当今世界，信息化已经是大势所趋，计算机不仅成为人们生活工作不可或缺的工具，也是众多企业日常开展工作须臾不可离的工具，随着而来的，就是电子化办公，数字化信息储存带来的信息安全压力。越来越多的中国企业开始具有核心的知识产权与不可外泄的商业秘密，因而众多的企业也开始重视信息安全体系的建设。但是，更多的企业把自己的注意力放在了防止外部入侵即网络边界安全，而恰恰忽略了身边的威胁——内部泄密。据FBI和CSI曾对484家公司进行的网络安全调查结果显示：超过85%的安全威胁来自公司内部，由于内部人员泄密所导致的资产损失高达6000多万美元，它是黑客是所造成损失的16倍、病毒所造成损失的12倍。企业若是忽略了其内网安全防范措施，将损失许多宝贵的核心数据、专利技术信息，多年累积的技术资产和研发投入成为他人的嫁衣，甚至可能因此导致企业失去竞争力。企业还可能丧失的是其声誉，以及员工、合作伙伴与客户的信赖。

   上述这些问题的原因，都是因为没有一个统一的运维管理平台，造成运维管理黑盒化导致，因此建立一个安全、可靠、易用的运维管理平台，为近期企业IT运维的迫切要求。同时国家及行业也相继出台了相关的法律法规及管理规范，如CSOX和等保规定，要求系统运维在访问控制、操作审计等诸多方面做得更加全面有效的管理。

ANYSEC-IT运维堡垒机系统基于满足“谁能做”的授权和“谁做的”审计要求，通过B/S方式对主机、服务器、网络设备、数据库、应用等实施统一身份认证、授权、审计、分析；支持用户密码、手机令牌动态口令双因子认证；实现对操作过程的全程监控与审计录像回放，以及对违规操作行为的实时阻断。

1、身份认证和鉴别（等保三级安全合规性要求）

为满足“谁能做”的授权需求和“谁做的”审计系统要求，堡垒机系统必须具备一套完整的身份鉴别和认证功能。一般需要采用两种或两种以上双因子方式进行身份验证，如支持静态密码和手机动态口令，手机短信、证书Key等认证方式访问，支持本地认证、Radius、LADP、AD域和POP3认证方式；支持密码强度、密码有效期、密码尝试死锁、用户激活等安全管理功能多种认证方式，满足等保三级系统合规性设计要求。

身份认证鉴别从等级保护三级开始必须要进行双因子认证，如将双因子(比如动态口令)部署到内部服务器成本高且易出风险事故，中科网威堡垒机上内置了CA、动态口令、手机短信、证书UKEY等强认证，在不动生产系统的情况下即完成运维审计合规身份鉴别。

2、授权与访问控制

对IT运维管理人员进行授权与访问管理，严格限制登录和操作行为。提供细粒度的访问控制策略，通过控制访问时间、允许访问的IP段和证书来制定详细的访问策略，对IT运维用户、登录地址、运维协议、目标主机及账户、运维会话时长、运维时间段进行组合授权。

3、单点登录与帐号管理

单点登录是运维管理用户通过堡垒机集中认证和授权后，堡垒机作为唯一的登录入口，让非法用户无机可趁，杜绝了非法人员的入侵。同时堡垒机根据配置策略对网络中服务器，网络设备，安全设备的账号进行集中管理并实现帐号密码托管实现后台资源自动登录，运维用户无需知道后台资源的账户密码。提供了运维用户到后台资源账户的一种可控对应，同时实现了对后台资源账户的口令统一保护。

4、监控违规操作告警

根据安全策略对运维管理过程中的违规操作进行检测，对违规操作提供实时告警和阻断。提供在线运维管理操作的实时监控功能，制定相应的阻断告警策略，当运维人员在使用策略中的敏感命令时，进行阻断告警，将运维人员和服务器断开或者禁止命令的执行中断运维会话。从而达到降低操作风险及提高安全管理与控制的能力。

5、运维审计管理

审计管理主要审计操作人员的账号登录、资源访问使用情况，在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后，系统对所有登录和操作过程进行全程录像记录，作为日后分析和取证的依据。提供对 Telnet、FTP、SSH、SFTP、RDP、XWindows、VNC、AS400、HTTP、HTTPS等协议的运维会话进行完整记录，对于图形化管理方式，系统可以记录用户键盘动作，对于字符管理方式，系统可以记录用户操作的命令满足百分百的内容审计记录要求。以会话为单位，提供图像形式的回放，真实、直观地重现当时的操作过程，支持快放、慢放、拖拉等回放方式。

6、审计报表功能

堡垒机提供日常报表、会话报表、告警报表、综合统计报表等多种审计报表，系统通过认证、授权、审计、密码的集中管理，可以达到对整体运维系统的分析，输出各种运维报表，将当前运维情况整体展示出来，为管理层提供运维管理的依据。支持PDF、Excel等格式。

7、自身安全保护

通过分权管理机制、管理员身份认证、HTTPS加密管理、内部组件加密通信、数据文件加密存储、关闭可能带来扫描风险的服务端口，保障自身安全性。此外，可通过双机热备（HA）、数据冗余存储（Raid1）等技术，保障系统可靠运行。

8、产品部署方式

中科网威堡垒机系统采用单臂模式旁路部署，不改变网络拓扑。完成部署后，内部服务器的维护端口只向堡垒机开放，避免运维人员直接访问服务器导致逃避监控的风险。