指定全局主、从认证方式;配置本地或第三方认证参数;提供用户的登录认证校验。
配置区域化层级管理的组织机构。
对服务器、设备、数据库、应用等资源进行定义和管理;以组织机构形式展示资源信息。
定义和管理资源账号基本信息;维护资源账号的口令与权限等安全属性;对账号可用性进行检测,检测非法资源账号;冻结或解冻资源账号。
基于岗位授权,向岗位中添加用户,用户自动授权岗位所绑定的资源;向岗位中添加资源,岗位绑定的用户自动授权新添加的资源;为岗位授权添加安全策略可实现对资源的访问控制和审计。
定义角色;维护基于组织机构的细粒度权限。
基于组织机构完成细粒度授权,实现地域化层级管理;支持三权分立。
运维入口,以岗位作为导向显示所有有权限访问的资源;支持HTML5无插件化访问资源;兼容控件方式。
派发式运维工单,申请人提出请求,审批人审批并分配权限,指定执行人执行,完成工单记录审计。
支持对网络设备定义执行命令和交互命令完成自动化运维任务。
访问控制类策略包含系统对访问时间、访问地址的限制,对认证失败次数的限制,对资源访问的限制、对资源命令操作的限制、对文件传输的限制、对剪切板的控制等;审计类策略包含是否记录操作录像、操作命令、输入输出审计、剪切板审计等,以及录像对质量的要求等;口令策略限制口令的组成规范等;账号策略配合岗位授权,规范管理资源运维账号。
包含行为审计、管理审计和认证审计;记录用户登录系统后的操作审计,包含通过系统访问资源的审计;基于告警策略对审计进行分析触发告警;对审计日志进行分析形成报表。
将用户的操作行为收集记录;配合后续增加的知识库及分析模型,对用户的操作行为进行预判等;搜索以往企业运维所积累的组织过程资产。
在信息管理层和生产管理层部署堡垒机,对服务器、网络设备、安全设备进行日常操作与运维的安全防护,使用数字证书作为数据库系统身份认证方式。强制规定密码复杂度规则、密码有效时限、密码长度、密码尝试次数、密码锁定等。仅设置一位管理员具备系统权限,其余数据库账号仅授予能够满足使用需求的最小权限。堡垒机扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过。因此安全管理与审计系统能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为并记录详细信息。堡垒机具备输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来;具备审计回放功能,能够模拟用户的在线操作过程,丰富和完善了网络的审计功能。安全管理与审计系统能够在自身记录审计信息的同时在外部某台计算机上做存储备份,可以极大增强审计信息的安全性,保证审计人员有据可查。系统管理员可以通过多种查询条件查看审计信息。堡垒机保护单位内部网络设备及服务器资源的安全性,使得单位内部网络管理合理化和专业化。