產(chǎn)品解決方案

• 背景分析

隨著信息化的發(fā)展，企事業(yè)單位IT系統(tǒng)不斷發(fā)展，網(wǎng)絡(luò)規(guī)模迅速擴大、設(shè)備數(shù)量激增，建設(shè)重點逐步從網(wǎng)絡(luò)平臺建設(shè)，轉(zhuǎn)向以深化應(yīng)用、提升效益為特征的運行維護階段， IT系統(tǒng)運維與安全管理正逐漸走向融合。信息系統(tǒng)的安全運行直接關(guān)系企業(yè)效益，構(gòu)建一個強健的IT運維安全管理體系對企業(yè)信息化的發(fā)展至關(guān)重要，對運維管理安全性提出了更高要求。

• 運維賬號混用，粗放式權(quán)限管理

當(dāng)前的運維管理工作中，一個運維人員使用多個賬號，記憶多套口令，同時在多套主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備直接切換的場景是較為普遍的情況。在同一工作組中，多用戶共享同一系統(tǒng)管理賬號進行運維操作也是十分普遍。一旦發(fā)生安全事故時難以定位賬號的實際使用者和責(zé)任人，無法對運維賬號的使用范圍進行有效控制，設(shè)備和運維賬號管理存在安全隱患，特別是在以數(shù)據(jù)為主要業(yè)務(wù)的客戶群體中，問題更為凸顯。

越來越多的企業(yè)選擇將信息維護外包給設(shè)備商或代維公司，在享受便利的同時，由于代維人員流動性大、對操作行為缺少監(jiān)控帶來的風(fēng)險日益凸顯。因此，需要通過嚴(yán)格的權(quán)限控制和操作行為審計，加強對代維人員的行為管理，從而達(dá)到消隱患、避風(fēng)險的目的。

大多數(shù)企事業(yè)單位的IT運維均采用設(shè)備自身的授權(quán)系統(tǒng)，訪問權(quán)限管控分散在各設(shè)備和系統(tǒng)中。運維人員的權(quán)限大多是粗放式管理，缺少統(tǒng)一集中的訪問授權(quán)策略，授權(quán)粒度粗，無法基于最小權(quán)限分配原則管理用戶權(quán)限，難以與業(yè)務(wù)管理要求相協(xié)調(diào)。因此，出現(xiàn)運維人員權(quán)限過大、內(nèi)部操作權(quán)限濫用等諸多問題，如果不及時解決，信息系統(tǒng)的安全性難以充分保證。

• 用戶與運維賬號的關(guān)系現(xiàn)狀

• 審計日志粒度粗，易丟失，難定位

在運維工作中，大多是基于設(shè)備的系統(tǒng)日志進行監(jiān)控審計，導(dǎo)致審計日志分散、內(nèi)容深淺不一，無法根據(jù)業(yè)務(wù)要求制定統(tǒng)一審計策略，并且審計日志容易被管理員權(quán)限用戶刪除，無法完整重現(xiàn)安全事件真實過程，難以通過審計及時發(fā)現(xiàn)違規(guī)操作行為和追查取證，對事后故障恢復(fù)缺失參考數(shù)據(jù)。

傳統(tǒng)的旁路數(shù)據(jù)分析和主機探針審計方式，都存在著明顯缺陷和不足。旁路數(shù)據(jù)分析審計無法對已加密的應(yīng)用層數(shù)據(jù)（例如SSH和SFTP等）進行細(xì)粒度分析，無法對圖形運維操作（例如RDP，VNC等）過程進行完整還原，特別是無法對圖形內(nèi)容的數(shù)據(jù)提取和分析；僅是記錄運維IP地址信息，并且無法做到實時管控；主機探針審計方式，在被托管主機上安裝探針軟件不僅占用寶貴的系統(tǒng)資源，并且對系統(tǒng)穩(wěn)定性埋下隱患。

