產(chǎn)品解決方案

• 背景分析

隨著信息化的發(fā)展，企事業(yè)單位IT系統(tǒng)不斷發(fā)展，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大、設(shè)備數(shù)量激增，建設(shè)重點(diǎn)逐步從網(wǎng)絡(luò)平臺(tái)建設(shè)，轉(zhuǎn)向以深化應(yīng)用、提升效益為特征的運(yùn)行維護(hù)階段， IT系統(tǒng)運(yùn)維與安全管理正逐漸走向融合。信息系統(tǒng)的安全運(yùn)行直接關(guān)系企業(yè)效益，構(gòu)建一個(gè)強(qiáng)健的IT運(yùn)維安全管理體系對(duì)企業(yè)信息化的發(fā)展至關(guān)重要，對(duì)運(yùn)維管理安全性提出了更高要求。

• 運(yùn)維賬號(hào)混用，粗放式權(quán)限管理

當(dāng)前的運(yùn)維管理工作中，一個(gè)運(yùn)維人員使用多個(gè)賬號(hào)，記憶多套口令，同時(shí)在多套主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備直接切換的場(chǎng)景是較為普遍的情況。在同一工作組中，多用戶共享同一系統(tǒng)管理賬號(hào)進(jìn)行運(yùn)維操作也是十分普遍。一旦發(fā)生安全事故時(shí)難以定位賬號(hào)的實(shí)際使用者和責(zé)任人，無法對(duì)運(yùn)維賬號(hào)的使用范圍進(jìn)行有效控制，設(shè)備和運(yùn)維賬號(hào)管理存在安全隱患，特別是在以數(shù)據(jù)為主要業(yè)務(wù)的客戶群體中，問題更為凸顯。

越來越多的企業(yè)選擇將信息維護(hù)外包給設(shè)備商或代維公司，在享受便利的同時(shí)，由于代維人員流動(dòng)性大、對(duì)操作行為缺少監(jiān)控帶來的風(fēng)險(xiǎn)日益凸顯。因此，需要通過嚴(yán)格的權(quán)限控制和操作行為審計(jì)，加強(qiáng)對(duì)代維人員的行為管理，從而達(dá)到消隱患、避風(fēng)險(xiǎn)的目的。

大多數(shù)企事業(yè)單位的IT運(yùn)維均采用設(shè)備自身的授權(quán)系統(tǒng)，訪問權(quán)限管控分散在各設(shè)備和系統(tǒng)中。運(yùn)維人員的權(quán)限大多是粗放式管理，缺少統(tǒng)一集中的訪問授權(quán)策略，授權(quán)粒度粗，無法基于最小權(quán)限分配原則管理用戶權(quán)限，難以與業(yè)務(wù)管理要求相協(xié)調(diào)。因此，出現(xiàn)運(yùn)維人員權(quán)限過大、內(nèi)部操作權(quán)限濫用等諸多問題，如果不及時(shí)解決，信息系統(tǒng)的安全性難以充分保證。

• 用戶與運(yùn)維賬號(hào)的關(guān)系現(xiàn)狀

• 審計(jì)日志粒度粗，易丟失，難定位

在運(yùn)維工作中，大多是基于設(shè)備的系統(tǒng)日志進(jìn)行監(jiān)控審計(jì)，導(dǎo)致審計(jì)日志分散、內(nèi)容深淺不一，無法根據(jù)業(yè)務(wù)要求制定統(tǒng)一審計(jì)策略，并且審計(jì)日志容易被管理員權(quán)限用戶刪除，無法完整重現(xiàn)安全事件真實(shí)過程，難以通過審計(jì)及時(shí)發(fā)現(xiàn)違規(guī)操作行為和追查取證，對(duì)事后故障恢復(fù)缺失參考數(shù)據(jù)。

傳統(tǒng)的旁路數(shù)據(jù)分析和主機(jī)探針審計(jì)方式，都存在著明顯缺陷和不足。旁路數(shù)據(jù)分析審計(jì)無法對(duì)已加密的應(yīng)用層數(shù)據(jù)（例如SSH和SFTP等）進(jìn)行細(xì)粒度分析，無法對(duì)圖形運(yùn)維操作（例如RDP，VNC等）過程進(jìn)行完整還原，特別是無法對(duì)圖形內(nèi)容的數(shù)據(jù)提取和分析；僅是記錄運(yùn)維IP地址信息，并且無法做到實(shí)時(shí)管控；主機(jī)探針審計(jì)方式，在被托管主機(jī)上安裝探針軟件不僅占用寶貴的系統(tǒng)資源，并且對(duì)系統(tǒng)穩(wěn)定性埋下隱患。

• 面臨法規(guī)遵從的壓力

《網(wǎng)絡(luò)安全法》頒布實(shí)施后，從國(guó)家層面明確了信息化建設(shè)應(yīng)滿足法律法規(guī)要求。因網(wǎng)絡(luò)安全防護(hù)工作落實(shí)不到位，未進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)備案、等級(jí)測(cè)評(píng)等工作，將被監(jiān)管單位處罰。深入貫徹落實(shí)《網(wǎng)絡(luò)安全法》是信息化建設(shè)的核心步驟和重點(diǎn)工作。同時(shí)，響應(yīng)國(guó)家號(hào)召加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)管理，政府、金融、運(yùn)營(yíng)商等陸續(xù)發(fā)布信息系統(tǒng)管理規(guī)范和要求，如“信息系統(tǒng)等級(jí)保護(hù)”、“商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引”、“企業(yè)內(nèi)部控制基本規(guī)范”等均要求采取信息系統(tǒng)風(fēng)險(xiǎn)內(nèi)控與審計(jì)，但其自身卻沒有有效的技術(shù)手段。

