跳板機(jī) 一、跳板機(jī)簡介

跳板機(jī)是一個服務(wù)器。 運(yùn)維人員在維護(hù)過程中必須先統(tǒng)一登錄本服務(wù)器，再登錄目標(biāo)設(shè)備進(jìn)行維護(hù)操作；

在騰訊，跳板機(jī)是開發(fā)者登錄服務(wù)器的唯一途徑。 開發(fā)者首先要登錄跳板機(jī)，然后通過跳板機(jī)登錄應(yīng)用服務(wù)器。

二、跳板機(jī)的檢定方法

影響：

證書：證書為文本格式，粗細(xì)為； 它是應(yīng)用程序登錄機(jī)器的唯一身份標(biāo)志，每個用戶有且只有一個證書。

固定密碼：分配LDAP賬號時，也會分配一個固定密碼

動態(tài)驗(yàn)證碼（token）：6位數(shù)字串，每個動態(tài)驗(yàn)證碼有效期為3分鐘。

3、跳板機(jī)的優(yōu)缺點(diǎn)：

優(yōu)勢：集中管理

不足：未實(shí)現(xiàn)對運(yùn)維人員操作行為的管控和審計。 在使用跳板機(jī)的過程中，還是會出現(xiàn)誤操作和違規(guī)操作造成的事故。 一旦發(fā)生操作事故，很難快速定位原因和責(zé)任人。

四、運(yùn)維思維：運(yùn)維堡壘機(jī) 一、堡壘機(jī)簡介

1）堡壘機(jī)的概念起源于跳板機(jī)；

2005年，啟智科技研發(fā)出全球第一臺運(yùn)維堡壘機(jī)； （啟智科技官網(wǎng)）

2）啟智科技堡壘機(jī)：

3）堡壘機(jī)是切斷終端對計算機(jī)網(wǎng)絡(luò)和服務(wù)器資源的直接訪問，以契約代理的形式接管終端計算機(jī)對網(wǎng)絡(luò)和服務(wù)器的訪問。

二、堡壘機(jī)的功能 三、堡壘機(jī)的核心功能 1）單點(diǎn)登錄功能

支持對X11、Linux、Unix、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等一系列授權(quán)賬戶手動定期修改密碼，簡化密碼管理，讓用戶無需記憶眾多系統(tǒng)密碼，即可手動登錄目標(biāo)設(shè)備，方便安全。

2) 賬戶管理

設(shè)備支持統(tǒng)一的賬戶管理策略，可實(shí)現(xiàn)對所有服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等賬戶的集中管理，完成對賬戶全生命周期的監(jiān)控，并可為設(shè)備設(shè)置特殊角落，如：審計檢查員、運(yùn)維操作員、設(shè)備管理員等，滿足審計需求。

3）身份認(rèn)證

設(shè)備提供統(tǒng)一的認(rèn)證接口對用戶進(jìn)行認(rèn)證，支持動態(tài)密碼、靜態(tài)密碼、硬件密鑰、生物識別等多種身份認(rèn)證方式。 該設(shè)備具有靈活的自定義套接字，可以直接連接到其他第三方認(rèn)證服務(wù)器。 結(jié)合安全認(rèn)證方式，有效提高認(rèn)證的安全性和可靠性。

4）資源授權(quán)

設(shè)備提供基于用戶、目標(biāo)設(shè)備、時間、協(xié)議類型IP、行為等要素的細(xì)粒度操作授權(quán)，最大程度保障用戶資源安全。

5）訪問控制

設(shè)備支持針對不同用戶制定不同策略，細(xì)粒度的訪問控制，最大限度保護(hù)用戶資源安全，杜絕非法、未授權(quán)訪問事件的發(fā)生；

6）運(yùn)行審計

設(shè)備可以對字符串、圖形、文件傳輸、數(shù)據(jù)庫等安全操作進(jìn)行行為審計； 通過設(shè)備視頻監(jiān)控運(yùn)維人員對操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫的各種操作，并對違規(guī)行為進(jìn)行審計。 過程控制； 精準(zhǔn)搜索終端指令信息，精準(zhǔn)定位錄像；