• 面臨法規(guī)遵從的壓力

《網(wǎng)絡(luò)安全法》頒布實施后，從國家層面明確了信息化建設(shè)應(yīng)滿足法律法規(guī)要求。因網(wǎng)絡(luò)安全防護工作落實不到位，未進行網(wǎng)絡(luò)安全等級保護的定級備案、等級測評等工作，將被監(jiān)管單位處罰。深入貫徹落實《網(wǎng)絡(luò)安全法》是信息化建設(shè)的核心步驟和重點工作。同時，響應(yīng)國家號召加強信息系統(tǒng)風(fēng)險管理，政府、金融、運營商等陸續(xù)發(fā)布信息系統(tǒng)管理規(guī)范和要求，如“信息系統(tǒng)等級保護”、“商業(yè)銀行信息科技風(fēng)險管理指引”、“企業(yè)內(nèi)部控制基本規(guī)范”等均要求采取信息系統(tǒng)風(fēng)險內(nèi)控與審計，但其自身卻沒有有效的技術(shù)手段。

• 數(shù)據(jù)運維安全威脅

企事業(yè)對信息化的依賴日益加劇后，數(shù)據(jù)將成為關(guān)鍵的生產(chǎn)資料，數(shù)據(jù)運維管理是數(shù)據(jù)安全的重點核心工作內(nèi)容。缺乏集中可視化的數(shù)據(jù)運維手段，出現(xiàn)數(shù)據(jù)泄露、未經(jīng)授權(quán)修改等運維事故，造成惡劣影響的信息安全事故時有發(fā)生。規(guī)范信息化系統(tǒng)運維行為，特別時數(shù)據(jù)更新運維行為，是保護企事業(yè)單位核心資產(chǎn)優(yōu)先工作內(nèi)容。

• 運維工作繁重枯燥

一個運維管理員管理多臺服務(wù)器的情況在運維工作中十分普遍，定期對服務(wù)器系統(tǒng)進行業(yè)務(wù)數(shù)據(jù)備份、補丁更新、設(shè)備賬號改密等操作是日常工作內(nèi)容，其中數(shù)據(jù)備份工作量大、設(shè)備賬號改密量多等問題常常導(dǎo)致運維操作失誤，效率低等現(xiàn)象，這嚴(yán)重影響企業(yè)的經(jīng)濟運行效能，并對企業(yè)聲譽造成重大影響。

• 虛擬云技術(shù)蓬勃發(fā)展

    自SaaS在20世紀(jì)90年代末出現(xiàn)以來，云計算服務(wù)經(jīng)歷了多年的發(fā)展歷程，云環(huán)境下的信任問題日趨突出，多租戶和用戶下身份認(rèn)證、權(quán)限控制，云主機系統(tǒng)運維和安全審計等種種問題都困擾著云服務(wù)廠商，也制約了云服務(wù)業(yè)務(wù)的發(fā)展。

• 解決方案
  • 運維管控之道

綠盟堡壘機產(chǎn)品通過邏輯上將人與目標(biāo)設(shè)備分離，建立“人->主賬號（堡壘機用戶賬號）->授權(quán)->從賬號（目標(biāo)設(shè)備賬號）->目標(biāo)設(shè)備”的管理模式；在此模式下，通過基于唯一身份標(biāo)識的集中賬號與訪問控制策略，與各服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫服務(wù)器等無縫連接，實現(xiàn)集中運維操作管控與審計。

• 運維管控之道
  • 運維安全管理系統(tǒng)部署
    • 部署圖

堡壘機的典型應(yīng)用場景如下圖所示：

• 典型應(yīng)用場景
• 管理對象

用戶對象：管理員、運維人員、第三方代維人員、臨時運維人員等。

設(shè)備對象：服務(wù)器(Windows/Linux/UNIX)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等。

• 管理范圍

集中監(jiān)控各種運維操作行為。

• 協(xié)議類型

SSH、RDP、VNC、SFTP、Telnet、FTP、HTTP、HTTPS等。

• 產(chǎn)品配置
  • Web控制臺要求

類別	要求
操作系統(tǒng)	Windows 7/10等安裝JAVA或ActiveX
瀏覽器類型	IE8 / IE9/IE10/IE11/ Firefox/Chrome
CPU	無特殊要求
內(nèi)存	建議大于等于512M
硬盤	500GB存儲以上，無特殊要求
顯示卡	Windows兼容系列顯示卡，1024X768分辨率
網(wǎng)卡	Windows兼容10/100MB網(wǎng)卡

• 部署說明

根據(jù)安全風(fēng)險分析、安全目標(biāo)和設(shè)計原則，我們在充分利用現(xiàn)有資源、盡量在少投入、少改動的基礎(chǔ)上，建議使用以下的安全解決方案。