• 數(shù)據(jù)運(yùn)維安全威脅

企事業(yè)對(duì)信息化的依賴日益加劇后，數(shù)據(jù)將成為關(guān)鍵的生產(chǎn)資料，數(shù)據(jù)運(yùn)維管理是數(shù)據(jù)安全的重點(diǎn)核心工作內(nèi)容。缺乏集中可視化的數(shù)據(jù)運(yùn)維手段，出現(xiàn)數(shù)據(jù)泄露、未經(jīng)授權(quán)修改等運(yùn)維事故，造成惡劣影響的信息安全事故時(shí)有發(fā)生。規(guī)范信息化系統(tǒng)運(yùn)維行為，特別時(shí)數(shù)據(jù)更新運(yùn)維行為，是保護(hù)企事業(yè)單位核心資產(chǎn)優(yōu)先工作內(nèi)容。

• 運(yùn)維工作繁重枯燥

一個(gè)運(yùn)維管理員管理多臺(tái)服務(wù)器的情況在運(yùn)維工作中十分普遍，定期對(duì)服務(wù)器系統(tǒng)進(jìn)行業(yè)務(wù)數(shù)據(jù)備份、補(bǔ)丁更新、設(shè)備賬號(hào)改密等操作是日常工作內(nèi)容，其中數(shù)據(jù)備份工作量大、設(shè)備賬號(hào)改密量多等問題常常導(dǎo)致運(yùn)維操作失誤，效率低等現(xiàn)象，這嚴(yán)重影響企業(yè)的經(jīng)濟(jì)運(yùn)行效能，并對(duì)企業(yè)聲譽(yù)造成重大影響。

• 虛擬云技術(shù)蓬勃發(fā)展

    自SaaS在20世紀(jì)90年代末出現(xiàn)以來，云計(jì)算服務(wù)經(jīng)歷了多年的發(fā)展歷程，云環(huán)境下的信任問題日趨突出，多租戶和用戶下身份認(rèn)證、權(quán)限控制，云主機(jī)系統(tǒng)運(yùn)維和安全審計(jì)等種種問題都困擾著云服務(wù)廠商，也制約了云服務(wù)業(yè)務(wù)的發(fā)展。

• 解決方案
  • 運(yùn)維管控之道

綠盟堡壘機(jī)產(chǎn)品通過邏輯上將人與目標(biāo)設(shè)備分離，建立“人->主賬號(hào)（堡壘機(jī)用戶賬號(hào)）->授權(quán)->從賬號(hào)（目標(biāo)設(shè)備賬號(hào)）->目標(biāo)設(shè)備”的管理模式；在此模式下，通過基于唯一身份標(biāo)識(shí)的集中賬號(hào)與訪問控制策略，與各服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)服務(wù)器等無縫連接，實(shí)現(xiàn)集中運(yùn)維操作管控與審計(jì)。

• 運(yùn)維管控之道
  • 運(yùn)維安全管理系統(tǒng)部署
    • 部署圖

堡壘機(jī)的典型應(yīng)用場(chǎng)景如下圖所示：

• 典型應(yīng)用場(chǎng)景
• 管理對(duì)象

用戶對(duì)象：管理員、運(yùn)維人員、第三方代維人員、臨時(shí)運(yùn)維人員等。

設(shè)備對(duì)象：服務(wù)器(Windows/Linux/UNIX)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)等。

• 管理范圍

集中監(jiān)控各種運(yùn)維操作行為。

• 協(xié)議類型

SSH、RDP、VNC、SFTP、Telnet、FTP、HTTP、HTTPS等。

• 產(chǎn)品配置
  • Web控制臺(tái)要求

類別	要求
操作系統(tǒng)	Windows 7/10等安裝JAVA或ActiveX
瀏覽器類型	IE8 / IE9/IE10/IE11/ Firefox/Chrome
CPU	無特殊要求
內(nèi)存	建議大于等于512M
硬盤	500GB存儲(chǔ)以上，無特殊要求
顯示卡	Windows兼容系列顯示卡，1024X768分辨率
網(wǎng)卡	Windows兼容10/100MB網(wǎng)卡

• 部署說明

根據(jù)安全風(fēng)險(xiǎn)分析、安全目標(biāo)和設(shè)計(jì)原則，我們?cè)诔浞掷矛F(xiàn)有資源、盡量在少投入、少改動(dòng)的基礎(chǔ)上，建議使用以下的安全解決方案。

