產(chǎn)品解決方案

• 背景分析

隨著信息化的發(fā)展，企事業(yè)單位IT系統(tǒng)不斷發(fā)展，網(wǎng)絡規(guī)模迅速擴大、設備數(shù)量激增，建設重點逐步從網(wǎng)絡平臺建設，轉向以深化應用、提升效益為特征的運行維護階段， IT系統(tǒng)運維與安全管理正逐漸走向融合。信息系統(tǒng)的安全運行直接關系企業(yè)效益，構建一個強健的IT運維安全管理體系對企業(yè)信息化的發(fā)展至關重要，對運維管理安全性提出了更高要求。

• 運維賬號混用，粗放式權限管理

當前的運維管理工作中，一個運維人員使用多個賬號，記憶多套口令，同時在多套主機系統(tǒng)、網(wǎng)絡設備直接切換的場景是較為普遍的情況。在同一工作組中，多用戶共享同一系統(tǒng)管理賬號進行運維操作也是十分普遍。一旦發(fā)生安全事故時難以定位賬號的實際使用者和責任人，無法對運維賬號的使用范圍進行有效控制，設備和運維賬號管理存在安全隱患，特別是在以數(shù)據(jù)為主要業(yè)務的客戶群體中，問題更為凸顯。

越來越多的企業(yè)選擇將信息維護外包給設備商或代維公司，在享受便利的同時，由于代維人員流動性大、對操作行為缺少監(jiān)控帶來的風險日益凸顯。因此，需要通過嚴格的權限控制和操作行為審計，加強對代維人員的行為管理，從而達到消隱患、避風險的目的。

大多數(shù)企事業(yè)單位的IT運維均采用設備自身的授權系統(tǒng)，訪問權限管控分散在各設備和系統(tǒng)中。運維人員的權限大多是粗放式管理，缺少統(tǒng)一集中的訪問授權策略，授權粒度粗，無法基于最小權限分配原則管理用戶權限，難以與業(yè)務管理要求相協(xié)調。因此，出現(xiàn)運維人員權限過大、內部操作權限濫用等諸多問題，如果不及時解決，信息系統(tǒng)的安全性難以充分保證。

• 用戶與運維賬號的關系現(xiàn)狀

• 審計日志粒度粗，易丟失，難定位

在運維工作中，大多是基于設備的系統(tǒng)日志進行監(jiān)控審計，導致審計日志分散、內容深淺不一，無法根據(jù)業(yè)務要求制定統(tǒng)一審計策略，并且審計日志容易被管理員權限用戶刪除，無法完整重現(xiàn)安全事件真實過程，難以通過審計及時發(fā)現(xiàn)違規(guī)操作行為和追查取證，對事后故障恢復缺失參考數(shù)據(jù)。

傳統(tǒng)的旁路數(shù)據(jù)分析和主機探針審計方式，都存在著明顯缺陷和不足。旁路數(shù)據(jù)分析審計無法對已加密的應用層數(shù)據(jù)（例如SSH和SFTP等）進行細粒度分析，無法對圖形運維操作（例如RDP，VNC等）過程進行完整還原，特別是無法對圖形內容的數(shù)據(jù)提取和分析；僅是記錄運維IP地址信息，并且無法做到實時管控；主機探針審計方式，在被托管主機上安裝探針軟件不僅占用寶貴的系統(tǒng)資源，并且對系統(tǒng)穩(wěn)定性埋下隱患。

• 面臨法規(guī)遵從的壓力

《網(wǎng)絡安全法》頒布實施后，從國家層面明確了信息化建設應滿足法律法規(guī)要求。因網(wǎng)絡安全防護工作落實不到位，未進行網(wǎng)絡安全等級保護的定級備案、等級測評等工作，將被監(jiān)管單位處罰。深入貫徹落實《網(wǎng)絡安全法》是信息化建設的核心步驟和重點工作。同時，響應國家號召加強信息系統(tǒng)風險管理，政府、金融、運營商等陸續(xù)發(fā)布信息系統(tǒng)管理規(guī)范和要求，如“信息系統(tǒng)等級保護”、“商業(yè)銀行信息科技風險管理指引”、“企業(yè)內部控制基本規(guī)范”等均要求采取信息系統(tǒng)風險內控與審計，但其自身卻沒有有效的技術手段。

