无线网络覆盖专项方案

方案总述图3.1无线网络拓扑示意图增加运维难度，影响运维效率原因有大量网络节点，复杂网络拓扑和网络覆盖地理范围。网络节点越多意味着网络管理员要维护设备越多，同时某一节点出现问题概率越大，从而提升了管理员工作量。而复杂网络拓扑让基于业务变更网络策略调整和优化变复杂，网络管理员不得不看4分片分区自下而上逐层修改配置，因为复杂网络拓扑造成错综复杂网络协议关系给问题排查带来不小难度。网络所覆盖地址范围是不能人为控制，不过从运维角度看，降低运维压力提升运维效率就是网络管理员尽可能少跑到接入端去进行问题排查，实现方法就是前端设备尽可能少或不需要进行配置，只要接入网络就可经过网络中心进行统一管理，这么目前端接入设备出现故障，只需要找工程人员做简单设备更换，而不需要管理员到现场在进行复杂配置，网络管理运维效率得以提升。在以上三个原因中网络覆盖地理范围是不可改变，而网络节点数和网络拓扑是能够从方案设计上进行优化，所以神州数码在某市教育城域网网项目中在满足教学应用需求下以简化后期运维量为出发点，在方案设计中使用最少设备，最简单拓扑来满足应用需求。图2.1所表示，在某市教育无线网建设中神州数码采取教育局集中管理，集中运维思绪进行网络设计，学校只作为网络前端进行AP和PoE交换机布署，无线控制器，实名认证系统、网络管理系统、安全运维审计系统和无线应用加速系统等网络管理、运维系统将统一布署在某市教育局，实现对全市无线网统一管理，统一运维。采取这种网络设计当管理员需要修改网络策略对网络进行调整或优化时，她只需要对教育局数据中心设备进行调整即可全网生效，而不需要从接入端逐层进行配置修改。能实现如此管理方法也得益于目前无线网络布署架构。目前主流无线网络全部采取无线控制器+瘦AP架构，无线控制器就像无线网络大脑，它负责管理和其连接全部AP配置策略，而瘦AP只是运算和实施策略，基于此架构，无线网络可直接经过对中心端无线控制器配置操作达成修改接入点网络策略目标，从而实现中心统一管理，统一运维。无线控制器选择和布署0无线控制器选择在中大型无线网络环境中采取无线控制器+瘦AP网络架构已经成为不争事实。从无线控制器形态上分类从现在市场上产品来看可分为两类：硬件形态无线控制器和软件形态无线控制器。硬件形态无线控制器是从无线控制器+瘦AP架构正是公布后一直延续到现在一个无线控制器物理形态，现在市场上关键以X86工控机或多核+交换板作为硬件架构。这种架构产生源于第一代瘦AP架构，第一代瘦AP数据转发模式采取是集中式转发，即无线AP全部数据全部要流经无线控制器，再由无线控制器转发到上层网络当中，这种模式就需要无线控制器就很好数据转发性能，而服务器网卡在数据转发上性能和带有交换架构工控机来比就要差部分，所以，无线控制器是以硬件形态出现。第一代瘦AP关键采取是IEEE802.11g无线传输协议，IEEE802.11g协议在TCP传输协议下最大带宽在25Mbps左右，第一代无线控制器采取集中式转发模式不会产生网络瓶颈。伴随单一项目标无线网络规模扩大，双频双模无线AP出现和IEEE802.11n协议无线AP问世，无线AP上行带宽越来越高。所以，集中式转发已经成为数据传输瓶颈，为了处理这一问题，提升无线网络传输性能，瘦AP开始采取当地转发，集中管理架构，即从瘦AP上行业务数据全部有AP直接经过交换机转发到网关，不在经由无线控制器进行转发。只有瘦AP管理数据和是在无线控制器和AP之间交互，这种交互数据数据流很小，所以无线控制器开始采取单臂旁挂关键交换机方法进行布署，我们称这种布署方法为旁路布署。图3.2-1集中转发&当地转发示意图前面讲到数据采取当地转发瘦AP和无线控制器之间管理数据流量很小，无线控制器数据转发性能，伴随服务器性能大幅提升和虚拟化技术完善和普及，软件形态无线控制器应运而生。大家把简单认为软件形态无线控制器就是把硬件形态无线控制器里系统抽离出来形成，所以除了形态上差异之外其它全部是一样。其实这是一个简单而且错误了解，软件形态无线控制器产生更多因为虚拟化技术和云数据中心普及而产生，所以软件形态无线控制器本身首要特征就是虚拟化特征，云特征。