一、産品概述

由于設備衆多(duō)、系統操作(zuò)人員複雜等因素，導緻越權訪問、誤操作(zuò)、資源濫用(yòng)、疏忽洩密等時有發生。黑客的惡意訪問也有可(kě)能(néng)獲取系統權限，闖入部門或企業内部網絡，造成不可(kě)估量的損失。終端的賬号和口令的安(ān)全性，也是安(ān)全管理(lǐ)中難以解決的問題。如何提高系統運維管理(lǐ)水平，滿足相關法規的要求，防止黑客的入侵和惡意訪問，跟蹤服務(wù)器上用(yòng)戶行為(wèi)，降低運維成本，提供控制和審計依據，越來越成為(wèi)内部網絡控制中的核心安(ān)全問題。

《信息安(ān)全等級保護管理(lǐ)辦法》、《涉及國(guó)家秘密的信息系統分(fēn)級保護管理(lǐ)規範》、《企業内部控制基本規範》、《薩班斯法案》等安(ān)全法規，也要求信息系統采用(yòng)強制訪問控制手段，做到能(néng)夠控制、限制和追蹤用(yòng)戶的行為(wèi)，判定用(yòng)戶的行為(wèi)是否對企業内部網絡的安(ān)全運行帶來威脅。

網絡衛士運維審計系統應用(yòng)了目前先進的技(jì )術作(zuò)為(wèi)支持，針對企業内部網絡設備和服務(wù)器進行保護，對此類資産的常用(yòng)訪問方式進行監控和審計，實現對用(yòng)戶行為(wèi)的控制、追蹤、判定，滿足企業内部網絡對安(ān)全性的要求。

二、産品特點

樹形無限級分(fēn)組

支持主賬号、被管資源、角色的分(fēn)組管理(lǐ)，分(fēn)組可(kě)以樹形方式展現，不限制分(fēn)組層級數量。

支持證書

主賬号支持證書認證，也可(kě)以和其他(tā)認證方式結合，做組合認證，提高訪問的安(ān)全性。例如，靜态口令、證書、智能(néng)卡、各種人體(tǐ)特征（指紋、視網膜等）、動态令牌等等。

賬号自動搜集

支持豐富的被管資源類型，包括：Linux/Unix主機、Windows主機、網元、交換機、路由器、防火牆、安(ān)全設備、數據庫等。能(néng)夠自動收集被管資源的賬号，并進行資源賬号的統一管理(lǐ)。

結合Radius服務(wù)器

網絡設備可(kě)以将網絡衛士運維審計系統作(zuò)為(wèi)3A認證服務(wù)器，并通過密碼策略來控制設備的密碼強度，還可(kě)以設置密碼變更計劃，便于網絡設備的賬号、認證、授權管理(lǐ)，滿足SOX法案的要求。

4A系統無縫拓展

網絡衛士運維審計系統，是從4A解決方案中抽象出來的産品，提供便捷的4A項目集成方案。以先進的軟件系結構、清晰合理(lǐ)的模塊劃分(fēn)實現對多(duō)種4A項目和非4A項目用(yòng)戶場景的适用(yòng)性

CA兼容性

支持與CA系統兼容，可(kě)以通過二次開發實現與CA進行帳戶管理(lǐ)；

訪問控制策略

将訪問控制配置抽象成四個策略：主機命令策略、訪問時間策略、客戶端地址策略、訪問鎖定策略，簡化用(yòng)戶的配置和使用(yòng)。

密碼自動變更計劃

支持所有被管設備的密碼自動變更，密碼變更可(kě)以根據密碼策略的要求進行變更，變更的密碼符合密碼策略中關于密碼強度的要求。

三、産品功能(néng)

單點登錄

用(yòng)戶登錄網絡衛士運維審計系統後，能(néng)直觀展現所有授權資源，并且訪問資源時不用(yòng)再次認證，避免頻繁的登錄和退出操作(zuò)。單點登錄可(kě)以實現與用(yòng)戶授權管理(lǐ)的無縫鏈接，可(kě)以通過對用(yòng)戶、角色、行為(wèi)和資源的授權，增加對資源的保護和對用(yòng)戶行為(wèi)的監控及審計。

集中賬号管理(lǐ)

通過建立集中賬号管理(lǐ)，可(kě)以實現賬号與具體(tǐ)的自然人相關聯。通過這種關聯，可(kě)以實現多(duō)級的用(yòng)戶管理(lǐ)和細粒度的用(yòng)戶授權。而且，還可(kě)以實現針對自然人的行為(wèi)審計，以滿足實名審計的需要。

身份認證

網絡衛士運維審計系統為(wèi)用(yòng)戶提供統一的認證接口，能(néng)夠采用(yòng)更加安(ān)全的認證模式，包括靜态密碼、雙因素、一次性口令和生物(wù)特征等多(duō)種認證方式。而且可(kě)以方便地與第三方認證服務(wù)對接。

