1、堡壘機服務平臺產品概述目 錄 TOC o 1-3 h z u HYPERLINK l _Toc31992178 產品簡介產品概述 PAGEREF _Toc31992178 h 3 HYPERLINK l _Toc31992179 概述 PAGEREF _Toc31992179 h 3 HYPERLINK l _Toc31992180 系統架構 PAGEREF _Toc31992180 h 3 HYPERLINK l _Toc31992181 產品優勢 PAGEREF _Toc31992181 h 4 HYPERLINK l _Toc31992182 AI 與運維管理的高效結合 PAGEREF

2、_Toc31992182 h 4 HYPERLINK l _Toc31992183 強解釋性的 AI 報表 PAGEREF _Toc31992183 h 4 HYPERLINK l _Toc31992184 強大的資源管理能力 PAGEREF _Toc31992184 h 4 HYPERLINK l _Toc31992185 全面的賬號管理機制 PAGEREF _Toc31992185 h 4 HYPERLINK l _Toc31992186 超強的授權管理功能 PAGEREF _Toc31992186 h 4 HYPERLINK l _Toc31992187 單點登錄 SSO PAGEREF

3、 _Toc31992187 h 5 HYPERLINK l _Toc31992188 增強的計劃管理功能 PAGEREF _Toc31992188 h 5 HYPERLINK l _Toc31992189 審計管理 PAGEREF _Toc31992189 h 5 HYPERLINK l _Toc31992190 更專業的安全管理功能 PAGEREF _Toc31992190 h 5 HYPERLINK l _Toc31992191 應用場景 PAGEREF _Toc31992191 h 7 HYPERLINK l _Toc31992192 互聯網+業務 PAGEREF _Toc3199219

4、2 h 7 HYPERLINK l _Toc31992193 企業 PAGEREF _Toc31992193 h 7 HYPERLINK l _Toc31992194 金融 PAGEREF _Toc31992194 h 7 HYPERLINK l _Toc31992195 政務民生 PAGEREF _Toc31992195 h 7產品簡介產品概述19-12-23 11:00:24概述堡壘機（Bastion Host，BH）是集用戶（Account）管理、授權（Authorization）管理、認證（Authentication）管理和綜合審計（Audit）于一體的集中運維管理系統。堡壘機主要特

5、點：為企業提供集中的管理平臺，減少系統維護工作。為企業提供全面的用戶和資源管理，降低企業維護成本。幫助企業制定嚴格的資源訪問策略，并且采用強身份認證手段，全面保障系統資源安全。詳細記錄用戶對資源的訪問及操作，達到對用戶行為審計的需要。系統架構堡壘機采用層次化、模塊化設計，產品整體架構包括：資源層、接口管理層、核心服務層和統一展示層。資源層：負責提供各種類型資源的資源管理交互。接口管理層： 主要是實現核心層與外部產品、用戶資源系統之間的數據交互，包括賬號類、認證類、授權類和審計類接口。賬號和角色管理接口：實現資源從賬號的收集和同步管理。認證接口：實現與第三方強身份認證產品的聯動和主賬號認證。訪問

6、控制策略接口：實現訪問控制策略的下發。審計接口：接收外部系統產生的各類日志。通過數據接口層完成與各種應用系統的相關接口通信。核心服務層：完成系統各功能模塊的業務處理，包括身份管理，行為管理，審計管理以及協議代理等服務，每個模塊再細分若干子模塊完成各自的管理功能。核心層具體的功能模塊有：賬號管理、授權管理、認證管理和審計管理。統一展示層：負責用戶交互部分的展現，一方面可對用戶身份進行認證，并將可訪問資源及自服務信息展示給操作人員，另一方面，可供管理人員進行管理配置和審計查看，并將管理人員的輸入傳遞到核心服務層。產品優勢19-08-29 15:11:28AI 與運維管理的高效結合從時間、命令語句、

7、下載上傳操作、訪問 IP、服務器、用戶名等多個維度對審計記錄進行分析，將異常行為篩選并告警，確保內部惡意事件提前有效預防。強解釋性的 AI 報表AI 引擎具備邏輯鏈、上下文梳理、異常情況詳情等可視化模塊，能夠從異常行為相關事件、時間前后事件、異常原因等多個角度解釋 AI 所發現的內部隱患，避免純粹通過打分來展示異常事件，確保管理員能夠理解 AI 告警，并追溯 AI 告警。強大的資源管理能力資源數量統計：支持柱形圖方式查看系統中不同資源所占比例。資源類型：支持主流資源類型豐富，包含 Linux 資源、Windows 資源等其他常見資源類型。全面的賬號管理機制主賬號支持分組管理，分組可以采用樹形方

