產(chǎn)品功能特點
1.1 wq自主知識產(chǎn)權
    UAP統(tǒng)一認證與訪問控制系統(tǒng)是時代億信多年信息安全技術和行業(yè)經(jīng)驗積累所形成的新一代身份認證與資源整合產(chǎn)品，全部功能自主研發(fā)，具有wq的自主知識產(chǎn)權。在許多核心技術上深入研究，如動態(tài)通道、應用代理、信息中轉(zhuǎn)和推送、URL重寫、內(nèi)容過濾、端到端加密通道等，使這些技術成為行業(yè){lx1}技術。

1.2 成熟{lx1}
    UAP統(tǒng)一認證與訪問控制系統(tǒng)設計從國家政策法規(guī)、標準規(guī)范、行業(yè)特色等多個層面出發(fā)，融入了多年專業(yè)經(jīng)驗和多個大規(guī)模項目實施經(jīng)驗，可以滿足B/S架構應用系統(tǒng)、C/S架構應用系統(tǒng)、數(shù)據(jù)庫、主機、網(wǎng)絡設備等各種資源統(tǒng)一認證、單點登錄、訪問控制的需求。

    UAP統(tǒng)一認證與訪問控制系統(tǒng)符合《國家信息安全等級保護管理辦法》和《中華人民共和國電子簽名法》等相關法律法規(guī)要求；UAP統(tǒng)一認證與訪問控制系統(tǒng)經(jīng)過國家密碼管理局產(chǎn)品檢測，采用SM1、SM2、SM3國產(chǎn)密碼算法，并具有統(tǒng)一認證類產(chǎn)品{wy}商用密碼產(chǎn)品型號證書；UAP統(tǒng)一認證與訪問控制系統(tǒng)經(jīng)過國家保密局產(chǎn)品檢測，具備管理員三員分立、智能卡PIN碼安全策略、管理平臺安全防護等安全保護措施，并在源代碼層面進行了安全加固與抗反向工程。

1.3 統(tǒng)一管理解決方案
    認證墻系列產(chǎn)品致力于企業(yè)集中管理領域，為企業(yè)提供的一套集“用戶”、“應用”、“資源”、“審計”為一體的企業(yè)集中管理整體解決方案。它為企業(yè)級用戶提供下列服務：
統(tǒng)一用戶管理
統(tǒng)一身份認證
統(tǒng)一用戶授權
統(tǒng)一應用接入
統(tǒng)一日志審計
集中訪問控制

    作為成熟完整的企業(yè)統(tǒng)一用戶管理解決方案，UAP統(tǒng)一認證與訪問控制系統(tǒng)在認證墻產(chǎn)品體系中，基于SmartCOM（時代億信開發(fā)的一套基于信息安全標準開發(fā)框架。它為不同類型的產(chǎn)品提供了一套統(tǒng)一的結合標準，使用此框架開發(fā)的信息安全產(chǎn)品間可以根據(jù)需要快速結合）框架進行功能組合，與統(tǒng)一用戶管理系統(tǒng)緊密配合，在規(guī)范用戶管理的基礎上，利用主從帳號管理體系，實現(xiàn)用戶訪問應用系統(tǒng)的帳號統(tǒng)一管理、應用統(tǒng)一認證、安全單點登錄、統(tǒng)一用戶授權、集中訪問控制、統(tǒng)一日志審計。

如上圖所示，內(nèi)網(wǎng)中的所有業(yè)務系統(tǒng)均與UAP-U集成，加入統(tǒng)一用戶管理體系中，每個業(yè)務系統(tǒng)都將認證請求提交到UAP統(tǒng)一認證與訪問控制系統(tǒng)進行認證，從UAP-U中獲得訪問授權，真正的將企業(yè)目錄作為企業(yè)內(nèi)部{wy}的認證源。

    同時，在根據(jù)需求部署UAP-S或UAP-G（UAP-S只對應用進行訪問控制，UAP-G則可對網(wǎng)絡進行訪問控制），利用產(chǎn)品間的SmartCOM接口，將UAP-U統(tǒng)一用戶管里和UAP統(tǒng)一認證及訪問控制系統(tǒng)融為一體，使用戶經(jīng)過一次認證，便可獲得全網(wǎng)的授權。

