _Toc316482322 3.6.3業(yè)務視圖 PAGEREF _Toc316482322 h 23 HYPERLINK l _Toc316482323 3.6.4自定義視圖 PAGEREF _Toc316482323 h 24 HYPERLINK l _Toc316

12、482324 3.7系統(tǒng)安全性設計 PAGEREF _Toc316482324 h 24 HYPERLINK l _Toc316482325 3.7.1用戶權限管理 PAGEREF _Toc316482325 h 24 HYPERLINK l _Toc316482326 3.7.2系統(tǒng)狀態(tài)監(jiān)測 PAGEREF _Toc316482326 h 25 HYPERLINK l _Toc316482327 3.7.3系統(tǒng)數(shù)據(jù)管理 PAGEREF _Toc316482327 h 25 HYPERLINK l _Toc316482328 系統(tǒng)技術指標 PAGEREF _Toc316482328 h 26

13、HYPERLINK l _Toc316482329 3.8網(wǎng)絡管理功能性 PAGEREF _Toc316482329 h 26 HYPERLINK l _Toc316482330 3.9服務器監(jiān)測 PAGEREF _Toc316482330 h 28 HYPERLINK l _Toc316482331 3.10數(shù)據(jù)庫監(jiān)測 PAGEREF _Toc316482331 h 29 HYPERLINK l _Toc316482332 3.11應用服務監(jiān)測 PAGEREF _Toc316482332 h 30 HYPERLINK l _Toc316482333 3.12擴展接口 PAGEREF _Toc

14、316482333 h 31 HYPERLINK l _Toc316482334 3.13系統(tǒng)影響評估 PAGEREF _Toc316482334 h 31 HYPERLINK l _Toc316482335 3.13.1對網(wǎng)絡帶寬的影響 PAGEREF _Toc316482335 h 31 HYPERLINK l _Toc316482336 3.13.2對采用SNMP監(jiān)測的主機系統(tǒng) PAGEREF _Toc316482336 h 32 HYPERLINK l _Toc316482337 3.13.3對采用Agent監(jiān)測的Windows服務器 PAGEREF _Toc316482337 h 3

15、2 HYPERLINK l _Toc316482338 3.13.4對采用Agent監(jiān)測的UNIX服務器 PAGEREF _Toc316482338 h 32 HYPERLINK l _Toc316482339 3.14定制和客戶化方案 PAGEREF _Toc316482339 h 33 HYPERLINK l _Toc316482340 3.14.1二次開發(fā)必要性 PAGEREF _Toc316482340 h 33 HYPERLINK l _Toc316482341 3.14.2二次開發(fā)能力和優(yōu)勢 PAGEREF _Toc316482341 h 33 HYPERLINK l _Toc31

16、6482342 第四章LanSecS內(nèi)控堡壘主機解決方案 PAGEREF _Toc316482342 h 35 HYPERLINK l _Toc316482343 4.1方案目標 PAGEREF _Toc316482343 h 35 HYPERLINK l _Toc316482344 4.2方案內(nèi)容 PAGEREF _Toc316482344 h 35 HYPERLINK l _Toc316482345 4.2.1設備集中管理 PAGEREF _Toc316482345 h 36 HYPERLINK l _Toc316482346 4.2.2解決共享賬戶隱患 PAGEREF _Toc31648

17、2346 h 36 HYPERLINK l _Toc316482347 4.2.3密碼策略有效執(zhí)行 PAGEREF _Toc316482347 h 36 HYPERLINK l _Toc316482348 4.2.4解決客戶授權不清晰 PAGEREF _Toc316482348 h 37 HYPERLINK l _Toc316482349 4.2.5訪問控制策略嚴格執(zhí)行 PAGEREF _Toc316482349 h 38 HYPERLINK l _Toc316482350 4.2.6操作審計可追蹤 PAGEREF _Toc316482350 h 39 HYPERLINK l _Toc3164

18、82351 4.3產(chǎn)品設計概要說明 PAGEREF _Toc316482351 h 40 HYPERLINK l _Toc316482352 4.3.1整體設計 PAGEREF _Toc316482352 h 40 HYPERLINK l _Toc316482353 4.3.2工作流程 PAGEREF _Toc316482353 h 40 HYPERLINK l _Toc316482354 產(chǎn)品功能介紹 PAGEREF _Toc316482354 h 40 HYPERLINK l _Toc316482355 4.4系統(tǒng)架構 PAGEREF _Toc316482355 h 40 HYPERLIN

19、K l _Toc316482356 4.5功能描述 PAGEREF _Toc316482356 h 41 HYPERLINK l _Toc316482357 4.5.1統(tǒng)一資源管理 PAGEREF _Toc316482357 h 42 HYPERLINK l _Toc316482358 4.6用戶管理 PAGEREF _Toc316482358 h 43 HYPERLINK l _Toc316482359 4.6.1用戶生命周期管理 PAGEREF _Toc316482359 h 43 HYPERLINK l _Toc316482360 4.6.2主賬號管理 PAGEREF _Toc31648