• 數(shù)據(jù)運維安全威脅

企事業(yè)對信息化的依賴日益加劇后，數(shù)據(jù)將成為關鍵的生產(chǎn)資料，數(shù)據(jù)運維管理是數(shù)據(jù)安全的重點核心工作內容。缺乏集中可視化的數(shù)據(jù)運維手段，出現(xiàn)數(shù)據(jù)泄露、未經(jīng)授權修改等運維事故，造成惡劣影響的信息安全事故時有發(fā)生。規(guī)范信息化系統(tǒng)運維行為，特別時數(shù)據(jù)更新運維行為，是保護企事業(yè)單位核心資產(chǎn)優(yōu)先工作內容。

• 運維工作繁重枯燥

一個運維管理員管理多臺服務器的情況在運維工作中十分普遍，定期對服務器系統(tǒng)進行業(yè)務數(shù)據(jù)備份、補丁更新、設備賬號改密等操作是日常工作內容，其中數(shù)據(jù)備份工作量大、設備賬號改密量多等問題常常導致運維操作失誤，效率低等現(xiàn)象，這嚴重影響企業(yè)的經(jīng)濟運行效能，并對企業(yè)聲譽造成重大影響。

• 虛擬云技術蓬勃發(fā)展

    自SaaS在20世紀90年代末出現(xiàn)以來，云計算服務經(jīng)歷了多年的發(fā)展歷程，云環(huán)境下的信任問題日趨突出，多租戶和用戶下身份認證、權限控制，云主機系統(tǒng)運維和安全審計等種種問題都困擾著云服務廠商，也制約了云服務業(yè)務的發(fā)展。

• 解決方案
  • 運維管控之道

綠盟堡壘機產(chǎn)品通過邏輯上將人與目標設備分離，建立“人->主賬號（堡壘機用戶賬號）->授權->從賬號（目標設備賬號）->目標設備”的管理模式；在此模式下，通過基于唯一身份標識的集中賬號與訪問控制策略，與各服務器、網(wǎng)絡設備、安全設備、數(shù)據(jù)庫服務器等無縫連接，實現(xiàn)集中運維操作管控與審計。

• 運維管控之道
  • 運維安全管理系統(tǒng)部署
    • 部署圖

堡壘機的典型應用場景如下圖所示：

• 典型應用場景
• 管理對象

用戶對象：管理員、運維人員、第三方代維人員、臨時運維人員等。

設備對象：服務器(Windows/Linux/UNIX)、網(wǎng)絡設備、安全設備、數(shù)據(jù)庫等。

• 管理范圍

集中監(jiān)控各種運維操作行為。

• 協(xié)議類型

SSH、RDP、VNC、SFTP、Telnet、FTP、HTTP、HTTPS等。

• 產(chǎn)品配置
  • Web控制臺要求

類別	要求
操作系統(tǒng)	Windows 7/10等安裝JAVA或ActiveX
瀏覽器類型	IE8 / IE9/IE10/IE11/ Firefox/Chrome
CPU	無特殊要求
內存	建議大于等于512M
硬盤	500GB存儲以上，無特殊要求
顯示卡	Windows兼容系列顯示卡，1024X768分辨率
網(wǎng)卡	Windows兼容10/100MB網(wǎng)卡

• 部署說明

根據(jù)安全風險分析、安全目標和設計原則，我們在充分利用現(xiàn)有資源、盡量在少投入、少改動的基礎上，建議使用以下的安全解決方案。

   堡壘機采用“物理旁路，邏輯串聯(lián)”的部署思路，主要通過兩步實現(xiàn)：

1. 通過配置交換機或需要管理設備的訪問控制策略，只允許堡壘機的IP、協(xié)議及端口可以訪問需要管理的設備。
2. 將堡壘機連接到對應交換機，確保所有維護人員到堡壘機IP可達。
   1. 達成效果
3. 建立集中的運維操作監(jiān)控平臺，建立基于唯一身份標識的實名制管理，統(tǒng)一賬號管理策略，實現(xiàn)跨平臺管理，消滅管理孤島。
4. 通過集中訪問控制與授權，實現(xiàn)單點登錄(SSO)和細粒度的命令級訪問授權。
5. 基于用戶的審計，審計到人，實現(xiàn)從登錄到退出的全程操作行為審計，滿足合規(guī)管理和審計要求。
   1. 企業(yè)效益

