【正文】 多個(gè)操作進(jìn)行并發(fā)跟蹤和分析，便于管理員分析系統(tǒng)存在的安全漏洞。用戶可基于自定義的過程名稱、命令進(jìn)行審計(jì)信息的查詢、跟蹤和分析，使得管理員能基于對業(yè)務(wù)系統(tǒng)的理解對系統(tǒng)進(jìn)行審計(jì)跟蹤，大大地提高了系統(tǒng)的易用性。這些過程可以包含多個(gè)來往與服務(wù)器和客戶端的SQL命令、應(yīng)用系統(tǒng)命令。 Unix主機(jī)操作審計(jì)及響應(yīng)（網(wǎng)鏡PL/UMG）FTP、Telnet、rlogin、RCP被廣泛應(yīng)用于Unix主機(jī)、路由交換設(shè)備的維護(hù)，這些協(xié)議的靈活性、易用性也正是它們的安全缺陷所在，網(wǎng)鏡PL/UMG策略庫針對這些常用的協(xié)議進(jìn)行了命令級的訪問控制，使得在使用FTP/Telnet/rlogin/RCP等進(jìn)行維護(hù)時(shí)，系統(tǒng)的安全性有很大的提高。 細(xì)粒度訪問控制普通的FTP/Telnet/rlogin/RCP系統(tǒng)的訪問控制粒度一般僅限于文件和目錄的讀、寫、刪除等，無法實(shí)現(xiàn)細(xì)粒度的訪問控制。網(wǎng)鏡PL/UMG除了實(shí)現(xiàn)對讀、寫、刪除的授權(quán)和控制外，還針對FTP/Telnet/rlogin/RCP協(xié)議進(jìn)行命令、字符級的訪問控制，為每個(gè)用戶設(shè)定特定的命令子集，甚至可以針對FTP/Telnet/rlogin/RCP的具體應(yīng)用特征限制或開放某些特定的字符串。系統(tǒng)管理員也可以根據(jù)系統(tǒng)維護(hù)的操作特點(diǎn)設(shè)定由若干個(gè)FTP/Telnet/rlogin/RCP操作命令組成的、具有一定業(yè)務(wù)特征的操作過程，對其進(jìn)行審計(jì)和控制。網(wǎng)鏡PL/UMG也支持將FTP/Telnet/rlogin/RCP命令與操作對象進(jìn)行組合后形成安全規(guī)則，完成響應(yīng)的審計(jì)或控制策略。 審計(jì)和回放對于FTP/Telnet/rlogin/RCP協(xié)議，網(wǎng)鏡PL/UMG除了提供上面介紹的認(rèn)證審計(jì)功能外，還提供了實(shí)時(shí)操作監(jiān)控和過程回放兩種功能。所謂實(shí)時(shí)操作監(jiān)控，是指系統(tǒng)管理員可以實(shí)時(shí)地選取一個(gè)或多個(gè)在線的FTP/Telnet/rlogin/RCP會(huì)話過程，監(jiān)控其操作命令及操作結(jié)果。在網(wǎng)鏡Console控制臺(tái)的界面中將出現(xiàn)與實(shí)際FTP/Telnet/rlogin/RCP操作完全相同的顯示界面，當(dāng)發(fā)現(xiàn)非法的操作時(shí)，系統(tǒng)管理員可以發(fā)出控制命令來阻斷當(dāng)前的FTP/Telnet/rlogin/RCP會(huì)話。過程回放是指網(wǎng)鏡PL/UMG可以從審計(jì)數(shù)據(jù)庫中調(diào)用一個(gè)或多個(gè)FTP/Telnet/rlogin/RCP通信的原始數(shù)據(jù)，在的網(wǎng)鏡Console控制臺(tái)中重新顯示當(dāng)時(shí)的操作過程和服務(wù)器響應(yīng)情況。這個(gè)功能尤其適用于對安全問題出現(xiàn)的原因進(jìn)行事后分析和定位。 SSH協(xié)議審計(jì)及響應(yīng)（網(wǎng)鏡Proxy/UnixTerm）隨著安全問題的日益突出，人們越來越多地采用SSH協(xié)議來替換原來的Telnet協(xié)議，以加強(qiáng)遠(yuǎn)程登錄的安全性。由于SSH采用了傳輸加密技術(shù)，使得網(wǎng)鏡系統(tǒng)無法解析出具體的通信內(nèi)容，為此，網(wǎng)鏡系統(tǒng)針對SSH協(xié)議提供了專門的解決方案：在網(wǎng)鏡Sensor網(wǎng)絡(luò)嗅探器中安裝網(wǎng)鏡Proxy/UnixTerm模塊，該模塊提供了對SSH協(xié)議審計(jì)的支持。網(wǎng)鏡Proxy/UnixTerm模塊首先提供了一個(gè)標(biāo)準(zhǔn)的SSH服務(wù)器，可以兼任支持各種類型的SSH客戶端登錄。當(dāng)用戶需要通過SSH協(xié)議訪問后臺(tái)的主機(jī)時(shí)，必須先登錄到網(wǎng)鏡Proxy/UnixTerm提供的SSH服務(wù)器，然后再以SSH或Telnet的方式跳轉(zhuǎn)到后臺(tái)的服務(wù)器。網(wǎng)鏡Proxy/UnixTerm在提供SSH服務(wù)器的同時(shí)，通過對SSH協(xié)議的解密、分析，從而實(shí)現(xiàn)對所有SSH操作的審計(jì)和控制。