20、2360 h 44 HYPERLINK l _Toc316482361 4.6.3賬號管理 PAGEREF _Toc316482361 h 45 HYPERLINK l _Toc316482362 4.6.4用戶角色管理 PAGEREF _Toc316482362 h 45 HYPERLINK l _Toc316482363 4.6.5賬號同步 PAGEREF _Toc316482363 h 45 HYPERLINK l _Toc316482364 4.6.6賬號策略管理 PAGEREF _Toc316482364 h 46 HYPERLINK l _Toc316482365 4.6.7資源管

21、理 PAGEREF _Toc316482365 h 47 HYPERLINK l _Toc316482366 4.6.8密碼策略 PAGEREF _Toc316482366 h 47 HYPERLINK l _Toc316482367 4.7授權管理 PAGEREF _Toc316482367 h 48 HYPERLINK l _Toc316482368 4.7.1集中授權 PAGEREF _Toc316482368 h 48 HYPERLINK l _Toc316482369 4.7.2授權審批 PAGEREF _Toc316482369 h 49 HYPERLINK l _Toc31648

22、2370 4.7.3資源授權 PAGEREF _Toc316482370 h 49 HYPERLINK l _Toc316482371 4.7.4角色授權 PAGEREF _Toc316482371 h 49 HYPERLINK l _Toc316482372 4.7.5細粒度授權 PAGEREF _Toc316482372 h 50 HYPERLINK l _Toc316482373 4.7.6集中訪問控制 PAGEREF _Toc316482373 h 51 HYPERLINK l _Toc316482374 4.7.7單點登陸 PAGEREF _Toc316482374 h 52 HYP

23、ERLINK l _Toc316482375 4.7.8B/S單點登錄 PAGEREF _Toc316482375 h 53 HYPERLINK l _Toc316482376 4.7.9C/S單點登錄 PAGEREF _Toc316482376 h 53 HYPERLINK l _Toc316482377 4.7.10動態(tài)短信口令 PAGEREF _Toc316482377 h 54 HYPERLINK l _Toc316482378 4.8審計管理 PAGEREF _Toc316482378 h 55 HYPERLINK l _Toc316482379 4.8.1內(nèi)部的審計 PAGEREF

24、 _Toc316482379 h 55 HYPERLINK l _Toc316482380 4.8.2審計范圍 PAGEREF _Toc316482380 h 55 HYPERLINK l _Toc316482381 4.8.3審計內(nèi)容 PAGEREF _Toc316482381 h 56 HYPERLINK l _Toc316482382 4.8.4審計查詢 PAGEREF _Toc316482382 h 56 HYPERLINK l _Toc316482383 4.8.5審計報表 PAGEREF _Toc316482383 h 56 HYPERLINK l _Toc316482384 4.

25、8.6還原審計 PAGEREF _Toc316482384 h 57 HYPERLINK l _Toc316482385 4.8.7智能告警 PAGEREF _Toc316482385 h 57 HYPERLINK l _Toc316482386 4.9集中管理平臺 PAGEREF _Toc316482386 h 58 HYPERLINK l _Toc316482387 4.9.1子系統(tǒng)管理 PAGEREF _Toc316482387 h 58 HYPERLINK l _Toc316482388 4.9.2賬號管理 PAGEREF _Toc316482388 h 58 HYPERLINK l

26、_Toc316482389 4.9.3用戶自管理 PAGEREF _Toc316482389 h 59 HYPERLINK l _Toc316482390 4.9.4單點登錄 PAGEREF _Toc316482390 h 59 HYPERLINK l _Toc316482391 4.9.5權限管理 PAGEREF _Toc316482391 h 59 HYPERLINK l _Toc316482392 4.9.6數(shù)據(jù)查詢 PAGEREF _Toc316482392 h 59 HYPERLINK l _Toc316482393 4.9.7訪問審計 PAGEREF _Toc316482393 h

27、 59 HYPERLINK l _Toc316482394 4.9.8系統(tǒng)自管理 PAGEREF _Toc316482394 h 59 HYPERLINK l _Toc316482395 產(chǎn)品優(yōu)勢及部署 PAGEREF _Toc316482395 h 62 HYPERLINK l _Toc316482396 4.10LanSecS堡壘主機特色 PAGEREF _Toc316482396 h 62 HYPERLINK l _Toc316482397 4.11LanSecS產(chǎn)品功能優(yōu)勢 PAGEREF _Toc316482397 h 63 HYPERLINK l _Toc316482398 4.1

28、1.1可定制性 PAGEREF _Toc316482398 h 63 HYPERLINK l _Toc316482399 4.11.2可擴展性 PAGEREF _Toc316482399 h 63 HYPERLINK l _Toc316482400 4.11.3高安全性 PAGEREF _Toc316482400 h 64 HYPERLINK l _Toc316482401 4.11.4高可靠性 PAGEREF _Toc316482401 h 64 HYPERLINK l _Toc316482402 4.11.5易用性 PAGEREF _Toc316482402 h 64 HYPERLINK