綠盟安全審計系統(tǒng)-堡壘機為企業(yè)帶來的價值主要體現(xiàn)在：

• 管理效益 
• 所有運維賬號在一個平臺上進行管理，賬號管理更加簡單有序；
• 通過建立用戶與賬號的唯一對應關系，確保用戶擁有的權限是完成任務所需的最小權限；
• 可視化運維行為監(jiān)控，及時預警發(fā)現(xiàn)違規(guī)操作。
• 用戶效益

運維人員只需記憶一個賬號和口令，一次登錄，便可實現(xiàn)對其所維護的多臺設備的訪問，提高工作效率，降低工作復雜度。

• 企業(yè)效益

降低人為安全風險，避免安全損失，滿足合規(guī)要求，保障企業(yè)效益。

• 應用場景IDC機房運維管控場景

• 遠程運維辦公場景

堡壘機旁路接入服務器核心交換機,將服務器設備賬號集中托管到堡壘機后。運維人員統(tǒng)一登錄堡壘機，單點登錄服務器，訪問行為和權限均由堡壘機管控。

• 遠程運維辦公場景

• 遠程運維辦公場景

各地遠程運維辦公用戶群體VPN撥入NF防火墻，訪問堡壘機OSMS，所有遠程用戶通過身份鑒別、訪問控制和安全審計管控，合規(guī)訪問遠程辦公服務器區(qū)域。

• 虛擬化云安全資源池場景

• 遠程運維辦公場景

綠盟堡壘機支持以虛擬化鏡像方式，為政府、企事業(yè)單位的政務云和企業(yè)私有云安全資源池建設提供安全能力。安全資源池管理員通過云管理平臺快速生成虛擬化堡壘機安全能力，為云上租戶提供運維管控能力，迅速滿足等保合規(guī)建設要求。

• 產(chǎn)品介紹
  • 產(chǎn)品簡介

綠盟運維安全管理系統(tǒng)（簡稱堡壘機，英文簡稱OSMS）以滿足等級保護下身份鑒別、訪問控制、安全審計等監(jiān)管要求為核心，基于“賬號、認證、授權和審計”4A管理理念，采用三權分立和最小訪問權限原則，運用協(xié)議代理技術，實現(xiàn)精準的事前識別、精細的事中控制和精確的事后審計，幫助企業(yè)轉變傳統(tǒng)IT安全運維被動響應的模式，建立面向用戶的集中、主動的運維安全管控模式，降低人為安全風險，滿足合規(guī)要求，保障企業(yè)效益。OSMS是貼心的運維安全管控專家，不斷踐行智慧運維，安全成就所托承諾。

• 系統(tǒng)功能

綠盟運維安全管理系統(tǒng)產(chǎn)品主要有三大功能：

• 系統(tǒng)功能
• 集中賬號管理

建立基于唯一身份標識的全局實名制管理，支持統(tǒng)一賬號管理策略，實現(xiàn)與各服務器、網(wǎng)絡設備、安全設備、數(shù)據(jù)庫服務器等無縫連接。

• 集中訪問控制

通過集中訪問控制和細粒度的命令級授權策略，基于最小權限原則，實現(xiàn)集中有序的運維操作管理，讓正確的人做正確的事。

• 集中安全審計

基于唯一身份標識，通過對用戶從登錄到退出的全程操作行為進行審計，監(jiān)控用戶對目標設備的所有敏感操作，聚焦關鍵事件，實現(xiàn)對安全事件的實時發(fā)現(xiàn)與預警。

• 系統(tǒng)架構

綠盟運維安全管理系統(tǒng)系列由平臺管理模塊、功能管理模塊和平臺接口構成。總體架構如下圖所示：

• 系統(tǒng)架構
• 功能管理模塊

提供賬號管理功能、認證管理功能、權限管理功能和審計管理功能。

• 賬號管理：提供賬號生命周期管理，包括賬號創(chuàng)建、賬號修改、狀態(tài)調整、賬號刪除、賬號查詢等功能。
• 認證管理：支持多種認證方式，包括本地認證、LDAP/RADIUS認證。
• 權限管理：提供基于時間、用戶/用戶組、設備/設備組、設備賬號、命令關鍵字、危險級別等組合策略，授權用戶可訪問的目標設備及可使用的命令。
• 審計管理：提供對用戶通過堡壘機對目標設備的所有操作行為審計、事件查詢分析和報表管理。
• 平臺管理