   堡壘機(jī)采用“物理旁路，邏輯串聯(lián)”的部署思路，主要通過兩步實(shí)現(xiàn)：

1. 通過配置交換機(jī)或需要管理設(shè)備的訪問控制策略，只允許堡壘機(jī)的IP、協(xié)議及端口可以訪問需要管理的設(shè)備。
2. 將堡壘機(jī)連接到對(duì)應(yīng)交換機(jī)，確保所有維護(hù)人員到堡壘機(jī)IP可達(dá)。
   1. 達(dá)成效果
3. 建立集中的運(yùn)維操作監(jiān)控平臺(tái)，建立基于唯一身份標(biāo)識(shí)的實(shí)名制管理，統(tǒng)一賬號(hào)管理策略，實(shí)現(xiàn)跨平臺(tái)管理，消滅管理孤島。
4. 通過集中訪問控制與授權(quán)，實(shí)現(xiàn)單點(diǎn)登錄(SSO)和細(xì)粒度的命令級(jí)訪問授權(quán)。
5. 基于用戶的審計(jì)，審計(jì)到人，實(shí)現(xiàn)從登錄到退出的全程操作行為審計(jì)，滿足合規(guī)管理和審計(jì)要求。
   1. 企業(yè)效益

綠盟安全審計(jì)系統(tǒng)-堡壘機(jī)為企業(yè)帶來的價(jià)值主要體現(xiàn)在：

• 管理效益 
• 所有運(yùn)維賬號(hào)在一個(gè)平臺(tái)上進(jìn)行管理，賬號(hào)管理更加簡(jiǎn)單有序；
• 通過建立用戶與賬號(hào)的唯一對(duì)應(yīng)關(guān)系，確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限；
• 可視化運(yùn)維行為監(jiān)控，及時(shí)預(yù)警發(fā)現(xiàn)違規(guī)操作。
• 用戶效益

運(yùn)維人員只需記憶一個(gè)賬號(hào)和口令，一次登錄，便可實(shí)現(xiàn)對(duì)其所維護(hù)的多臺(tái)設(shè)備的訪問，提高工作效率，降低工作復(fù)雜度。

• 企業(yè)效益

降低人為安全風(fēng)險(xiǎn)，避免安全損失，滿足合規(guī)要求，保障企業(yè)效益。

• 應(yīng)用場(chǎng)景IDC機(jī)房運(yùn)維管控場(chǎng)景

• 遠(yuǎn)程運(yùn)維辦公場(chǎng)景

堡壘機(jī)旁路接入服務(wù)器核心交換機(jī),將服務(wù)器設(shè)備賬號(hào)集中托管到堡壘機(jī)后。運(yùn)維人員統(tǒng)一登錄堡壘機(jī)，單點(diǎn)登錄服務(wù)器，訪問行為和權(quán)限均由堡壘機(jī)管控。

• 遠(yuǎn)程運(yùn)維辦公場(chǎng)景

• 遠(yuǎn)程運(yùn)維辦公場(chǎng)景

各地遠(yuǎn)程運(yùn)維辦公用戶群體VPN撥入NF防火墻，訪問堡壘機(jī)OSMS，所有遠(yuǎn)程用戶通過身份鑒別、訪問控制和安全審計(jì)管控，合規(guī)訪問遠(yuǎn)程辦公服務(wù)器區(qū)域。

• 虛擬化云安全資源池場(chǎng)景

• 遠(yuǎn)程運(yùn)維辦公場(chǎng)景

綠盟堡壘機(jī)支持以虛擬化鏡像方式，為政府、企事業(yè)單位的政務(wù)云和企業(yè)私有云安全資源池建設(shè)提供安全能力。安全資源池管理員通過云管理平臺(tái)快速生成虛擬化堡壘機(jī)安全能力，為云上租戶提供運(yùn)維管控能力，迅速滿足等保合規(guī)建設(shè)要求。

• 產(chǎn)品介紹
  • 產(chǎn)品簡(jiǎn)介

綠盟運(yùn)維安全管理系統(tǒng)（簡(jiǎn)稱堡壘機(jī)，英文簡(jiǎn)稱OSMS）以滿足等級(jí)保護(hù)下身份鑒別、訪問控制、安全審計(jì)等監(jiān)管要求為核心，基于“賬號(hào)、認(rèn)證、授權(quán)和審計(jì)”4A管理理念，采用三權(quán)分立和最小訪問權(quán)限原則，運(yùn)用協(xié)議代理技術(shù)，實(shí)現(xiàn)精準(zhǔn)的事前識(shí)別、精細(xì)的事中控制和精確的事后審計(jì)，幫助企業(yè)轉(zhuǎn)變傳統(tǒng)IT安全運(yùn)維被動(dòng)響應(yīng)的模式，建立面向用戶的集中、主動(dòng)的運(yùn)維安全管控模式，降低人為安全風(fēng)險(xiǎn)，滿足合規(guī)要求，保障企業(yè)效益。OSMS是貼心的運(yùn)維安全管控專家，不斷踐行智慧運(yùn)維，安全成就所托承諾。

• 系統(tǒng)功能

綠盟運(yùn)維安全管理系統(tǒng)產(chǎn)品主要有三大功能：

• 系統(tǒng)功能
• 集中賬號(hào)管理

建立基于唯一身份標(biāo)識(shí)的全局實(shí)名制管理，支持統(tǒng)一賬號(hào)管理策略，實(shí)現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)服務(wù)器等無縫連接。