29、l _Toc316482403 4.12LanSecS內(nèi)控堡壘主機典型部署 PAGEREF _Toc316482403 h 65 HYPERLINK l _Toc316482404 4.12.1單區(qū)域堡壘機部署 PAGEREF _Toc316482404 h 65 HYPERLINK l _Toc316482405 4.12.2多區(qū)域堡壘機部署 PAGEREF _Toc316482405 h 66 HYPERLINK l _Toc316482406 第五章Imperva數(shù)據(jù)庫安全審計解決方案 PAGEREF _Toc316482406 h 67 HYPERLINK l _Toc31648240

30、7 5.1Imperva公司數(shù)據(jù)庫安全解決方案 PAGEREF _Toc316482407 h 67 HYPERLINK l _Toc316482408 5.1.1SecureSphere Database Activity Monitoring Gateway PAGEREF _Toc316482408 h 67 HYPERLINK l _Toc316482409 5.1.2SecureSphere Database Firewall Gateway PAGEREF _Toc316482409 h 67 HYPERLINK l _Toc316482410 5.1.3SecureSphere

31、Discovery and Assessment Server PAGEREF _Toc316482410 h 67 HYPERLINK l _Toc316482411 5.1.4SecureSphere MX Management Server PAGEREF _Toc316482411 h 68 HYPERLINK l _Toc316482412 5.1.5Imperva Application Defence Centre (ADC) PAGEREF _Toc316482412 h 68 HYPERLINK l _Toc316482413 5.1.6SecureSphere優(yōu)勢（專利）技

32、術 PAGEREF _Toc316482413 h 69 HYPERLINK l _Toc316482414 5.2技術實現(xiàn) PAGEREF _Toc316482414 h 69 HYPERLINK l _Toc316482415 5.2.1SecureSphere 專用硬件平臺 PAGEREF _Toc316482415 h 69 HYPERLINK l _Toc316482416 5.2.2數(shù)據(jù)庫代理（Agent） PAGEREF _Toc316482416 h 71 HYPERLINK l _Toc316482417 5.2.3集中管理架構 PAGEREF _Toc316482417 h

33、 72 HYPERLINK l _Toc316482418 5.3部署方案 PAGEREF _Toc316482418 h 72 HYPERLINK l _Toc316482419 5.3.1嗅探部署方案 PAGEREF _Toc316482419 h 72 HYPERLINK l _Toc316482420 5.3.2橋接部署方案 PAGEREF _Toc316482420 h 73 HYPERLINK l _Toc316482421 5.3.3代理部署方案 PAGEREF _Toc316482421 h 74 HYPERLINK l _Toc316482422 5.4工作原理圖 PAGER

34、EF _Toc316482422 h 75 HYPERLINK l _Toc316482423 5.5SecureSphere邏輯架構層次 PAGEREF _Toc316482423 h 76 HYPERLINK l _Toc316482424 5.5.1用戶界面層User Interface Layer PAGEREF _Toc316482424 h 76 HYPERLINK l _Toc316482425 5.5.2管理和報告層Management & Reporting Layer PAGEREF _Toc316482425 h 76 HYPERLINK l _Toc316482426

35、5.5.3分析層Analysis Layer PAGEREF _Toc316482426 h 77 HYPERLINK l _Toc316482427 5.5.4存儲層Storage Layer PAGEREF _Toc316482427 h 77 HYPERLINK l _Toc316482428 5.5.5收集層Collection Layer PAGEREF _Toc316482428 h 77 HYPERLINK l _Toc316482429 5.5.6數(shù)據(jù)庫訪問層DB Access Layer PAGEREF _Toc316482429 h 77 HYPERLINK l _Toc3

36、16482430 5.6數(shù)據(jù)捕獲 PAGEREF _Toc316482430 h 77 HYPERLINK l _Toc316482431 5.7SecureSphere多層安全檢查機制 PAGEREF _Toc316482431 h 78 HYPERLINK l _Toc316482432 5.7.1數(shù)據(jù)庫 IPS PAGEREF _Toc316482432 h 79 HYPERLINK l _Toc316482433 5.7.2集成防火墻功能 PAGEREF _Toc316482433 h 80 HYPERLINK l _Toc316482434 5.7.3動態(tài)建模 PAGEREF _To

37、c316482434 h 80 HYPERLINK l _Toc316482435 5.7.4數(shù)據(jù)庫協(xié)議驗證 PAGEREF _Toc316482435 h 80 HYPERLINK l _Toc316482436 5.8Imperva數(shù)據(jù)庫安全方案的優(yōu)勢 PAGEREF _Toc316482436 h 81項目綜述項目背景隨著信息技術的不斷發(fā)展和信息化建設的不斷進步，辦公系統(tǒng)、商務平臺的不斷推出和投入運行，信息系統(tǒng)在金融行業(yè)內(nèi)部的運營中全面滲透。而目前大部分企業(yè)系統(tǒng)管理員人數(shù)較少，不僅管理和維護費時費力，而且?guī)ぬ柣蛎艽a外泄、違規(guī)訪問和操作、人為誤操作等安全事件時有發(fā)生，也無法對安全事件進行有