提供對堡壘機平臺自身的管理，包括系統(tǒng)配置管理、系統(tǒng)監(jiān)控及審計日志管理。

• 平臺接口

提供對用戶（包括管理員、運維人員、代維人員等）、設備(包括服務器、網(wǎng)絡設備、安全設備、數(shù)據(jù)庫服務器等)的各種管理接口，包括設備導入接口、賬號的同步和導入接口、認證接口、訪問接口等。

• 產(chǎn)品特性
  • 多維度、細粒度的認證與授權體系
    • 靈活的用戶認證方式

綠盟堡壘機產(chǎn)品對主賬號的認證，支持本地認證、LDAP認證、RADIUS認證、USBkey認證、短信認證等多種方式，能夠根據(jù)用戶實際需求，設置混合認證方式，即不同主賬號采取不同的認證方式，實現(xiàn)按需設置認證方式。

堡壘機提供VPN聯(lián)動\NAT穿透等方案解決用戶內外網(wǎng)隔離下的設備運維，用戶撥通VPN后可訪問內網(wǎng)堡壘機，再單點登錄托管的目標設備進行運維。

• 用戶認證管理示意圖
  • 細粒度的運維訪問控制

綠盟堡壘機產(chǎn)品支持基于角色的訪問控制（RBAC ,Role-Based Access Control）。管理員可按照時間、部門、職責和安全策略等維度，設置細粒度權限策略，讓正確的人做正確的事，簡化授權管理。

通過集中統(tǒng)一的訪問控制和細粒度的命令級授權策略，確保用戶擁有的權限是完成任務所需的權限。系統(tǒng)支持創(chuàng)建基于時間、IP/IP段、用戶/用戶組、設備/設備組、設備賬號、命令關鍵字、危險級別（分為高、中、低）等元素的組合條件，授權用戶可訪問的目標設備、定義高危操作監(jiān)控策略。當用戶越權執(zhí)行特定命令的時候，實時進行告警、阻斷，確保信息系統(tǒng)安全運行。

• 多維度的運維訪問授權

綠盟堡壘機支持“向下”管控和“向上”申請的管理模式，支持WEB安全通道對授權信息進行管理。

上級管理員角色通過策略方式設置運維人員能夠登錄哪些設備，能夠執(zhí)行哪些運維操作，甚至于對關鍵服務器或執(zhí)行高危命令時，須有兩人均認證通過方可執(zhí)行，降低運維風險。支持登錄雙認證授權和高危命令雙認證授權；

運維人員能夠新建工單申請向管理員申請運維設備的權限。新建提前授權訪問申請功能使得運維人員能夠擴大對當前可運維設備的訪問權限；新建臨時訪問申請功能能夠獲得當前無權限的目標設備訪問權限。

• 運維權限管理示意圖
  • 高效率、智能化的資產(chǎn)管理體系

綠盟堡壘機支持如下多種方式對用戶托管設備進行智能化管理，有效提高用戶資產(chǎn)管理能力，切實有效地保護托管在堡壘機中的設備和設備賬號信息安全。

• 智能化巡檢托管設備和設備賬號

用戶運維環(huán)境中常常存在大量的托管設備和設備賬號信息，堡壘機能夠智能化發(fā)現(xiàn)運維人員運維過程違規(guī)新建的設備賬號（簡稱幽靈賬號），幽靈賬號常常會是系統(tǒng)的后門賬號。同時由于運維人員離職，或職責切換等原因，出現(xiàn)已托管的設備賬號長期不會被使用（簡稱為孤兒賬號），因而導致托管設備上存在一定量的孤兒賬號，長期以往必然會導致用戶托管的設備存在嚴重的安全隱患，有效防范托管設備中設備賬號管理漏洞帶來的安全風險。

托管設備賬號密碼到堡壘機后能夠有效防范弱口令問題，堡壘機提供完整細致的強密碼安全策略，不但要求托管設備賬號密碼滿足密碼強度要求，并且要求托管的設備賬號密碼不應重復等更高強度的安全要求。

