指定全局主、從認證方式;配置本地或第三方認證參數(shù);提供用戶的登錄認證校驗。
配置區(qū)域化層級管理的組織機構。
對服務器、設備、數(shù)據(jù)庫、應用等資源進行定義和管理;以組織機構形式展示資源信息。
定義和管理資源賬號基本信息;維護資源賬號的口令與權限等安全屬性;對賬號可用性進行檢測,檢測非法資源賬號;凍結或解凍資源賬號。
基于崗位授權,向崗位中添加用戶,用戶自動授權崗位所綁定的資源;向崗位中添加資源,崗位綁定的用戶自動授權新添加的資源;為崗位授權添加安全策略可實現(xiàn)對資源的訪問控制和審計。
定義角色;維護基于組織機構的細粒度權限。
基于組織機構完成細粒度授權,實現(xiàn)地域化層級管理;支持三權分立。
運維入口,以崗位作為導向顯示所有有權限訪問的資源;支持HTML5無插件化訪問資源;兼容控件方式。
派發(fā)式運維工單,申請人提出請求,審批人審批并分配權限,指定執(zhí)行人執(zhí)行,完成工單記錄審計。
支持對網(wǎng)絡設備定義執(zhí)行命令和交互命令完成自動化運維任務。
訪問控制類策略包含系統(tǒng)對訪問時間、訪問地址的限制,對認證失敗次數(shù)的限制,對資源訪問的限制、對資源命令操作的限制、對文件傳輸?shù)南拗啤羟邪宓目刂频龋粚徲嬵惒呗园欠裼涗洸僮麂浵瘛⒉僮髅睢⑤斎胼敵鰧徲嫛⒓羟邪鍖徲嫷龋约颁浵駥|量的要求等;口令策略限制口令的組成規(guī)范等;賬號策略配合崗位授權,規(guī)范管理資源運維賬號。
包含行為審計、管理審計和認證審計;記錄用戶登錄系統(tǒng)后的操作審計,包含通過系統(tǒng)訪問資源的審計;基于告警策略對審計進行分析觸發(fā)告警;對審計日志進行分析形成報表。
將用戶的操作行為收集記錄;配合后續(xù)增加的知識庫及分析模型,對用戶的操作行為進行預判等;搜索以往企業(yè)運維所積累的組織過程資產。
在信息管理層和生產管理層部署堡壘機,對服務器、網(wǎng)絡設備、安全設備進行日常操作與運維的安全防護,使用數(shù)字證書作為數(shù)據(jù)庫系統(tǒng)身份認證方式。強制規(guī)定密碼復雜度規(guī)則、密碼有效時限、密碼長度、密碼嘗試次數(shù)、密碼鎖定等。僅設置一位管理員具備系統(tǒng)權限,其余數(shù)據(jù)庫賬號僅授予能夠滿足使用需求的最小權限。堡壘機扮演著看門者的職責,所有對網(wǎng)絡設備和服務器的請求都要從這扇大門經過。因此安全管理與審計系統(tǒng)能夠攔截非法訪問和惡意攻擊,對不合法命令進行阻斷、過濾掉所有對目標設備的非法訪問行為并記錄詳細信息。堡壘機具備輸入輸出審計功能,不僅能夠詳細記錄用戶操作的每一條指令,而且能夠將所有的輸出信息全部記錄下來;具備審計回放功能,能夠模擬用戶的在線操作過程,豐富和完善了網(wǎng)絡的審計功能。安全管理與審計系統(tǒng)能夠在自身記錄審計信息的同時在外部某臺計算機上做存儲備份,可以極大增強審計信息的安全性,保證審計人員有據(jù)可查。系統(tǒng)管理員可以通過多種查詢條件查看審計信息。堡壘機保護單位內部網(wǎng)絡設備及服務器資源的安全性,使得單位內部網(wǎng)絡管理合理化和專業(yè)化。