1.4 {lx1}的身份認證方式
    UAP統(tǒng)一認證與訪問控制系統(tǒng)利用其{lx1}的身份認證功能，將用戶的身份認證與企業(yè)的管理技術和業(yè)務流程密切結合，保證系統(tǒng)中的數(shù)據(jù)資源只能被有權限的用戶訪問，未經(jīng)授權的用戶無法訪問數(shù)據(jù)；防止偽造身份認證手段、訪問者身份等非法措施，從而有效保護信息資源的安全。

    傳統(tǒng)身份認證只使用一種條件判斷用戶的身份，因此認證很容易被仿冒。而雙因子認證或強認證是通過組合兩種或多種不同條件（如通過密碼和芯片組合）來證明一個人的身份，安全性有了明顯提高。UAP統(tǒng)一認證與訪問控制系統(tǒng)支持對多種身份認證方式的混用，有效提高身份認證的安全性。UAP統(tǒng)一認證與訪問控制系統(tǒng)的認證方式有：
USB智能卡認證
證書認證
動態(tài)令牌
短信認證
指紋認證
靜態(tài)口令
一次性口令
第三方認證組件

    除此之外，UAP統(tǒng)一認證與訪問控制系統(tǒng)還為用戶提供了基于SOAP、Radius、LDAP、SOCKET等協(xié)議的認證接口，并可通過NTLM與kerborse實現(xiàn)微軟AD域集成認證；

雙重認證方式
    多種認證方式同時啟用，即用戶必須經(jīng)過兩種或兩種以上認證方式的認證才能登錄進入系統(tǒng)；

    強制認證方式，即系統(tǒng)根據(jù)用戶或用戶角色信息，給出指定的認證方式進行認證，用戶只有在通過指定認證方式認證的情況下才能登錄進入系統(tǒng)；即使用戶使用其他認證方式登錄進入系統(tǒng)，對需要進行強制認證的系統(tǒng)或應用場景依然需要二次強制認證，可以充分保證系統(tǒng)的運行安全和操作維護安全。

    作為統(tǒng)一認證及訪問控制的一部分，UAP統(tǒng)一認證與訪問控制系統(tǒng)為用戶提供了“l(fā)b身份認證中心”，通過讓業(yè)務系統(tǒng)實現(xiàn)lb認證（單點認證）接口的方式，實現(xiàn)用戶在UAP統(tǒng)一認證與訪問控制系統(tǒng)完成認證后，可自由單點到其他被授權訪問的業(yè)務系統(tǒng)中。

1.5 完善的單點登錄機制
    UAP統(tǒng)一認證與訪問控制系統(tǒng)具有完善的單點登錄體系，可安全地在應用系統(tǒng)之間傳遞或共享用戶身份認證憑證，用戶不必重復輸入憑證來確定身份。不僅帶來了更好的用戶體驗，更重要的是降低了安全的風險和管理的消耗。


    UAP統(tǒng)一認證與訪問控制系統(tǒng)具有多種單點登錄實現(xiàn)方式，由下面章節(jié)詳細介紹。

1.5.1 應用系統(tǒng)帳號傳遞機制——主從帳號管理
    UAP統(tǒng)一認證與訪問控制系統(tǒng)的用戶信息數(shù)據(jù)獨立于各應用系統(tǒng)，形成統(tǒng)一的用戶{wy}ID，并將其作為用戶的主帳號。如下圖所示：

 

（1）在通過UAP統(tǒng)一認證后，可以從登錄認證結果中獲取平臺用戶{wy}ID（主帳號）；
（2）再由其關聯(lián)不同應用系統(tǒng)的用戶帳號（從帳號）；
（3）{zh1}用關聯(lián)后的帳號訪問相應的應用系統(tǒng)。