38、效的責任定位，這些都會對部門或者企業(yè)聲譽造成重大影響，并嚴重影響其經(jīng)濟運行效能。如何提高系統(tǒng)運維管理水平，滿足國家或企業(yè)內(nèi)部相關標準要求，防止內(nèi)部或外部的違規(guī)行為，降低運維成本，提供控制和審計依據(jù)，越來越成為企業(yè)關心的問題。通過自動化的技術手段分別從物理層、網(wǎng)絡層、應用層三個方面對公司內(nèi)網(wǎng)的核心服務器群、網(wǎng)絡及應用系統(tǒng)進行724小時全天候監(jiān)測預警，通過持續(xù)對各項資源運行狀況的監(jiān)控，建立性能基線，發(fā)現(xiàn)系統(tǒng)中的異常并且及時告警，以便快速作出應對措施，有力提高應用服務保障水平。數(shù)據(jù)庫的應用已經(jīng)十分廣泛，深入到各個領域，但隨之而來也產(chǎn)生了很多數(shù)據(jù)的安全問題。各種應用系統(tǒng)的數(shù)據(jù)庫中大量數(shù)據(jù)的安全問題、敏

39、感數(shù)據(jù)的防竊取和防篡改問題，越來越引起人們的高度重視。數(shù)據(jù)庫系統(tǒng)作為信息的聚集體，是計算機信息系統(tǒng)的核心部件，其安全性至關重要，關系到企業(yè)興衰、成敗。因此，如何保證數(shù)據(jù)庫自身的安全，已成為現(xiàn)代數(shù)據(jù)庫系統(tǒng)的主要評測指標之一。上海東方希杰商務有限公司是做電子商務業(yè)務的，電子商務、電子貿(mào)易的著眼點集中于WEB服務器、Java和其它新技術的同時，應該記住這些以用戶為導向和企業(yè)對企業(yè)的系統(tǒng)都是以Web服務器后的關系數(shù)據(jù)庫為基礎的。它們的安全直接關系到系統(tǒng)的有效性、數(shù)據(jù)和交易的完整性、保密性。系統(tǒng)拖延效率欠佳，不僅影響商業(yè)活動，還會影響公司的信譽。不可避免地，這些系統(tǒng)受到入侵的可能性更大，但是并未對商業(yè)伙

40、伴和客戶敏感信息的保密性加以更有效的防范。此外，ERP和管理系統(tǒng)，如ASPR/3和PeopleSoft等，都是建立在相同標準的數(shù)據(jù)庫系統(tǒng)中。無人管理的安全漏洞與時間拖延、系統(tǒng)完整性問題和客戶信任等有直接的關系。所以，如何有效地保證數(shù)據(jù)庫系統(tǒng)的安全，實現(xiàn)數(shù)據(jù)的保密性、完整性和有效性，已經(jīng)成為業(yè)界人士探索研究的重要課題之一。絡安簡介上海絡安的一站式運維服務立足于ITIL/ISO27001國際管理標準，集網(wǎng)絡安全技術、產(chǎn)品和資深工程師為一體，向客戶、合作伙伴提供增值、全面、完整的安全托管服務。服務范圍包括全面的整體安全策略制定、定期、性能監(jiān)控、流量監(jiān)控、數(shù)據(jù)備份與復原、系統(tǒng)加固、白客攻擊測試，安全配

41、置、緊急響應、7*24*365 安全監(jiān)控服務等。依托于上海絡安為IDC托管用戶提供的高質(zhì)代維服務，企業(yè)可專注于網(wǎng)站主要業(yè)務的運營。上海絡安致力于為企事業(yè)單位提供長遠的、有效的信息服務解決方案，按需求提供一站式網(wǎng)絡運維服務，不斷降低企業(yè)運營風險水平和長期運營成本。上海絡安是以提供全面IT咨詢與網(wǎng)絡運維服務為主的高科技企業(yè)。具有自主知識產(chǎn)權的安全監(jiān)控軟件，為各行業(yè)用戶提供具有國際標準的網(wǎng)絡安全全面解決方案及咨詢服務。擁有強大的后端技術支持平臺，嚴格的服務流程專業(yè)的工程隊伍、完善的監(jiān)控體系。本公司優(yōu)勢：具完整咨詢、設計、實施經(jīng)驗的服務能力BCP（業(yè)務持續(xù)性計劃）和DRP（災難恢復計劃）咨詢服務能力量

42、身訂作的業(yè)務持續(xù)性計劃咨詢及實施計劃企業(yè)容災系統(tǒng)的架構設計客戶應用系統(tǒng)數(shù)據(jù)移植、數(shù)據(jù)優(yōu)化和數(shù)據(jù)管理大型容災項目的實施經(jīng)驗跨平臺的系統(tǒng)集成能力高素質(zhì)的運維外包項目管理經(jīng)驗上海絡安金橋IDC機房，提供專業(yè)IDC服務服務資質(zhì)：2008年公司獲得高新技術企業(yè)和雙軟件企業(yè)的證書； 2009年獲得工信部（工信部協(xié)200942號）互聯(lián)網(wǎng)安全接入試點工作的上海市試點工作任務承擔單位； 2009年獲得上海世博會信息安全保障應急響應支撐單位； 2010年獲得工信部頒發(fā)的計算機信息系統(tǒng)集成資質(zhì)2010年榮獲上海世博會信息安全保障工作優(yōu)秀集體（唯一一家企業(yè)單位）2010年公司榮獲上海市創(chuàng)新型企業(yè)稱號2010年公司獲得