4. 堡壘機(jī)應(yīng)用場景

1）多個用戶使用同一個賬戶

大多出現(xiàn)在同一個工作組，因?yàn)楣ぷ餍枰?，系統(tǒng)管理員賬號是唯一的，所以只能多個用戶共享同一個賬號； 一旦發(fā)生安全事故，除了無法定位賬戶的實(shí)際使用人和責(zé)任人外，也無法對賬戶進(jìn)行核實(shí)。 有效控制使用范圍，存在較大安全隱患和隱患；

2) 一個用戶使用多個賬戶。

目前，一個維護(hù)人員使用多個賬號的情況比較普遍。 用戶需要記憶多組密碼，同時在多組主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備之間切換，提高了工作效率，降低了工作復(fù)雜度；

3）缺乏統(tǒng)一的權(quán)限管理平臺，無法實(shí)現(xiàn)更細(xì)粒度的指揮權(quán)限控制。

維護(hù)人員權(quán)限多為粗放式管理，沒有基于最小權(quán)限分配原則的用戶權(quán)限管理，無法實(shí)現(xiàn)更細(xì)粒度的指揮權(quán)限控制，系統(tǒng)安全性難以得到充分保障；

4) 沒有制定統(tǒng)一的訪問審計策略，審計精細(xì)度粗糙。

每個網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和數(shù)據(jù)庫都被單獨(dú)審計和記錄訪問行為。 由于沒有統(tǒng)一的審計策略，各個系統(tǒng)自身的審計日志內(nèi)容不盡相同，無法通過系統(tǒng)自身的審計及時發(fā)現(xiàn)違規(guī)操作并追究取證；

5）傳統(tǒng)的網(wǎng)絡(luò)安全審計系統(tǒng)無法對維護(hù)人員常用的SSH、RDP等加密、圖形化操作合約的內(nèi)容進(jìn)行審計。

5. 目標(biāo)價值 1) 目標(biāo)

堡壘機(jī)的核心思想是在邏輯上將人與目標(biāo)設(shè)備分開，構(gòu)建“人->主賬號（堡壘機(jī)用戶賬號）->授權(quán)->從賬號（目標(biāo)設(shè)備賬號）”的模式)；在這些模式中，基于唯一身份標(biāo)識，通過對賬戶管理、授權(quán)管理和安全策略審計的集中管控，對“主賬戶->登錄->訪問操作”的全流程進(jìn)行完整的審計管理->維護(hù)人員注銷”，實(shí)現(xiàn)對各種運(yùn)維的加密/非加密、graph-op合約的命令級審計。

2）系統(tǒng)值

堡壘機(jī)的作用主要表現(xiàn)在以下幾個方面：

企業(yè)視角

通過細(xì)粒度的安全管控策略服務(wù)器運(yùn)維，保障企業(yè)服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等安全可靠運(yùn)行，增加人身安全風(fēng)險，防范安全損失，保障企業(yè)利益。

管理員視角

針對使用超級管理的多個賬戶同時操作，需要實(shí)名制認(rèn)證和自然人關(guān)聯(lián)。

普通用戶視角

運(yùn)維人員只需記住一個賬號和密碼，一次登錄，即可實(shí)現(xiàn)對自己維護(hù)的多臺設(shè)備的訪問。 無需記憶多個帳號和密碼，提高工作效率，降低工作復(fù)雜度。

六、申請

用于單點(diǎn)登錄的主機(jī)應(yīng)用程序系統(tǒng)。 目前，中國聯(lián)通、中國移動、中國聯(lián)通廣泛使用堡壘機(jī)來完成中國薩班斯法案要求的單點(diǎn)登錄和審計。

在工商銀行、證券等金融機(jī)構(gòu)中，堡壘機(jī)也被廣泛用于完成財務(wù)會計業(yè)務(wù)的審計。

電力行業(yè)雙網(wǎng)改造工程后，利用堡壘機(jī)完成雙網(wǎng)隔離后的跨網(wǎng)訪問問題，也可以解決兩網(wǎng)間訪問的安全問題。

七、相關(guān)廠商

目前，已經(jīng)有不少廠商開始投身于這一領(lǐng)域，如：思芙迪、帕拉迪斯、三博潤、上思卓越、綠盟科技、[3]科優(yōu)、啟智、金萬維、Polar、派拉等，這些都是行業(yè)內(nèi)均是專業(yè)廠商，深受企業(yè)用戶的好評，但各廠商的產(chǎn)品側(cè)重點(diǎn)不同。

