基于身份而非网络位置来构建访问控制体系，首先需要为网络中的人和设备赋予数字身份，将身份化的人、设备和应用进行运行时组合构建访问主体，并为访问主体设定其所需的最小权限。在零信任架构中，根据一定的访问上下文，访问主体可以是人、设备和应用等实体数字身份的动态组合，本方案建议以Windows域和动态令牌组合为双因素认证来确认接入人员，实现身份的唯一标识。

2、业务安全访问

本架构将支撑开发人员远程办公，开发的应用、服务、接口、数据都重要的业务资源。通过构建保护面实现对暴露面的收缩，将所有业务默认隐藏，根据授权结果进行最小程度的开放，所有的业务访问请求都应该进行全流量加密和强制授权，业务安全访问相关机制需要尽可能工作在应用协议层。因此，远程办公人员全部采用HTTPS协议对内网进行访问。

于此同时，本架构通过会话代理和图像传输，实现业务数据仅内网流通，不允许数据流出终端，最大化保证业务数据安全。

3、资源高度共享

本架构将通过创建应用共享资源池的方式，实现开发资源和办公资源的高度共享，同时依赖系统的分布式架构，能动态按需横向扩展，满足不同时期不同外办人员规模访问接入的需求。

4、终端输入最小化

本架构可以实现应用登录自动化，敏感账号自动改密，从而实现终端范围内外资源时，无需通过终端输入凭证，极大的减小了敏感账号的终端窃取。

5、并发最大化

通过建立共享应用池，可以直接访问应用，从而减少了从终端接入个人工作环境，减少了个人基础平台资源的初始化和数据传输路径，能实现响应快速，同时无需进行大带宽的需求，显著提升并发量。

6、全过程审计

在接入的过程中，所有操作需严格记录必须留下相关录屏和日志文件，如有需要还可以基于日志建立安全基线，建立远程接入实时威胁分析和智能应对，实现安全智能化和可视化。

一.3 方案目标

通过勤立信息远程接入办公系统的建设，将实现以下目标：

（1）安全性：远程人员接入系统后，访问所有应用、工具全部采用单点登录SSO自动代填，无论是B/S的还是C/S的均可以兼容，无需在用户端进行多次密码输入，达到杜绝密码在公网上传输并被监听的目的，增加密码的安全性；

（2）审计性：远程用户从接入开始起，全程审计录像，包括启动虚拟桌面使用的整个过程，审计数据统一安全存放，且不可篡改，也无需多个系统的配合；

（3）便利性：远程人员接入后，只需浏览器就可以使用，不需要安装额外的工具，接入过程中只需要一次认证；

（4）合规性：被访问目标密码满足定期改密的合规性要求，系统自动完成所有发布目标的密码轮换工作（改密周期与密码策略可以灵活设置），无需人工干预。

（5）可扩展性：满足快速部署要求，测试完成后，1-2天可完成资源扩充。

（6）节省资源：建立动态应用资源共享池，无需为远程接入人员分配固定的资源和环境，比传统的方案可节省大量的服务器、出口网络带宽、机房空间以及运维人力等资源

（7）统一性：此平台可纳管各类办公资源，包括PC机、虚拟桌面、应用等，可通过此平台访问windows、linux、mac等系统。

一.4 架构设计

在内外部署会话管理器，创建应用共享资源池，远程接入人员可以通过RemoteAPP方式调用应用资源池，也可以通过RDP协议直接接入内网已有的工作站，从而实现正常办公。远程接入人员可以通过虚拟化客户端和各虚拟厂商专有协议直接连接到虚拟桌面，实现远程接入人员办公需求。

在外网部署会话代理，将内网已经创建的会话界面通过协议转换（RDP over Https），通过https协议传入用户终端浏览器，实现数据不落地。

一.4.1 接入模式一（Remote APP）设计

该模式下，可以在会话管理器的服务器上直接发布应用，形成共享应用资源池，会话连接可以采用remoteapp方式直接从本地拉起，尽可能地提高响应速度。

根据安全域的划分（互联网接入区、DMZ区和内网区），

在DMZ区：

（一）部署门户网站，为远程接入人员提供认证登录服务，实现远程办公统一单点登录；

（二）部署会话管理器代理，将远程接入人员链接请求安全的转发至内网会话管理器，并将会话建立安全通道（RDP over https）。

在内网区：

（一）部署主数字保险库，用于统一存储远程接入人员访问目标的密码，将密码代填流程控制在内网，保证外网无法侦测，于此同时还将统一存储和加密审计视频，留下不可抵赖信息；