43、工信部頒發(fā)的信息安全應急處理服務資質(zhì)2010年公司獲得中國信息安全測評中心頒發(fā)的信息安全服務 項目需求分析內(nèi)控管理需求分析上海東方希杰商務有限公司是一家電子商務公司，使用在線網(wǎng)上銀行交易系統(tǒng)，所以對數(shù)據(jù)庫的安全性較高。企業(yè)數(shù)據(jù)中心擁有數(shù)量眾多的Unix/Linux/Windows主機、網(wǎng)絡設備、數(shù)據(jù)庫服務器及必要的安全設備，用來支撐和保障電子商務、數(shù)據(jù)庫應用、ERP和協(xié)同工作群件等的穩(wěn)定、安全運行。信息安全管理部門在對以上各種設備進行維護和管理的過程中，面臨著如下問題： 維護管理困難大量設備和系統(tǒng)的維護管理常常使得系統(tǒng)管理人員忙碌不堪，不同的IP地址登錄、繁雜的帳號和密碼記憶等，經(jīng)常導致維護管

44、理混亂、不到位和誤操作等問題出現(xiàn)；出現(xiàn)問題后，也無法及時發(fā)現(xiàn)和處理，維護管理效率低下。因此，需要借助技術平臺對設備和系統(tǒng)進行維護管理，以提高管理效能，緩解系統(tǒng)管理人員壓力。 使用共享帳號的安全隱患企業(yè)的支撐系統(tǒng)中的大量網(wǎng)絡設備、主機系統(tǒng)和應用系統(tǒng)，分別屬于不同的部門和不同的業(yè)務系統(tǒng)。各系統(tǒng)都有一套獨立的帳號體系，用戶為了方便登錄，經(jīng)常出現(xiàn)多人共用帳號的情況。多人共用一個帳號在帶來方便的同時，也導致了用戶身份唯一性無法確定。發(fā)生問題后，無法準確定位惡意操作或誤操作的責任人；如果其中有人離職或者將帳號信息外泄給其他無關人員，會使這個帳號的安全性無法保證。此外，如果更改密碼，則需要通知所有需要使用此

45、帳號的人員，使密碼的管理工作復雜化。 密碼策略無法有效執(zhí)行為了保證密碼的安全性，安全管理員制定了嚴格的密碼策略，如密碼要定期修改，密碼要保證足夠的長度和復雜度等，但是由于管理的機器數(shù)量和帳號數(shù)量太多，往往導致密碼策略的實施流于形式。 用戶授權不清晰設備多維護人員少是目前大部分企業(yè)面臨的一個共同問題，一個維護人員可能會同時維護管理多臺設備，也就會同時兼任各種系統(tǒng)角色，這就造成了用戶權限分配的混亂性和不合理性，不合理和不清晰的用戶授權使得系統(tǒng)的安全性無法得到充分保證。 訪問控制策略不嚴格目前，在網(wǎng)絡管理中沒有一個清晰的訪問控制列表，無法一目了然看到哪個用戶能夠以何種身份訪問哪些關鍵設備，同時缺少有

46、效的技術手段來保證訪問控制策略被有效執(zhí)行。 用戶操作無法有效審計各系統(tǒng)獨立運行、維護和管理，所以各系統(tǒng)的審計信息也是相互獨立的。每個網(wǎng)絡設備，每個主機系統(tǒng)分別進行審計，安全事故發(fā)生后需要排查各設備、系統(tǒng)的日志，費時費力；即使審計日志找到了，也很難定位到行為人。另外，各系統(tǒng)的日志記錄能力各不相同，日記記錄功能也都存在著一定的缺陷。例如對于Unix系統(tǒng)來說，日志記錄功能就存在以下問題：Unix 系統(tǒng)中，用戶在服務器上的操作有一個歷史命令記錄的文件，但是用戶可以隨意更改和刪除自己的記錄；root 用戶不僅僅可以修改自己的歷史記錄，還可以修改他人的歷史記錄，系統(tǒng)本身的歷史記錄文件已經(jīng)變的不可信；記錄的

47、命令數(shù)量有限制；無法記錄操作人員、操作時間、操作結果等詳細內(nèi)容；內(nèi)網(wǎng)監(jiān)控需求分析 功能需求分析上海東方希杰商務有限公司內(nèi)網(wǎng)監(jiān)測預警平臺是針對主機、網(wǎng)絡、應用、數(shù)據(jù)庫的運行性能及安全狀態(tài)進行監(jiān)測的應用系統(tǒng)，必須滿足如下要求：1、集中運行管理信息系統(tǒng)管理人員面對的往往是異構的管理對象和多種管理需求，如果沒有一套統(tǒng)一、集成的管理系統(tǒng)，需要花費很長時間和精力學習管理技能，導致管理效率無法有效的提升，因此需具備統(tǒng)一監(jiān)測、集中管理功能：解放人力，依靠智能化技術化的管理手段，降低故障發(fā)生率，降低維護成本，并同時提高維護效率。IT資源監(jiān)測結果綜合展現(xiàn)，消除各個監(jiān)控工具之間各自為政、系統(tǒng)管理員在各個界面間頻繁切