以某運(yùn)維安全審計產(chǎn)品為例，其產(chǎn)品更側(cè)重于運(yùn)維安全管理。 是集單點(diǎn)登錄、賬戶管理、身份認(rèn)證、資源授權(quán)、訪問控制、操作審計為一體的新一代運(yùn)維安全審計產(chǎn)品，可以對操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等事后追溯，全面解決企業(yè)運(yùn)維安全問題，提升企業(yè)IT運(yùn)維管理水平。

八、堡壘機(jī)功能 1）身份認(rèn)證與授權(quán)管理

完善的用戶管理機(jī)制和靈活的認(rèn)證形式

為解決企業(yè)IT系統(tǒng)普遍存在的交叉運(yùn)維難以確定責(zé)任的問題，堡壘機(jī)提出了“賬戶集中管理”的解決方案； 集中的賬戶管理可以完成對賬戶整個生命周期的監(jiān)控和管理，同時也增加了企業(yè)管理大量用戶賬戶的難度和工作量。 同時，通過統(tǒng)一管理，可以及時發(fā)現(xiàn)賬戶中存在的安全隱患，制定統(tǒng)一規(guī)范的用戶賬戶安全策略。 對于平臺內(nèi)創(chuàng)建的運(yùn)維用戶，可支持靜態(tài)密碼、動態(tài)密碼、數(shù)字證書等認(rèn)證方式； 支持密碼硬度、密碼有效期、密碼嘗試死鎖、用戶激活等安全管理功能； 支持用戶組管理； 支持用戶信息導(dǎo)出導(dǎo)入，方便批量處理。

2）細(xì)粒度靈活的授權(quán)

系統(tǒng)提供基于用戶、運(yùn)維合約、目標(biāo)主機(jī)、運(yùn)維時間段（年、月、日、周、時間）等組合的授權(quán)功能，實(shí)現(xiàn)細(xì)粒度的授權(quán)功能，滿足用戶的實(shí)際授權(quán)需求。 授權(quán)可以基于：用戶對資源、用戶組對資源、用戶對資源組、用戶組對資源組。

單點(diǎn)登錄功能是運(yùn)維人員通過堡壘機(jī)的認(rèn)證授權(quán)后，堡壘機(jī)可以根據(jù)配置策略手動登錄后臺資源。 保證了運(yùn)維人員與后臺資源賬號的對應(yīng)關(guān)系可控，同時實(shí)現(xiàn)了后臺資源賬號密碼的統(tǒng)一保護(hù)和管理。 系統(tǒng)提供運(yùn)維用戶手動登錄后臺資源的功能。 堡壘機(jī)可手動獲取后臺資源賬戶信息，并根據(jù)密碼安全策略定期手動修改后臺資源賬戶密碼； 根據(jù)管理員的配置，運(yùn)維用戶對應(yīng)后臺資源賬號，限制賬號的非授權(quán)使用； 運(yùn)維用戶通過堡壘機(jī)認(rèn)證授權(quán)后，SSA根據(jù)分配的賬號實(shí)現(xiàn)手動登錄后臺資源。

九、運(yùn)維事件控制 1）實(shí)時監(jiān)控

監(jiān)控正在運(yùn)維的會話，信息包括被運(yùn)維用戶、被運(yùn)維客戶端地址、資源地址、協(xié)議、啟動時間等：監(jiān)控正在訪問的后臺資源，提供在線運(yùn)維運(yùn)行實(shí)時監(jiān)控功能。 對于命令交互合約，可以實(shí)時監(jiān)控運(yùn)維中的各種操作，信息與運(yùn)維客戶端看到的完全一致。

2) 非法操作實(shí)時預(yù)警和攔截

針對運(yùn)維過程中可能存在的操作風(fēng)險隱患，SSA根據(jù)用戶配置的安全策略，在運(yùn)維過程中實(shí)施違規(guī)操作檢查，并對違規(guī)操作進(jìn)行實(shí)時告警和阻斷，從而降低操作風(fēng)險，提高安全管控能力。 非字符合約的操作可被實(shí)時阻止；

角色合約的操作可以通過用戶配置的命令行規(guī)則進(jìn)行匹配，實(shí)現(xiàn)報警和攔截。 告警動作支持提權(quán)、會話阻塞、郵件告警、短信告警等。