（二）备份保险库，一旦主数据中心停止服务，业务可以自动切换到备份，不影响业务的连续性；

（三）部署会话管理器，响应远程接入人员的连接请求，在内网快速建立会话，实现密码的统一自动代填，并通过RemoteApp方式连接共享应用且实现会话的全程监控和审计；

在该模式下，远程接入办公将变得非常轻量级：

1、远程办公人员只需通过浏览器，输入访问URL后进入访问门户，选择双因素或生物认证（如指纹、瞳膜等），进入内网可访问资源列表中。

2、选中并点击已发布的应用，系统会自动在内网创建会话连接，甚至系统账号自动代填等工作，从而建立会话连接。

3、会话创建完成后，会话代理将图像转发给前端浏览器，前端人员则可正常办公。

4、会话过程中，全程被审计，为事后追溯和实时威胁分析提供数据。

一.4.2 接入模式二（对接虚拟桌面）设计

通过部署远程接入系统，可满足远程接入人员远程办公的需求：

在DMZ区：

（一）部署门户网站（可按需部署），为外部人员提供双因素认证登录服务，实现远程办公统一单点登录，以保证安全性；

（二）部署会话管理器代理（可按需部署），将外部人员连接请求安全的转发至内网会话管理器，然后将会话投至虚拟桌面，并将会话建立安全通道（RDP over https）。

在内网：

（一）部署审计安全存储库，用于统一存储远程接入人员的审计数据，保证整个过程具有完备的审计回溯机制；

（二）部署会话管理器（可按需部署），响应远程接入人员的连接请求，在内网快速建立会话，实现整个会话过程的监控和审计。

一.4.3 接入模式三（远程连接终端）设计

通过部署该模式，可直接安全连接到用户自己的办公桌面终端进行复杂场景的办公，架构如下：

在DMZ区：

（一）部署门户网站（可按需部署），为外部人员提供双因素认证登录服务，实现远程办公统一单点登录，以保证安全性；

（二）部署会话管理器代理（可按需部署），将外部人员连接请求安全的转发至内网会话管理器，然后将会话投至个人内网终端桌面，并将会话建立安全通道（RDP over https）。

在内网：

（一）部署数字保险库，用于统一存储远程接入人员访问目标的密码，将密码代填流程控制在内网，保证外网无法侦测，于此同时还将统一存储和加密审计视频，留下不可抵赖信息；

（二）部署会话管理器（可按需部署），响应远程接入人员的连接请求，并且可采用发布的MSTSC工具通过RDP方式直接远程到个人的终端设备，全程录像与审计，保证连接终端的安全可控。

一.4.4 逻辑架构设计

一、模式一远程接入逻辑

我们会对远程人员的使用工具进行统一安装和发布，远程人员只需通过浏览器即可随时随地的进行办公，其流程如下：

（一）通过浏览器登录门户网站，并通过动态令牌进行双因素认证登录，登录成功后找到需要访问的资源，选择办公所需的工具或个人工作界面，发起连接请求。

（二）会话请求会转发到内网会话管理组件，会话管理组件会调用统一部署的办公工具或个人工作界面，进行密码自动代填并建立与需要访问的目标（如DB、OS等）会话，同时工具的界面图像会以RDP OVER HTTPS的形式回传到用户前端。

