传统网络环境将企业内部网络定义为“可信区域”，这个区域内部的所有计算资源可以互相通信，没有做到权限最小化原则。 运维人员更被赋予了无上的最高权限。 零信任的本质其实就是基于身份的访问控制，即确保正确的用户可以被分配到正确的访问权限，可以在正确的情境下对正确的IT资源进行访问，并且用户的访问权限会被持续进行评估，最终确保访问授权的正确性和安全性。

明御运维审计与风险控制系统（简称：堡垒机或跳板机）是安恒信息结合多年运维安全管理理论和实际运维经验的基础上，结合各类法令法规(如等级保护、分级保护、银监、证监、PCI、企业内控管理、SOX塞班斯、ISO27001等) 对运维管理的要求，并提供4A(认证Authentication、账号Account、授权Authorization、审计Audit)的统一安全管理方案。IAM（简称“大4A”）是一套全面的建立和维护数字身份，并提供有效地、安全地IT资源访问的业务流程和管理手段，从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。 堡垒机专门针对运维人员设计可以称为“小4A”。

支持多种用户角色:超级管理员、部门管理员、配置管理员、审计管理员、运维员、审计员、系统管理员、密码管理员，每种用户角色的权限都不同， 为用户设立不同的角色提供了选择，满足合规对三权分立的要求， 并提供灵活的角色自定义能力。

通过堡垒机的集中授权，帮助客户梳理用户与主机之间的关系，并且提供一对一、一对多、多对一、多对多的灵活授权模式。

支持托管主机的账户和密码，运维人员登录堡垒机后选择相应资产即可成功自动登录到目标主机中进行运维操作，无需输入主机的账户和密码。

关注运维层面，主要关注的是运维人员到资产之间的运维控制与审计。

关注账号管理，在堡垒机基础之上增加了密码开放API接口，加强了对第三方系统的控制 。

关注个人账户，主要记录与控制的是用户的信息，可以和堡垒机、特权账号配合使用。

内置SSL VPN功能，实现远程运维的安全接入，保证数据传输安全。

提供本地认证，AD/LDAP/Radius远程认证、动态口令、usbkey、手机APP口令等双因子认证。

用户只能运维堡垒机中已授权的服务器，降低越权操作和高危操作的风险。

图形协议：RDP、VNC；字符协议：SSH、TELNET、Rlogin；文件传输协议：SFTP、FTP、RZSZ、SCP；数据库协议：Oracle、SQL Server、MySQL、DB2、PostgreSQL、达梦、金仓。

主机、交换机、防火墙、路由器、存储系统、安全设备、数据库、Web 应用，所有数据中心的设备均支持运维。

搭配应用中心，支持http/https、特殊化运维工具，密码代填，参数代填。

安恒堡垒机已经获得国内产品的所有资质，拥有CNNVD、IPV6金牌、EAL3+（国测）、保密、3C、销售许可证等资质，行业内资质最全，见证产品最强实力