1.    産品概述

網神SecFox運維安全管理(lǐ)與審計(jì)系統是新一代運維審計(jì)系統（簡稱“運維審計(jì)”，俗稱“堡壘機”），基于軟硬件一體(tǐ)化設計(jì)，物理(lǐ)上(shàng)的旁路部署方式，邏輯上(shàng)的串聯，通(tōng)過B/S方式(https)進行(xíng)管理(lǐ)，其主要功能為(wèi)：能夠将網絡中設備、數(shù)據庫、安全設備、主機系統、中間(jiān)件等實施統一認證；具有(yǒu)與身份認證系統無縫結合的接口；實現對操作(zuò)網絡中設備和(hé)數(shù)據庫等過程的全程監控與審計(jì)，支持賬戶開(kāi)通(tōng)申請(qǐng)與審批的流程管理(lǐ)，以及對違規操作(zuò)行(xíng)為(wèi)的實時(shí)阻斷。支持對多(duō)種遠程維護方式的支持，如字符終端方式(SSH、Telnet)、圖形方式（RDP）、文件傳輸（FTP、SFTP）以及多(duō)種主流數(shù)據庫的訪問操作(zuò), 完整的審計(jì)報告，可(kě)針對各種不同日志(zhì)信息生(shēng)成不同的審計(jì)報告，還(hái)可(kě)對關聯日志(zhì)信息生(shēng)成關聯審計(jì)報告，綜合有(yǒu)效利用日志(zhì)信息為(wèi)網管提供IT網絡的整體(tǐ)運行(xíng)現狀。完全可(kě)滿足政府、金融、能源、電(diàn)力、教育、醫(yī)療等行(xíng)業客戶的運維審計(jì)要求。

2.    産品特點

協議審計(jì)覆蓋廣、易擴展

運維審計(jì)系統平台采用協議分析、基于數(shù)據包還(hái)原虛拟化技(jì)術(shù)，實現操作(zuò)界面模拟，将所有(yǒu)的操作(zuò)轉換為(wèi)圖形化界面予以展現，實現100%審計(jì)信息不丢失：針對運維操作(zuò)圖形化審計(jì)功能的展現外，同時(shí)還(hái)能對字符進行(xíng)分析，包括命令行(xíng)操作(zuò)的命令以及回顯信息和(hé)非字符型操作(zuò)時(shí)鍵盤、鼠标的敲擊信息。

系統支持的審計(jì)協議以及工具包括：

• 字符終端操作(zuò)：SSH/Telnet（工具：SecureCRT/Putty）

              能夠自動捕獲和(hé)識别用戶輸入命令，擺脫單純鍵盤監控和(hé)

捕獲機制(zhì)，真正做(zuò)到語義級别的用戶命令智能捕獲；命令捕

獲和(hé)識别不受用戶使用的字符終端屬性影(yǐng)響，支持任何終端

屬性下命令實時(shí)識别和(hé)命令捕獲。

• 圖形終端操作(zuò)：如RDP/VNC/X11/pcAnywhere/DameWare等。

在錄像方式記錄用戶操作(zuò)過程的同時(shí)，還(hái)可(kě)以文本方式完整記錄用戶的鍵盤鼠标敲擊、複制(zhì)粘貼操作(zuò)；

對于圖形化操作(zuò)日志(zhì)的回放，提供離線播放客戶端；可(kě)下載回放記錄文件進行(xíng)播放。不須加載、無延時(shí)在線拖拉回放、支持多(duō)倍速回放、自動過濾屏幕靜止操作(zuò)、定位回放、回放時(shí)可(kě)顯示鍵盤和(hé)鼠标操作(zuò)內(nèi)容

• 其他協議操作(zuò)： FTP/SFTP/Http/Https等。

         提供FTP代理(lǐ)，審計(jì)和(hé)控制(zhì)FTP傳輸、備份傳輸文件，防止用

戶通(tōng)過FTP文件傳輸，變相變更配置；提供統一SFTP文件傳

輸界面，審計(jì)SFTP文件傳輸過程；能夠捕獲FTP、SFTP文件

傳輸指令，記錄用戶真實身份和(hé)FTP/SFTP帳号，跟蹤文件傳

輸過程。

• 數(shù)據庫工具:Oracle/sqlserver/Mysql客戶端工具。

     實現數(shù)據庫運維客戶端集中發布，實現數(shù)據庫客戶端單點登錄、

數(shù)據庫運維客戶端操作(zuò)錄像、數(shù)據庫運維操作(zuò)SQL語句提取。

    • 針對專用的客戶端軟件，支持定制(zhì)開(kāi)發。

精細靈活的用戶管理(lǐ)權限

平台對用戶的管理(lǐ)權限嚴格分明(míng)，各司其職，分為(wèi)系統管理(lǐ)員、審計(jì)管理(lǐ)員、運維管理(lǐ)員、口令管理(lǐ)員四種管理(lǐ)員角色，平台也支持管理(lǐ)員角色的自定義創建，對管理(lǐ)權限進行(xíng)細粒度設置，保障了平台的用戶安全管理(lǐ)，以滿足審計(jì)需求。

• 集中賬号管理(lǐ)

運維審計(jì)系統建立基于唯一身份标識的全局實名制(zhì)管理(lǐ)，支持統一賬

号管理(lǐ)策略，實現與各服務器(qì)、網絡設備等無縫連接，集中管理(lǐ)主賬

号（普通(tōng)用戶）、從賬号（目标設備系統賬号）及相關屬性。

• 集中訪問控制(zhì)