（三）会话建立后，用户可以进行正常的业务办公，整个过程会全程审计，留下审计信息。

（四）远程接入系统可以统一部署策略定时自动化修改被访问目标的账号，结合上述的代填功能，用户无需知道访问目标的密码但办公不受影响。

二、模式二远程接入逻辑

（一）通过浏览器登录外部人员接入门户网站，并通过动态令牌进行双因素认证登录，登录成功后找到需要访问的资源，发起连接请求；

（二）会话请求会转发到内网会话管理组件，会话管理组件将会话投至虚拟桌面；

（三）会话建立后，整个过程会全程审计，留下审计信息，存放到审计安全存储库中，供以后审计。

该模式下，访问流程与方式一一样，但其接入了内外资源，响应的路径长了，但依然有全程审计，数据也依然在内网流转。

3. 模式三远程接入逻辑

（一）用户通过浏览器登录门户网站，并通过动态令牌进行双因素认证登录，登录成功后找到需要访问的资源，发起连接请求；

（二）会话请求会转发到内网会话管理组件，会话管理组件将会话投至个人的终端，保证安全性；

（三）会话建立后，整个过程会全程审计，留下审计录像，存放到数字保险库中，供以后溯源。

该模式下，复杂办公场景的用户可直接远程至自己的终端进行办公，整个连接会话是独立隔离的，并持续审计与录像，采用这种连接模式不会有任何安全风险。

一.4.5 数据存取和应用使用设计

（一）通过横向分布式部署会话管理服务器，并在上面统一部署开发和办公应用，形成统一的，可扩展的动态共享应用资源池，前端用户可以随机选择负载最低的会话管理器进行办公；

（二）通过统一的NAS存储发布个人全局工作目录，在用户登录会话管理器时，可以动态加载到当前会话，从而实现前端用户可以从任何一台会话管理服务器中获得统一的数据，从而完成正常数据存取和交互。

一.4.6 账号与权限设计

根据使用账号的性质，我们可以将账号分为三类，第一类是管理账号（如linux服务器中的root账号等管理员账号），第二类是普通账号（如Linux或其他系统的监控或巡检账号等低权限的账号），第三类为个人账号。对于这三类账号权限的管控：

1、管理员账号和普通账号都由业务专责或管理员管理，外办人员使用管理员账号需进行流程审批；对于普通账号，外办人员可以直接使用。这两类账号，外办人员都仅有使用权，无查看、拷贝密码等权限，也无需知道账号具体数量。

2、对于个人账号，外办人员可以自主管理或交与系统自动管理，外办人员可以直接使用。

3、无论是何种账号，其密码策略都由安全审计员统一下发和管理，安全审计员可以从系统中定期导出安全报表，监督合规性的落实。

4、所有账号使用都将被审计，账号可以按需开启全自动或半自动改密，简化改密流程。

一.4.7 系统部署需要的环境条件

整个系统部署的时候，除了软件自身的许可之外，还需要必要的环境条件，本节就所有环境条件展开论述：

1、负载均衡

方案在部署的时候需要三种负载均衡，解决各种资源负载及高可靠的问题

Ø 链路负载均衡（出口采用多运营商出口，以解决办公人员接入采用了不同运营商访问体验不好的问题）

Ø DMZ区负载均衡（解决DMZ区各功能节点的高可靠及横向扩展）

Ø 内网区负载均衡（解决内网区各功能节点的高可靠及横向扩展）

2、多因素身份认证系统

系统必须对接外部多因素认证系统，进行用户登录时的身份确认，支持Radius、AD、LDPA、动态令牌、指纹、证书等

3、NTP服务

为系统各组件提供统一精准的时间同步服务

4、计算资源

系统依赖足够支撑的计算资源，附件会给出对应的需求参考，服务器需要附带Windows Server 2016以上的OS及Windows RDS许可，特别要注意的是物理服务器必须是SSD硬盘、2C十二核以上CPU，能有效提高访问体验

