威努特安全运维管理系统SOMS_统一身份认证管理平台IAM

威努特安全运维管理系统SOMS

威努特安全运维管理系统SOMS，通过统一账号管理和授权管理，给用户分权，如分级访问权限等，在最小化权限的基础上，实现最灵活配置控制。提供本地认证、USBkey认证、AD/LDAP认证、Radius认证、短信认证等多种认证方式；为提高运维可靠性，堡垒机自身账户支持绑定可信运维主机，缩小被攻击的暴露面。

立即咨询

首页 > 产品中心 > 身份安全 > 威努特安全运维管理系统SOMS

应用背景

多样性

问题一：被管理资源数量多，资源类型多，各种主机、数据库、网络设备、安全设备等等缺乏统一管理。管理人员多，人员组成复杂多样，有内部人员、外包人员、临时运维人员等等。接入方式多，各种资源的管理协议及管理工具多种多样，需要下载大量的第三方访问工具。并且，运维终端操作系统多样化，部分基于windows系统的工具无法使用。

管理复杂

问题二：账户开设及授权混乱，不同的人有不同的角色，权限，导致账户管理复杂困难。资源口令管理混乱，核心资产口令配置没有约束及核查方式，配置混乱。运维途径混乱，不同人及管辖的不同资源从不同网络途径访问，访问混乱。运维操作混乱，不同的人及管辖的不同资源，在运维操作时没有有效的监控手段，操作无记录。

设计理念

提高运维效率、保障运维安全 icon

主要功能

账号管理
运维人员账号全生命周期管理，全功能模块角色划分管理，账号登录认证及策略管理

策略管理
账号、时间、地址、协议等普通策略，字符命令、文件传输等策略

行为审计
用户账号的操作行为审计，运维过程的全程审计，审计报表，搜索引擎

身份认证
账号支持Ukey，AD/LDAP，Radius等方式认证，支持多种方式组合认证

资产管理
支持Windows、Linux、网络设备、WEB应用、C/S应用等资产类型，资产分组展示、资产批量导入导出

授权管理
基于权限管控的人和资源授权，对高危命令等风险操作进行授权管控

统一帐号授权

通过统一账号管理和授权管理，给用户分权，如分级访问权限等，在最小化权限的基础上，实现最灵活配置控制。

资产管理

资产分组与关注；支持IPV4、IPV6双栈协议；资产账号管理；丰富的资源类型管理，支持操作系统、交换机/路由器、WEB应用、数据库、C/S应用等资产类型的自定义修改；支持SSH、RDP、VNC、Telnet、SFTP、FTP等运维协议类型；

身份鉴别

提供本地认证、USBkey认证、AD/LDAP认证、Radius认证、短信认证等多种认证方式；本地认证+USBkey认证进行双因子身份鉴别，防止非法用户通过窃取账号密码，对资产进行仿冒登录、非法访问；

单点登录

为提高运维可靠性，堡垒机自身账户支持绑定可信运维主机，缩小被攻击的暴露面；堡垒机基于HTML5技术的web方式登录运维资源，web方式支持水印，防止敏感信息泄露；堡垒机支持基于xshell 、putty等控件的运维工具方式运维；

安全运维

访问控制——对系统的运维用户登录进行可配置的策略设置，根据策略因子：源地址、目标地址、目标协议、目标运维账号等来定制访问策略对运维用户行为进行控制；高风险管控——堡垒机可以对敏感的高危命令，如删除数据（rm -rf /*）、格式化等高度敏感操作进行实时自动阻断，防止重大误删事件发生；

操作审计

支持字符命令方式（SSH、Telnet协议）的访问审计、文件操作审计、图形操作审计等；报表支持按单次、周、月定时周期性生成，支持word、pdf格式，并且支持将生成报表发送到指定邮箱；

