【正文】 多個操作進行并發(fā)跟蹤和分析，便于管理員分析系統(tǒng)存在的安全漏洞。用戶可基于自定義的過程名稱、命令進行審計信息的查詢、跟蹤和分析，使得管理員能基于對業(yè)務(wù)系統(tǒng)的理解對系統(tǒng)進行審計跟蹤，大大地提高了系統(tǒng)的易用性。這些過程可以包含多個來往與服務(wù)器和客戶端的SQL命令、應(yīng)用系統(tǒng)命令。 Unix主機操作審計及響應(yīng)（網(wǎng)鏡PL/UMG）FTP、Telnet、rlogin、RCP被廣泛應(yīng)用于Unix主機、路由交換設(shè)備的維護，這些協(xié)議的靈活性、易用性也正是它們的安全缺陷所在，網(wǎng)鏡PL/UMG策略庫針對這些常用的協(xié)議進行了命令級的訪問控制，使得在使用FTP/Telnet/rlogin/RCP等進行維護時，系統(tǒng)的安全性有很大的提高。 細粒度訪問控制普通的FTP/Telnet/rlogin/RCP系統(tǒng)的訪問控制粒度一般僅限于文件和目錄的讀、寫、刪除等，無法實現(xiàn)細粒度的訪問控制。網(wǎng)鏡PL/UMG除了實現(xiàn)對讀、寫、刪除的授權(quán)和控制外，還針對FTP/Telnet/rlogin/RCP協(xié)議進行命令、字符級的訪問控制，為每個用戶設(shè)定特定的命令子集，甚至可以針對FTP/Telnet/rlogin/RCP的具體應(yīng)用特征限制或開放某些特定的字符串。系統(tǒng)管理員也可以根據(jù)系統(tǒng)維護的操作特點設(shè)定由若干個FTP/Telnet/rlogin/RCP操作命令組成的、具有一定業(yè)務(wù)特征的操作過程，對其進行審計和控制。網(wǎng)鏡PL/UMG也支持將FTP/Telnet/rlogin/RCP命令與操作對象進行組合后形成安全規(guī)則，完成響應(yīng)的審計或控制策略。 審計和回放對于FTP/Telnet/rlogin/RCP協(xié)議，網(wǎng)鏡PL/UMG除了提供上面介紹的認證審計功能外，還提供了實時操作監(jiān)控和過程回放兩種功能。所謂實時操作監(jiān)控，是指系統(tǒng)管理員可以實時地選取一個或多個在線的FTP/Telnet/rlogin/RCP會話過程，監(jiān)控其操作命令及操作結(jié)果。在網(wǎng)鏡Console控制臺的界面中將出現(xiàn)與實際FTP/Telnet/rlogin/RCP操作完全相同的顯示界面，當發(fā)現(xiàn)非法的操作時，系統(tǒng)管理員可以發(fā)出控制命令來阻斷當前的FTP/Telnet/rlogin/RCP會話。過程回放是指網(wǎng)鏡PL/UMG可以從審計數(shù)據(jù)庫中調(diào)用一個或多個FTP/Telnet/rlogin/RCP通信的原始數(shù)據(jù)，在的網(wǎng)鏡Console控制臺中重新顯示當時的操作過程和服務(wù)器響應(yīng)情況。這個功能尤其適用于對安全問題出現(xiàn)的原因進行事后分析和定位。 SSH協(xié)議審計及響應(yīng)（網(wǎng)鏡Proxy/UnixTerm）隨著安全問題的日益突出，人們越來越多地采用SSH協(xié)議來替換原來的Telnet協(xié)議，以加強遠程登錄的安全性。由于SSH采用了傳輸加密技術(shù)，使得網(wǎng)鏡系統(tǒng)無法解析出具體的通信內(nèi)容，為此，網(wǎng)鏡系統(tǒng)針對SSH協(xié)議提供了專門的解決方案：在網(wǎng)鏡Sensor網(wǎng)絡(luò)嗅探器中安裝網(wǎng)鏡Proxy/UnixTerm模塊，該模塊提供了對SSH協(xié)議審計的支持。網(wǎng)鏡Proxy/UnixTerm模塊首先提供了一個標準的SSH服務(wù)器，可以兼任支持各種類型的SSH客戶端登錄。當用戶需要通過SSH協(xié)議訪問后臺的主機時，必須先登錄到網(wǎng)鏡Proxy/UnixTerm提供的SSH服務(wù)器，然后再以SSH或Telnet的方式跳轉(zhuǎn)到后臺的服務(wù)器。網(wǎng)鏡Proxy/UnixTerm在提供SSH服務(wù)器的同時，通過對SSH協(xié)議的解密、分析，從而實現(xiàn)對所有SSH操作的審計和控制。