比如一台软件形态无线控制器，能够依据不一样用户群定制属于自己虚拟化控制器，用于实现对自己区域无线AP个性化管理。我们把这种虚拟化称为1：N虚拟化。而当一个大型网络中有多台软件形态无线控制器，她们能够形成一个统一无线管理控制器池，任何一个控制节点出现问题全部不会出现瘦AP脱管现象，形成一个统一，整体无线网络控制云平台，我们把这种虚拟化称为N：1虚拟化。由此我们能够看出软件形态无线控制器基础特征就是支持虚拟化和云特征。基于这些虚拟化特征我们也把软件形态无线控制器成为“云”无线控制器。现在采取“云”无线控制器关键代表厂家有思科和神州数码。两种形态无线控制含有哪些特征差异，如表3.2.1，我们对两种无线控制器关键差异特征做了简单对比。表3.2.1无线控制器特征对比：特征硬件形态无线控制器“云”无线控制器含有虚拟化特征不含有含有管理AP数量单台≤4000（主流产品）软件系统无AP管理上限端口配置千兆电/光口≥4；含有万兆端口或扩展插槽端口依靠于服务器配置网卡类型AP数据转发方法支持当地转发和集中转发支持当地转发AP布署方法二层布署、三层布署二层布署、三层布署、跨NAT布署依据两种形态无线控制器特征差异我们来做一个简单综合分析。传统硬件形态无线控制器一台设备可管理最大AP数量通常在4000台左右，市场上现在主流销售硬件无线控制器最大管理AP数量在台以下，由此能够看出传统硬件无线控制器关键用于园区无线网络布署。某市教育城域网项目标大型城域级无线网络假如采取硬件无线控制器因为管理AP数限制，就只能采取分布式布署方法，即以学校或更小区域为单位，将无线控制器分别布署在这些单位中，或采取集中式分组布署，立即多台无线控制器集中放置在区教育局中心机房，以管理地址段作为划分手段将AP分别指不一样无线控制器来管理。以上两种布署方法确实能够处理无线AP管理问题，不过如前面所讲，从后期管理运维角度考虑，这两种布署方法在网络中增加了多台无线控制器，网络拓扑变复杂，网络管理员需要维护设备数量增加。网路认证策略，QoS策略需要在每台控制器上配置一次，在网络出现问题时，需要做大量数据检测和排除工作，运维效率降低。“云”无线控制器从功效设计上并没有AP管理上限。AP管理上限取决于承载“云”无线控制器服务器硬件性能。而“云”无线控制器虚拟化特征许可采取服务器横向扩展（Scaleout）方法来提升管理性能，同时还实现了冗余。因为“云”无线控制器虚拟化特征，即使服务器采取横向扩展方法进行扩容，它从管理运维角度看只是一个管理节点，网络管理员看到管到一直是一台无线控制器，不需要为学校AP归哪个控制器管而划分群组。从端口配置上看，某市教育城域网这种大型无线网络布署无线控制器全部会采取旁路布署，无线AP采取当地数据转发方法，这种方法无线AP和无线控制器之间之交互管理数据，数据流量小，只需要1到2个万兆接口接入关键交换就能够完成链路布署。所以硬件控制器上所配置丰富接口和高速数据转发性能全部起不到什么作用。基于以上分析能够看出，在某市教育城域网项目中，使用“云”无线控制器含有扩容更轻易，拓扑更简单特点，更易于后期网络维护。无线控制器布署某市教育城域网骨干某市教育城域网骨干图3.2.2-1“云”无线控制器布署示意图图3.2.2-1所表示，“云“无线控制器只需要布署在教育局网络中心运维管理区。提议配置两台服务器运行“云”无线控制器，服务器前端配合一台链路负载均衡，两台服务器对AP管理实现负载均衡，而且避免单点故障引发网络问题。无线AP选择和布署无线AP首先要满足某市教育局无线控制器管理要求，能经过CAPWAP协议和某市教育局无线控制器进行对接。AP需要满足50人同时接入，所以无线AP要采取IEEE802.11n/IEEE802.11ac协议无线AP，而且支持2.4GHz和5.8GHz双频双模，AP要采取2x2：2或以上MIMO架构。无线AP支持IEEE802.3af或IEEE802.3at供电协议，经过PoE方法供电。因为无线AP最大传输带宽已经超出百兆，所以上行PoE交换机提议采取千兆PoE交换机。交换机要支持最少370WPoE功率输出，而且支持IEEE802.3af和IEEE802.3at协议。