单/双机部署

当今企业的数据中心事务十分繁杂，企业内部对IT/OT架构的高可靠，冗余备份等方面都有着越来越高的要求。同时，大型企业的数据中心也逐渐趋于多层级，多区域的构建框架。那么对于此类需求反馈到实际建设中，就是产品的高可靠和丰富的部署方式支持上，本产品在设计之初就充分考虑了用户的该类需求及IT架构的后续演变因素。

单机硬方式部署

单机模式下，采用物理旁路模式部署，不影响用户网络原有结构。 HA高可靠双机部署

支持HA双机部署，双机的可用性检测包括硬件状态，应用各组件运行状态检测。

运维大屏展示

首页展示运维用户数量、权限组、资产、计划任务、策略数量功能模块，并支持一键跳转至各模块对应功能页面；首页拓扑图展示运维用户、资产、资产组，实时监测运维用户与被运维资产之间的运维关系

数据库运维审计

实现数据库命令级审计，支持的数据库类型包括：Mysql、SqlServer、Oracle、Redis，不需采用数据镜像方式实现，以免增加部署的复杂性和网络负担。通过应用发布实现数据库操作的命令级审计和图形审计的双重审计效果。可以代填多种数据库维护工具（ Navicat 、 PLSQL等）的账号和密码、以实现数据库单点登录。

B/S、C/S资源运维 icon

通过堡垒机加应用发布访问B/S和C/S资源的场景，全新的图形代理协议都能支持将运维端自身的剪切板等透传到目标资源，极大的方便了复杂业务系统的适用性。 C/S资源——支持运维人员通过堡垒机对专有C/S客户端进行一键登录运维，提升用户体验。 B/S资源——支持运维人员通过堡垒机内置的谷歌、Firefox浏览器单点登录WEB资源，并且支持WEB资源的密码代填登录，方便运维。

账号托管

加密存储——特权账号采用了SM3商用密码加密算法，有效保证了账号的安全。密码不落地——运维人员进行登录时看不到账号密码，避免了密码泄露风险。账号自动改密——按照密码策略定期自动改密，邮件通知改密结果，避免密码泄露导致的安全风险。

账号稽核

僵尸账号——没有使用或者使用频率较低的系统账号、资产账号，孤儿账号——没有建立授权关系的系统账号、资源账号，幽灵账号——通过资产账号智能采集，自动发现资产上没有被堡垒机运维托管的账号。

产品特性

专业的安全管理
提供认证服务器组件，所有对资源的访问都由认证服务器提供临时会话号，即使会话号被截获，也无法通过此会话号再次访问资源，提高资源访问的安全性

运维大屏展示
以拓扑图为基础，展示资产和用户、资源等信息，并实时监测并展示人与资产之间的运维关系

活多样的登录方式
威努特安全运维管理系统支持运维人员通过浏览器或第三方客户端工具（SecureCRT、XSHELL等）登录待运维设备或系统，最大程度上保证运维人员的操作习惯不被改变

全面运维协议支持
字符运维（SSH、Telnet）、图形运维（VNC、RDP）、文件传输（FTP、SFTP）、数据库运维（Mysql、SqlServer、Oracle、Redis）、WEB运维（Https、Http）等完整覆盖

全面可靠的账号管理
账号密码托管代填，能够实现对字符运维、图形运维等协议和应用的账号密码代填功能，覆盖全面；并且支持对Linux、Windows、网络设备等的密码定期自动修改

高可靠性
支持双机热备部署，实时同步配置和审计日志，提高平台的可靠性。无需在业务系统上安装任何Agent，不影响业务

应用场景一——共享账号责任认定 icon

部署前：所有人员使用root账户运维，分散接入，运维不可控，通过定期修改密码来增强服务器安全性，登录所有资产修改密码，密码定期修改后必须知会所有人。部署后：自然人对应分配权限的运维账号，统一接入，有凭有据，运维系统修改密码，邮件通知，指定策略，运维系统定期修改符合规则密码，密码集中管理，不影响运维工作。