5、NAS存储

为所有办公人员提供统一、集中的个人存储空间，便于开发人员远程办公时放置自己的代码及个人配置数据等

6、出口的必要防护

WAF（对HTTPS应用进行攻击防护）

DDoS（清洗恶意流量）

NTA（对整个网络流量进行实时监控）

7、服务器虚拟化

使用类似VMware等服务器虚拟化平台，能为办公接入平台提供快速的部署与横向拉伸能力，如：各种能模块的镜像复制、在线迁移、镜像备份等

一.5 安全特性说明

一.5.1 集成多种强认证

勤立信息远程接入办公系统可以支持和集成多种认证方式和验证中心，如令牌、指纹、LDAP等，可以很好的保证了登录用户的身份的唯一性。

一.5.2 用户操作行为统计

勤立信息远程接入办公系统可以支持对用户的各种行为进行统计，如用户并发、用户工时等，为接入办公提供重要的数字支撑。

一.5.3 实时威胁分析

勤立信息远程接入办公系统支持不同维度的行为建立安全基线，如暴力破解、多IP登陆等场景进行实时威胁分析，及时预警和主动预防。

一.5.4 资产授权使用

勤立信息远程接入办公系统支持针对应用和账号进行授权使用，使用的维度包含使用、检索、修改等权限，可以做到细粒度的授权。

即使通过了登录验证，在没有业务授权的情况下，依然无法访问相关业务资源，保证业务的安全。

一.5.5 账号代填

勤立信息远程接入办公系统可以进行账号的自动代填，可以避免前端敏感账号的输入和泄露。

一.5.6 应用加固

勤立信息远程接入办公系统对一些敏感的工具进行了加固可以实现特殊工具的禁用，提高工具的安全性。

一.5.7 多种协议的转换

勤立信息远程接入办公系统对外网统一用https协议进行服务，通过安全会话代理和会话管理组件能对内网各种应用和协议进行隐匿和转换，可以极大的提高安全。

一.5.8 高危操作拦截

勤立信息远程接入办公系统对一些敏感的指令和数据可以进行拦截和实时遮蔽，可以显著提高数据安全。

一.6 方案对比

	传统VPN模式	https模式
加密协议	SSL	SSL
技术定义	基于边界构筑网络安全架构，某种程度上假设、或默认了内网是安全的，通过防火墙等手段对出口进行层层防护，忽略了内网的安全	默认情况下，不信任任何内部和外部的任何人、设备，系统以身份为中心，重构安全边界，基于动态的认证和授权重构访问控制的信任基础
安全模型	边界安全模型；防护和安全策略强制执行，就像用安全的外壳包裹着软弱的身体，我们真正想要的是知道如何认证身份、如何防止沟通交流被窃取。	零信任安全模型；是将网络系统内部或外部任何一个对象，无论处于网络的任何位置，都被视为完全不可信任。它是对现有的网络安全边界模型基础上进行的重新定义，整合现有成熟技术，不断兼容创新技术。
安全性	低；缺少审计、会话监控等,不可防终端密码泄露，隧道建立，内网环境延伸到个人外网终端；基于角色粗放授权，颗粒度低	高；可以密码自动代填和轮换，防终端密码泄露,数据只在数据中心流转；精细化授权，细颗粒度；
审计功能	缺乏；本身没有审计功能，需要跳板机配合	完整；全流程会话录像审计，针对键盘输入有关键字审计，针对Oracle数据访问有协议审计等，非常全面完整，审计记录采用HASH算法写入，防篡改。
可扩展性	多为硬件设备，有性能瓶颈	支持快速横向扩展，可动态扩展资源
受单位办公机网络影响	受影响，接入后访问的是内网资源	不受影响，可以直接访问已发布的共享应用资源池
客户端网络环境	被vpn控制，不能访问互联网	可访问互联网，与终端环境不交互
1500并发所需带宽	1.5G左右	150M左右
与其他环境兼容性	只负责隧道建立，跳板机可对接目标有限，如无法接入MAC设备、各种应用等	可对接各虚拟桌面环境，可发布各类C/S B/S客户端部署，以及常用办公软件部署
可远程访问办公桌面	可以	可以，但更推荐直接访问共享应用，更节省资源和提高响应速度

一.7 系统优势

（1）用户无需安装客户端软件，通过浏览器发起https访问，并且可通过添加动态令牌的双因素认证方式进行登录，大大增加了安全性；

（2）用户只需在门户进行一次认证，之后访问所有应用、工具全部采用单点登录SSO自动代填方式，无论B/S的还是C/S的都可兼容；

（3）系统自带强大的自动改密组件，如果用户有需要满足定期改密的合规性要求，系统可以帮助用户自动完成所有发布目标的密码轮换工作（改密周期与密码策略可以灵活设置），大大减少运维人员的工作量；