在本项目中推荐采取神州数码DCWL-8200系列AP和S5750E系列PoE交换机。实名认证系统布署要满足全市内账户漫游，就需要一个统一实名认证系统对某市所辖学校全部网络账户进行统一管理和统一认证，网络用户不管身处哪所学校全部能够使用自己账户登陆网络。现在主流认证系统通常分为两类，一类是网关型认证系统，以硬件形态为主，通常串行在网络出口。第二类是软件型认证系统，通常布署在网络中心机房管理区，经过和作为认证提议设备联动实现认证。某市信息化教学应用很丰富，干网带宽已经达成万兆，假如采取网关型认证系统可能会产生网络瓶颈，鉴于此，本项目中推荐使用软件型认证计费系统。神州数码软件计费系统是有DCSM-RS认证服务平台和DCSM-BW综合业务管理平台两部分组成。DCSM-RS提供集中宽带网络用户认证，授权和计费，及接入策略管理，为电信运行商和大中型园区网提供类型丰富、配置灵活宽带运行业务模式，如集中认证、漫游认证、内外网准入准出认证、Portal认证、免认证Portal推送、无感知认证等，和WLAN、远程/VPN、PPPoE拨号、IPoE、802.1x等多种基于身份认证支持。DCSM-BW是作为DCSM-RS配套使用综合业务管理后台软件，实现宽带运行中策略配置、用户管理、用户业务办理、账务处理、统计输出等综合业务功效，是用户对宽带运行管理统一操作界面。DCSM-RS实名认证系统布署方法：图3.4.1-1实名认证系统布署示意图DCSM-RSRadius平台通常和DCSM-BW宽带业务管理平台同时布署，DCSM-RSRadius平台负责用户实时认证、计费、控制策略下发和Portal页面推送，DCSM-BW宽带业务管理平台则负责用户管理、业务策略配置、账务处理、统计报表输出、自助服务、数据维护等后台业务功效。DCSM-RS和DCSM-BW服务器均需旁路布署在受防火墙等网络安全设备保护数据中心中，原网络布署和结构无需调整，只需接入控制层网络设备支持相关Radius和Portal协议，另外防火墙等网络安全设备须许可RADIUS、PORTAL报文通信。网络认证方法主流认证方法有802.1x认证，Portal认证，无感知认证，PPPOE认证，手机短信认证，二维码认证。802.1x认证通常需要采取用户端或配置启用终端系统自带802.1x用户端来进行认证，对终端用户技术要求较高，多系统平台兼容性较低，管理员维护工作量增加。所以在本项目中不提议采取。Poral认证采取WEB页面重定向方法用浏览器为用户推送认证页面，用户终端不需要其它第三方软件就可实现认证。市场上主流视窗类系统全部支持，兼容性高。因为认证时经过用户常见浏览器进行认证，对用户技术要求低，管理员维护工作量很小。在确保网络安全认证同时，用户要求简化认证步骤，所以神州数码推出了无感知认证，用户在第一次经过Protal认证以后，再次连接网络就不需要在进行认证，直接就能够接入网络，大幅简化认证步骤。是本项目中作为首选认证方法。PPPOE认证一样需要使用用户端进行拨号上网，对于移动终端系统兼容性低，后期维护工作量大。手机短信认证关键用于外来访客上网认证需求。比如，学生家长，其它地域参观团，当这些用户有接入网络需求，假如经过管理员一个一个开通账户效率低，工作量大。采取手机短信认证方法，用户经过自己手机按需开通账户，管理员只需要预设好账户有效时间，账户到期后会自动销户。不需要管理员花时间精力去管理这些账户。管理员可依据实际情况随时打开或关闭短信认证方法。二维码认证是现在基于移动终端应用一个认证方法，系统将访客终端MAC地址信息以二维码方法表现出来，网络授权由用户经过手机扫描二维码方法进行授权。下面对Portal认证，二维码认证，手机短信认证和二维码认证做一个讲解。Portal认证Portal认证是经过浏览器重定向用户访问页面，将经过网页浏览方法进行用户认证方法。用户上线认证方法有两种：CHAP和PAP，其中CHAP方法为必选功效，PAP方法为可选功效。PAP是明文认证方法，所以通常提议采取CHAP加密认证方法。