安恒明御运维审计与风险控制系统_安恒明御堡垒机

安恒明御运维审计与风险控制系统

业务要求 - 运维“零信任”、数据更安全 icon

传统网络环境将企业内部网络定义为“可信区域”，这个区域内部的所有计算资源可以互相通信，没有做到权限最小化原则。运维人员更被赋予了无上的最高权限。零信任的本质其实就是基于身份的访问控制，即确保正确的用户可以被分配到正确的访问权限，可以在正确的情境下对正确的IT资源进行访问，并且用户的访问权限会被持续进行评估，最终确保访问授权的正确性和安全性。

政策要求 - 全行业统一标准 icon

等级保护

1，安全审计 2，身份鉴别 3，系统管理 4，审计管理 5，安全管理

商业银行信息科技风险管理指引

1，访问授权以“必须知道”和“最小授权”为原则 3，审批和授权 4，建立内部审计、外部审计和监管发现问题的整改处理机制。

全国基层医疗卫生机构信息化建设标准与规范

1，安全运维：运维审计 2，身份认证：电子信息鉴别，用户身份鉴别。

国家电子政务外网标准

除了对传统的行为、数据库、运维人员等审计外，还需要根据云计算的特点，对远程操作管理、资源调度和弹性扩展等进行审计

运维审计与风险控制系统 icon

明御运维审计与风险控制系统（简称：堡垒机或跳板机）是安恒信息结合多年运维安全管理理论和实际运维经验的基础上，结合各类法令法规(如等级保护、分级保护、银监、证监、PCI、企业内控管理、SOX塞班斯、ISO27001等) 对运维管理的要求，并提供4A(认证Authentication、账号Account、授权Authorization、审计Audit)的统一安全管理方案。IAM（简称“大4A”）是一套全面的建立和维护数字身份，并提供有效地、安全地IT资源访问的业务流程和管理手段，从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。堡垒机专门针对运维人员设计可以称为“小4A”。

产品功能

用户分权管理

支持多种用户角色:超级管理员、部门管理员、配置管理员、审计管理员、运维员、审计员、系统管理员、密码管理员，每种用户角色的权限都不同，为用户设立不同的角色提供了选择，满足合规对三权分立的要求，并提供灵活的角色自定义能力。

集中运维授权

通过堡垒机的集中授权，帮助客户梳理用户与主机之间的关系，并且提供一对一、一对多、多对一、多对多的灵活授权模式。

资产单点登录

支持托管主机的账户和密码，运维人员登录堡垒机后选择相应资产即可成功自动登录到目标主机中进行运维操作，无需输入主机的账户和密码。

精细命令控制

提供集中的命令控制策略功能，支持字符协议及数据库协议的命令级策略控制，支持通配符和正则表达式两种方式，实现阻断会话、阻断命令审批、直接放行4种动作。

统一操作审计

对所有的操作进行详细记录，并提供综合查询功能; 审计日志可以在线播放也可以离线播放，所有的审计日志支持自动备份和自动归档。

堡垒机 vs 特权账号 vs 账号集中管理（如LDAP） icon

堡垒机

关注运维层面，主要关注的是运维人员到资产之间的运维控制与审计。

特权账号（PAM）

关注账号管理，在堡垒机基础之上增加了密码开放API接口，加强了对第三方系统的控制。

账号集中管理（如LDAP）

关注个人账户，主要记录与控制的是用户的信息，可以和堡垒机、特权账号配合使用。

方案优势

远程运维安全接入

内置SSL VPN功能，实现远程运维的安全接入，保证数据传输安全。

统一认证高效运维

提供本地认证，AD/LDAP/Radius远程认证、动态口令、usbkey、手机APP口令等双因子认证。

灵活的权限控制

用户只能运维堡垒机中已授权的服务器，降低越权操作和高危操作的风险。

运维审计满足合规

所有远程运维操作，均可进行审计录像，方便事后追踪溯源，满足合规建设要求。

文件传输双向控制

支持灵活的文件传输双向控制，支持传输文件留存，有效防止数据泄漏风险。

快速部署成本低

旁路部署，快速上线；公有云市场堡垒机可店铺下单，支持按月付费。

丰富的资产运维支持

支持最全面的协议

图形协议：RDP、VNC；字符协议：SSH、TELNET、Rlogin；文件传输协议：SFTP、FTP、RZSZ、SCP；数据库协议：Oracle、SQL Server、MySQL、DB2、PostgreSQL、达梦、金仓。