48、換的情況，并通過統(tǒng)一的展現(xiàn)界面進行展現(xiàn)。統(tǒng)一的告警平臺，建立性能基線，發(fā)現(xiàn)系統(tǒng)異常并及時告警，將所有告警納入監(jiān)測管理平臺，并通過短信、郵件統(tǒng)一告警。以業(yè)務的角度將傳統(tǒng)的技術設備的管理整合到基于業(yè)務的管理平臺上來，不僅能完成對設備監(jiān)控的需求同時能滿足根據(jù)業(yè)務的組成定位問題根源，定位性能瓶頸，預測業(yè)務發(fā)展趨勢和穩(wěn)定性。提供各種報表和視圖，呈現(xiàn)IT資源的運行狀況和運行趨勢。統(tǒng)一的中文界面，瀏覽器管理方式，可以多人同時通過瀏覽器進行訪問和操作。2、網(wǎng)絡監(jiān)測監(jiān)測預警平臺針對網(wǎng)絡故障和性能瓶頸等各種問題能實現(xiàn)網(wǎng)絡流量、網(wǎng)絡質(zhì)量和網(wǎng)絡拓撲管理功能：自動、準確地發(fā)現(xiàn)網(wǎng)絡的拓撲結構；可持續(xù)地監(jiān)視、報告網(wǎng)絡的運行

49、情況；提供網(wǎng)絡運行狀態(tài)和性能的多角度分析與統(tǒng)計；對網(wǎng)絡、安全設備告警事件進行采集和跨類型、跨廠商的分析。3、主機系統(tǒng)監(jiān)測監(jiān)測預警平臺能夠?qū)崿F(xiàn)對各種服務器（Linux、AIX、Windows2003等）的監(jiān)測管理，包括主機硬件、操作系統(tǒng)、文件系統(tǒng)、進程和應用等。監(jiān)測的重點是對操作系統(tǒng)關鍵指標，如CPU、內(nèi)存、進程、文件系統(tǒng)等進行全面的監(jiān)控管理，要求不僅能夠在狀態(tài)改變或性能指標超越門限時生成告警，同時還應該提供實時和歷史的性能數(shù)據(jù)展現(xiàn)，并能夠保存歷史性能數(shù)據(jù)，以形成統(tǒng)計分析報表。4、應用監(jiān)測監(jiān)測預警平臺可以全面智能的監(jiān)測各種與Web應用相關的服務，如Apache Server、MS IIS Ser

50、ver、FTP、DNS、News、Weblogic等。該監(jiān)測基于TCP/IP協(xié)議族中的各種應用層協(xié)議（HTTP、FTP、DNS等），不需要對被監(jiān)測服務進行配置。組合使用它們可以對WEB、Email、DNS、FTP、ERP、CRM、中間件等從應用可用性、系統(tǒng)資源占用和性能指標三個層面進行全面深入的監(jiān)測管理，保證服務的可用性和性能。5、數(shù)據(jù)庫監(jiān)測監(jiān)測預警平臺能對Oracle、MS-SQL、MySQL、DB2等多種數(shù)據(jù)庫從應用可用性、系統(tǒng)資源占用和數(shù)據(jù)庫性能指標三個方面提供全面的監(jiān)測管理策略，確保數(shù)據(jù)庫的運行正常。數(shù)據(jù)庫監(jiān)測主要是對關鍵參數(shù)，例如文件存儲空間、系統(tǒng)資源使用率、配置情況、當前的各種鎖資

51、源情況、進程狀態(tài)、進程所占內(nèi)存空間、緩沖區(qū)命中率、可用性等實現(xiàn)監(jiān)測。監(jiān)測預警平臺可以在數(shù)據(jù)庫運行服務中斷時捕獲問題信息，并且自動發(fā)送到告警控制臺，使系統(tǒng)管理員能夠及時采取措施，避免災難性的事故。 項目建設目標通過上海東方希杰商務有限公司內(nèi)網(wǎng)監(jiān)測預警平臺的建設，將做到IT系統(tǒng)故障早發(fā)現(xiàn)、早解決，確保計算機系統(tǒng)、網(wǎng)絡和應用的連續(xù)、可靠、安全運行，降低發(fā)生故障的可能性，提高IT系統(tǒng)運行管理水平和服務保障能力。實現(xiàn)對各業(yè)務系統(tǒng)、應用程序、服務器、存儲設備、網(wǎng)絡系統(tǒng)、網(wǎng)絡設備以及安全系統(tǒng)等的監(jiān)測和管理，直接提供與應用相關的集中監(jiān)測的能力、手段和工具。具體目標如下：1、面向基礎設施的管理：1）全面管理系統(tǒng)