10. 運(yùn)維風(fēng)波事后審計 1) 普通合約是否可以記錄完整的對話過程？

只有堡壘機(jī)可以完整記錄SSH/FTP//SFTP/Http/Https/RDP/X11/VNC等日常運(yùn)維合約，滿足日后審計需要； 審計結(jié)果可以視頻和日志的形式呈現(xiàn)，視頻信息包括運(yùn)維用戶名、目標(biāo)資源名、客戶端IP、客戶端計算機(jī)名、協(xié)議名、運(yùn)維開始時間、結(jié)束時間、操作和維護(hù)時間等

2）詳細(xì)的審計和回放

只有運(yùn)維人員以會話為單位對會話中的視頻進(jìn)行操作時，才能對用戶名、日期、內(nèi)容進(jìn)行單一查詢和組合查詢定位。 根據(jù)操作內(nèi)容中的運(yùn)維用戶、運(yùn)維地址、后臺資源地址、協(xié)議、開始時間、結(jié)束時間、關(guān)鍵字組合進(jìn)行組合查詢； 對于命令串形式的合約，逐字命令及相關(guān)操作結(jié)果展示：提供圖像回放，真實(shí)、直觀、可視化再現(xiàn)當(dāng)時的操作過程； 回放提供快放、慢放、拖拽等多種方式，搜索按鈕輸入關(guān)鍵詞可直接定位回放； 針對RDP、X11、VNC合約，提供按時間定位播放功能。

3）豐富的審計報表功能

堡壘機(jī)系統(tǒng)平臺可以對運(yùn)維人員的日常操作、會話管理員對審計平臺的操作配置、報表數(shù)量等進(jìn)行各種報表的統(tǒng)計分析。 報表包括：日報表、會話報表、自審計運(yùn)行報表、報警表、綜合統(tǒng)計報表，自定義報表可根據(jù)個性化需求設(shè)計解讀。 以上報表可以EXCEL格式輸出，可以折線圖、柱狀圖、餅圖等圖形方式進(jìn)行解讀。

4) 應(yīng)用發(fā)布

針對用戶獨(dú)特的運(yùn)維需求，堡壘機(jī)推出了業(yè)界領(lǐng)先的虛擬桌面主機(jī)安全操作系統(tǒng)設(shè)備。 只有配合堡壘機(jī)進(jìn)行審計，才能充分滿足審計、控制、授權(quán)的要求。 借助本產(chǎn)品、數(shù)據(jù)庫維護(hù)工具等工具，對運(yùn)維操作進(jìn)行監(jiān)控和審計。

11. 特點(diǎn) 1) 超全審計合同范圍

平臺采用基于數(shù)據(jù)包還原的合約分析和虛擬化技術(shù)，實(shí)現(xiàn)操作界面模擬，將所有操作轉(zhuǎn)化為圖形化界面進(jìn)行解釋，實(shí)現(xiàn)審計信息100%不丟失：圖形化審計功能對運(yùn)維操作的解釋，同時可以對字符進(jìn)行分析，包括命令行操作的命令，非字符操作時的回顯信息和鼠標(biāo)鼠標(biāo)點(diǎn)擊信息。

系統(tǒng)支持的審計合約和工具包括：

2) 合同和工具包括 3) 報告管理

平臺具有豐富的報表統(tǒng)計功能，可以進(jìn)行默認(rèn)報表和自定義報表進(jìn)行運(yùn)維數(shù)據(jù)的報表統(tǒng)計。

平臺提供多種報表格式，包括Word、Excel等。

平臺提供折線圖、餅圖、柱狀圖等多種圖表統(tǒng)計運(yùn)維數(shù)據(jù)，方便后期運(yùn)維分析和管理。

4）建立用戶管理權(quán)限的機(jī)制

平臺對用戶的管理權(quán)限嚴(yán)格界定，各司其職。 分為四種管理員角色：系統(tǒng)管理員、審計管理員、運(yùn)維管理員、密碼管理員。 該平臺還支持自定義創(chuàng)建管理員角色。 管理權(quán)限精細(xì)化設(shè)置，確保平臺用戶安全管理滿足審計要求