以Chap为例用户上线认证步骤，以下图所表示：图3.4.2-1认证步骤示意图用户访问网站，经过AC重定向到DCSM-RS，DCSM-RS推送认证页面；用户填入用户名、密码，提交页面，向DCSM-RS提议连接请求；DCSM-RS向AC请求Challenge；AC分配Challenge给DCSM-RS；DCSM-RS向AC提议认证请求；以后AC进行RADIUS认证，取得RADIUS认证结果；AC向DCSM-RS送认证结果；DCSM-RS将认证结果填入页面，和门户网站一起推送给用户；DCSM-RS回应确定收到认证结果报文。DCSM-RS集成功效完整Portal门户推送平台，支持运行商及厂家接入设备Portal协议，可基于位置（VLAN/IP）和终端类型推送指定页面，使之成为运行商优异基于Portal门户页面广告运行、业务推广等增值业务平台。DCSM-RSPortal功效特征：快捷便利Portal页面编辑内置Portal页面编辑工具，可针对不一样网络位置或商户选择或编辑Portal，实时动态定义页面风格、样式、内容及使用方法等等，充足展现用户个性，使运行商能够快速更新门户信息，快速响应市场及合作商需求，同时也促进终端用户感受有效信息体验，增加用户对Portal门户粘度。WEBPortal认证和兼容性支持行业标准Portal通讯协议和漫游认证协议规范。遵照《中国移动WLAN业务PORTAL协议规范》、《中国移动WLANPortal设备规范》、《中国电信WLAN漫游认证WISPr协议规范》支持Cisco、Aruba、华三等主流无线设备厂家Portal协议基于终端类型页面推送自动匹配用户终端类型页面推送，如智能手机、平板电脑、笔记本电脑等，为用户提供优质便利接入体验。基于位置内容推送依据用户位置（VLAN/IP段）推送不一样内容，为场地运行者（如公共区域不一样商户、企业等）提供个性化网络门户，实现广告运行、消费者互动等增值业务和商业模式。无感知认证用户无感知认证方法，处理用户需要提升使用者体验同时，又确保了网络使用安全性。用户无感知认证，用户在第一次portal认证后，后续上网行为无需再输入账号密码，在用户无感知情况下认证经过上网，确保安全性同时提升了用户体验。具体实现设计以下图所表示：图3.4.2-2用户首次认证示意图图3.4.2-3用户再次上线认证示意图注意：图中MAC绑定服务器并不是单独一个设备，是在AAAserver中扩展功效，为了表述清楚，将其单独提出。用户使用体验步骤：图3.4.2-4无感知认证步骤图如步骤图所表示，用户在第一次连接网络时候，需要弹出portal，输入账号密码，点击确定，认证经过后能够访问网络；后续上网，无需再弹出portal，输入账号名密码等繁琐操作，给用户感觉是连接wifi，就直接上网了；实际底层是经过了安全身份认证。该种方法，确保无线网络安全性，网络用户使用可追溯，确保了用户管理需要，又避免了网络用户繁琐操作，提升了用户上网体验。手机短信认证无线上网用户关键分成内部固定用户、外来访客用户两种，在无线覆盖环境中，因为用户流动性强，怎样有效对外来访客进行管理，表现无线便捷性及安全性，成为重中之重。对于外来访客，为了网络安全，接入企业无线网自然需要经过身份认证，方便监控和管理。为了提供给访客简单快捷获取上网账号密码方法，尤其是对于办公区域面积比较大园区，像拥有多个办公楼园区，让访客只能在一个固定地方且需要经过人工办理方法获取上网账号密码，既费时又占用人力，所以访客自助获取账号密码是比较简便快捷方法。短信认证是指经过短信发送密码，由后台服务器经过短信猫和短信通道发送，短信猫用最多是socket接口，短信通道通常为http接口，三大运行商基础全部是用http接口，具体调用接口内容各有不一样。DCN无线网络运行方案提供多个短信认证接口，包含经过短信猫方法、和当地运行商对接方法和和短信运行企业对接方法。和当地运行商购置短信网关服务通常在用户当地运行商，全部有短信网关服务，无线网络管理者直接跟运行商进行短信购置即可。短信发送账号密码拓扑示意图以下：图3.4.2-5短信网关认证步骤图图所表示，在短信网关使用情况下，网络架构是无需改变调整，只需后台RadiusServer软件开通短信通道接口即可。