   堡壘機采用“物理旁路，邏輯串聯(lián)”的部署思路，主要通過兩步實現(xiàn)：

1. 通過配置交換機或需要管理設(shè)備的訪問控制策略，只允許堡壘機的IP、協(xié)議及端口可以訪問需要管理的設(shè)備。
2. 將堡壘機連接到對應(yīng)交換機，確保所有維護人員到堡壘機IP可達(dá)。
   1. 達(dá)成效果
3. 建立集中的運維操作監(jiān)控平臺，建立基于唯一身份標(biāo)識的實名制管理，統(tǒng)一賬號管理策略，實現(xiàn)跨平臺管理，消滅管理孤島。
4. 通過集中訪問控制與授權(quán)，實現(xiàn)單點登錄(SSO)和細(xì)粒度的命令級訪問授權(quán)。
5. 基于用戶的審計，審計到人，實現(xiàn)從登錄到退出的全程操作行為審計，滿足合規(guī)管理和審計要求。
   1. 企業(yè)效益

綠盟安全審計系統(tǒng)-堡壘機為企業(yè)帶來的價值主要體現(xiàn)在：

• 管理效益 
• 所有運維賬號在一個平臺上進行管理，賬號管理更加簡單有序；
• 通過建立用戶與賬號的唯一對應(yīng)關(guān)系，確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限；
• 可視化運維行為監(jiān)控，及時預(yù)警發(fā)現(xiàn)違規(guī)操作。
• 用戶效益

運維人員只需記憶一個賬號和口令，一次登錄，便可實現(xiàn)對其所維護的多臺設(shè)備的訪問，提高工作效率，降低工作復(fù)雜度。

• 企業(yè)效益

降低人為安全風(fēng)險，避免安全損失，滿足合規(guī)要求，保障企業(yè)效益。

• 應(yīng)用場景IDC機房運維管控場景

• 遠(yuǎn)程運維辦公場景

堡壘機旁路接入服務(wù)器核心交換機,將服務(wù)器設(shè)備賬號集中托管到堡壘機后。運維人員統(tǒng)一登錄堡壘機，單點登錄服務(wù)器，訪問行為和權(quán)限均由堡壘機管控。

• 遠(yuǎn)程運維辦公場景

• 遠(yuǎn)程運維辦公場景

各地遠(yuǎn)程運維辦公用戶群體VPN撥入NF防火墻，訪問堡壘機OSMS，所有遠(yuǎn)程用戶通過身份鑒別、訪問控制和安全審計管控，合規(guī)訪問遠(yuǎn)程辦公服務(wù)器區(qū)域。

• 虛擬化云安全資源池場景

• 遠(yuǎn)程運維辦公場景

綠盟堡壘機支持以虛擬化鏡像方式，為政府、企事業(yè)單位的政務(wù)云和企業(yè)私有云安全資源池建設(shè)提供安全能力。安全資源池管理員通過云管理平臺快速生成虛擬化堡壘機安全能力，為云上租戶提供運維管控能力，迅速滿足等保合規(guī)建設(shè)要求。

• 產(chǎn)品介紹
  • 產(chǎn)品簡介

綠盟運維安全管理系統(tǒng)（簡稱堡壘機，英文簡稱OSMS）以滿足等級保護下身份鑒別、訪問控制、安全審計等監(jiān)管要求為核心，基于“賬號、認(rèn)證、授權(quán)和審計”4A管理理念，采用三權(quán)分立和最小訪問權(quán)限原則，運用協(xié)議代理技術(shù)，實現(xiàn)精準(zhǔn)的事前識別、精細(xì)的事中控制和精確的事后審計，幫助企業(yè)轉(zhuǎn)變傳統(tǒng)IT安全運維被動響應(yīng)的模式，建立面向用戶的集中、主動的運維安全管控模式，降低人為安全風(fēng)險，滿足合規(guī)要求，保障企業(yè)效益。OSMS是貼心的運維安全管控專家，不斷踐行智慧運維，安全成就所托承諾。

• 系統(tǒng)功能

綠盟運維安全管理系統(tǒng)產(chǎn)品主要有三大功能：

• 系統(tǒng)功能
• 集中賬號管理

建立基于唯一身份標(biāo)識的全局實名制管理，支持統(tǒng)一賬號管理策略，實現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫服務(wù)器等無縫連接。