52、資源：提供對網(wǎng)絡、主機、存儲設備、安全設備、數(shù)據(jù)庫、中間件及應用軟件等IT資源的全面管理。2）智能化故障管理：自動收集各種管理功能產(chǎn)生的故障事件，完成故障事件收集和自動告警等工作，以實現(xiàn)對故障的快速定位、處理。3）性能管理與優(yōu)化：對網(wǎng)絡和應用等性能進行監(jiān)控，定期提供性能報表和趨勢表，為網(wǎng)絡性能優(yōu)化提供科學依據(jù)。2、面向維護管理者：1）運維服務管理：實現(xiàn)日常運維工作的自動化；2）智能總控中心：實時展現(xiàn)當前IT系統(tǒng)的運行狀態(tài)及趨勢，幫助管理人員快速發(fā)現(xiàn)問題，分析故障問題所在；3、面向決策者：綜合報表：對系統(tǒng)運行狀況信息進行匯總，幫助領導更全面的了解網(wǎng)絡系統(tǒng)的運行狀況和趨勢，為領導決策提供科學依據(jù)。

53、 項目效益分析通過預警監(jiān)測平臺建設和部署，可以實現(xiàn)如下積極和有益的目標：建成提前預警、快速定位故障的綜合監(jiān)控系統(tǒng)，監(jiān)測各種業(yè)務系統(tǒng)基礎資源，如網(wǎng)絡設備、數(shù)據(jù)庫、服務器、中間件等，通過設定各個基礎資源性能閥值，一旦觸發(fā)性能閥值，就發(fā)出告警，并且以短信、聲音、郵件等即時方式通知管理員，讓管理員可以在眾多的資源中提前定位故障源，把故障扼殺在萌芽之中，減少業(yè)務系統(tǒng)的故障風險。建成規(guī)范、科學、靈活、符合用戶使用習慣的運維電子流程，轉(zhuǎn)變過去手工無序的運維模式為主動可控有序的運維服務模式，讓運維過程可以跟蹤、審計、量化，通過規(guī)范的流程服務，減少運維成本的投入，提高運維效率，提升信息部門的運維形象，增強運維工

54、作的影響力。建成針對業(yè)務系統(tǒng)可用性的狀態(tài)監(jiān)控機制，對業(yè)務系統(tǒng)可用性進行實時監(jiān)控，通過醒目顏色圖標表示業(yè)務系統(tǒng)狀況，起到直觀整體掌控業(yè)務的狀態(tài)，提高管理員運維的效率和提高業(yè)務系統(tǒng)無故障率，讓業(yè)務系統(tǒng)真正無憂運行。建成通過集中的管理平臺，集中展現(xiàn)各種視圖，如網(wǎng)絡拓撲視圖、業(yè)務拓撲視圖、機房視圖等等，可以起到管理多系統(tǒng)展現(xiàn)目的。數(shù)據(jù)庫審計需求分析上海東方希杰商務有限公司目前的業(yè)務系統(tǒng)中大多數(shù)關鍵數(shù)據(jù)均存儲在數(shù)據(jù)庫服務器中，這些關鍵的數(shù)據(jù)庫系統(tǒng)也成為了公司信息系統(tǒng)和業(yè)務系統(tǒng)的心臟。這些數(shù)據(jù)庫中儲存著諸如銀行賬戶、訂單信息、客戶信息、生產(chǎn)或交易明細、產(chǎn)品資料等極其重要和敏感的信息。針對上海東方希杰商務有

55、限公司的現(xiàn)狀，我們總結了以下主要風險和需求分析： 數(shù)據(jù)庫管理內(nèi)部人員誤操作、違規(guī)操作、越權操作，損害業(yè)務系統(tǒng)安全運行內(nèi)部人員的誤操作、違規(guī)操作、越權操作缺少實時告警和阻攔機制，通常在事件發(fā)生后并造成嚴重后果后才能被發(fā)現(xiàn)，這時可能已經(jīng)對業(yè)務系統(tǒng)造成嚴重影響。因此，我們希望能夠建立一套完善的實時告警機制，能對上述情況進行實時告警。能夠第一時間消除潛在風險。多人公用一個帳號，責任難以分清目前，只能通過簡單的數(shù)據(jù)庫訪問日志查看相關人員的操作記錄。但是，因為維護人員多使用相同維護賬號，很難區(qū)分責任。我們需要更為強大的審計工具，能夠記錄源地址、源應用程序、遠程登錄的OS主機名、OS主機賬號等信息區(qū)分責任。

56、第三方維護人員的誤操作，惡意操作和篡改第三方人員的誤操作、惡意操作、篡改、數(shù)據(jù)竊取也需要有系統(tǒng)能夠監(jiān)管。目前缺乏對這些人員的監(jiān)管。超級管理員用戶操作難以監(jiān)管和審計超級管理員、特權用戶都有著非常大的權限，目前缺少監(jiān)管手段。而且，有很多數(shù)據(jù)庫數(shù)據(jù)庫管理員還可以訪問和管理審計日志，這就明顯違反了審計中權責分離的要求。數(shù)據(jù)庫權限分配問題數(shù)據(jù)庫用戶權限分配混亂。隨著應用的不斷增加和時間的推移，存在大量賦予過高權限的數(shù)據(jù)庫用戶和長期沒有人使用的數(shù)據(jù)庫賬號，我們需要定期對這些數(shù)據(jù)庫賬號進行清理，嚴格遵照“業(yè)務必須知道”的最小原則來進行數(shù)據(jù)庫賬號分配。 技術風險數(shù)據(jù)庫服務器操作系統(tǒng)漏洞攻擊我們需要定期針對數(shù)據(jù)