（4）远程用户从接入开始起，全程审计录像，包括启动虚拟桌面使用的整个过程，无任何死角，审计数据统一安全存放，以达到满足合规性的要求；

（5）系统具备非常开放的API，支持对接各种外部认证系统及数据源，如AD、堡垒机、AAA系统，CMDB等，也支持跟内部的工作流系统对接，实现各种自动化场景，比如审批等；

（6）支持任意应用及工具的发布，形成应用资源池，让远程接入用户方便快捷的进行工具的选择，快速访问业务，无需启动虚拟桌面，再进行二次跳转，体验更好，更节约计算资源与带宽；

（7）支持细到命令级、SQL语句级的权限控制，支持Oracle访问协议解析与审计，支持远程接入用户的关键操作动态审批与双人会同，安全控制粒度更细；

（8）支持与任意品牌的虚拟桌面对接，并能对远程用户的虚拟桌面进行密码的自动管理，无需远程用户进行二次输入及人工改密；

（9）方案成熟稳定，支持快速的横向扩展，满足海量用户并行访问的需求，理论上无上限；

（10）系统开箱即用，无需二次开发，能快速部署上线。

一.8 系统介绍

勤立信息远程接入办公系统由6个主动空管组件组成：

l 企业安全数字保险库

基于勤立信息安全独有的保险库技术，为企业数据提供安全的存储解决方案。在远处接入方案中，对所有人员的审计信息，以及纳管入平台的资源账号进行加密存储，并通过其策略管理器可以对目标账号进行统一的策略管理。

l 会话管理器

会话管理可隔离、控制并监控特权用户访问和行为，可提供单一访问控制点，防止恶意软件跳转到目标系统，并记录每一按键和鼠标操作，实施连续监控。可提供完整会话记录，具有搜索、定位和敏感事件警告功能。实时监控确保特权访问受到连续保护，并可在发现可疑事件时实时终止会话。于此同时，配合会话管理代理，可以将会话图像安全的映射到远端，但依旧保证数据只在数据中心流转。

l 动态数据脱敏

符合数据隐私条款和内部审核要求，大幅降低数据外泄风险，保护个人和敏感信息。同时支持分布式、外包运营及云端启用，以空前便捷的架构，跨所有应用系统、备份、复制、数据仓库、开发和DBA工具,迅速获得投资回报。节省时间，无需变更应用系统源代码或数据库。针对每个业务单元的监管或业务要求,轻松定制数据库安全性解决方案。在正式和非正式环境下提供安全访问,提升外包和生产支持人员的生产力。

l 应用账号管理

解决固化在代码中的用户密码信息的管理问题，应用账号管理可满足高端企业对可用性和业务连续性的需求，可以实现目标账号的密码修改不终端业务，为业务永续提供可能，也为安全开发deveops提供密码调用的方法和路径，实现快速、规范和安全的开发。

l 权限按需管理器

集中管理和监控特权用户和账号，类似root这样的UNIX/Linux系统用户的权限使用可以被细颗粒地管理，并且命令行本身和输出记录将被记录。该安全的企业级解决方案为所有超级用户活动提供统一的相关日志。可根据角色和任务对所有超级用户进行持续监控。

l SSH密钥管理

帮助企业把SSH密钥的安全性和管理纳入更广泛的特权帐户的安全策略。它保证了用户在使用SSH应用时密钥的安全产生、传输和存储，严格控制对密钥的访问工作流程，以及提供跟踪并报告密钥使用情况。