• 資產(chǎn)托管管理示意圖
  • 高效率管理設備和設備賬號

運維環(huán)境中大量的設備和設備賬號管理常常困擾運維管理員，綠盟堡壘機支持自動發(fā)現(xiàn)指定網(wǎng)絡中的設備并自動將設備托管到堡壘機中，并支持定期自動發(fā)現(xiàn)設備中的設備賬號，自動托管到堡壘機上，可大大提高運維管理員的運維管理效率。

多項法規(guī)合規(guī)要求中都有對設備賬號管理有明確規(guī)定，要求定期對設備賬號密碼口令執(zhí)行改密操作。堡壘機支持對托管設備賬號執(zhí)行周期改密，并支持用戶自定義密碼強度和密碼內容，不僅提高運維管理員的運維效率，而且保障設備賬號密碼達到強密碼要求。

• 設備自動發(fā)現(xiàn)示意圖
  • 提供豐富多樣的運維通道

綠盟堡壘機支持以多種方式登錄堡壘機及目標設備，靈活適應各種需求下的使用場景。

• B/S下網(wǎng)頁訪問堡壘機

綠盟堡壘機支持Internet Explorer、Firefox、Chrome等多種內核的網(wǎng)頁瀏覽器訪問，支持一站式管理所有運維資源。網(wǎng)頁界面展示方式豐富而多樣，智能關聯(lián)相關信息，充分體現(xiàn)了人性化用戶界面設計原則和思路。

• 門戶式管理

支持名片式、列表式和樹形式的可訪問設備信息展示，支持直接查詢、編輯相關的訪問策略，查詢有權限訪問的審計信息。

門戶式管理極大地簡化了管理員對設備、主賬號、策略等的維護操作，優(yōu)化管理員體驗、提高管理員工作效率。

• 靈活的設備分組展示

綠盟堡壘機支持按照部門、設備類型、業(yè)務類型等不同的分組方式展示目標設備；不同的用戶完全可以根據(jù)管理要求及使用習慣，選擇不同的展示方式。

• B/S模式Web運維

堡壘機支持運維人員通過IE瀏覽器直接在Web上完成運維工作，而不需要調用本地工具，減少運維人員安裝第三方客戶端的困擾，使運維工作更加便捷。

Web運維支持多種協(xié)議運維，如字符運維：SSH、Telnet，圖形運維：RDP、VNC，文件運維：FTP、SFTP等，可滿足絕大部分運維場景需求。同時結合Web和前置機功能，可滿足其他運維場景。

綠盟堡壘機還支持Web應用代理，通過IE、Chrome、Firefox以及Edge瀏覽器直接訪問客戶的Web應用，而無需依賴應用發(fā)布平臺，使運維過程更加便捷。

• C/S下客戶端訪問

客戶端運維分為兩種模式，一種模式是通過瀏覽器調用第三方客戶端完成運維工作，另一種模式是運維人員直接通過第三方客戶端工具登錄堡壘機。

模式一：運維人員通過瀏覽器調用第三方客戶端

結合B/S下豐富的資源展示效果，通過WEB上選擇第三方客戶端，直接調用客戶端運維目標設備，將B/S和C/S的有機結合，使得用戶在運維過程中能夠獲得更好的使用體驗。

該模式下，瀏覽器支持范圍包括IE、Edge、Firefox、Chrome以及Safari等，本地客戶端支持范圍包括SecurCRT、putty、Xshell、Mstsc、VNC viewer、Winscp、Xsftp等。

模式二：運維人員通過第三方客戶端手動連接堡壘機

該運維模式不依賴瀏覽器以及平臺兼容性，最大程度上保證運維人員的操作習慣不被改變。第三方客戶端工具支持RDP、VNC、Telnet、SSH、SFTP、HTTP/HTTPS等協(xié)議的客戶端工具軟件，如SecurCRT、putty、Xshell、Mstsc、VNC viewer、Winscp、Xsftp等。也支持RemoteApp形式的應用發(fā)布程序訪問，為數(shù)據(jù)庫、WEB服務器等系統(tǒng)運維提供最佳的運維體驗。

• 各種資產(chǎn)無縫管理

綠盟堡壘機產(chǎn)品具有跨平臺的運維行為管控能力，可覆蓋多種主流主機操作系統(tǒng)、網(wǎng)絡設備、數(shù)據(jù)庫和運維協(xié)議。