• 集中訪問控制

通過集中訪問控制和細(xì)粒度的命令級(jí)授權(quán)策略，基于最小權(quán)限原則，實(shí)現(xiàn)集中有序的運(yùn)維操作管理，讓正確的人做正確的事。

• 集中安全審計(jì)

基于唯一身份標(biāo)識(shí)，通過對(duì)用戶從登錄到退出的全程操作行為進(jìn)行審計(jì)，監(jiān)控用戶對(duì)目標(biāo)設(shè)備的所有敏感操作，聚焦關(guān)鍵事件，實(shí)現(xiàn)對(duì)安全事件的實(shí)時(shí)發(fā)現(xiàn)與預(yù)警。

• 系統(tǒng)架構(gòu)

綠盟運(yùn)維安全管理系統(tǒng)系列由平臺(tái)管理模塊、功能管理模塊和平臺(tái)接口構(gòu)成?？傮w架構(gòu)如下圖所示：

• 系統(tǒng)架構(gòu)
• 功能管理模塊

提供賬號(hào)管理功能、認(rèn)證管理功能、權(quán)限管理功能和審計(jì)管理功能。

• 賬號(hào)管理：提供賬號(hào)生命周期管理，包括賬號(hào)創(chuàng)建、賬號(hào)修改、狀態(tài)調(diào)整、賬號(hào)刪除、賬號(hào)查詢等功能。
• 認(rèn)證管理：支持多種認(rèn)證方式，包括本地認(rèn)證、LDAP/RADIUS認(rèn)證。
• 權(quán)限管理：提供基于時(shí)間、用戶/用戶組、設(shè)備/設(shè)備組、設(shè)備賬號(hào)、命令關(guān)鍵字、危險(xiǎn)級(jí)別等組合策略，授權(quán)用戶可訪問的目標(biāo)設(shè)備及可使用的命令。
• 審計(jì)管理：提供對(duì)用戶通過堡壘機(jī)對(duì)目標(biāo)設(shè)備的所有操作行為審計(jì)、事件查詢分析和報(bào)表管理。
• 平臺(tái)管理

提供對(duì)堡壘機(jī)平臺(tái)自身的管理，包括系統(tǒng)配置管理、系統(tǒng)監(jiān)控及審計(jì)日志管理。

• 平臺(tái)接口

提供對(duì)用戶（包括管理員、運(yùn)維人員、代維人員等）、設(shè)備(包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)服務(wù)器等)的各種管理接口，包括設(shè)備導(dǎo)入接口、賬號(hào)的同步和導(dǎo)入接口、認(rèn)證接口、訪問接口等。

• 產(chǎn)品特性
  • 多維度、細(xì)粒度的認(rèn)證與授權(quán)體系
    • 靈活的用戶認(rèn)證方式

綠盟堡壘機(jī)產(chǎn)品對(duì)主賬號(hào)的認(rèn)證，支持本地認(rèn)證、LDAP認(rèn)證、RADIUS認(rèn)證、USBkey認(rèn)證、短信認(rèn)證等多種方式，能夠根據(jù)用戶實(shí)際需求，設(shè)置混合認(rèn)證方式，即不同主賬號(hào)采取不同的認(rèn)證方式，實(shí)現(xiàn)按需設(shè)置認(rèn)證方式。

堡壘機(jī)提供VPN聯(lián)動(dòng)\NAT穿透等方案解決用戶內(nèi)外網(wǎng)隔離下的設(shè)備運(yùn)維，用戶撥通VPN后可訪問內(nèi)網(wǎng)堡壘機(jī)，再單點(diǎn)登錄托管的目標(biāo)設(shè)備進(jìn)行運(yùn)維。

• 用戶認(rèn)證管理示意圖
  • 細(xì)粒度的運(yùn)維訪問控制

綠盟堡壘機(jī)產(chǎn)品支持基于角色的訪問控制（RBAC ,Role-Based Access Control）。管理員可按照時(shí)間、部門、職責(zé)和安全策略等維度，設(shè)置細(xì)粒度權(quán)限策略，讓正確的人做正確的事，簡(jiǎn)化授權(quán)管理。

通過集中統(tǒng)一的訪問控制和細(xì)粒度的命令級(jí)授權(quán)策略，確保用戶擁有的權(quán)限是完成任務(wù)所需的權(quán)限。系統(tǒng)支持創(chuàng)建基于時(shí)間、IP/IP段、用戶/用戶組、設(shè)備/設(shè)備組、設(shè)備賬號(hào)、命令關(guān)鍵字、危險(xiǎn)級(jí)別（分為高、中、低）等元素的組合條件，授權(quán)用戶可訪問的目標(biāo)設(shè)備、定義高危操作監(jiān)控策略。當(dāng)用戶越權(quán)執(zhí)行特定命令的時(shí)候，實(shí)時(shí)進(jìn)行告警、阻斷，確保信息系統(tǒng)安全運(yùn)行。

• 多維度的運(yùn)維訪問授權(quán)

