深信服運維安全管理系統（堡壘主機）OSM

1、產品概述

深信服運維安全管理系統側重于運維安全管理，是一款集賬號管理、身份認證、單點登錄、資源授權、訪問控制和操作審計為一體的新一代運維安全審計產品，它能夠對和企業IT資產（如服務器、網絡設備、安全設備、數據庫等）的操作過程進行運維操作審計，使運維審計由事件審計提升為操作內容審計，通過內控管理平臺的事前預防、事中控制和事后審計來解決和企業的運維安全問題，進而提高和企業的IT運維管理水平。

2、產品功能

賬號管理

帳號管理包含對所有服務器、網絡設備帳號以及所有使用堡壘主機自然人的賬號實行集中管理。賬號的集中管理是集中授權、認證和審計的基礎。集中帳號管理可以完成對帳號整個生命周期的監控和管理，而且降低了設備管理員管理大量用戶帳號的難度和工作量。同時，通過統一的管理還能夠發現帳號中存在的安全隱患，并且制定統一的、標準的用戶帳號安全策略。

通過建立集中帳號管理，可實現帳號與實際自然人相關聯。通過這種關聯，可實現多級的用戶管理和細粒度的用戶授權。而且，還可以實現針對自然人的實名行為審計，真正滿足審計的需要。

授權管理

深信服堡壘主機通過靈活的授權管理和細粒度的訪問控制管理可以對用戶對各種資源的訪問進行控制和審計。

認證管理

深信服堡壘主機為用戶提供統一的認證接口。采用統一的認證接口不但便于對用戶認證的管理，而且能夠采用更加安全的認證模式，提高認證的安全性和可靠性。

深信服堡壘主機自身是經過加固的可防御進攻的安全設備，支持靜態口令、動態口令、 USB-KEY、數字證書、動態令牌、生物特征等多種組合認證方式，并且傳輸過程加密。

訪問控制

（1）實時監控與阻斷

深信服堡壘主機能夠實現對運維人員在線操作的實時監控功能，審計員可以以圖像方式實時的監視運維人員的運維操作，如果發現運維人員存在不合規的操作，審計員有權限實現對當前會話的實時阻斷。

（2）訪問控制策略

深信服堡壘主機能夠制定基于黑白名單的訪問控制策略，用以限制用戶訪問目標設備的訪問命令，該策略支持正則表達式。

審計管理

深信服堡壘主機提供詳盡的操作審計功能，主要審計操作人員的帳號使用（登錄、資源訪問）情況、資源使用情況等。在各服務器主機、網絡設備的訪問日志記錄都采用統一的帳號、資源進行標識后，操作審計能更好地對帳號的完整使用過程進行追蹤審計。

3、產品特點

完善的加密措施

深信服堡壘主機對訪問會話代理全程提供通信加密防護。堡壘主機業務數據及審計錄像文件均密文保存。

口令信封

深信服堡壘主機提供口令信封打印功能，用戶可定期通過口令信封對主/從賬號信息打印紙質存檔。

命令審批

深信服堡壘主機支持通過命令審批的方式對資源進行保護。即當在控制名單內的命令被請求執行時，需要進行審批，審批通過后，該命令才可以被執行，否則命令請求將被阻斷。

命令過濾

對關鍵設備的操作，關鍵指令執行時可設置黑名單功能，自動阻斷違規或高位操作的指令。

交叉授權

訪問關鍵設備時需要雙人操作，在雙方都同意時才能訪問關鍵設備，通過定義雙人授權審批人和被審批人來實現雙人操作，雙人授權是一組相互關聯的訪問審批關系，可以定義多個審批人和被審批人，如果一個用戶既是審批人又是被審批人，根據權限小化原則，此人在訪問設備時以被審批人的身份登陸，需要此授權中的其他審批人審批。

組授權

資源組由部門管理員創建，隸屬于創建資源組的部門，是部門內資源的集合，同資源可以存在于同一部門下的多個資源組中，便于進行基于資源組的訪問授權。實現了用戶/用戶組對資源、用戶/用戶組對資源賬號、用戶/用戶組對資源組的靈活的訪問授權方式。

AD抽取

支持將Windows AD域賬號信息周期或一次性同步抽取至本系統，更新堡壘主機主賬號信息。

抗DOS攻擊

堡壘主機支持一定程度的抗DOS攻擊能力，內置抗DOS引擎，可識別內網的惡意攻擊數據包。

動作流

對于市面上主流的堡壘設備，均可支持對B/S系統的單點登錄支持。支持手段包括配置表格字段及提交方法，而對于C/S系統的單點登錄功能則需要研發人員介入編寫相應代碼。深信服堡壘主機可通過配置“動作流”功能支持所有C/S系統的單點登錄功能，用戶僅通過在堡壘主機前端頁面配置“動作流”即可。

多級流程審批

資源被訪問時需要通過定義的審批鏈中的審批人逐級審批通過后才能訪問資源，逐級審批可以定義通過投票數，只有達到通過投票數要求，才能算本級審批通過。

分級部署

深信服堡壘主機支持分級部署模式，可支持多級子系統。

前端高可用配置

堡壘主機提供前端配置主/備模式雙機熱備部署功能，主備機切換時長小于3秒。

支持云端快速部署

深信服堡壘主機支持云端快速部署，實現遠程運維管理的規范化；可按照運維人員數量，調整云端服務器配置，即可實現性能優化。

客戶端高兼容

深信服堡壘主機可適配Windows