用戶在使用SSH協(xié)議時(shí)，同樣可以要求他必須通過CA認(rèn)證，并且，在網(wǎng)鏡系統(tǒng)的審計(jì)記錄中，記錄的是登錄者的原始IP地址和CA認(rèn)證后的身份；而不是SSH跳轉(zhuǎn)服務(wù)器的IP地址。網(wǎng)鏡系統(tǒng)對SSH些的審計(jì)和控制功能與對Telnet協(xié)議的支持完全相同，可以解析用戶SSH賬號，結(jié)合賬號和強(qiáng)身份認(rèn)證結(jié)果設(shè)定用戶的角色，對用戶的操作命令進(jìn)行實(shí)時(shí)監(jiān)控、告警、阻斷等，并提供事后的會(huì)話查詢、命令查詢、TCP會(huì)話的回放等。 Windows遠(yuǎn)程操作（RDP）審計(jì)網(wǎng)鏡系統(tǒng)支持對Windows遠(yuǎn)程桌面（RDP、3389協(xié)議）操作的審計(jì)。為了對該協(xié)議進(jìn)行審計(jì)，需要配置一臺(tái)基于Windows的RDP跳轉(zhuǎn)服務(wù)器，訪問者首先通過遠(yuǎn)程桌面方式登錄到RDP跳轉(zhuǎn)服務(wù)器，然后再登錄到后臺(tái)的其它Windows系統(tǒng)，這樣，網(wǎng)鏡系統(tǒng)就可以對遠(yuǎn)程桌面的訪問過程進(jìn)行審計(jì)記錄。由于Windows遠(yuǎn)程桌面訪問基于圖形方式進(jìn)行，因此，網(wǎng)鏡系統(tǒng)只能對通信過程進(jìn)行記錄、回放，再現(xiàn)當(dāng)時(shí)的實(shí)際操作情況；但無法提供訪問命令的實(shí)時(shí)審計(jì)和阻斷，也無法提供命令的查詢。4. 典型應(yīng)用及成功案例網(wǎng)鏡業(yè)務(wù)認(rèn)證審計(jì)系統(tǒng)基于“IP數(shù)據(jù)俘獲→強(qiáng)身份認(rèn)證→應(yīng)用層數(shù)據(jù)分析→審計(jì)和響應(yīng)”實(shí)現(xiàn)各項(xiàng)功能，無需改變原系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)就可以迅速地在系統(tǒng)中布置網(wǎng)鏡業(yè)務(wù)認(rèn)證審計(jì)系統(tǒng)。 中小網(wǎng)絡(luò)應(yīng)用216。 配置要點(diǎn)：252。 網(wǎng)鏡Server和網(wǎng)鏡Sensor安裝在一個(gè)硬件平臺(tái)上，接入集線器或交換機(jī)的鏡像端口；252。 網(wǎng)鏡Console安裝于內(nèi)網(wǎng)任意一臺(tái)Windows2000/XP的計(jì)算機(jī)上；252。 需要認(rèn)證的用戶配發(fā)USB令牌并安裝網(wǎng)鏡Agent認(rèn)證代理軟件。216。 功能要點(diǎn)：遠(yuǎn)端用戶訪問后臺(tái)主機(jī)前，必須使用USB令牌完成強(qiáng)身份認(rèn)證；之后的通信過程被網(wǎng)鏡Sensor俘獲，并根據(jù)設(shè)定的安全策略進(jìn)行控制和審計(jì)。 大型網(wǎng)絡(luò)應(yīng)用216。 配置要點(diǎn)：252。 配置一臺(tái)網(wǎng)鏡Server/H審計(jì)服務(wù)器，對系統(tǒng)內(nèi)若干個(gè)網(wǎng)鏡Sensor進(jìn)行管理和審計(jì)；252。 綜合考慮業(yè)務(wù)類型、流量、連接數(shù)、網(wǎng)絡(luò)的物理結(jié)構(gòu)等因素，配置若干臺(tái)網(wǎng)鏡Sensor；252。 網(wǎng)鏡Console安裝于一臺(tái)或多臺(tái)Windows2000/XP的計(jì)算機(jī)上，并可設(shè)置分級管理；252。 需要認(rèn)證的用戶配發(fā)USB令牌并安裝網(wǎng)鏡Agent認(rèn)證代理軟件。216。 功能要點(diǎn)：根據(jù)審計(jì)對象和審計(jì)內(nèi)容的不同，各個(gè)網(wǎng)鏡Sensor加載不同的策略庫。252。 配置于核心交換機(jī)的網(wǎng)鏡Sensor加載FTP/Telnet策略庫，完成對FTP/Telnet用戶（主要是系統(tǒng)維護(hù)人員）的強(qiáng)身份認(rèn)證和操作審計(jì)及控制。252。 配置于數(shù)據(jù)庫網(wǎng)段的網(wǎng)鏡Sensor加載數(shù)據(jù)庫審計(jì)及響應(yīng)模板和策略庫，對數(shù)據(jù)庫用戶進(jìn)行身份認(rèn)證并實(shí)現(xiàn)基于SQL的訪問控制和審計(jì)。252。 配置于服務(wù)器網(wǎng)段的網(wǎng)鏡Sensor加載業(yè)務(wù)系統(tǒng)應(yīng)用模板和策略庫，對業(yè)務(wù)系統(tǒng)用戶實(shí)現(xiàn)強(qiáng)身份認(rèn)證，并根據(jù)業(yè)務(wù)特征進(jìn)行審計(jì)和操作控制。