綠盟堡壘機(jī)支持“向下”管控和“向上”申請(qǐng)的管理模式，支持WEB安全通道對(duì)授權(quán)信息進(jìn)行管理。

上級(jí)管理員角色通過策略方式設(shè)置運(yùn)維人員能夠登錄哪些設(shè)備，能夠執(zhí)行哪些運(yùn)維操作，甚至于對(duì)關(guān)鍵服務(wù)器或執(zhí)行高危命令時(shí)，須有兩人均認(rèn)證通過方可執(zhí)行，降低運(yùn)維風(fēng)險(xiǎn)。支持登錄雙認(rèn)證授權(quán)和高危命令雙認(rèn)證授權(quán)；

運(yùn)維人員能夠新建工單申請(qǐng)向管理員申請(qǐng)運(yùn)維設(shè)備的權(quán)限。新建提前授權(quán)訪問申請(qǐng)功能使得運(yùn)維人員能夠擴(kuò)大對(duì)當(dāng)前可運(yùn)維設(shè)備的訪問權(quán)限；新建臨時(shí)訪問申請(qǐng)功能能夠獲得當(dāng)前無權(quán)限的目標(biāo)設(shè)備訪問權(quán)限。

• 運(yùn)維權(quán)限管理示意圖
  • 高效率、智能化的資產(chǎn)管理體系

綠盟堡壘機(jī)支持如下多種方式對(duì)用戶托管設(shè)備進(jìn)行智能化管理，有效提高用戶資產(chǎn)管理能力，切實(shí)有效地保護(hù)托管在堡壘機(jī)中的設(shè)備和設(shè)備賬號(hào)信息安全。

• 智能化巡檢托管設(shè)備和設(shè)備賬號(hào)

用戶運(yùn)維環(huán)境中常常存在大量的托管設(shè)備和設(shè)備賬號(hào)信息，堡壘機(jī)能夠智能化發(fā)現(xiàn)運(yùn)維人員運(yùn)維過程違規(guī)新建的設(shè)備賬號(hào)（簡(jiǎn)稱幽靈賬號(hào)），幽靈賬號(hào)常常會(huì)是系統(tǒng)的后門賬號(hào)。同時(shí)由于運(yùn)維人員離職，或職責(zé)切換等原因，出現(xiàn)已托管的設(shè)備賬號(hào)長(zhǎng)期不會(huì)被使用（簡(jiǎn)稱為孤兒賬號(hào)），因而導(dǎo)致托管設(shè)備上存在一定量的孤兒賬號(hào)，長(zhǎng)期以往必然會(huì)導(dǎo)致用戶托管的設(shè)備存在嚴(yán)重的安全隱患，有效防范托管設(shè)備中設(shè)備賬號(hào)管理漏洞帶來的安全風(fēng)險(xiǎn)。

托管設(shè)備賬號(hào)密碼到堡壘機(jī)后能夠有效防范弱口令問題，堡壘機(jī)提供完整細(xì)致的強(qiáng)密碼安全策略，不但要求托管設(shè)備賬號(hào)密碼滿足密碼強(qiáng)度要求，并且要求托管的設(shè)備賬號(hào)密碼不應(yīng)重復(fù)等更高強(qiáng)度的安全要求。

• 資產(chǎn)托管管理示意圖
  • 高效率管理設(shè)備和設(shè)備賬號(hào)

運(yùn)維環(huán)境中大量的設(shè)備和設(shè)備賬號(hào)管理常常困擾運(yùn)維管理員，綠盟堡壘機(jī)支持自動(dòng)發(fā)現(xiàn)指定網(wǎng)絡(luò)中的設(shè)備并自動(dòng)將設(shè)備托管到堡壘機(jī)中，并支持定期自動(dòng)發(fā)現(xiàn)設(shè)備中的設(shè)備賬號(hào)，自動(dòng)托管到堡壘機(jī)上，可大大提高運(yùn)維管理員的運(yùn)維管理效率。

多項(xiàng)法規(guī)合規(guī)要求中都有對(duì)設(shè)備賬號(hào)管理有明確規(guī)定，要求定期對(duì)設(shè)備賬號(hào)密碼口令執(zhí)行改密操作。堡壘機(jī)支持對(duì)托管設(shè)備賬號(hào)執(zhí)行周期改密，并支持用戶自定義密碼強(qiáng)度和密碼內(nèi)容，不僅提高運(yùn)維管理員的運(yùn)維效率，而且保障設(shè)備賬號(hào)密碼達(dá)到強(qiáng)密碼要求。

• 設(shè)備自動(dòng)發(fā)現(xiàn)示意圖
  • 提供豐富多樣的運(yùn)維通道

綠盟堡壘機(jī)支持以多種方式登錄堡壘機(jī)及目標(biāo)設(shè)備，靈活適應(yīng)各種需求下的使用場(chǎng)景。

• B/S下網(wǎng)頁(yè)訪問堡壘機(jī)

綠盟堡壘機(jī)支持Internet Explorer、Firefox、Chrome等多種內(nèi)核的網(wǎng)頁(yè)瀏覽器訪問，支持一站式管理所有運(yùn)維資源。網(wǎng)頁(yè)界面展示方式豐富而多樣，智能關(guān)聯(lián)相關(guān)信息，充分體現(xiàn)了人性化用戶界面設(shè)計(jì)原則和思路。