支持最丰富的资产类型

主机、交换机、防火墙、路由器、存储系统、安全设备、数据库、Web 应用，所有数据中心的设备均支持运维。

支持应用中心协议扩展

搭配应用中心，支持http/https、特殊化运维工具，密码代填，参数代填。

最齐全的运维方式

运维方式是堡垒机最为关键的功能，其是否方便易用、符合原来运维习惯、灵活而适合各种场景很大程度决定了堡垒机能否推广成功，得到运维人员的认可。

全面的文件传输审计

细粒度控制策略、降低违规、越权、误操作的风险 icon

混合云集中管理运维

混合云管理功能，通过代理服务器转发技术，实现单一堡垒机管理多云，多网络，多区域主机资源统一管理，降低建设成本

HA+集群，实现高可用，高负载 icon

内置VPN

内置SSL VPN功能，实现远程运维的安全接入，堡垒机与VPN合二为一，有效降低用户建设成本

资产全生命周期管理

资产巡检
资源自动发现

资源快速添加

资产状态检查

账号巡检
账号自动发现

账号快速添加

账号状态检查

混合云管理
多网络管理

无感知连接

五大公有云资产同步

密码管理
国密算法加密存储

Windows/Linux/网络设备/数据库/Web应用自动改密

应用中心能力增强

用户/数据隔离
通过创建独立账户的方式，将运维人员进行隔离

集群部署
部署多台应用发布，保证应用发布高可用

Web应用代填/改密
独创的代填/改密方案，普适性更强

数据库完整审计

SQL语句双向审计（上行+下行）

记录执行时间、操作类型，完整的执行语句、相关表、影响行数、返回结果信息

数据库图形+字符协同审计

利用图形化与字符相结合，立体化进行审计分析

SQL语句人机智能分离

智能分析此条语句为客户端自动发起行为还是人为行为

安恒堡垒机其他核心能力 icon

用户管理
内置多种角色&自定义用户角色

用户密码自助找回

按“部门”进行用户/资产隔离 AD/LDAP周期检查

运维管理
会话协同 H5文件传输

（支持RDP网盘）

批量运维登录

运维全程加水印

资产管理
资产密码分段导出

资产信息自动收集

资产自动运维

应用发布批量导入导出

其他能力
运维工单&密码工单

去Flash

NAS外置存储对接

内置SSL VPN

资质实力

安恒堡垒机已经获得国内产品的所有资质，拥有CNNVD、IPV6金牌、EAL3+（国测）、保密、3C、销售许可证等资质，行业内资质最全，见证产品最强实力

应用场景

本地运维访问控制

核心价值：

物理旁路，逻辑串联，轻松部署上线集中管理主机数据库资源，统一运维入口严格的访问权限控制，降低运维安全风险字符+图形多样化记录，审计溯源更省心 HA+集群能力，支持大规模数据中心管理。

适用场景：

安恒堡垒机适用于所有存在等级保护，运维审计合规性要求的客户，例如政府、金融、教育、医疗等行业安恒堡垒机适用于存在内网运维访问控制管理诉求的客户，例如企业、互联网等行业。

混合云运维管理

核心价值：

极速交付，快速部署：在阿里云、腾讯云、AWS等公有云市场搜索“安恒堡垒机”，镜像交付，一键部署。配置简单，急速上线：仅需要提供一台windows或linux服务器作为代理服务器，实现云上云下运维统一管理。使用简单，无需插件：只要您电脑上有浏览器，就可使用H5运维，无需安装任何软件。精细控制，全程审计：权限精细划分，操作全程录像审计，安全加倍。

适用场景：

安恒堡垒机适用于云上有主机资源的中小企业、单位，允许审计数据云上存储，可按月付费。安恒堡垒机适用于存在本地数据中心+云上主机资源统一运维管理需求的客户。