一.8.1 数据安全保险库介绍

该模块能让企业容易地保护、管理和更新所有类型的特权账号密码，包括服务器、数据库、虚拟化设备、网络设备和应用程序。为了做到这些，EPV对所有密码建立集中的安全存储、访问和维护管理机制，并且对所有对密码的访问活动进行详细审计和跟踪。EPV包含4个主要组件：

n 企业数据安全保险库(Vault) – 这是一个为企业审计信息、特权账号密码、个人数据提供安全的集中存储、保护和管理访问的仓库。Vault 构建于坚固的加密技术，提供多层次的安全机制，保证最高的安全要求。Vault部署为冗余的主备Vault。

n 中央策略管理器CPM – CPM为多种目标系统的特权账号密码提供更新，包括各种路由器、数据库、服务器、目录服务和固化于应用程序中的密码。包括Z/OS、OS390、AS400、Windows Server、AIX、HP-UX、Solaris、SuSE Linux、Redhat Linux、Sco Unix；数据库包括各版本的SQL Server、Oracle、Sybase ASE、Sybase IQ、DB2、Informix、MySQL;以及各种网络设备/安全设备，包括Cisco、Juniper、华为等。可以和常见工具及其他系统和设备进行集成，起到密码修改、验证、更正的目的。

n Windows GUI 客户端- 此客户端允许管理员访问和配置EPV系统，包括设置用户信息，定义系统访问等等。

n 访问门户网站 – 访问接入的验证入口，可以支持如指纹、令牌、CA等多种验证方式，保证远程访问的安全性。

一.8.2 会话管理器模块介绍

具备审计的功能，具有一系列丰富的产品特点：

Ø 安全和审计

n 加强企业的安全策略和工作流程，例如双重控制发起会话，提交一个合理的工单系统，控制会话持续时间等；；

n 基于HTTPS的安全访问允许本地和远程访问企业的被管设备；

n 根据企业策略和最终用户角色开启会话记录；

n 单点登录发起特权会话无需暴露特权账号密码。

Ø 会话记录

n PSM的硬盘录像机回放式的记录特权会话，应对事件的分析和司法审查：

n SSH会话击键日志以及Oracle/MSSQL会话命令审计；

n 用“时间点”的方式搜索特权事件，观看其中一段会话记录；

n 单台服务器支持超过100个并发会话记录，存储为高度压缩格式；

n 可扩展性和负载均衡、高可用性；

n 隐私规则的支持，允许当会话开始录制时在屏幕上通知用户。

Ø 企业级架构

n 中央管理和存储分布式体系架构，提供统一管理、审计和监控界面；

n 能够与企业基础设施进行集成，包括目录服务、用户管理和验证、SIEM、SNMP、Syslog以及SMTP。

一.8.3 动态数据脱敏介绍

Dynamic Data Masking动态数据脱敏模块，能实时将敏感信息动态脱敏，并阻止、审核及警示访问敏感信息的终端用户、IT 人员和外包团队，同时确保高度遵循隐私条款。动态数据脱敏依各种数据隐私法律和法规的规定,防止终端用户、客户、合作伙伴、生产支持人员、DBA、海外和外包员工访问与其工作无关的企业敏感商业信息与个人信息。

n 实时采取动态脱敏、打乱、隐藏、封锁、审查资料等多重安全行动，并对未经授权的使用情况发出警示

n 限制终端使用者和 IT 人员对屏幕、表格、行列和数据库的存取级别使用角色式存取控制,实施以 Active Directory 群组、LDAP、身份存取管理、角色和职责

n 为基础的使用者存取权限

n 阻止 (Block) 对一般应用程序帐户未经授权的使用,并告知使用者

n 阻止数据库管理员未经授权的 DDL、DML 和 DCL 指令,并控制终端使用者的临时查询

n 根据职责分工作出详细的审核记录与警报

n 保持业务应用程序的功能性外观、一致性及完整性,同时对储存在数据库中的数据值不做任何变更。

一.8.4 应用账号管理介绍

应用账号管理解决了在应用程序代码、配置文件和脚本中的密码存储、审计、管理的难题，使所有的高度敏感密码，集中和安全地存放在系统的密码保险库中。利用这种独特的技术，企业能够符合内审和外审的合规性要求，做到密码定期更换，并且可以监控对所有系统、数据库、应用程序的特权访问。