和短信运行企业对接为节省运行管理者成本，RadiusServer软件短信通道也支持和该类运行企业对接，经过运行企业固有出口连接到移动、联通等各大运行商网，实现短信下发到最终用户。无线网运行管理者只需和短信类运行企业进行资费洽谈和短信量购置，该费用会低于直接和各大运行商直接购置费用，同时无需多个运行商洽谈麻烦。拓扑示意图以下：图3.4.2-6短信运行企业认证步骤图短信猫方法。单独购置一台短信猫设备，经过socket接口和认证计费系统对接。通常不提议用短信猫方法，短信猫相当于一个手机，单条短信成本高，按一般短信价格收，用户体验不好，且轻易被运行商屏蔽。用户短信认证步骤：打开手机，打开手机，portal推送，短信申请短信获取账号密码输入后，上网冲浪图3.4.2-7认证步骤DCN方案同时支持终端portal页面推送定制，方法便捷易用。经过手机申请帐号，便于对流动用户管理，对网络访问问题可有效追查定位。用户自助完成上网账号获取，能够节省企业管理方人力成本和维护成本，下面以本系统在珠海移动无线城市案例为例，介绍自助上网获取过程：无线用户访问任意网址后，经过Portal强制重定向指定页面，输入个人手机号码，以下图：第二步：点击获取密码第一步：输入珠海移动当地手机号第二步：点击获取密码第一步：输入珠海移动当地手机号图3.4.2-8认证界面假如输入手机号码正确，则提醒动态密码发送成功，以下图：图3.4.2-9认证密码发送提醒登录成功后页面以下提醒：图3.4.2-10用户经过认证Portal页面可自动匹配用户终端类型，如手机用户，则系统推送Portal页面以下：图3.4.2-11手机认证页面二维码认证二维码认证能够授权人能够经过手机扫描认证系统为被授权人生成二维码来对被授权人进行授权，当经过授权后被授权人就能够使用自己终端直接访问网络。这种方法避免了管理员为来访者逐一开户，管理员只需要将网络授权时间设定好，超时后临时账户自动删除。认证步骤以下图：认证系统分权管理在认证和账户管理上某市教育局要求进行统一认证，统一管理。不过使用主体是学校，学校因为部分临时要求需要对账户进行开户，销户等操作，而假如每次全部经过教育局管理员来操作效率低下，不能满足需求。而DCSM校园宽带认证计费系统支持完善角色权限管理。能够为学校管理员分配一定账户权限，让学校管理员能够针对本校需求进行简单账户开户，销户操作。DCSM-RS能够为角色信息配置工号、姓名、别名，能够分别用其中之一登录系统。能够配置系统使用者是否能够多点登录系统及源地址范围绑定等。功效权限：系统导航每个功效点全部能够在权限中进行具体配置；内容权限：对多种套餐组、资费组、地域组等组属性能够具体配置各个系统使用者许可操作和查看组，从而决定能够管理用户范围。方便实现不一样校区权限管理。图认证系统分权管理界面用户自服务平台自助服务系统支持丰富自助查询和自助业务办理功效，自助系统开放功效能够在后台管理界面上由系统管理员统一配置，比如许可开放自助查询业务、自助变更套餐、停/开机等。另外，还能够灵活配置许可自助维护用户资料选项，比如哪些用户资料许可变更，哪些许可一次性变更等。支持界面换肤功效，用户能够选择自己喜爱界面风格，为最终上网用户提供友好使用感受。无线管理系统布署神州数码DCLM是一套有线无线一体化综合网络管理平台，可从计划、实施、监控、配置、问题处理、汇报等对企业网络进行全方面管理。经过集中、直观、易于使用用户管理界面显著地降低了网络运行成本。提供清楚网络管理和控制平台，无线管理组件DCLM-Wlan，支持包含AC、AP和移动用户端位置实时监控，wlan安全实施和防御网络实时监控，网络自动化和调度范围内配置，快速、高效故障排除。支持发觉并管理有线设备,DCLM-Lan组件提供有线服务，包含设备状态、设备名称、设备组、IP地址、MAC地址、位置、联络人、设备类型、供给商、型号、软件版本、硬件版本、固件版本、配置版本、设备序列号、TOP10告警信息、CPU和内存使用率、响应时间和丢包率、交换机全部接口信息等等功效。倘若目前交换机是POE设备，还能够对接口进行开关设置。支持位置服务功效，其DCLM-Location组件支持在热点地图上定位用户端、流氓用户端或流氓AP位置等功效。