• 門戶式管理

支持名片式、列表式和樹形式的可訪問設(shè)備信息展示，支持直接查詢、編輯相關(guān)的訪問策略，查詢有權(quán)限訪問的審計(jì)信息。

門戶式管理極大地簡(jiǎn)化了管理員對(duì)設(shè)備、主賬號(hào)、策略等的維護(hù)操作，優(yōu)化管理員體驗(yàn)、提高管理員工作效率。

• 靈活的設(shè)備分組展示

綠盟堡壘機(jī)支持按照部門、設(shè)備類型、業(yè)務(wù)類型等不同的分組方式展示目標(biāo)設(shè)備；不同的用戶完全可以根據(jù)管理要求及使用習(xí)慣，選擇不同的展示方式。

• B/S模式Web運(yùn)維

堡壘機(jī)支持運(yùn)維人員通過IE瀏覽器直接在Web上完成運(yùn)維工作，而不需要調(diào)用本地工具，減少運(yùn)維人員安裝第三方客戶端的困擾，使運(yùn)維工作更加便捷。

Web運(yùn)維支持多種協(xié)議運(yùn)維，如字符運(yùn)維：SSH、Telnet，圖形運(yùn)維：RDP、VNC，文件運(yùn)維：FTP、SFTP等，可滿足絕大部分運(yùn)維場(chǎng)景需求。同時(shí)結(jié)合Web和前置機(jī)功能，可滿足其他運(yùn)維場(chǎng)景。

綠盟堡壘機(jī)還支持Web應(yīng)用代理，通過IE、Chrome、Firefox以及Edge瀏覽器直接訪問客戶的Web應(yīng)用，而無需依賴應(yīng)用發(fā)布平臺(tái)，使運(yùn)維過程更加便捷。

• C/S下客戶端訪問

客戶端運(yùn)維分為兩種模式，一種模式是通過瀏覽器調(diào)用第三方客戶端完成運(yùn)維工作，另一種模式是運(yùn)維人員直接通過第三方客戶端工具登錄堡壘機(jī)。

模式一：運(yùn)維人員通過瀏覽器調(diào)用第三方客戶端

結(jié)合B/S下豐富的資源展示效果，通過WEB上選擇第三方客戶端，直接調(diào)用客戶端運(yùn)維目標(biāo)設(shè)備，將B/S和C/S的有機(jī)結(jié)合，使得用戶在運(yùn)維過程中能夠獲得更好的使用體驗(yàn)。

該模式下，瀏覽器支持范圍包括IE、Edge、Firefox、Chrome以及Safari等，本地客戶端支持范圍包括SecurCRT、putty、Xshell、Mstsc、VNC viewer、Winscp、Xsftp等。

模式二：運(yùn)維人員通過第三方客戶端手動(dòng)連接堡壘機(jī)

該運(yùn)維模式不依賴瀏覽器以及平臺(tái)兼容性，最大程度上保證運(yùn)維人員的操作習(xí)慣不被改變。第三方客戶端工具支持RDP、VNC、Telnet、SSH、SFTP、HTTP/HTTPS等協(xié)議的客戶端工具軟件，如SecurCRT、putty、Xshell、Mstsc、VNC viewer、Winscp、Xsftp等。也支持RemoteApp形式的應(yīng)用發(fā)布程序訪問，為數(shù)據(jù)庫(kù)、WEB服務(wù)器等系統(tǒng)運(yùn)維提供最佳的運(yùn)維體驗(yàn)。

• 各種資產(chǎn)無縫管理

綠盟堡壘機(jī)產(chǎn)品具有跨平臺(tái)的運(yùn)維行為管控能力，可覆蓋多種主流主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)和運(yùn)維協(xié)議。

• 協(xié)議類型：SSH、RDP、VNC、SFTP、Telnet、FTP、HTTP、HTTPS、X11等；
• 數(shù)據(jù)庫(kù)類型：Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、PostgreSQL等；
• 操作系統(tǒng)類型：FreeBSD、Solaris、RedHat Linux、Windows等；
• 網(wǎng)絡(luò)設(shè)備類型：Cisco、HUAWEI等廠商的網(wǎng)絡(luò)設(shè)備。
  • 強(qiáng)大的應(yīng)用擴(kuò)展能力

綠盟堡壘機(jī)能夠?qū)徲?jì)基于Windows平臺(tái)下所有應(yīng)用程序的運(yùn)維操作。基于內(nèi)置或外置前置機(jī)架構(gòu)，當(dāng)需要支持一款新的專有運(yùn)維客戶端程序時(shí)，只需管理員在前置機(jī)上安裝、發(fā)布該客戶端程序，而無須任何定制開發(fā)，堡壘機(jī)即可對(duì)通過該應(yīng)用程序的運(yùn)維操作進(jìn)行審計(jì)。用戶的投入產(chǎn)出比實(shí)現(xiàn)最大化，在零附加成本的基礎(chǔ)之上，輕松支持所有通用及專有的運(yùn)維客戶端程序。

• 前置機(jī)架構(gòu)示意圖

運(yùn)維設(shè)備時(shí)，運(yùn)維人員只需登錄堡壘機(jī)、選擇目標(biāo)設(shè)備以及應(yīng)用程序，堡壘機(jī)將根據(jù)管理員事先配置好的參數(shù)自動(dòng)啟動(dòng)前置機(jī)上相應(yīng)的應(yīng)用程序，并連接目標(biāo)設(shè)備，前置機(jī)對(duì)運(yùn)維人員完全透明。