• 集中訪問控制

通過集中訪問控制和細(xì)粒度的命令級授權(quán)策略，基于最小權(quán)限原則，實現(xiàn)集中有序的運維操作管理，讓正確的人做正確的事。

• 集中安全審計

基于唯一身份標(biāo)識，通過對用戶從登錄到退出的全程操作行為進行審計，監(jiān)控用戶對目標(biāo)設(shè)備的所有敏感操作，聚焦關(guān)鍵事件，實現(xiàn)對安全事件的實時發(fā)現(xiàn)與預(yù)警。

• 系統(tǒng)架構(gòu)

綠盟運維安全管理系統(tǒng)系列由平臺管理模塊、功能管理模塊和平臺接口構(gòu)成?？傮w架構(gòu)如下圖所示：

• 系統(tǒng)架構(gòu)
• 功能管理模塊

提供賬號管理功能、認(rèn)證管理功能、權(quán)限管理功能和審計管理功能。

• 賬號管理：提供賬號生命周期管理，包括賬號創(chuàng)建、賬號修改、狀態(tài)調(diào)整、賬號刪除、賬號查詢等功能。
• 認(rèn)證管理：支持多種認(rèn)證方式，包括本地認(rèn)證、LDAP/RADIUS認(rèn)證。
• 權(quán)限管理：提供基于時間、用戶/用戶組、設(shè)備/設(shè)備組、設(shè)備賬號、命令關(guān)鍵字、危險級別等組合策略，授權(quán)用戶可訪問的目標(biāo)設(shè)備及可使用的命令。
• 審計管理：提供對用戶通過堡壘機對目標(biāo)設(shè)備的所有操作行為審計、事件查詢分析和報表管理。
• 平臺管理

提供對堡壘機平臺自身的管理，包括系統(tǒng)配置管理、系統(tǒng)監(jiān)控及審計日志管理。

• 平臺接口

提供對用戶（包括管理員、運維人員、代維人員等）、設(shè)備(包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫服務(wù)器等)的各種管理接口，包括設(shè)備導(dǎo)入接口、賬號的同步和導(dǎo)入接口、認(rèn)證接口、訪問接口等。

• 產(chǎn)品特性
  • 多維度、細(xì)粒度的認(rèn)證與授權(quán)體系
    • 靈活的用戶認(rèn)證方式

綠盟堡壘機產(chǎn)品對主賬號的認(rèn)證，支持本地認(rèn)證、LDAP認(rèn)證、RADIUS認(rèn)證、USBkey認(rèn)證、短信認(rèn)證等多種方式，能夠根據(jù)用戶實際需求，設(shè)置混合認(rèn)證方式，即不同主賬號采取不同的認(rèn)證方式，實現(xiàn)按需設(shè)置認(rèn)證方式。

堡壘機提供VPN聯(lián)動\NAT穿透等方案解決用戶內(nèi)外網(wǎng)隔離下的設(shè)備運維，用戶撥通VPN后可訪問內(nèi)網(wǎng)堡壘機，再單點登錄托管的目標(biāo)設(shè)備進行運維。

• 用戶認(rèn)證管理示意圖
  • 細(xì)粒度的運維訪問控制

綠盟堡壘機產(chǎn)品支持基于角色的訪問控制（RBAC ,Role-Based Access Control）。管理員可按照時間、部門、職責(zé)和安全策略等維度，設(shè)置細(xì)粒度權(quán)限策略，讓正確的人做正確的事，簡化授權(quán)管理。

通過集中統(tǒng)一的訪問控制和細(xì)粒度的命令級授權(quán)策略，確保用戶擁有的權(quán)限是完成任務(wù)所需的權(quán)限。系統(tǒng)支持創(chuàng)建基于時間、IP/IP段、用戶/用戶組、設(shè)備/設(shè)備組、設(shè)備賬號、命令關(guān)鍵字、危險級別（分為高、中、低）等元素的組合條件，授權(quán)用戶可訪問的目標(biāo)設(shè)備、定義高危操作監(jiān)控策略。當(dāng)用戶越權(quán)執(zhí)行特定命令的時候，實時進行告警、阻斷，確保信息系統(tǒng)安全運行。

