思福迪LogBase SOM运维安全管理平台_统一身份认证系统

思福迪LogBase SOM运维安全管理平台

思福迪LogBase SOM运维安全管理平台运维用户不再直接访问服务器，先访问堡垒机再进行跳转。为用户创建独立的运维账号，人员账号一一对应，有效辨别人员身份。将网络中所有服务器资源账号信息统一管理，无需再对用户提供账号信息。用户只能访问他有权访问管理的服务器与资源。

立即咨询

首页

数字化产品

监控与运维

思福迪LogBase SOM运维安全管理平台

运维现状

01
内部、开发商、服务商等

02
帐号管理无序，共享帐号现象普遍

03
权限粗放控制，往往过度授权

04
授权用户造成的安全事件频发

05
验证用户身份手段单一

06
大批量操作耗时费力

存在隐患

01
用户身份无法鉴别

02
访问操作无法控制

03
运维事故无法还原

04
直接接触核心业务

05
核心数据易泄露

06
操作行为无法审计

07
运维事故无法还原

08
事故责任相互推卸

合规需求分析

堡垒机起源

堡垒机是从跳板机（也叫前置机）的概念演变过来的。早在2000年左右，一些中大型企业为了能对运维人员的远程登录进行集中管理，会在机房部署一台跳板机。跳板机其实就是一台unix/windows操作系统的服务器，所有运维人员都需要先远程登录跳板机，然后再从跳板机登录其他服务器中进行运维操作。但跳板机并没有实现对运维人员操作行为的控制和审计，使用跳板机过程中还是会有误操作、违规操作导致的操作事故，一旦出现操作事故很难快速定位原因和责任人。此外，跳板机存在严重的安全风险，一旦跳板机系统被攻入，则将后端资源风险完全暴露无遗。同时，对于个别资源（如telnet）可以通过跳板机来完成一定的内控，但是对于更多更特殊的资源（ftp、rdp等）来讲就显得力不从心了。

产品设计思路

统一运维访问通道
运维用户不再直接访问服务器，先访问堡垒机再进行跳转。

统一人员身份鉴别
为用户创建独立的运维账号，人员账号一一对应，有效辨别人员身份。

统一资产管理
将网络中所有服务器资源账号信息统一管理，无需再对用户提供账号信息。

统一访问授权
用户只能访问他有权访问管理的服务器与资源。

统一审计管理
用户所有运维操作集中审计，统一管理

典型部署

物理旁路，逻辑串联

无需更改现有拓扑结构

即插即用，快捷部署

满足等级保护等合规性需求

应对基础业务需求

高可用部署

高可用性部署

物理旁路，逻辑串联

细粒度访问控制

满足等级保护等

合规性需求

应对高可用业务需求，避免单点故障

分布式部署

采用分布式部署（总-分）集中管理、分散运维，所有用户统一从集中管控平台进行访问

系统根据访问资源所在区域将会话重定向至分支机构SOM进行会话访问。

功能概述

统一身份认证

访问授权管理

资源账号管理

单点登录功能

会话审批功能

实时监控功能

异常事件处理

会话过程回放

历史事件查询

综合审计报表

统一人员身份认证

完善人员管理认证体系

管理员身份三权分立，各司其职

部门权限分级管理

指定第三方运维人员使用期限，帐号到期自动锁定

支持静态口令、Radius、Ldap、AD域等多种认证加强

支持双因素认证，加强认证手段

支持运维用户批量管理

统一资产管理

资产账号统一管理
支持资产账号信息托管，实现SSO单点登录，无需再向用户提供账号密码支持ipv6资产管理和运维

主机账号自动改密
支持资产账号密码自动改密，解决账号信息管理难题，减轻运维管理工作量

资产分组管理
资产支持批量导入及分组管理，可根据主机组进行授权

细粒度的权限管理
独有的“账号-协议”绑定方式，授权更为精细

支持类型

支持协议

统一访问授权

谁？
可根据每个运维账号单独进行授权，用户只能访问已授权的主机

什么时间？
可限制访问时间，只允许用户在特定时间内访问

从哪里？
可根据IP地址进行限制，只允许指定的IP段进行访问

访问谁?
限定访问对象，只允许用户访问他有权访问的主机及账号

做什么？
细粒度的指令控制，只允许或不允许用户使用特定的命令

审计记录查询与回放

运维统计报表

产品优势

稳定性
堡垒机的缔造者与领导者，10多年的技术积累与产品优化，为用户提供最成熟、最稳定、用户体验最佳的产品。

安全性
精简的嵌入式Linux系统，非通用Linux发型版目录树结构，底层加固处理，保障系统安全性。在各大安全网站至今未爆出过任何漏洞。

易用性
B/S架构管理，友好的UI设计，支持所有主流浏览器与操作系统，提供多种登录方式，C/S菜单与直连模式，支持各类客户端的本地调用，最小的改变用户使用习惯。

精细的权限管理
支持二次审批、工单审批、备注管理、黑白指令名单等功能，实现权限最小化管理，预防高威操作发生。

自动化运维
支持脚本批量自动处理与主机账号自动改密，帮用户自动化完成重复性工作，减轻运维工作量。

运维线上管理
自带消息中心与客户端工具，便于处理所有流程、通知与告警事件，简化运维管理流程。支持协同操作线上远程互助。

产品易用性

B/S管理方式，友好的UI设计，访问过程方便； SSO功能，一次登陆即可访问所有授权对象 *全协议WEB方式访问，CS菜单和CS直连模式支持root、enable等二次密码代填 *SSH、SFTP、FTP以及数据库客户端的本地调用 *协议深度支持：ssh clone session、SFTP调用、RDP磁盘映射等。

精细权限管理，降低运维风险 icon

二次审批
针对特定用户或核心主机实行先审批后操作模式支持所有基本协议二次审批

工单审批
解决线下运维工单申请流程慢、繁琐的问题申请需要访问的主机和访问时间

黑白指令策略
支持黑、白指令名单支持多种响应方式：告警(mail、sms、syslog…)、阻断会话、忽略指令、实时审批将风险扼杀在萌芽中

操作备注管理
每次访问需要填写访问与操作原因规范运维操作行为与制度操作备注内容可审计

自动化运维

主机账号自动改密
支持密码复杂度设置支持linux类主机、unix类主机、Windows主机、思科设备、华为设备的帐号自动改密；支持周期改密，改密结果查看和邮件/ftp发送；改密结果高强度加密保护改密计划支持密码手工输入、随机相同和随机不同三种方式；支持上次改密时间记录和手工改密密码管理支持金库模式

脚本批量自动处理
针对多台主机批量执行同步操作

针对多个数据库执行脚本文件

周期性执行

执行状态回显

提升运维效率
自动化完成重复性运维工作

解决密码管理保存难题

保障系统账号密码安全性

消息中心