57、庫服務器操作系統(tǒng)進行安全漏洞掃描，確認其是否存在安全漏洞，并及時修補或者通過安全系統(tǒng)防護。數(shù)據(jù)庫系統(tǒng)漏洞攻擊數(shù)據(jù)庫系統(tǒng)本身的漏洞以及不安全、不合理的配置也需要定期進行掃描，并修補。或者通過安全系統(tǒng)防護。離職員工留下后門需要對用戶權限進行及時管理；對異常的數(shù)據(jù)庫訪問進行及時分析和處理。 審計風險審計日志缺失或不完整目前只有部分數(shù)據(jù)庫系統(tǒng)可以提供的審計日志，而這些審計日志非常不完整。例如，缺少源程序的記錄、數(shù)據(jù)庫返回信息的記錄、Bind參數(shù)的記錄、等等。而且因為在數(shù)據(jù)庫系統(tǒng)上啟用審計功能會大大影響現(xiàn)有數(shù)據(jù)庫系統(tǒng)的性能，因此，大多數(shù)數(shù)據(jù)庫系統(tǒng)并沒有都啟用審計功能。不同數(shù)據(jù)庫的審計目前公司內(nèi)數(shù)據(jù)庫系統(tǒng)

58、越來越多、數(shù)據(jù)庫的類型也不斷增加，這為數(shù)據(jù)庫系統(tǒng)審計的集中管理帶來了相當大的挑戰(zhàn)。因為，數(shù)據(jù)庫種類不同，自身的審計功能也不同，這為審計日志的查看帶來相當大的困難。同時，數(shù)據(jù)庫數(shù)量的增加，又無法集中進行統(tǒng)一查看。因此，我們需要采用更為集中的、獨立的、可以同時支持多種數(shù)據(jù)庫平臺、多個數(shù)據(jù)庫的審計系統(tǒng)。審計獨立性的問題啟用數(shù)據(jù)庫自身的審計功能，既影響自身性能，又存在了嚴重的審計獨立性問題。審計規(guī)范中要求數(shù)據(jù)庫管理員和審計人員必須權責分離。安全事件難以追查和定位目前的公司現(xiàn)狀根本無法準確定位和最終相關數(shù)據(jù)庫安全事件。需要進行技術方案的優(yōu)化和改進。因此，我們建議上海東方希杰商務有限公司采用Imperva

59、專業(yè)的數(shù)據(jù)庫安全方案，可以完滿的應對上述風險和場景。平臺性能需求分析作為對企業(yè)內(nèi)部各種服務器、網(wǎng)絡設備和安全設備等核心資產(chǎn)的綜合管理平臺，除需要強大技術功能支撐外，系統(tǒng)本身也需要具有良好的性能，以保障正常、安全的對被管資源進行維護和管理。自身安全性需求分析作為內(nèi)部服務器和網(wǎng)絡設備的統(tǒng)一入口和集中管理平臺，系統(tǒng)會成為非法用戶攻擊的重點，無論是系統(tǒng)的登錄認證還是數(shù)據(jù)的傳輸，都需要進行嚴格的控制和保護，防止惡意用戶通過各種非法手段進入系統(tǒng)或篡改數(shù)據(jù)。同時，也需要對進入系統(tǒng)的用戶行為進行詳細的審計，并對審計記錄進行安全保護，防止篡改審計記錄的情況發(fā)生，以保證審計數(shù)據(jù)的有效性。Webcare智能網(wǎng)絡監(jiān)控

60、軟件解決方案系統(tǒng)架構設計上海絡安提供的Webcare智能網(wǎng)絡監(jiān)控軟件解決方案，能解決已往對網(wǎng)絡、服務器、數(shù)據(jù)庫、中間件、應用系統(tǒng)等的分割化管理，將各類資源進行統(tǒng)一監(jiān)控與預警，從而實現(xiàn)對資源的集中、統(tǒng)一、全面的管控，以滿足規(guī)劃、維護、管理、審計的多方面要求的整合，實現(xiàn)規(guī)范化、細顆粒、標準化、流程化的統(tǒng)一業(yè)務信息監(jiān)控管理平臺能力，提升管理效率和服務水平。上海絡安的Webcare智能網(wǎng)絡監(jiān)控軟件整體方案設計框架如下圖：系統(tǒng)架構如上圖，整個管理平臺在保持技術的先進性、擴展性的基礎上，采用系統(tǒng)化、層次化、模塊化的設計理念，提供和主流管理廠商產(chǎn)品的對接，通過開放的接口來持續(xù)集成，同時解決方案對系統(tǒng)的實用性