一.8.5 权限按需分配介绍

权限按需分配模块通过策略集中控制操作系统特权命令，对UNIX/Linux/Windows基于个人的特权命令作精细化访问控制，替代了SUDO与Windows组策略的方案，使得类似的控制具有企业级、集中化、简单管理和强化审计能力的特点。工作方式如下：

n 管理员在访问门户中定义IT人员相应的策略（命令行的黑白名单）；

n IT管理员通过传统的方式登录UNIX/Linux/Windows服务器；

n 模块读取相应的策略，并缓存在本地；

n 当IT人员需要执行某些特权命令时，进行部分提权完成任务，同时模块会将此提权命令进行记录；

n 审计人员可以通过文本对IT管理员的命令进行审计。

一.8.6 SSH密钥管理介绍

SKM保持与企业一致的安全策略，能够保障企业SSH密钥安全、更新和控制访问。该解决方案还提供了强大的访问控制，以确保只有授权用户才能访问私钥，以及报告功能来审核密钥的使用。SKM具有以下功能特点：

n SSH密钥安全存储在密码保险库里；

n 强有力地对SSH密钥的访问控制；

n SSH密钥自动更新/轮换功能；

n 详细的SSH密钥使用报告。

一.8.7 实时威胁分析介绍

实时威胁分析会自动创建(机器学习)接入用户的行为配置文件,并且在系统中自行维护基线配置文件。典型行为随着时间而更改,基线配置文件会根据这些更改进行调整。系统随后会自动查找与基线配置文件存在的偏差,以找出恶意行为。

解决方案会自动检测每个异常并加以评分,然后再根据事件的关联性来确定威胁级别。警报会立即通过电子邮件发送,其中包括了事件的详细信息以及实时威胁系统的链接,从而让安全人员能够深度探讨并进一步查看。

实时威胁分析模块始终处于一个不断向周围环境学习的稳定状态下,在这样的环境下, 其报警效果会得到不断的提升。这个持续的适应过程造就了当今市场上最佳的威胁报警系统。具有以下功能特点：

n 基于特有的算法进行分析检测并中断攻击,从而消除对攻击签名或沙盒的知识依赖；

n 通过对正在进行的攻击发出准确的实时报警,显著缩短攻击者的机会窗口并减少损失；

n 借助开箱即用，集成提升现有SIEM 解决方案的价值；  

n 通过方便直观的图形和表格来快速评估基线配置文件和异常现象；  

n 及时访问关于攻击的详细信息,加快补救速度；  

n 通过会随环境变化而不断调整基线行为配置文件的自主学习算法,让威胁检测适应不断变化的环境；

n 借助有关特权用户模式和活动的有价值数据来改善审查流程；

n 作为独立产品或特权账户安全解决方案的一部分提供完整的特权行为分析功能。

一.8.8 系统高可用架构设计

一.8.8.1 可靠性设计

系统提供99.999%的可靠性，可以采用两地三中心的架构设计，主数据中心采用HA热备方式（数据全部放在SAN存储上），服务切换的时候数据是0丢失；本地容灾中心有一份完整的数据备份DR（自动），异地灾备中心有一份完整的数据备份DR（自动）；在主数据中心发生灾难的时候，服务会自动切换到DR灾备中心，无需人工干预，所有功能组件支持全冗余设计。而堡垒机并没有两地三中心的概念，只是支持一个HA的模式，可靠性达不到非常苛刻的要求，所以也是很多用户不敢把改密放在堡垒机上进行自动改密的一个很重要的原因。

一.8.8.2 分布式设计

远程接入系统采用两层架构，即数字保险库与各功能组件。支持分布式部署，集中管理，所有功能组件可以无限制扩展，所有功能组件产生的数据都集中写到数字保险库。这种特性非常适应于跨地域的全国性、全球性数据中心部署，所有分数据中心都可以本地化部署相应的功能组件来提高访问的体验度，将数据都集中在总部数据中心的数字保险库，对外交付一个唯一的门户入口。而堡垒机多是销售单个的硬件盒子/软件镜像方式，所有的数据都是写入本地的硬盘，没有分布式部署集中管理的概念，如果多地域部署，将会造成管理上的麻烦与困难，数据难以集中管理。特别是针对一个混合的数据中心，有公有云、私有云、虚拟化时，这一点尤为重要，远程接入系统能适应不同的数据中心规模要求，进行随需应变的扩展，从小规模至超大规模。