平臺集用戶管理、身份認(rèn)證、資源授權(quán)、訪問控制、操作審計于一體，有效實(shí)現(xiàn)事前預(yù)防、事中控制、事后審計。

5）高效的處理能力

審計平臺可以完整透明轉(zhuǎn)發(fā)常見的SSH//FTP/SFTP/HTTP/HTTPS//X11、VNC合約，對RDP/VNC/X11等圖形化合約的處理能力強(qiáng)于同類產(chǎn)品。

6）可擴(kuò)展性和兼容性

平臺采用模塊化設(shè)計，單個模塊故障不影響其他模塊的使用，提高了平臺的健壯性和穩(wěn)定性。

運(yùn)維人員登錄可支持統(tǒng)一登錄，兼容終端C/S客戶端連接設(shè)備；

審計平臺認(rèn)證形式可定制，兼容第三方認(rèn)證設(shè)備

憑借強(qiáng)大的研發(fā)能力，不僅可以為客戶提供常年的產(chǎn)品更新，還可以根據(jù)客戶的實(shí)際需求進(jìn)行定制化開發(fā)。

7）靈活的部署形式

堡壘機(jī)提供審計管理功能，功能完善，操作靈活，使用方便，界面友好，習(xí)慣； B/S方式實(shí)現(xiàn)后臺各種管理配置。

該平臺簡單易部署。 通過配置導(dǎo)航，可以在短時間內(nèi)完成配置需求，實(shí)現(xiàn)上線需求。

8) 建立系統(tǒng)安全設(shè)計

12.案例A連鎖酒店公司

客戶現(xiàn)狀及需求：

IT系統(tǒng)分散在全省總店和分店連鎖餐廳。 每個餐廳都有相應(yīng)的技術(shù)人員進(jìn)行系統(tǒng)運(yùn)維； 總部還設(shè)有運(yùn)維人員，對全省IT系統(tǒng)的整體運(yùn)維質(zhì)量負(fù)最終責(zé)任。 責(zé)任。

酒店實(shí)體越來越多，總部IT運(yùn)維工作越來越復(fù)雜，運(yùn)維問題越來越突出。 一個最基本的場景是：當(dāng)某酒店的IT系統(tǒng)出現(xiàn)問題，當(dāng)?shù)氐腎T運(yùn)維人員無法解決時，就會打電話給總部求助。 這個時候，總部的技術(shù)工程師根本就無法了解到最原始的問題，因?yàn)樵瓉淼膯栴}經(jīng)過分公司運(yùn)維工程師的操作已經(jīng)完全變了，可能還會引入新的問題。 沒有解決問題的線索。 所以總部的工程師們很想知道從一開始的問題假象到分公司運(yùn)維人員的運(yùn)維到底是怎么回事。 此外，還有其他運(yùn)維問題列舉如下：

1、運(yùn)維人員管理方式落后，當(dāng)時沒有明確職責(zé)，沒有對各方運(yùn)維工作的質(zhì)量和數(shù)量進(jìn)行有效的評價和評價。

2.沒有設(shè)備賬號管理。 連鎖酒店的每位運(yùn)維人員負(fù)責(zé)多套信息系統(tǒng)的運(yùn)維管理。 同時，在大多數(shù)情況下，某一套信息系統(tǒng)往往需要多名運(yùn)維人員共同管理。 在這種情況下，密碼丟失、登錄失敗、密碼被隨意更改等情況時有發(fā)生。 而且，對于第三方維護(hù)人員來說，沒有更強(qiáng)大的設(shè)備賬號檢測機(jī)制和有效的生命周期管理機(jī)制；

解決方案：

進(jìn)行統(tǒng)一認(rèn)證，認(rèn)證成功后，進(jìn)行有權(quán)限的IT設(shè)備的運(yùn)維。 整個運(yùn)維過程全程錄像，對危險操作具有報警、阻斷功能。

通過這些“跳板機(jī)”解決方案，運(yùn)維人員只需要記住一個密碼，就可以操作和維護(hù)授權(quán)的設(shè)備。 使用運(yùn)維審計集中管理客戶端軟件，可讓總部運(yùn)維人員隨時查詢分散在全省各地的酒店IT系統(tǒng)的運(yùn)維視頻，遠(yuǎn)程視頻也能流暢播放通過播放器。