• 多維度的運維訪問授權(quán)

綠盟堡壘機支持“向下”管控和“向上”申請的管理模式，支持WEB安全通道對授權(quán)信息進行管理。

上級管理員角色通過策略方式設(shè)置運維人員能夠登錄哪些設(shè)備，能夠執(zhí)行哪些運維操作，甚至于對關(guān)鍵服務(wù)器或執(zhí)行高危命令時，須有兩人均認(rèn)證通過方可執(zhí)行，降低運維風(fēng)險。支持登錄雙認(rèn)證授權(quán)和高危命令雙認(rèn)證授權(quán)；

運維人員能夠新建工單申請向管理員申請運維設(shè)備的權(quán)限。新建提前授權(quán)訪問申請功能使得運維人員能夠擴大對當(dāng)前可運維設(shè)備的訪問權(quán)限；新建臨時訪問申請功能能夠獲得當(dāng)前無權(quán)限的目標(biāo)設(shè)備訪問權(quán)限。

• 運維權(quán)限管理示意圖
  • 高效率、智能化的資產(chǎn)管理體系

綠盟堡壘機支持如下多種方式對用戶托管設(shè)備進行智能化管理，有效提高用戶資產(chǎn)管理能力，切實有效地保護托管在堡壘機中的設(shè)備和設(shè)備賬號信息安全。

• 智能化巡檢托管設(shè)備和設(shè)備賬號

用戶運維環(huán)境中常常存在大量的托管設(shè)備和設(shè)備賬號信息，堡壘機能夠智能化發(fā)現(xiàn)運維人員運維過程違規(guī)新建的設(shè)備賬號（簡稱幽靈賬號），幽靈賬號常常會是系統(tǒng)的后門賬號。同時由于運維人員離職，或職責(zé)切換等原因，出現(xiàn)已托管的設(shè)備賬號長期不會被使用（簡稱為孤兒賬號），因而導(dǎo)致托管設(shè)備上存在一定量的孤兒賬號，長期以往必然會導(dǎo)致用戶托管的設(shè)備存在嚴(yán)重的安全隱患，有效防范托管設(shè)備中設(shè)備賬號管理漏洞帶來的安全風(fēng)險。

托管設(shè)備賬號密碼到堡壘機后能夠有效防范弱口令問題，堡壘機提供完整細(xì)致的強密碼安全策略，不但要求托管設(shè)備賬號密碼滿足密碼強度要求，并且要求托管的設(shè)備賬號密碼不應(yīng)重復(fù)等更高強度的安全要求。

• 資產(chǎn)托管管理示意圖
  • 高效率管理設(shè)備和設(shè)備賬號

運維環(huán)境中大量的設(shè)備和設(shè)備賬號管理常常困擾運維管理員，綠盟堡壘機支持自動發(fā)現(xiàn)指定網(wǎng)絡(luò)中的設(shè)備并自動將設(shè)備托管到堡壘機中，并支持定期自動發(fā)現(xiàn)設(shè)備中的設(shè)備賬號，自動托管到堡壘機上，可大大提高運維管理員的運維管理效率。

多項法規(guī)合規(guī)要求中都有對設(shè)備賬號管理有明確規(guī)定，要求定期對設(shè)備賬號密碼口令執(zhí)行改密操作。堡壘機支持對托管設(shè)備賬號執(zhí)行周期改密，并支持用戶自定義密碼強度和密碼內(nèi)容，不僅提高運維管理員的運維效率，而且保障設(shè)備賬號密碼達(dá)到強密碼要求。

• 設(shè)備自動發(fā)現(xiàn)示意圖
  • 提供豐富多樣的運維通道

綠盟堡壘機支持以多種方式登錄堡壘機及目標(biāo)設(shè)備，靈活適應(yīng)各種需求下的使用場景。

• B/S下網(wǎng)頁訪問堡壘機

綠盟堡壘機支持Internet Explorer、Firefox、Chrome等多種內(nèi)核的網(wǎng)頁瀏覽器訪問，支持一站式管理所有運維資源。網(wǎng)頁界面展示方式豐富而多樣，智能關(guān)聯(lián)相關(guān)信息，充分體現(xiàn)了人性化用戶界面設(shè)計原則和思路。