• 高保真、易理解、快定位的審計(jì)效果數(shù)據(jù)庫(kù)操作圖形與命令行級(jí)雙層審計(jì)

綠盟堡壘機(jī)具備完善的數(shù)據(jù)庫(kù)運(yùn)維審計(jì)功能，能夠同時(shí)支持?jǐn)?shù)據(jù)庫(kù)圖形方式操作審計(jì)與SQL語(yǔ)句命令級(jí)操作審計(jì)；并支持SQL語(yǔ)句命令級(jí)審計(jì)日志與圖形方式審計(jì)日志根據(jù)時(shí)間點(diǎn)進(jìn)行關(guān)聯(lián)查詢，以方便用戶進(jìn)行日志查詢。

• 數(shù)據(jù)庫(kù)操作圖形與命令行級(jí)雙層審計(jì)

• 基于唯一身份標(biāo)識(shí)的審計(jì)

綠盟堡壘機(jī)產(chǎn)品主賬號(hào)是獲取目標(biāo)設(shè)備訪問權(quán)利的唯一賬號(hào)，支持本地認(rèn)證、LDAP認(rèn)證、RADIUS認(rèn)證、USBkey認(rèn)證、OTP認(rèn)證、短信密碼等多種認(rèn)證方式，將主賬號(hào)與實(shí)際用戶身份一一對(duì)應(yīng)，確保不同設(shè)備、系統(tǒng)間行為審計(jì)的一致性，從而準(zhǔn)確定為事故責(zé)任人，彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)安全審計(jì)產(chǎn)品無法準(zhǔn)確定位用戶身份的缺陷。

• 全程運(yùn)維行為審計(jì)

綠盟堡壘機(jī)可完整審計(jì)運(yùn)維人員通過賬號(hào)“在什么時(shí)間登錄什么設(shè)備、做什么操作、返回什么結(jié)果、什么時(shí)間登出”等行為，全面記錄“運(yùn)維人員從登錄到退出”的整個(gè)過程，幫助管理人員及時(shí)發(fā)現(xiàn)權(quán)限濫用、違規(guī)操作，準(zhǔn)確定位身份，以便追查取證。

• 字符會(huì)話審計(jì)

系統(tǒng)支持審計(jì)通過SSH、Telnet等協(xié)議的操作行為，審計(jì)內(nèi)容包括訪問起始和終止時(shí)間、用戶名、用戶IP、設(shè)備名稱、設(shè)備IP、協(xié)議類型、危險(xiǎn)等級(jí)、操作命令等?？商峁┎僮鲀?nèi)容倍速回放、定位播放等功能。

• 圖形操作審計(jì)

系統(tǒng)支持審計(jì)通過RDP、VNC等遠(yuǎn)程桌面以及HTTP/HTTPS協(xié)議的圖形操作行為，審計(jì)內(nèi)容包括訪問起始和終止時(shí)間、用戶名、用戶IP、設(shè)備名稱、設(shè)備IP、協(xié)議類型、危險(xiǎn)等級(jí)、操作內(nèi)容等。支持通過視頻錄像方式記錄操作內(nèi)容，可提供倍速回放、定位播放等功能。

• 數(shù)據(jù)庫(kù)運(yùn)維審計(jì)

系統(tǒng)支持審計(jì)Oracle、MS SQL Server、IBM DB2、PostgreSQL等各主流數(shù)據(jù)庫(kù)的操作行為，審計(jì)內(nèi)容包括訪問起始和終止時(shí)間、用戶名、用戶IP、設(shè)備名稱、設(shè)備IP、協(xié)議類型、危險(xiǎn)等級(jí)、操作內(nèi)容等。支持通過視頻錄像方式記錄操作內(nèi)容，可提供倍速回放、進(jìn)度拖拉等功能，同時(shí)支持對(duì)SQL語(yǔ)句進(jìn)行審計(jì)。

• 文件傳輸審計(jì)

系統(tǒng)支持審計(jì)通過SFTP、FTP等協(xié)議的操作行為，審計(jì)內(nèi)容包括訪問起始和終止時(shí)間、用戶名、用戶IP、設(shè)備名稱、目標(biāo)設(shè)備IP、協(xié)議類型、文件名稱、危險(xiǎn)等級(jí)、操作命令等?？商峁┎僮鲀?nèi)容倍速回放功能。

• 合規(guī)審計(jì)

對(duì)上述各類運(yùn)維審計(jì)日志，審計(jì)員能夠單獨(dú)或批量進(jìn)行合規(guī)審計(jì)，方便地審核每一次運(yùn)維行為及操作是否符合規(guī)章制度的要求，并填寫具體的審核批注，最后統(tǒng)一輸出合規(guī)審計(jì)結(jié)果。

• 審計(jì)信息“零管理”

綠盟堡壘機(jī)產(chǎn)品支持“日志零管理”技術(shù)