    當增加一個應用系統(tǒng)時，只需要增加用戶{wy}ID（主帳號）與該應用系統(tǒng)帳號（從帳號）的一個關聯(lián)信息即可，不會對其它應用系統(tǒng)產(chǎn)生任何影響，從而解決登錄認證時不同應用系統(tǒng)之間用戶交叉和用戶帳號不同的問題。單點登錄過程均通過安全通道來保證數(shù)據(jù)傳輸?shù)陌踩?br />
1.5.2 應用系統(tǒng)帳號傳遞機制——Ticket票據(jù)
    在用戶訪問應用系統(tǒng)之前，由UAP統(tǒng)一認證與訪問控制系統(tǒng)生成一次性的訪問Ticket票據(jù)，并將Ticket提交給應用系統(tǒng)，應用系統(tǒng)通過加密的方式回連UAP，并驗證Ticket有效性，之后返回認證結果和用戶身份信息給應用系統(tǒng)。應用系統(tǒng)根據(jù)驗證結果確認用戶身份，并分配用戶權限。

    此種認證登錄方式下還可以配合IP地址綁定等方式，通過增加客戶端可識別信息進一步加強系統(tǒng)間交互的安全性。

1.5.3 B/S應用單點登錄實現(xiàn)方式——API插件
    插件方式采用SSO認證服務和集成插件（SSO API）的方式進行交互驗證用戶信息，完成應用系統(tǒng)單點登錄。插件方式提供多種API，通過簡單調(diào)用即可實現(xiàn)SSO。I

    通常情況下，對于有原廠商配合開發(fā)的B/S架構、C/S架構應用系統(tǒng)，推薦使用該方式接入UAP統(tǒng)一認證與訪問控制系統(tǒng)，以實現(xiàn)高效率高可靠的單點登錄。

插件方式下通過平臺訪問應用系統(tǒng)的流程如下：
（1）用戶在平臺上點擊訪問的應用系統(tǒng)URL鏈接；
（2）由平臺驗證用戶權限，有權限則在平臺數(shù)據(jù)庫中查詢用戶和應用系統(tǒng)的關聯(lián)表，無權限則提示用戶無權訪問；
（3）如關聯(lián)表中無相應記錄，則該用戶未授權，不允許訪問；如關聯(lián)表中有相應記錄，則平臺服務器提取用戶在該應用系統(tǒng)中的身份信息，送至SSO服務加密簽名形成數(shù)字信封后，返還給平臺；
（4）由平臺將加密信息發(fā)送給相應的應用系統(tǒng)；
（5）應用系統(tǒng)調(diào)用SSO API，對加密信息進行解密，得到用戶身份信息并返回給應用系統(tǒng)；
（6）應用系統(tǒng)收到用戶身份信息后通過信任機制允許用戶訪問應用系統(tǒng)。

1.5.4 B/S應用單點登錄實現(xiàn)方式——反向代理
    在完成客戶端與認證服務器的交互認證后，用戶先登錄進入平臺系統(tǒng)，然后利用反向代理技術完成服務器端代理用戶認證，并將應用系統(tǒng)信息推送給客戶端瀏覽器，從而實現(xiàn)用戶對該應用系統(tǒng)的訪問。

    這種方式下應用系統(tǒng)基本不需改動和開發(fā)，對于不能作改動或沒有原廠商配合改動的B/S架構應用系統(tǒng)，可以使用該方式接入UAP統(tǒng)一認證與訪問控制系統(tǒng)。實現(xiàn)上，采用SSO認證服務和SSO Agent進行交互驗證用戶信息，完成應用系統(tǒng)單點登錄。

 

反向代理方式下通過平臺訪問應用系統(tǒng)的流程如下：
（1）用戶在平臺上點擊訪問的應用系統(tǒng)URL鏈接；
（2）由平臺驗證用戶權限，有權限則在平臺數(shù)據(jù)庫中查詢用戶和應用系統(tǒng)的關聯(lián)表，無權限則提示用戶無權訪問；
（3）如關聯(lián)表中無相應記錄，則瀏覽器彈出建立關聯(lián)的頁面；如關聯(lián)表中有相應記錄，則平臺服務器提取用戶和應用系統(tǒng)的關聯(lián)信息，送至SSO服務加密簽名形成數(shù)字信封后，返還給平臺；
（4）由平臺將加密信息發(fā)送給應用系統(tǒng)前端的SSO Agent；
（5）SSO Agent收到加密信息后進行解密，并向應用系統(tǒng)提交用戶關聯(lián)信息；
（6）應用系統(tǒng)收到用戶關聯(lián)信息后進行驗證，驗證成功則允許用戶訪問應用，失敗則提示用戶更新關聯(lián)信息。