資源授權

網絡衛士運維審計系統可(kě)以對用(yòng)戶、角色、行為(wèi)和資源進行授權，系統不但能(néng)夠授權用(yòng)戶可(kě)以訪問什麽資源這樣基于應用(yòng)邊界的粗粒度授權，還可(kě)以限制用(yòng)戶的在系統内的操作(zuò)行為(wèi)，以及在什麽時間進行操作(zuò)等的細粒度授權。

訪問控制

細粒度的命令策略是命令的集合，可(kě)以是一組可(kě)執行命令，也可(kě)以是一組非可(kě)執行的命令，該命令集合用(yòng)來分(fēn)配給具體(tǐ)的用(yòng)戶，來限制其操作(zuò)行為(wèi)。

操作(zuò)審計

系統支持對如下協議進行審計：Telnet、FTP、SSH、RDP（Windows Terminal）、X windows、VNC等。

四、典型案例

内部網絡行為(wèi)管理(lǐ)

嚴重的攻擊來自系統内部（80%來自内部攻擊），網絡衛士運維審計系統主要應用(yòng)于内 部用(yòng)戶行為(wèi)管理(lǐ)，對各種途徑的網絡設備及服務(wù)器的訪問方式進行監控，支持 Telnet、FTP、SSH、RDP，X windows等，保證内部用(yòng)戶的操作(zuò)和行為(wèi)可(kě)控、可(kě)視、可(kě)管理(lǐ)、可(kě)跟蹤、可(kě)鑒定，防止内部人員對機密資料的非法獲取和使用(yòng)，保護企 事業單位的核心機密。

對網絡設備的管理(lǐ)

網絡邊界安(ān)全設備是企事業單位網絡安(ān)全防護系統的重要組成部分(fēn)，網絡邊界安(ān)全設備的安(ān)全策略，對企事業單位的内部網絡安(ān)全起着非常重要的作(zuò)用(yòng)。目前關鍵網絡邊界安(ān)全設備，主要來自于國(guó)外巨頭和國(guó)内領 先公司，這些公司一般都 提供先進的CLI功能(néng)，管理(lǐ)員可(kě)以通過SSH和串口，對網絡邊界安(ān)全設備（如交 換機、防護牆、VPN等）進行安(ān)全策略配置。但是，目前沒有可(kě)靠辦法保證系統管理(lǐ)員安(ān)全策略配置行為(wèi)的有效性、合法性以及一緻性，一般都通過行政手段，讓系統管理(lǐ)員記錄安(ān)全策略配置過程，這是存在嚴重的安(ān)全隐患的。網絡衛士運維審計系統系統提供網關部署方式，可(kě)以記錄系統管理(lǐ)員對網絡邊界安(ān)全設備的配置過程，保證安(ān)全策略的一緻性，其生成的日志(zhì)系統，可(kě)以方便地集成到企事業單位現有的安(ān)全策略管理(lǐ)架構中。

對黑客行為(wèi)的防範

黑客常常通過各種非法手段（如：社會工程、惡意程序、系統設置漏洞、緩沖區(qū)溢出程序等）獲取用(yòng)戶權限，然後使用(yòng)該權限登錄系統。網絡衛士運維審計系統系統可(kě)以記錄該黑客的操作(zuò)過程，對于事後查證和數據恢複，有很(hěn)好的實用(yòng)價值。網絡衛士運維審計系統系統還可(kě)以通過地址綁定功能(néng)對黑客行為(wèi)進行限制，即使黑客取得系統權限，也不能(néng)對系統做任何操作(zuò)。

替代KVM等的應用(yòng)

現在很(hěn)多(duō)用(yòng)戶采用(yòng)KVM over IP、PC Anywhere、并行審計等來進行服務(wù)器運維的管理(lǐ)。KVM隻是簡單的鍵盤、顯示器、鼠标的物(wù)理(lǐ)集中，沒有任何賬号、認證、審計的管理(lǐ)功能(néng)。采用(yòng)PC Anywhere、Dameware等遠(yuǎn)程管理(lǐ)工具，并通過集中設 置的服務(wù)器進行集中管理(lǐ)，雖然能(néng)減少跑腿，但是隻能(néng)控制windows主機，對于網絡設備、UNIX系統、數據庫等就無能(néng)為(wèi)力了。追其根源，這些工具隻是局域網 中的桌面遠(yuǎn)程管理(lǐ)工具，用(yòng)戶服務(wù)器等資源的管理(lǐ)是力所不及的。并行審計的缺點就更突出了，完全沒有集中管控的功能(néng)和作(zuò)用(yòng)，隻能(néng)記錄一些流量不大的操作(zuò)，一旦偵聽的流量過大就會丢包，而且對于加密協議和圖形協議，也是完全沒有辦法起作(zuò)用(yòng)。

所以，還在使用(yòng)上述三類方法來管理(lǐ)服務(wù)器資源的用(yòng)戶，切換到網絡衛士運維審計系統看可(kě)以明顯提高工作(zuò)效率和信息資源的安(ān)全性。