客戶利潤：

運(yùn)維安全審計堡壘平臺后，所有運(yùn)維人員以統(tǒng)一用戶登錄系統(tǒng)； 所有操作和維護(hù)操作均有記錄； 操作對應(yīng)的是真實(shí)的自然人，而不是設(shè)備賬號。 出現(xiàn)問題后，可快速調(diào)出運(yùn)維操作視頻進(jìn)行排查，并可根據(jù)視頻追溯問題根源，直接定位問題癥結(jié)，提供寶貴的第一手資料用于解決 IT 系統(tǒng)故障的信息。

部署安全審計堡壘平臺后，平均解決問題時間縮短至1-2小時，運(yùn)維質(zhì)量得到數(shù)量級提升。 另外，因?yàn)橛幸曨l可供學(xué)習(xí)、交流和參考，一定程度上提升了所有運(yùn)維人員的運(yùn)維體驗(yàn)。

中國某商業(yè)銀行

客戶現(xiàn)狀及需求：

就內(nèi)部運(yùn)維管理安全而言，原有的人工管理手段已經(jīng)不能滿足當(dāng)前和未來業(yè)務(wù)發(fā)展的要求。 為此，建行提出按照國家相關(guān)法律法規(guī)的要求，按照建行業(yè)務(wù)系統(tǒng)自身安全等級保護(hù)規(guī)則的要求，建設(shè)服務(wù)器和設(shè)備接入安全管理系統(tǒng)，使系統(tǒng)安全管理人員可以對信息系統(tǒng)的用戶和各種資源進(jìn)行監(jiān)控。 實(shí)行集中管理、集中授權(quán)、集中審計，從技術(shù)上保障信息系統(tǒng)安全政策的落實(shí)。 具體需要滿足以下功能需求：

1. 賬戶集中管理，但只能對用戶進(jìn)行一定的權(quán)限定義和管理；

2. 權(quán)限控制，對用戶進(jìn)行細(xì)粒度的權(quán)限控制，將用戶和設(shè)備關(guān)聯(lián)起來進(jìn)行運(yùn)維的目標(biāo)設(shè)備；

3、在運(yùn)維過程中，可對違規(guī)信息進(jìn)行預(yù)警、增加權(quán)限、攔截操作，實(shí)現(xiàn)活動過程中的實(shí)時審計管理；

4、事后審核錄像可回放、復(fù)式查詢、定位回放等便捷操作；

解決方案：

該銀行選擇了某品牌的堡壘機(jī)作為其安全審計項(xiàng)目的參與者。

構(gòu)建RBAC角色授權(quán)機(jī)制，通過用戶和設(shè)備，集中用戶管理，有效定義用戶在設(shè)備管理中的權(quán)限，如“三權(quán)”（系統(tǒng)管理員權(quán)限、運(yùn)維管理員權(quán)限、審計管理員權(quán)限）的劃分關(guān)聯(lián)管理實(shí)現(xiàn)了用戶運(yùn)維權(quán)限的細(xì)分； 之后，通過一些安全策略設(shè)置來增加非法操作對資源造成的破壞。 雖然出現(xiàn)問題，但可以通過視頻查詢進(jìn)行“事發(fā)現(xiàn)場”回放，實(shí)現(xiàn)防控。 、審核一站式； 具體來說，在銀行的運(yùn)維管理項(xiàng)目中，實(shí)現(xiàn)了以下幾點(diǎn)：

1、在對用戶進(jìn)行集中管理的同時，也定義了相應(yīng)的權(quán)限，權(quán)限獨(dú)立、清晰；

2、能夠提前預(yù)防，針對銀行擁有大量第三方維護(hù)人員的情況，采取多樣化的角色類型和接入策略；

3、實(shí)現(xiàn)對設(shè)備資源非法操作的權(quán)限提升和告警，發(fā)現(xiàn)嚴(yán)重違規(guī)操作時直接阻止操作； （權(quán)限增強(qiáng)是指：個別指令需要更高級別角色的臨時授權(quán)才能執(zhí)行。）

4、實(shí)現(xiàn)事后審核的方便快捷，結(jié)合視頻查詢定位，直接找到問題點(diǎn)；

客戶利潤：

對內(nèi)部運(yùn)維人員工作流程進(jìn)行了梳理，明確了IT系統(tǒng)和設(shè)備對其運(yùn)維的職責(zé)。 事實(shí)上，通過運(yùn)維審計體系的約束，這樣的約束和流程越來越清晰，業(yè)務(wù)數(shù)據(jù)的安全性和IT系統(tǒng)的運(yùn)維都得到了顯著提升。