• 協(xié)議類型：SSH、RDP、VNC、SFTP、Telnet、FTP、HTTP、HTTPS、X11等；
• 數(shù)據(jù)庫類型：Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、PostgreSQL等；
• 操作系統(tǒng)類型：FreeBSD、Solaris、RedHat Linux、Windows等；
• 網(wǎng)絡設備類型：Cisco、HUAWEI等廠商的網(wǎng)絡設備。
  • 強大的應用擴展能力

綠盟堡壘機能夠審計基于Windows平臺下所有應用程序的運維操作。基于內置或外置前置機架構，當需要支持一款新的專有運維客戶端程序時，只需管理員在前置機上安裝、發(fā)布該客戶端程序，而無須任何定制開發(fā)，堡壘機即可對通過該應用程序的運維操作進行審計。用戶的投入產(chǎn)出比實現(xiàn)最大化，在零附加成本的基礎之上，輕松支持所有通用及專有的運維客戶端程序。

• 前置機架構示意圖

運維設備時，運維人員只需登錄堡壘機、選擇目標設備以及應用程序，堡壘機將根據(jù)管理員事先配置好的參數(shù)自動啟動前置機上相應的應用程序，并連接目標設備，前置機對運維人員完全透明。

• 高保真、易理解、快定位的審計效果數(shù)據(jù)庫操作圖形與命令行級雙層審計

綠盟堡壘機具備完善的數(shù)據(jù)庫運維審計功能，能夠同時支持數(shù)據(jù)庫圖形方式操作審計與SQL語句命令級操作審計；并支持SQL語句命令級審計日志與圖形方式審計日志根據(jù)時間點進行關聯(lián)查詢，以方便用戶進行日志查詢。

• 數(shù)據(jù)庫操作圖形與命令行級雙層審計

• 基于唯一身份標識的審計

綠盟堡壘機產(chǎn)品主賬號是獲取目標設備訪問權利的唯一賬號，支持本地認證、LDAP認證、RADIUS認證、USBkey認證、OTP認證、短信密碼等多種認證方式，將主賬號與實際用戶身份一一對應，確保不同設備、系統(tǒng)間行為審計的一致性，從而準確定為事故責任人，彌補傳統(tǒng)網(wǎng)絡安全審計產(chǎn)品無法準確定位用戶身份的缺陷。

• 全程運維行為審計

綠盟堡壘機可完整審計運維人員通過賬號“在什么時間登錄什么設備、做什么操作、返回什么結果、什么時間登出”等行為，全面記錄“運維人員從登錄到退出”的整個過程，幫助管理人員及時發(fā)現(xiàn)權限濫用、違規(guī)操作，準確定位身份，以便追查取證。

• 字符會話審計

系統(tǒng)支持審計通過SSH、Telnet等協(xié)議的操作行為，審計內容包括訪問起始和終止時間、用戶名、用戶IP、設備名稱、設備IP、協(xié)議類型、危險等級、操作命令等?？商峁┎僮鲀热荼端倩胤?、定位播放等功能。

• 圖形操作審計

系統(tǒng)支持審計通過RDP、VNC等遠程桌面以及HTTP/HTTPS協(xié)議的圖形操作行為，審計內容包括訪問起始和終止時間、用戶名、用戶IP、設備名稱、設備IP、協(xié)議類型、危險等級、操作內容等。支持通過視頻錄像方式記錄操作內容，可提供倍速回放、定位播放等功能。

• 數(shù)據(jù)庫運維審計

系統(tǒng)支持審計Oracle、MS SQL Server、IBM DB2、PostgreSQL等各主流數(shù)據(jù)庫的操作行為，審計內容包括訪問起始和終止時間、用戶名、用戶IP、設備名稱、設備IP、協(xié)議類型、危險等級、操作內容等。支持通過視頻錄像方式記錄操作內容，可提供倍速回放、進度拖拉等功能，同時支持對SQL語句進行審計。

• 文件傳輸審計

系統(tǒng)支持審計通過SFTP、FTP等協(xié)議的操作行為，審計內容包括訪問起始和終止時間、用戶名、用戶IP、設備名稱、目標設備IP、協(xié)議類型、文件名稱、危險等級、操作命令等?？商峁┎僮鲀热荼端倩胤殴δ?。