    在反向代理模式下，為了保證用戶管理信息的正確，UAP統(tǒng)一認證與訪問控制系統(tǒng)還提供了數(shù)據(jù)庫適配器、LDAP適配器、HTTP適配器等組件，實現(xiàn)用戶身份關聯(lián)映射信息的自動校驗。

1.5.5 B/S應用單點登錄實現(xiàn)方式——客戶端代理
    對于部分應用場景中應用系統(tǒng)不能停機或開發(fā)商不能配合的情況，UAP統(tǒng)一認證與訪問控制系統(tǒng)可采用客戶端代理技術，自動地完成應用系統(tǒng)單點登錄。其具體認證登錄過程如下：
（1）在UAP統(tǒng)一認證與訪問控制系統(tǒng)管理功能中為應用系統(tǒng)jh客戶端代理功能，由管理員配置好客戶端代理所需要的用戶認證參數(shù)；
（2）用戶登錄單點登錄平臺；
（3）用戶點擊應用系統(tǒng)訪問鏈接；
（4）客戶端代理自動啟動，并向應用系統(tǒng)服務器端傳遞用戶認證參數(shù)；
（5）應用系統(tǒng)服務器端接收到認證參數(shù)，按照自身的認證方式通過用戶驗證，進入系統(tǒng)；
（6）用戶使用應用系統(tǒng)而無需進行其他操作。

1.5.6 B/S應用單點登錄實現(xiàn)方式——HTTP HEADER
    當用戶訪問應用系統(tǒng)時，UAP統(tǒng)一認證與訪問控制系統(tǒng)的認證登錄功能將該用戶信息加密后放在HTTP HEADER中傳遞給應用系統(tǒng)。應用系統(tǒng)接收后解析HTTP HEADER內(nèi)容，獲得用戶信息，驗證后進入應用系統(tǒng)。

    考慮到HTTP明文傳輸?shù)囊蛩?，可考慮使用SSL加密通道或關鍵信息加密通道保護用戶認證信息的安全。同時，UAP統(tǒng)一認證與訪問控制系統(tǒng)也可以在HTTP HEADER中置入經(jīng)過加密的用戶信息，需要對應用系統(tǒng)登錄認證模塊進行改造，使其識別加密后的用戶信息，從而實現(xiàn)用戶身份驗證。

1.5.7 C/S應用單點登錄實現(xiàn)方式
    UAP統(tǒng)一認證與訪問控制系統(tǒng)支持C/S模式應用系統(tǒng)，可提供應用系統(tǒng)插件API，方便的對目前大部分C/S模式的應用程序進行身份認證和單點登錄接入。
一般的應用程序在登錄時都包括如下內(nèi)容：
程序名稱
用戶名框
密碼框
登錄按鈕
服務器地址
服務器端口

    許多客戶端的服務器地址和端口利用配置文件存儲在客戶端安裝目錄中，所以服務器地址和端口屬于可選組件。
UAP統(tǒng)一認證與訪問控制系統(tǒng)支持CS客戶端單點登錄的方式主要是利用“單點登錄配置助手”分析客戶端登錄窗口，通過配置，使UAP統(tǒng)一認證與訪問控制系統(tǒng)可以在用戶門戶頁面中通過用戶點擊鏈接調(diào)用客戶端，并填寫登錄信息、點擊登錄按鈕進行單點登錄。

 

    管理員利用配置助手工具分析CS客戶端登錄窗口后，按照分析結果，填寫配置信息及訪問策略后，用戶即可在UAP用戶門戶頁面通過點擊鏈接的方式使用。

 