• 門戶式管理

支持名片式、列表式和樹形式的可訪問設(shè)備信息展示，支持直接查詢、編輯相關(guān)的訪問策略，查詢有權(quán)限訪問的審計信息。

門戶式管理極大地簡化了管理員對設(shè)備、主賬號、策略等的維護操作，優(yōu)化管理員體驗、提高管理員工作效率。

• 靈活的設(shè)備分組展示

綠盟堡壘機支持按照部門、設(shè)備類型、業(yè)務(wù)類型等不同的分組方式展示目標(biāo)設(shè)備；不同的用戶完全可以根據(jù)管理要求及使用習(xí)慣，選擇不同的展示方式。

• B/S模式Web運維

堡壘機支持運維人員通過IE瀏覽器直接在Web上完成運維工作，而不需要調(diào)用本地工具，減少運維人員安裝第三方客戶端的困擾，使運維工作更加便捷。

Web運維支持多種協(xié)議運維，如字符運維：SSH、Telnet，圖形運維：RDP、VNC，文件運維：FTP、SFTP等，可滿足絕大部分運維場景需求。同時結(jié)合Web和前置機功能，可滿足其他運維場景。

綠盟堡壘機還支持Web應(yīng)用代理，通過IE、Chrome、Firefox以及Edge瀏覽器直接訪問客戶的Web應(yīng)用，而無需依賴應(yīng)用發(fā)布平臺，使運維過程更加便捷。

• C/S下客戶端訪問

客戶端運維分為兩種模式，一種模式是通過瀏覽器調(diào)用第三方客戶端完成運維工作，另一種模式是運維人員直接通過第三方客戶端工具登錄堡壘機。

模式一：運維人員通過瀏覽器調(diào)用第三方客戶端

結(jié)合B/S下豐富的資源展示效果，通過WEB上選擇第三方客戶端，直接調(diào)用客戶端運維目標(biāo)設(shè)備，將B/S和C/S的有機結(jié)合，使得用戶在運維過程中能夠獲得更好的使用體驗。

該模式下，瀏覽器支持范圍包括IE、Edge、Firefox、Chrome以及Safari等，本地客戶端支持范圍包括SecurCRT、putty、Xshell、Mstsc、VNC viewer、Winscp、Xsftp等。

模式二：運維人員通過第三方客戶端手動連接堡壘機

該運維模式不依賴瀏覽器以及平臺兼容性，最大程度上保證運維人員的操作習(xí)慣不被改變。第三方客戶端工具支持RDP、VNC、Telnet、SSH、SFTP、HTTP/HTTPS等協(xié)議的客戶端工具軟件，如SecurCRT、putty、Xshell、Mstsc、VNC viewer、Winscp、Xsftp等。也支持RemoteApp形式的應(yīng)用發(fā)布程序訪問，為數(shù)據(jù)庫、WEB服務(wù)器等系統(tǒng)運維提供最佳的運維體驗。

• 各種資產(chǎn)無縫管理

綠盟堡壘機產(chǎn)品具有跨平臺的運維行為管控能力，可覆蓋多種主流主機操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫和運維協(xié)議。

• 協(xié)議類型：SSH、RDP、VNC、SFTP、Telnet、FTP、HTTP、HTTPS、X11等；
• 數(shù)據(jù)庫類型：Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、PostgreSQL等；
• 操作系統(tǒng)類型：FreeBSD、Solaris、RedHat Linux、Windows等；
• 網(wǎng)絡(luò)設(shè)備類型：Cisco、HUAWEI等廠商的網(wǎng)絡(luò)設(shè)備。
  • 強大的應(yīng)用擴展能力

綠盟堡壘機能夠?qū)徲嫽赪indows平臺下所有應(yīng)用程序的運維操作?；趦?nèi)置或外置前置機架構(gòu)，當(dāng)需要支持一款新的專有運維客戶端程序時，只需管理員在前置機上安裝、發(fā)布該客戶端程序，而無須任何定制開發(fā)，堡壘機即可對通過該應(yīng)用程序的運維操作進行審計。用戶的投入產(chǎn)出比實現(xiàn)最大化，在零附加成本的基礎(chǔ)之上，輕松支持所有通用及專有的運維客戶端程序。