图3.5-1无线终端定位支持无线计划功效：DCLM-Planner组件能够帮助用户在地图上手动或自动计划AP位置，确保满足热点覆盖率。DCLM产品关键配合神州数码设备使用，提供简易图形化配置界面，实现经过智能按时按需方法对单个或批量设备进行配置修改,配置文件备份/恢复,和固件升级，从而大大降低管理员维护强度和难度。能够满足从小型，中型，大型wlan和lan布署多达数万网络设备需求，支持神州数码全系列无线AC和AP产品,和全系列路由和交换产品，并支持第三方网络设备发觉,拓扑和统一监控。安全运维审计布署因为信息系统脆弱性、技术复杂性、操作人为原因，在设计以预防、降低或消除潜在风险或风险暴露安全控制时，还应考虑运维管理和操作监控机制以预防、发觉错误或违规事件，对IT风险进行事前防范、事中控制、事后监督和纠正组合控制。IT运维审计作为预防性控制有效补充，并检验、监控控制合适性和充足性，在信息科技风险管理中发挥极关键作用。对IT系统运维进行审计，是控制内部风险一个关键手段，但大型机构IT系统组成复杂，操作人员众多，怎样有效地实施审计工作，是长久困扰各组织信息科技和风险稽核部门一个重大课题。对任意组织而言，采取基于计算机审计技术或工具（CAATs,ComputerAssistedAuditTechniques/Tools）无疑是实现监管信息化、提升工作绩效关键路径。但首先需要处理问题是：组织需要关心哪些类型审计信息？哪些信息或行为对组织尤为关键？现在通用审计工具大多从网络层面或服务器日志层面获取较为庞杂信息，往往会造成关键管理信息或敏感操作淹没于日常业务数据中，或无法追溯操作行为轨迹、了解操作行为意图，可能影响审计有效性或效率。我们因应市场对IT运维审计需求，集其多年信息安全领域运维管理和安全服务经验，结合行业最好实践和合规性要求，率先推出基于硬件服务器平台“安全审计系统（DCSAS）”，针对于关键资产运维管理，再现关键行为轨迹，探索操作意图，集全局实时监控和敏感过程回放等功效特点，有效处理了信息化监管中一个关键问题。“安全审计系统（DCSAS）”目标是为组织IT系统关键服务器运维操作提供强有力监控、审计手段，使其切实满足内控管理中合规性要求。安全审计系统（DCSAS）可对主机、服务器、网络设备、安全设备等管理维护进行安全、有效、直观操作审计，对策略配置、系统维护、内部访问等进行具体统计，提供细粒度审计，并支持操作过程全程回放。安全审计系统（DCSAS）填补了传统审计系统不足，将运维审计由事件审计提升为内容审计，并将身份认证、授权、管理、审计有机地结合，确保只有正当用户才能使用其拥有运维权限关键资源。安全审计系统（DCSAS）为组织在IT操作风险控制、内控安全和合规性等方面提供一套完善、有效审计手段。鉴于网络及管理架构复杂性，安全审计系统（DCSAS）系统提供了灵活布署方法，既能够采取串连模式，也能够采取单臂模式接入到企业内部网络中。采取串连模式布署时，安全审计系统（DCSAS）含有一定程度上网络控制功效，可提升关键服务器访问安全性；采取单臂模式布署时，不改变网络拓扑，安装调试过程简单，可根据网络架构实际情况灵活接入。图3.6-1：单臂模式接入图3.6-2：串联模式接入不管串连模式还是在单臂模式，经过安全审计系统（DCSAS）访问IT基础服务资源操作全部将被具体统计和存放下来，作为审计基础数据。安全审计系统（DCSAS）布署不会对业务系统、网络中数据流向、带宽等关键指标产生负面影响，无需在关键服务器上安装任何软硬件系统。系统特征：完整身份管理和认证为了确保正当用户才能访问其拥有权限后台资源，处理IT系统中普遍存在交叉运维而无法定位到具体人问题，满足审计系统“谁做”要求，系统提供一套完整身份管理和认证功效。 支持静态口令、动态口令、LDAP、AD域认证方法； 支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功效； 支持用户分组管理； 支持用户信息导入导出，方便批量处理。灵活、细粒度授权系统提供基于用户、运维协议、目标主机、运维时间段（年、月、日、周、时间）、会话时长、运维用户端IP等组合