1.5.8 單點退出
    與單點登錄相對應，單點退出功能可以解決“單點登錄”功能在方便用戶的同時留下的安全隱患，用戶在UAP中主動下線或超時下線時，UAP統(tǒng)一認證與訪問控制系統(tǒng)會向業(yè)務系統(tǒng)發(fā)起用戶下線通知，告知業(yè)務系統(tǒng)，某用戶已經(jīng)下線，請銷毀相關Session會話。

1.6 靈活的授權方式
    UAP統(tǒng)一認證與訪問控制系統(tǒng)同為企業(yè)用戶提供了多種靈活的授權方式：

角色授權
部門組織機構授權
動態(tài)授權

    角色與組織機構都為一類人的總和，所不同的是，系統(tǒng)中的角色是與用戶在工作中所承擔的現(xiàn)實角色相對應的，與組織機構的縱向排列相對，大多數(shù)角色都為橫向排列。如每個部門的主管、組長、組員等。

    管理員可以在UAP統(tǒng)一認證與訪問控制系統(tǒng)中同時為某個系統(tǒng)分別按照角色和用戶組授權，如HR系統(tǒng)只有人事部門可以訪問，并且部門經(jīng)理及以上級別可以訪問。這種按照用戶組織機構與用戶角色結合的授權方式不僅更為靈活，同時也更符合實際成產(chǎn)生活的需求。

1.7 內(nèi)置企業(yè)級CA
    UAP統(tǒng)一認證與訪問控制系統(tǒng)內(nèi)置了企業(yè)級證書管理系統(tǒng)，可完成數(shù)字證書的綜合管理工作，有著如下完備的功能：
（1）豐富的證書業(yè)務功能
（2）基于角色的授權管理
（3）支持多級CA
（4）強大的證書模板功能
（5）所見即所得的自定義功能（自定義證書模板&自定義證書擴展域）
（6）支持漢字證書
（7）支持KMC（密鑰管理中心）
（8）支持OCSP（在線證書狀態(tài)查詢）
（9）支持可替換的加密模塊
（10）以用戶為中心的證書管理模式

    證書管理系統(tǒng)配有專門的證書管理員，通過使用優(yōu)化后的管理頁面，管理員只需在圖形界面中點擊鼠標，就可完成用戶證書申請、審批、簽發(fā)工作，到期的用戶證書可以進行批量自動更新。

    對于希望減輕管理負擔的用戶，證書自助服務可以直接面向最終用戶提供證書申請與簽發(fā)界面，縮短了實施時代億信證書認證解決方案的時間。

1.8 網(wǎng)絡層訪問控制
    針對用戶對網(wǎng)絡資源的訪問，UAP-G系統(tǒng)采用過濾分析網(wǎng)絡包的形式，鑒別用戶訪問的是否為受控資源以及用戶是否有權限訪問該資源。

    在實際應用環(huán)境中，存在著大量的網(wǎng)絡設備（如路由器、交換機等）和主機服務器（如Linux服務器、UNIX服務器等），維護和管理人員對這些設備和服務器的維護存在著很大的安全隱患。每個管理員都可以連接其他人負責的網(wǎng)絡設備，如果存在帳號共享的情況，便有可能出現(xiàn)權力不明，責任不清的問題。

    UAP-G將網(wǎng)絡設備和服務器資源管理中，指定用戶可以訪問的網(wǎng)絡資源，從網(wǎng)絡層限制了用戶可以連接什么地方，不可以連接什么地方，實現(xiàn)了系統(tǒng)維護人員對網(wǎng)絡設備和服務器訪問控制和認證授權。UAP-G采用多種可選方式對維護人員的身份進行認證，可以有效避免非法用戶的假冒；通過日志審計功能，UAP-G能夠?qū)崿F(xiàn)對用戶網(wǎng)絡訪問的跟蹤，而日志信息的分析和挖掘，為安全事故的調(diào)查提供了一個很好的輔助工具。