但由于堡壘機(jī)產(chǎn)品沿用了國際流行的RBAC角色授權(quán)機(jī)制，以及P2DR安全模型、4A身份認(rèn)證等安全防護(hù)體系，使銀行信息系統(tǒng)安全防護(hù)水平有了質(zhì)的飛躍。

某期貨機(jī)構(gòu)

問題描述：

難以客觀支付報酬； 不僅如此，更為嚴(yán)重的是，在軟件開發(fā)過程中服務(wù)器運(yùn)維，由于某軟件外包公司開發(fā)人員的誤操作，導(dǎo)致期貨機(jī)構(gòu)部分系統(tǒng)模塊突然無法正常使用，持續(xù)時間長達(dá)10分鐘。 10分鐘損失數(shù)百萬美元，造成了嚴(yán)重的負(fù)面影響。 既然沒有證據(jù)證明是軟件外包商干的，后果只能自己承擔(dān)； 同時，機(jī)構(gòu)的運(yùn)維管理也存在一定的問題，越權(quán)運(yùn)維、誤操作、共享賬號等運(yùn)維問題也時有發(fā)生，那么如何實(shí)現(xiàn)運(yùn)維審計并同時實(shí)現(xiàn)運(yùn)維管理是組織信息中心主任急需解決的問題？

解決方案：

在期貨機(jī)構(gòu)后續(xù)的發(fā)展過程中，所有的運(yùn)維和開發(fā)人員都必須經(jīng)過一道“門”。 這道“閘門”就是金萬維的運(yùn)維安全審計系統(tǒng)。 之后根據(jù)設(shè)定的權(quán)限對目標(biāo)設(shè)備進(jìn)行運(yùn)維，并記錄整個運(yùn)維過程； 并且可以通過報表和圖表統(tǒng)計和審計每個運(yùn)維人員每晚、每周、每月的運(yùn)維情況。 同時實(shí)現(xiàn)了運(yùn)維管理；

客戶利潤：

通過部署運(yùn)維安全審計系統(tǒng)，期貨機(jī)構(gòu)運(yùn)維人員與第三方機(jī)構(gòu)外包開發(fā)人員進(jìn)行統(tǒng)一賬戶管理，對運(yùn)維進(jìn)行“生命周期”自動化管理第三方開發(fā)者的維護(hù)賬號。 使用時間過后，第三方開發(fā)者將無權(quán)再使用該運(yùn)維賬號登錄。 期貨機(jī)構(gòu)不僅可以針對危險操作行為設(shè)置安全策略，盡量將已知風(fēng)險降到最低； 在未來的發(fā)展過程中，期貨機(jī)構(gòu)可以通過運(yùn)維報表中的統(tǒng)計數(shù)據(jù)來支付工資，并對“矛盾”的問題進(jìn)行視頻回放，找到問題的根源； 在實(shí)現(xiàn)運(yùn)維管理的同時，真正實(shí)現(xiàn)了運(yùn)維審計，為期貨機(jī)構(gòu)的信息化建設(shè)做出了重大貢獻(xiàn)；

某互聯(lián)網(wǎng)IT公司

問題描述：

A well-known IT in still aims to with -edge and in the field of media , such as SEM/SEO/ , , etc. the , and R&D teams have also been in and . The and a .

With the of R&D and the of scale, some have been , such as , and , no of and , to find the for , and for the R&D . The and work be and other are the work and of the team;

解決方案：

After a well-known IT in found us, they on-site and , and found that the main "crux" was that the were not only the , but also often at home, into the IT in other for and . At the same time, the of login was . , The and is not , the is too , there is no for the and , and there is no and for the of and of the ; " the right " after the and audit . All R&D must be “” the audit , and can carry out and work. The main R&D can be by such as and cards. User are “” at the same time. All video are out. On the one hand, the video can be used as "error ", and on the other hand, it can be used as a " "; the of the and audit , the root can be , and the and audit ;

:

The of the and audit has the of the team, and a solid for and safe ; the audit video is used as the video, and the and is used as the basis, which the new for the team. and KPI . it is from the of or the of and , it can and work .