8、式展現，不限制分組層級數量。完整的用戶賬號集中管理：生命周期管理，實現賬號的創建、維護、修改、刪除的集中管理。用戶類型：自定義用戶類型，基于用戶類型進行用戶地址策略。AD 域同步：平臺與 AD 域數據同步，將 AD 域中 OU 或域用戶數據作為堡壘機系統組織結構和主賬號，實現數據統一，無需重復創建數據。從賬號管理：支持資源從賬號的管理，系統具有各種資源類型驅動器，能夠將資源上的賬號進行自動收集、推送、抽取、同步及屬性的變更等。超強的授權管理功能角色管理：系統支持自定義角色來進行權限管理。角色可按照組節點進行定義，從而實現分層分級管理模式。崗位授權：資源授權模式基于崗位授權，崗位授權即是建立崗位

9、，崗位上綁定資源賬號。此方式授權可進行遷移、授權粒度更細，并可針對崗位設置相關安全策略。單點登錄 SSO支持收藏夾功能：運維人員可將經常訪問的資源添加到收藏夾，而且支持批量單點登錄資源，體現平臺運維便捷性，易用性。一鍵式快速登錄，將目標資源的登錄配置信息保存為默認后，即可支持一鍵快速登錄目標資源。支持 su 用戶角色自動切換操作并代填密碼。增強的計劃管理功能自動改密計劃：支持所有被管設備的密碼自動變更計劃。管理員可以設置密碼策略，變更密碼需要符合密碼策略中關于密碼強度的要求。密碼撥測計劃：定期檢查平臺存儲的設備賬號密碼與設備實際密碼是否匹配，以便進行校驗密碼一致性，提高設備的安全性，避免密碼混

10、亂發生無法登錄現象。審計管理用戶圖形資源訪問時，支持鍵盤、剪切板、文件傳輸記錄，并且對圖形資源的審計回放時，可以從某個鍵盤、剪切板、文件傳輸記錄的指定位置開始回放。支持 Windows 圖形審計的監控，管理員可以隨時查看運維人員的操作，并且可以發送告警信息進行會話鎖定和解鎖。圖形審計支持畫質如灰度、真彩、偽真彩的設置，幀間隔，壓縮比等設置，可以大大縮減圖形審計產生錄像文件的大小，每十分鐘真彩模式下的審計錄像大小為0.5M左右。更專業的安全管理功能會話號再次訪問資源，提高資源訪問的安全性。審計開關：根據不同設備審計安全需求，客戶可自定義審計范圍。例如，字符（命令、內容、錄像）、圖形（像、鍵盤、上

11、下行剪切板、上下行文件傳輸）。服務端口變更：很多用戶為了提高設備的安全性，不采用標準的協議端口。平臺支持 FTP、telnet、ssh、遠程桌面等協議服務端口變更。產品自帶基礎的病毒檢測功能，在通過堡壘機進行文件傳輸時，自動對傳輸的文件進行防病毒檢測，并阻止帶病毒文件的傳輸，有限防護服務器的安全。應用場景19-08-29 15:11:39互聯網+業務互聯網+業務云上資源眾多，大量運維服務暴露在公網，且由于服務高度公開，容易被外部攻擊者盯上。堡壘機在業務資源遠程運維時，通過隱藏真實運維端口與真實管理賬戶，解決遠程運維安全問題。同時產品提供云上服務器運維日常審計，通過運維規則庫梳理不良運維習慣，減少運維事故，幫助業務系統長期穩定運行。企業企業內部通常存在大量經營數據等敏感信息，這些信息在行業中具有一定價值，且容易泄密。堡壘機為賬號與崗位進行細顆粒度的權限劃分，確保運維人員無法越權操作。金融金融行業具有大量金融、個人信息數據，且存在大量第三方代維機構，代維機構是否違規操作是金融企業需要重點關注的一個問題。堡壘機為賬號與崗位進行細顆粒度的授權控制，嚴格落實崗位規范，確保運維人員無法越