    UAP-G系統(tǒng)對所有協(xié)議的包過濾控制，以網(wǎng)橋的模式部署在用戶終端和資源系統(tǒng)之間。用戶在訪問資源系統(tǒng)前，必須先登錄UAP-G用戶登錄平臺；或者用戶在訪問WEB資源系統(tǒng)前，如果沒有認證的話，UAP-G會提示登錄或自動重定向到UAP-G的用戶登錄平臺。用戶在通過認證后，在用戶終端可啟動資源系統(tǒng)客戶端(Telnet/SSH、FTP、瀏覽器等)直接登錄用戶被授權的資源系統(tǒng)，而不需要資源系統(tǒng)的登錄認證。

UAP-G系統(tǒng)支持網(wǎng)絡資源有；
B/S模式應用系統(tǒng)
    UAP-G系統(tǒng)支持多種WEB服務器平臺，如果只對業(yè)務系統(tǒng)進行訪問控制，WEB業(yè)務系統(tǒng)不需要做任何更改；若希望使用單點登錄功能，則需要業(yè)務系統(tǒng)實現(xiàn)相應的單點登錄接口，同時UAP-G系統(tǒng)提供API支持。

C/S模式應用系統(tǒng)
    UAP-G系統(tǒng)支持C/S模式應用系統(tǒng)，可方便的對目前大部分C/S模式的應用程序進行訪問控制管理，減少二次開發(fā)。目前，UAP-G系統(tǒng)可以wm支持下列C/S應用的訪問控制和日志審計：
Telnet
SSH
FTP
SCP / SFTP
Oracle、DB2、MySQL、SQL-SERVER等數(shù)據(jù)庫
文件共享

1.8.1 按資源安全等級保護
    UAP-G系統(tǒng)可對內(nèi)網(wǎng)中的任何類型的主機進行保護，管理員只需將該主機置于UAP-G系統(tǒng)后方，便可經(jīng)過簡單配置，根據(jù)該主機的業(yè)務類型和安全級別設定用戶訪問策略。利用物理隔離、安全的身份認證機制和靈活的資源授權機制，把需要保護的主機妥善的保護起來，用戶登錄UAP-G系統(tǒng)后，更可體驗到單點登錄到B/S 與 C/S資源的簡單和方便。

1.8.2 可集成性
    當前的信息系統(tǒng)中資源包括WEB服務器、應用服務器、數(shù)據(jù)庫數(shù)據(jù)資源、網(wǎng)絡設備、服務器主機和數(shù)據(jù)庫服務器以及文件共享服務等，UAP-G系統(tǒng)的目標就是將這些不同環(huán)境中的各種資源無縫的結合起來。對于各種網(wǎng)絡資源，UAP-G系統(tǒng)通過網(wǎng)絡數(shù)據(jù)報分析、過濾的解決方案達到對資源的授權控制。對于一般網(wǎng)絡中的文件共享服務，UAP-G系統(tǒng)可通過在域服務器簡單安裝子服務的形式，進行域授權控制，實現(xiàn)集成和整合。另外，UAP-G系統(tǒng)wq支持行業(yè)標準，例如X.509，Radius（AAA），在安全服務之間提供了靈活方便的可交互性。

    根據(jù)UAP-G系統(tǒng)運行模式的不同，用戶可以跟據(jù)現(xiàn)有網(wǎng)絡環(huán)境的情況選擇“網(wǎng)橋”模式和“旁路”模式。

    網(wǎng)橋模式下，只需簡單將UAP-G系統(tǒng)串聯(lián)到受控資源前面，對所有訪問后方受保護資源的數(shù)據(jù)包進行過濾控制，從物理上劃分出不同的安全區(qū)域，具有較高的安全及訪問控制級別?？梢詾槭芸刭Y源提供最完善的網(wǎng)絡訪問控制、授權、集中帳號管理和網(wǎng)絡訪問審計功能。

    若部署在旁路模式下，只需讓UAP-G系統(tǒng)連接在交換機上，經(jīng)過簡單配置，便可進行網(wǎng)絡數(shù)據(jù)包的分析和過濾，及認證和授權服務。