運維審計(jì)系統通(tōng)過集中統一的訪問控制(zhì)和(hé)細粒度的命令級授權策略，

确保用戶擁有(yǒu)的權限是完成任務所需的最小(xiǎo)權限，實現集中有(yǒu)序的運

維操作(zuò)管理(lǐ)，防止非法、越權訪問事件發生(shēng)。

• 集中安全審計(jì)

基于唯一身份标識，運維審計(jì)系統通(tōng)過對用戶從登錄到退出的全程操

作(zuò)行(xíng)為(wèi)審計(jì)，監控用戶對被管理(lǐ)設備的所有(yǒu)敏感關鍵操作(zuò)，提供分級

告警，聚焦關鍵事件，實現對安全事件及時(shí)預警發現、準确可(kě)查。

方便快捷的批量處理(lǐ)功能

 針對運營商、大(dà)型政府機構等擁有(yǒu)衆多(duō)服務器(qì)及運維人(rén)員的客戶來(lái)說，網神運維審計(jì)系統提供了批量執行(xíng)功能，可(kě)以方便客戶批量添加、更改、導入導出用戶名及服務器(qì)資源。提高(gāo)用戶的工作(zuò)效率，節約管理(lǐ)成本。能夠對大(dà)批量服務器(qì)自動執行(xíng)批量指令或腳本，無需人(rén)為(wèi)幹涉，由運維審計(jì)系統代替執行(xíng)，并能夠對腳本的執行(xíng)結果通(tōng)過郵件等方式進行(xíng)通(tōng)知。能夠批量的自動同步賬号和(hé)更改密碼，保證服務器(qì)安全的同時(shí)，減輕了運維人(rén)員的負擔。為(wèi)往後更加規範的管理(lǐ)提供了便捷。增大(dà)了內(nèi)部管理(lǐ)的監察力度，使內(nèi)部網絡的管理(lǐ)更加有(yǒu)了保障。

高(gāo)智能、高(gāo)可(kě)靠的數(shù)據保障

內(nèi)部傳輸加密、數(shù)據放篡改、細粒度權限管理(lǐ)等。支持HA雙機熱備。支持智能負載均衡，在運維管理(lǐ)大(dà)型網絡時(shí)，當被管資源數(shù)量巨大(dà)，網絡數(shù)據鏈路較為(wèi)集中的情況下，新一代堡壘機以國內(nèi)領先的運維審計(jì)系統為(wèi)例，提供了“分布部署，集中管理(lǐ)”的負載均衡模式，對當前的運維管理(lǐ)所需的網絡資源占用進行(xíng)智能化分配調度，實現了對運維管理(lǐ)的智能負載均衡，同時(shí)網神運維審計(jì)系統提供了三級全面冗餘機制(zhì)。

開(kāi)發研制(zhì)系統我們采用先進技(jì)術(shù)，對系統的關鍵技(jì)術(shù)進行(xíng)前期大(dà)

量實驗和(hé)攻關及原型建立，并且關鍵技(jì)術(shù)問題已解決。而且所選取的硬件平台和(hé)軟件平台式具有(yǒu)良好的技(jì)術(shù)支持和(hé)發展前途的成熟産品。系統運用了先進的加密、過濾、備份、數(shù)字簽名與身份認證、權限管理(lǐ)等安全手段，簡曆健全的系統安全機制(zhì)，保證用戶的合法性和(hé)數(shù)據不被盜取，保證産品的安全性。

• 采集面廣：全面支持各類硬件設備、操作(zuò)系統、應用系統日志(zhì)信息。支持自定義文本格式采集。

• 高(gāo)效檢索能力：基于海量日志(zhì)索引的高(gāo)效檢索引擎。

• 高(gāo)度安全性：精簡優化的系統內(nèi)核。自身具有(yǒu)防禦攻擊能力。傳輸加密、

細化權限管理(lǐ)。

• 良好的擴展性：性能擴展、存儲擴展。

綠色部署、快速上(shàng)線

網神運維審計(jì)系統，采用物理(lǐ)旁路，也就是邏輯上(shàng)的串聯方式接入用戶網絡，不會(huì)影(yǐng)響用戶原有(yǒu)的網絡拓撲，不會(huì)影(yǐng)響網絡中的業務數(shù)據流，不需要在服務器(qì)或者客戶端上(shàng)安裝任何的客戶端、服務器(qì)端agent；

通(tōng)過在網絡設備上(shàng)做(zuò)相應的訪問控制(zhì)策略，保證隻允許通(tōng)過運維審計(jì)系統這個(gè)IP地址去訪問服務器(qì)。然後對訪問服務器(qì)的各類安全事件進行(xíng)收集、記錄，分析用戶操作(zuò)行(xíng)為(wèi)，定位操作(zuò)者的來(lái)龍去脈，重建事件過程，審計(jì)日志(zhì)不可(kě)篡改、不可(kě)否認，達到為(wèi)安全管理(lǐ)提供策略依據和(hé)分析工具的目的。

 

自動學習功能

       網神運維審計(jì)系統，為(wèi)了提高(gāo)運維人(rén)員的工作(zuò)效率，為(wèi)了減輕運維人(rén)員的工作(zuò)負擔，我們可(kě)以通(tōng)過根據ip和(hé)網段進行(xíng)目标資産的自動發現及所開(kāi)放的端口來(lái)掃描到網絡中已經存在的資源ip信息，并且可(kě)以實現一鍵導入實現快速的添加，然後進去對資源進行(xíng)詳細的編輯即可(kě)。一方面可(kě)以加大(dà)資源添加的速度，另一方面可(kě)以保證添加資源的準确性。