在云计算时代，IT系统建设越来越成为企业发展至关重要的一环。业务系统，以及支撑业务系统运行的基础设施通常是企业关注的首要目标;然而，保障业务健康运行的背后“功臣”——运维系统同样至关重要，因为每一次IT系统的转型，运维系统和业务保障都是最艰难的部分。在当前企业IT系统向云架构转型的时刻，运维系统再一次面临着新的挑战。所以我们如何选择一款合适的IT运维系统呢？

     中科网威IT运维堡垒机系统是针对管理“IT管理员”的设备，可对企业IT运维人员在运维操作过程中进行统一身份认证、统一授权、统一审计、统一监控，消除了传统运维过程中的盲区，实现了运维简单化、操作可控化、过程可视化，它通过Web方式对主机、服务器、网络设备、安全设备、数据库、应用等实施统一认证、授权、审计、分析；具有与身份认证系统无缝结合接口,支持用户密码、手机动态口令双因子认证。实现对操作过程的全程监控与审计录像回放，以及对违规操作行为的实时阻断,保证只有合法用户才能使用其拥有运维权限的关键资源。为组织在操作风险控制、内控安全及规范性等提供一套完善、有效的审计手段。

产品选型（等保三级评审-医院、金融、税务、政府、企业运维审计堡垒机系统） 

功能优势：

1、身份认证和鉴别（等保三级安全合规性要求）

为满足“谁能做”的授权需求和“谁做的”审计系统要求，堡垒机系统必须具备一套完整的身份鉴别和认证功能。一般需要采用两种或两种以上双因子方式进行身份验证，如支持静态密码和手机动态口令，手机短信、证书Key等认证方式访问，支持本地认证、Radius、LADP、AD域和POP3认证方式；支持密码强度、密码有效期、密码尝试死锁、用户激活等安全管理功能多种认证方式，满足等保三级系统合规性设计要求。

身份认证鉴别从等级保护三级开始必须要进行双因子认证，如将双因子(比如动态口令)部署到内部服务器成本高且易出风险事故，中科网威堡垒机上内置了CA、动态口令、手机短信、证书UKEY等强认证，在不动生产系统的情况下即完成运维审计合规身份鉴别。

2、授权与访问控制

对IT运维管理人员进行授权与访问管理，严格限制登录和操作行为。提供细粒度的访问控制策略，通过控制访问时间、允许访问的IP段和证书来制定详细的访问策略，对IT运维用户、登录地址、运维协议、目标主机及账户、运维会话时长、运维时间段进行组合授权。

3、单点登录与帐号管理

单点登录是运维管理用户通过堡垒机集中认证和授权后，堡垒机作为唯一的登录入口，让非法用户无机可趁，杜绝了非法人员的入侵。同时堡垒机根据配置策略对网络中服务器，网络设备，安全设备的账号进行集中管理并实现帐号密码托管实现后台资源自动登录，运维用户无需知道后台资源的账户密码。提供了运维用户到后台资源账户的一种可控对应，同时实现了对后台资源账户的口令统一保护。

4、监控违规操作告警

根据安全策略对运维管理过程中的违规操作进行检测，对违规操作提供实时告警和阻断。提供在线运维管理操作的实时监控功能，制定相应的阻断告警策略，当运维人员在使用策略中的敏感命令时，进行阻断告警，将运维人员和服务器断开或者禁止命令的执行中断运维会话。从而达到降低操作风险及提高安全管理与控制的能力。

5、运维审计管理

审计管理主要审计操作人员的账号登录、资源访问使用情况，在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后，系统对所有登录和操作过程进行全程录像记录，作为日后分析和取证的依据。提供对 Telnet、FTP、SSH、SFTP、RDP、XWindows、VNC、AS400、HTTP、HTTPS等协议的运维会话进行完整记录，对于图形化管理方式，系统可以记录用户键盘动作，对于字符管理方式，系统可以记录用户操作的命令满足百分百的内容审计记录要求。以会话为单位，提供图像形式的回放，真实、直观地重现当时的操作过程，支持快放、慢放、拖拉等回放方式。

6、审计报表功能

堡垒机提供日常报表、会话报表、告警报表、综合统计报表等多种审计报表，系统通过认证、授权、审计、密码的集中管理，可以达到对整体运维系统的分析，输出各种运维报表，将当前运维情况整体展示出来，为管理层提供运维管理的依据。支持PDF、Excel等格式。

7、自身安全保护

通过分权管理机制、管理员身份认证、HTTPS加密管理、内部组件加密通信、数据文件加密存储、关闭可能带来扫描风险的服务端口，保障自身安全性。此外，可通过双机热备（HA）、数据冗余存储（Raid1）等技术，保障系统可靠运行。

8、产品部署方式

中科网威堡垒机系统采用单臂模式旁路部署，不改变网络拓扑。完成部署后，内部服务器的维护端口只向堡垒机开放，避免运维人员直接访问服务器导致逃避监控的风险。