1.8.3 可擴展性
    UAP-G系統(tǒng)體現(xiàn)出了非常強大的可擴展性。UAP-G系統(tǒng)基于角色的授權體制和靈活的集成機制使得不管業(yè)務怎么擴展、用戶怎么增加、數(shù)據(jù)怎么激增它都能應付自如。另外，UAP-G系統(tǒng)靈活方便的API允許用戶根據(jù)實際需求定制個性化的安全管理解決方案。

1.8.4 面向多種資源的授權機制
    UAP-G系統(tǒng)提供靈活實用的授權技術以便使管理員管理B/S資源、C/S資源、數(shù)據(jù)資源、網(wǎng)絡設備、數(shù)據(jù)庫服務器。UAP-G系統(tǒng)的授權機制根據(jù)動態(tài)綁定用戶MAC地址來滿足各種業(yè)務的不同需求。

    對服務器的訪問授權，可以依據(jù)不同的自然人進行權限分配，即使這些自然人共享同一個系統(tǒng)帳號。

1.8.5 面向會話的訪問審計
    一般的網(wǎng)絡控制產(chǎn)品，在訪問審計方面，主要針對IP和端口進行審計，比如某個IP地址在什么時候使用哪個端口訪問了哪個IP的哪個端口，這種審計無法得知在訪問過程中，用戶到地執(zhí)行了哪些操作，更無法針對這些操作進行訪問控制。

    UAP-G系統(tǒng)可針對于用戶訪問的會話內(nèi)容進行審計。比如用戶在Telnet某個服務器時，我們可以控制該用戶是否可以執(zhí)行某個命令，并且對用戶對服務器所執(zhí)行的操作進行會話記錄，將用戶輸入的命令及服務器的返回信息進行記錄，不論在訪問控制方面還是在后期追責方面，都為用戶提供了非常方便并且準確的訪問控制和日志審計服務。

1.8.6 簡單易用性
    UAP-G系統(tǒng)簡單易用的管理界面屏蔽了用戶權限和策略管理的復雜性，大大減少員工培訓和維護的成本。此外，分級委托授權管理也極大地幫助管理員減輕管理負擔。
在使用方面，當用戶訪問一個受保護的WEB資源時，UAP-G系統(tǒng)還將對用戶進行主動認證，即使用戶不知道服務器地址，也可方便的進行認證并可享受權限內(nèi)的B/S應用的單點登錄功能。

1.8.7 可快速實施
    UAP-G系統(tǒng)提供兩種部署模式：“透明網(wǎng)橋”與“旁路部署”，這兩種部署模式都可簡單實現(xiàn)，在最快時間內(nèi)完成部署，實現(xiàn)對現(xiàn)有網(wǎng)絡環(huán)境配置的最小化修改。
透明網(wǎng)橋：將服務器部署在受控資源前面，達到對受控資源的物理隔離，無需修改現(xiàn)有網(wǎng)絡配置即可進行資源保護。
旁路部署：只需讓UAP-G系統(tǒng)連接在交換機上，經(jīng)過簡單配置，便可在wq不影響現(xiàn)有網(wǎng)絡環(huán)境的前提下完成部署。

1.9 具備快速部署能力
    UAP-G系統(tǒng)為硬件產(chǎn)品，針對應用對象和應用場景進行功能優(yōu)化，大幅度減少了應用系統(tǒng)二次開發(fā)工作量，增強了系統(tǒng)的友好性和易用性，縮短了企業(yè)部署時間和用戶上手時間，為用戶節(jié)省投資。