• 日志自動(dòng)維護(hù)：根據(jù)日志自動(dòng)維護(hù)計(jì)劃的設(shè)置，系統(tǒng)在指定時(shí)間自動(dòng)進(jìn)行相應(yīng)的日志數(shù)據(jù)備份。
• 日志查詢：系統(tǒng)提供多種審計(jì)日志查詢條件，包括時(shí)間、IP地址、用戶名、設(shè)備名、關(guān)鍵字、危險(xiǎn)等級(jí)（高、中、低）等；
• 審計(jì)報(bào)表：系統(tǒng)提供詳細(xì)的多種類別的報(bào)表模板，可提供基于操作時(shí)長(zhǎng)、高危操作、阻斷操作等類別的用戶操作TOP10。系統(tǒng)支持生成：日、周、月、年度綜合報(bào)表，報(bào)表支持Word、Excel等格式導(dǎo)出，降低維護(hù)費(fèi)用與管理員的工作強(qiáng)度。
• 自動(dòng)報(bào)表：客戶需要周期（比如每周、每月）進(jìn)行運(yùn)維審計(jì)，同時(shí)審計(jì)報(bào)表的范圍都一致。此時(shí)客戶可以自定義時(shí)間點(diǎn)和報(bào)表模板，堡壘機(jī)就可以周期生成統(tǒng)計(jì)報(bào)表，自動(dòng)發(fā)送到客戶郵箱中。
  • 文字搜索定位錄像播放

綠盟堡壘機(jī)產(chǎn)品支持指令輸入和圖形操作雙審計(jì)技術(shù)

• 指令輸入審計(jì)：運(yùn)維過程中用戶輸入的鍵盤指令可以被審計(jì)記錄
• 圖形操作審計(jì)：運(yùn)維過程中用戶圖形操作可以被審計(jì)記錄
• 圖形內(nèi)容識(shí)別：運(yùn)維過程中用戶圖形操作的窗口標(biāo)題信息可以被審計(jì)記錄
• 文字搜索定位錄像播放：審計(jì)用戶可以不用從頭到尾查看運(yùn)維錄像，通過搜索鍵盤或窗口標(biāo)題信息，直接跳轉(zhuǎn)到當(dāng)時(shí)運(yùn)維的錄像記錄。節(jié)約審計(jì)操作成本。

• 文字搜索定位錄像播放
  • 穩(wěn)定可靠的系統(tǒng)安全性保障
    • 系統(tǒng)安全保障
• 采用專門設(shè)計(jì)的安全、可靠、高效的硬件平臺(tái)。該硬件平臺(tái)采用嚴(yán)格的設(shè)計(jì)和工藝標(biāo)準(zhǔn)，保證高可靠性；
• 獨(dú)特的硬件體系結(jié)構(gòu)提升處理能力；
• 操作系統(tǒng)經(jīng)過優(yōu)化和安全性處理，保證系統(tǒng)的安全性；
• 支持熱插拔的冗余雙電源，避免電源硬件故障時(shí)設(shè)備宕機(jī)，具有可靠的高可用性；
• 支持將暴力攻擊訪問的源IP添加到黑名單中，提高系統(tǒng)安全性。
  • 數(shù)據(jù)安全保障
• 堡壘機(jī)與客戶端通信均采用加密的SSL傳輸控制命令，完全避免可能存在的嗅探行為，確保數(shù)據(jù)傳輸安全。
• 審計(jì)日志信息采用專利特有的保存方法，支持關(guān)鍵特殊信息指紋簽名，并可加密存儲(chǔ)到外置存儲(chǔ)設(shè)備。僅可在專用審計(jì)播放器下查看。
• 支持智能管理系統(tǒng)存儲(chǔ)資源，系統(tǒng)存儲(chǔ)達(dá)到瓶頸時(shí)自動(dòng)告警或清理存儲(chǔ)空間。
• 支持RAID1磁盤陣列實(shí)現(xiàn)數(shù)據(jù)冗余備份，提供高數(shù)據(jù)安全性和可用性。
• 用戶配置信息采用加密存儲(chǔ)，用戶配置備份信息僅能通過系統(tǒng)解密獲取，防止被不法用戶盜取。
  • 快速部署，簡(jiǎn)單易用
    • 物理旁路，邏輯串聯(lián)

綠盟堡壘機(jī)產(chǎn)品采用“物理旁路，邏輯串聯(lián)”的模式，不改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不需要在終端安裝客戶端軟件，不改變管理員、運(yùn)維人員的操作習(xí)慣，不影響正常業(yè)務(wù)運(yùn)行。

• 產(chǎn)品部署

• 配置向?qū)Чδ?/strong>

提供對(duì)堡壘機(jī)管理配置向?qū)?、設(shè)備管理員策略配置向?qū)А?shù)據(jù)庫(kù)運(yùn)維配置向?qū)?；通過將配置操作分解成邏輯性更強(qiáng)的操作，在多個(gè)頁(yè)面上進(jìn)行向?qū)В_(dá)到引導(dǎo)用戶完成復(fù)雜配置的目的，提高產(chǎn)品易用性。

• 配置向?qū)?ul>
• 在線幫助指南

提供完整詳細(xì)的在線幫助指南，快速指引新用戶使用，幫助解答老用戶存在的疑問。

• 在線幫助指南

2023年6月14日