用戶在使用SSH協(xié)議時，同樣可以要求他必須通過CA認證，并且，在網(wǎng)鏡系統(tǒng)的審計記錄中，記錄的是登錄者的原始IP地址和CA認證后的身份；而不是SSH跳轉(zhuǎn)服務(wù)器的IP地址。網(wǎng)鏡系統(tǒng)對SSH些的審計和控制功能與對Telnet協(xié)議的支持完全相同，可以解析用戶SSH賬號，結(jié)合賬號和強身份認證結(jié)果設(shè)定用戶的角色，對用戶的操作命令進行實時監(jiān)控、告警、阻斷等，并提供事后的會話查詢、命令查詢、TCP會話的回放等。 Windows遠程操作（RDP）審計網(wǎng)鏡系統(tǒng)支持對Windows遠程桌面（RDP、3389協(xié)議）操作的審計。為了對該協(xié)議進行審計，需要配置一臺基于Windows的RDP跳轉(zhuǎn)服務(wù)器，訪問者首先通過遠程桌面方式登錄到RDP跳轉(zhuǎn)服務(wù)器，然后再登錄到后臺的其它Windows系統(tǒng)，這樣，網(wǎng)鏡系統(tǒng)就可以對遠程桌面的訪問過程進行審計記錄。由于Windows遠程桌面訪問基于圖形方式進行，因此，網(wǎng)鏡系統(tǒng)只能對通信過程進行記錄、回放，再現(xiàn)當時的實際操作情況；但無法提供訪問命令的實時審計和阻斷，也無法提供命令的查詢。4. 典型應(yīng)用及成功案例網(wǎng)鏡業(yè)務(wù)認證審計系統(tǒng)基于“IP數(shù)據(jù)俘獲→強身份認證→應(yīng)用層數(shù)據(jù)分析→審計和響應(yīng)”實現(xiàn)各項功能，無需改變原系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)就可以迅速地在系統(tǒng)中布置網(wǎng)鏡業(yè)務(wù)認證審計系統(tǒng)。 中小網(wǎng)絡(luò)應(yīng)用216。 配置要點：252。 網(wǎng)鏡Server和網(wǎng)鏡Sensor安裝在一個硬件平臺上，接入集線器或交換機的鏡像端口；252。 網(wǎng)鏡Console安裝于內(nèi)網(wǎng)任意一臺Windows2000/XP的計算機上；252。 需要認證的用戶配發(fā)USB令牌并安裝網(wǎng)鏡Agent認證代理軟件。216。 功能要點：遠端用戶訪問后臺主機前，必須使用USB令牌完成強身份認證；之后的通信過程被網(wǎng)鏡Sensor俘獲，并根據(jù)設(shè)定的安全策略進行控制和審計。 大型網(wǎng)絡(luò)應(yīng)用216。 配置要點：252。 配置一臺網(wǎng)鏡Server/H審計服務(wù)器，對系統(tǒng)內(nèi)若干個網(wǎng)鏡Sensor進行管理和審計；252。 綜合考慮業(yè)務(wù)類型、流量、連接數(shù)、網(wǎng)絡(luò)的物理結(jié)構(gòu)等因素，配置若干臺網(wǎng)鏡Sensor；252。 網(wǎng)鏡Console安裝于一臺或多臺Windows2000/XP的計算機上，并可設(shè)置分級管理；252。 需要認證的用戶配發(fā)USB令牌并安裝網(wǎng)鏡Agent認證代理軟件。216。 功能要點：根據(jù)審計對象和審計內(nèi)容的不同，各個網(wǎng)鏡Sensor加載不同的策略庫。252。 配置于核心交換機的網(wǎng)鏡Sensor加載FTP/Telnet策略庫，完成對FTP/Telnet用戶（主要是系統(tǒng)維護人員）的強身份認證和操作審計及控制。252。 配置于數(shù)據(jù)庫網(wǎng)段的網(wǎng)鏡Sensor加載數(shù)據(jù)庫審計及響應(yīng)模板和策略庫，對數(shù)據(jù)庫用戶進行身份認證并實現(xiàn)基于SQL的訪問控制和審計。252。 配置于服務(wù)器網(wǎng)段的網(wǎng)鏡Sensor加載業(yè)務(wù)系統(tǒng)應(yīng)用模板和策略庫，對業(yè)務(wù)系統(tǒng)用戶實現(xiàn)強身份認證，并根據(jù)業(yè)務(wù)特征進行審計和操作控制。