1.10 豐富的安全策略
    UAP統(tǒng)一認證與訪問控制系統(tǒng)通過將用戶劃分為用戶組或角色，可以配置不同的安全策略，減輕管理員的工作量。安全策略支持用戶IP地址策略、管理IP地址策略、時間策略、口令策略設置，具體如下：
（1）用戶IP地址策略：限定用戶訪問UAP統(tǒng)一認證與訪問控制系統(tǒng)的客戶端IP地址，阻止未授權的IP地址訪問應用；
（2）管理IP地址策略：限定管理員訪問UAP統(tǒng)一認證與訪問控制系統(tǒng)后臺管理功能的客戶端IP地址，阻止未授權的IP地址訪問管理功能；
（3）時間策略：限定用戶訪問受UAP統(tǒng)一認證與訪問控制系統(tǒng)保護的應用系統(tǒng)的時間段，例如可設置只有上班8個小時允許訪問，從而{zd0}限度減少非法入侵的可能；
（4）口令策略：可定義口令的復雜度策略，包括用戶口令的長度、定義非重復口令、禁用的字符短語等；可定義口令的過期策略，使用戶在一定周期過后就強制要求修改密碼；可針對不同用戶組和角色應用不同的口令安全策略。

1.11 日志審計

 

    UAP統(tǒng)一認證與訪問控制系統(tǒng)可記錄系統(tǒng)范圍內(nèi)的安全和系統(tǒng)審計信息，有效地分析整個系統(tǒng)的日常操作與安全事件數(shù)據(jù)，通過歸類、合并、關聯(lián)、優(yōu)化、直觀呈現(xiàn)等方法，使管理員輕松識別應用系統(tǒng)環(huán)境中潛在的惡意威脅活動，可幫助用戶明顯地降低受到來自外界和內(nèi)部的惡意侵襲的風險。

    UAP統(tǒng)一認證與訪問控制系統(tǒng)具有實時監(jiān)控功能，可隨時了解用戶當前操作的內(nèi)容，監(jiān)控用戶的操作，及時發(fā)現(xiàn)潛在的危險操作或違法操作，便于{dy}時間處理。
實時監(jiān)控功能還避免了管理員對日志文件的操作，提供直觀、清晰、易用的WEB監(jiān)控頁面，增強了系統(tǒng)的友好性。

    在UAP統(tǒng)一認證與訪問控制系統(tǒng)中發(fā)生的關鍵事件可以得到過濾、標記，并被發(fā)送給指定的接收對象。這種能力可以使管理員接近實時地發(fā)現(xiàn)重要的事件，同時還可以實現(xiàn)Email告警、短信告警或其他形式的操作。

    UAP統(tǒng)一認證與訪問控制系統(tǒng)具有自動日志維護功能，簡化了管理員操作，具備建立定期日志備份、日志轉(zhuǎn)儲、日志清理等多項功能，可以確保安全地保存使用日志，而不需人工參與。系統(tǒng)內(nèi)置了大量報表和圖表功能，使管理員方便地制作多種類型的報告，可以細化到每個字段。報告功能可提供多種格式的報表，包括便于web 瀏覽和分發(fā)的HTML 格式。
UAP統(tǒng)一認證與訪問控制系統(tǒng)通過分析網(wǎng)絡包為用戶提供受控資源訪問控制服務，在用戶完成登錄并獲得正確授權之后，UAP統(tǒng)一認證與訪問控制系統(tǒng)還將記錄用戶訪問受保護資源的日志記錄。

    日志中記錄了用戶名稱、用戶IP、目的IP和目的端口以及訪問時間等主要信息。
審計管理員登錄系統(tǒng)后，可對日志進行查詢并導出為Excel文件，方便管理員利用Excel工具對日志內(nèi)容進行各種統(tǒng)計工作。

    另外，對于UAP統(tǒng)一認證與訪問控制系統(tǒng)采用三權分立的授權機制，管理員對UAP統(tǒng)一認證與訪問控制系統(tǒng)所作的所有修改和系統(tǒng)自身發(fā)生的情況都會被記入日志中，并且只有日志審計管理員才可對日志進行操作。

1.12 應急訪問
    通過使用應急訪問功能，可以在用戶遺失或忘帶身份認證憑證的情況下，通過管理員臨時賦予用戶一個可用登錄憑證，滿足用戶使用應用系統(tǒng)的需求。
臨時可用的登錄憑證由管理員根據(jù)需要分發(fā)，可設置相應的審批流程，臨時憑證可與安全策略配合使用，配置時間、IP地址設置限制，如可限制只有上班8小時才能使用等等。