• 合規(guī)審計

對上述各類運維審計日志，審計員能夠單獨或批量進行合規(guī)審計，方便地審核每一次運維行為及操作是否符合規(guī)章制度的要求，并填寫具體的審核批注，最后統(tǒng)一輸出合規(guī)審計結果。

• 審計信息“零管理”

綠盟堡壘機產(chǎn)品支持“日志零管理”技術

• 日志自動維護：根據(jù)日志自動維護計劃的設置，系統(tǒng)在指定時間自動進行相應的日志數(shù)據(jù)備份。
• 日志查詢：系統(tǒng)提供多種審計日志查詢條件，包括時間、IP地址、用戶名、設備名、關鍵字、危險等級（高、中、低）等；
• 審計報表：系統(tǒng)提供詳細的多種類別的報表模板，可提供基于操作時長、高危操作、阻斷操作等類別的用戶操作TOP10。系統(tǒng)支持生成：日、周、月、年度綜合報表，報表支持Word、Excel等格式導出，降低維護費用與管理員的工作強度。
• 自動報表：客戶需要周期（比如每周、每月）進行運維審計，同時審計報表的范圍都一致。此時客戶可以自定義時間點和報表模板，堡壘機就可以周期生成統(tǒng)計報表，自動發(fā)送到客戶郵箱中。
  • 文字搜索定位錄像播放

綠盟堡壘機產(chǎn)品支持指令輸入和圖形操作雙審計技術

• 指令輸入審計：運維過程中用戶輸入的鍵盤指令可以被審計記錄
• 圖形操作審計：運維過程中用戶圖形操作可以被審計記錄
• 圖形內容識別：運維過程中用戶圖形操作的窗口標題信息可以被審計記錄
• 文字搜索定位錄像播放：審計用戶可以不用從頭到尾查看運維錄像，通過搜索鍵盤或窗口標題信息，直接跳轉到當時運維的錄像記錄。節(jié)約審計操作成本。

• 文字搜索定位錄像播放
  • 穩(wěn)定可靠的系統(tǒng)安全性保障
    • 系統(tǒng)安全保障
• 采用專門設計的安全、可靠、高效的硬件平臺。該硬件平臺采用嚴格的設計和工藝標準，保證高可靠性；
• 獨特的硬件體系結構提升處理能力；
• 操作系統(tǒng)經(jīng)過優(yōu)化和安全性處理，保證系統(tǒng)的安全性；
• 支持熱插拔的冗余雙電源，避免電源硬件故障時設備宕機，具有可靠的高可用性；
• 支持將暴力攻擊訪問的源IP添加到黑名單中，提高系統(tǒng)安全性。
  • 數(shù)據(jù)安全保障
• 堡壘機與客戶端通信均采用加密的SSL傳輸控制命令，完全避免可能存在的嗅探行為，確保數(shù)據(jù)傳輸安全。
• 審計日志信息采用專利特有的保存方法，支持關鍵特殊信息指紋簽名，并可加密存儲到外置存儲設備。僅可在專用審計播放器下查看。
• 支持智能管理系統(tǒng)存儲資源，系統(tǒng)存儲達到瓶頸時自動告警或清理存儲空間。
• 支持RAID1磁盤陣列實現(xiàn)數(shù)據(jù)冗余備份，提供高數(shù)據(jù)安全性和可用性。
• 用戶配置信息采用加密存儲，用戶配置備份信息僅能通過系統(tǒng)解密獲取，防止被不法用戶盜取。
  • 快速部署，簡單易用
    • 物理旁路，邏輯串聯(lián)

綠盟堡壘機產(chǎn)品采用“物理旁路，邏輯串聯(lián)”的模式，不改變網(wǎng)絡拓撲結構，不需要在終端安裝客戶端軟件，不改變管理員、運維人員的操作習慣，不影響正常業(yè)務運行。

• 產(chǎn)品部署

• 配置向導功能

提供對堡壘機管理配置向導、設備管理員策略配置向導、數(shù)據(jù)庫運維配置向導；通過將配置操作分解成邏輯性更強的操作，在多個頁面上進行向導，達到引導用戶完成復雜配置的目的，提高產(chǎn)品易用性。

• 配置向導
  • 在線幫助指南

提供完整詳細的在線幫助指南，快速指引新用戶使用，幫助解答老用戶存在的疑問。

• 在線幫助指南

2023年6月14日