• 前置機架構(gòu)示意圖

運維設(shè)備時，運維人員只需登錄堡壘機、選擇目標(biāo)設(shè)備以及應(yīng)用程序，堡壘機將根據(jù)管理員事先配置好的參數(shù)自動啟動前置機上相應(yīng)的應(yīng)用程序，并連接目標(biāo)設(shè)備，前置機對運維人員完全透明。

• 高保真、易理解、快定位的審計效果數(shù)據(jù)庫操作圖形與命令行級雙層審計

綠盟堡壘機具備完善的數(shù)據(jù)庫運維審計功能，能夠同時支持?jǐn)?shù)據(jù)庫圖形方式操作審計與SQL語句命令級操作審計；并支持SQL語句命令級審計日志與圖形方式審計日志根據(jù)時間點進行關(guān)聯(lián)查詢，以方便用戶進行日志查詢。

• 數(shù)據(jù)庫操作圖形與命令行級雙層審計

• 基于唯一身份標(biāo)識的審計

綠盟堡壘機產(chǎn)品主賬號是獲取目標(biāo)設(shè)備訪問權(quán)利的唯一賬號，支持本地認(rèn)證、LDAP認(rèn)證、RADIUS認(rèn)證、USBkey認(rèn)證、OTP認(rèn)證、短信密碼等多種認(rèn)證方式，將主賬號與實際用戶身份一一對應(yīng)，確保不同設(shè)備、系統(tǒng)間行為審計的一致性，從而準(zhǔn)確定為事故責(zé)任人，彌補傳統(tǒng)網(wǎng)絡(luò)安全審計產(chǎn)品無法準(zhǔn)確定位用戶身份的缺陷。

• 全程運維行為審計

綠盟堡壘機可完整審計運維人員通過賬號“在什么時間登錄什么設(shè)備、做什么操作、返回什么結(jié)果、什么時間登出”等行為，全面記錄“運維人員從登錄到退出”的整個過程，幫助管理人員及時發(fā)現(xiàn)權(quán)限濫用、違規(guī)操作，準(zhǔn)確定位身份，以便追查取證。

• 字符會話審計

系統(tǒng)支持審計通過SSH、Telnet等協(xié)議的操作行為，審計內(nèi)容包括訪問起始和終止時間、用戶名、用戶IP、設(shè)備名稱、設(shè)備IP、協(xié)議類型、危險等級、操作命令等?？商峁┎僮鲀?nèi)容倍速回放、定位播放等功能。

• 圖形操作審計

系統(tǒng)支持審計通過RDP、VNC等遠(yuǎn)程桌面以及HTTP/HTTPS協(xié)議的圖形操作行為，審計內(nèi)容包括訪問起始和終止時間、用戶名、用戶IP、設(shè)備名稱、設(shè)備IP、協(xié)議類型、危險等級、操作內(nèi)容等。支持通過視頻錄像方式記錄操作內(nèi)容，可提供倍速回放、定位播放等功能。

• 數(shù)據(jù)庫運維審計

系統(tǒng)支持審計Oracle、MS SQL Server、IBM DB2、PostgreSQL等各主流數(shù)據(jù)庫的操作行為，審計內(nèi)容包括訪問起始和終止時間、用戶名、用戶IP、設(shè)備名稱、設(shè)備IP、協(xié)議類型、危險等級、操作內(nèi)容等。支持通過視頻錄像方式記錄操作內(nèi)容，可提供倍速回放、進度拖拉等功能，同時支持對SQL語句進行審計。

• 文件傳輸審計

系統(tǒng)支持審計通過SFTP、FTP等協(xié)議的操作行為，審計內(nèi)容包括訪問起始和終止時間、用戶名、用戶IP、設(shè)備名稱、目標(biāo)設(shè)備IP、協(xié)議類型、文件名稱、危險等級、操作命令等?？商峁┎僮鲀?nèi)容倍速回放功能。

• 合規(guī)審計

對上述各類運維審計日志，審計員能夠單獨或批量進行合規(guī)審計，方便地審核每一次運維行為及操作是否符合規(guī)章制度的要求，并填寫具體的審核批注，最后統(tǒng)一輸出合規(guī)審計結(jié)果。

• 審計信息“零管理”

綠盟堡壘機產(chǎn)品支持“日志零管理”技術(shù)

• 日志自動維護：根據(jù)日志自動維護計劃的設(shè)置，系統(tǒng)在指定時間自動進行相應(yīng)的日志數(shù)據(jù)備份。
• 日志查詢：系統(tǒng)提供多種審計日志查詢條件，包括時間、IP地址、用戶名、設(shè)備名、關(guān)鍵字、危險等級（高、中、低）等；
• 審計報表：系統(tǒng)提供詳細(xì)的多種類別的報表模板，可提供基于操作時長、高危操作、阻斷操作等類別的用戶操作TOP10。系統(tǒng)支持生成：日、周、月、年度綜合報表，報表支持Word、Excel等格式導(dǎo)出，降低維護費用與管理員的工作強度。
• 自動報表：客戶需要周期（比如每周、每月）進行運維審計，同時審計報表的范圍都一致。此時客戶可以自定義時間點和報表模板，堡壘機就可以周期生成統(tǒng)計報表，自動發(fā)送到客戶郵箱中。
  • 文字搜索定位錄像播放

綠盟堡壘機產(chǎn)品支持指令輸入和圖形操作雙審計技術(shù)

• 指令輸入審計：運維過程中用戶輸入的鍵盤指令可以被審計記錄
• 圖形操作審計：運維過程中用戶圖形操作可以被審計記錄
• 圖形內(nèi)容識別：運維過程中用戶圖形操作的窗口標(biāo)題信息可以被審計記錄
• 文字搜索定位錄像播放：審計用戶可以不用從頭到尾查看運維錄像，通過搜索鍵盤或窗口標(biāo)題信息，直接跳轉(zhuǎn)到當(dāng)時運維的錄像記錄。節(jié)約審計操作成本。

• 文字搜索定位錄像播放
  • 穩(wěn)定可靠的系統(tǒng)安全性保障
    • 系統(tǒng)安全保障
• 采用專門設(shè)計的安全、可靠、高效的硬件平臺。該硬件平臺采用嚴(yán)格的設(shè)計和工藝標(biāo)準(zhǔn)，保證高可靠性；
• 獨特的硬件體系結(jié)構(gòu)提升處理能力；
• 操作系統(tǒng)經(jīng)過優(yōu)化和安全性處理，保證系統(tǒng)的安全性；
• 支持熱插拔的冗余雙電源，避免電源硬件故障時設(shè)備宕機，具有可靠的高可用性；
• 支持將暴力攻擊訪問的源IP添加到黑名單中，提高系統(tǒng)安全性。
  • 數(shù)據(jù)安全保障
• 堡壘機與客戶端通信均采用加密的SSL傳輸控制命令，完全避免可能存在的嗅探行為，確保數(shù)據(jù)傳輸安全。
• 審計日志信息采用專利特有的保存方法，支持關(guān)鍵特殊信息指紋簽名，并可加密存儲到外置存儲設(shè)備。僅可在專用審計播放器下查看。
• 支持智能管理系統(tǒng)存儲資源，系統(tǒng)存儲達(dá)到瓶頸時自動告警或清理存儲空間。
• 支持RAID1磁盤陣列實現(xiàn)數(shù)據(jù)冗余備份，提供高數(shù)據(jù)安全性和可用性。
• 用戶配置信息采用加密存儲，用戶配置備份信息僅能通過系統(tǒng)解密獲取，防止被不法用戶盜取。
  • 快速部署，簡單易用
    • 物理旁路，邏輯串聯(lián)

綠盟堡壘機產(chǎn)品采用“物理旁路，邏輯串聯(lián)”的模式，不改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不需要在終端安裝客戶端軟件，不改變管理員、運維人員的操作習(xí)慣，不影響正常業(yè)務(wù)運行。

• 產(chǎn)品部署

• 配置向?qū)Чδ?/strong>

提供對堡壘機管理配置向?qū)?、設(shè)備管理員策略配置向?qū)А?shù)據(jù)庫運維配置向?qū)?；通過將配置操作分解成邏輯性更強的操作，在多個頁面上進行向?qū)?，達(dá)到引導(dǎo)用戶完成復(fù)雜配置的目的，提高產(chǎn)品易用性。

• 配置向?qū)?ul>
• 在線幫助指南

提供完整詳細(xì)的在線幫助指南，快速指引新用戶使用，幫助解答老用戶存在的疑問。

• 在線幫助指南

2023年6月14日