堡壘機(jī)通常在信息安全級(jí)別受到保護(hù)。它主要匹配服務(wù)器訪問統(tǒng)一身份認(rèn)證，統(tǒng)一授權(quán)，統(tǒng)一審計(jì)，統(tǒng)一監(jiān)控和檢查，特別是在醫(yī)療，稅務(wù)，金融等行業(yè)。在這方面，要求特別嚴(yán)格。通常，必須滿足以下審核功能：

1、用戶身份認(rèn)證(如三級(jí)評(píng)估合規(guī)性要求)一般需要三到兩個(gè)級(jí)別的醫(yī)院安全評(píng)估。上述雙因素方法用于身份驗(yàn)證。堡壘機(jī)必須要求本地認(rèn)證，AD域認(rèn)證，Radius認(rèn)證，數(shù)字證書認(rèn)證，手機(jī)動(dòng)態(tài)密碼，指紋識(shí)別認(rèn)證，UKEY(移動(dòng)數(shù)據(jù)證書)認(rèn)證等認(rèn)證方式，以滿足三級(jí)系統(tǒng)的設(shè)計(jì)要求。

注意：身份驗(yàn)證從級(jí)別3開始，必須通過兩個(gè)因素進(jìn)行身份驗(yàn)證，通過兩個(gè)因素識(shí)別個(gè)人，如果將兩個(gè)因素(例如動(dòng)態(tài)密碼)部署到所有生產(chǎn)服務(wù)器，則成本非常高并且很容易發(fā)生事故，堡壘機(jī)的線路可以合理調(diào)節(jié)。本文在中衛(wèi)威威堡壘機(jī)上內(nèi)置了CA，手機(jī)動(dòng)態(tài)密碼，指紋識(shí)別，USBKEY證書等強(qiáng)有力的認(rèn)證。合規(guī)性識(shí)別。

2、授權(quán)和訪問控制

授權(quán)和管理IT運(yùn)維管理人員，嚴(yán)格限制登錄和操作行為。提供細(xì)粒度的訪問控制策略，并通過控制訪問時(shí)間，允許的IP段和證書，以及IT操作和維護(hù)用戶，登錄地址，操作和維護(hù)協(xié)議，目標(biāo)主機(jī)和帳戶以及操作和維護(hù)來建立詳細(xì)的訪問策略會(huì)話。操作和維護(hù)時(shí)間段的組合授權(quán)。

國家信息安全，國內(nèi)堡壘機(jī)品牌三級(jí)要求

3、單點(diǎn)登錄和賬戶管理

單點(diǎn)登錄是一項(xiàng)操作和維護(hù)管理用戶堡壘機(jī)集中認(rèn)證和授權(quán)后，堡壘機(jī)是唯一的登錄入口，使非法用戶無機(jī)化，可以防止非法人員入侵。同時(shí)，根據(jù)配置策略，堡壘機(jī)集中管理網(wǎng)絡(luò)中服務(wù)器，網(wǎng)絡(luò)設(shè)備和安全設(shè)備的賬號(hào)，實(shí)現(xiàn)賬號(hào)密碼管理，實(shí)現(xiàn)后臺(tái)資源的自動(dòng)登錄，以及運(yùn)維用戶不需要知道后臺(tái)資源的帳戶密碼。該功能為操作和維護(hù)用戶提供了對(duì)后臺(tái)資源帳戶的可控對(duì)應(yīng)，同時(shí)實(shí)現(xiàn)了后臺(tái)資源帳戶密碼的統(tǒng)一保護(hù)。

4、違規(guī)操作警報(bào)

根據(jù)安全策略檢測(cè)操作和維護(hù)管理過程中的違規(guī)，并為違規(guī)操作提供實(shí)時(shí)警報(bào)和阻止。

提供在線操作和維護(hù)管理操作的實(shí)時(shí)監(jiān)控，并制定相應(yīng)的阻塞警報(bào)策略。當(dāng)操作和維護(hù)人員在策略中使用敏感命令時(shí)，它們將阻止警報(bào)并操作維護(hù)人員和服務(wù)器。斷開或禁用執(zhí)行命令以中斷操作和維護(hù)會(huì)話。從而實(shí)現(xiàn)降低運(yùn)營風(fēng)險(xiǎn)和改善安全管理和控制的能力。

5、操作和維護(hù)審計(jì)管理

審計(jì)管理主要用于審計(jì)運(yùn)營商的帳戶登錄和資源訪問。每個(gè)服務(wù)器主機(jī)和網(wǎng)絡(luò)設(shè)備的訪問日志記錄是統(tǒng)一的。在識(shí)別帳戶和資源之后，系統(tǒng)記錄整個(gè)登錄和操作過程，作為將來分析和取證的基礎(chǔ)。提供Telnet，F(xiàn)TP，SSH，SFTP，RDP，XWindows，VNC，AS400，HTTP和HTTPS等協(xié)議的操作和維護(hù)會(huì)話的完整記錄。對(duì)于圖形管理，系統(tǒng)可以記錄用戶鍵盤操作。對(duì)于字符管理，可以記錄用戶操作的系統(tǒng)命令滿足100%的內(nèi)容審計(jì)記錄要求。 以對(duì)話為單位，以圖像的形式提供回放，真實(shí)直觀地再現(xiàn)當(dāng)時(shí)的操作過程。它支持快速播放、慢速播放和拖放播放。

6、審計(jì)報(bào)告功能

Fortress Machine提供每日?qǐng)?bào)告、會(huì)話報(bào)告、報(bào)警報(bào)告、綜合統(tǒng)計(jì)報(bào)告和其他審計(jì)報(bào)告。系統(tǒng)通過認(rèn)證、授權(quán)、審核、密碼等集中管理，實(shí)現(xiàn)對(duì)整個(gè)運(yùn)維系統(tǒng)的分析，輸出各種運(yùn)維報(bào)告，整合當(dāng)前運(yùn)維情況。顯示系統(tǒng)，為管理層提供運(yùn)行維護(hù)管理的依據(jù)。支持pdf、excel等格式。

7、自我安全保護(hù)

通過分散管理機(jī)制、管理員身份驗(yàn)證、https加密管理、內(nèi)部組件加密通信、數(shù)據(jù)文件加密存儲(chǔ)、關(guān)閉可能帶來掃描的服務(wù)端口來確保自身安全風(fēng)險(xiǎn)。此外，雙熱備(ha)和數(shù)據(jù)冗余存儲(chǔ)(raid1)技術(shù)可以保證系統(tǒng)的可靠運(yùn)行。

8、產(chǎn)品部署模式

KCNW堡壘機(jī)系統(tǒng)采用單臂模式旁路部署，不改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。 部署完成后，內(nèi)部服務(wù)器的維護(hù)端口只對(duì)堡壘機(jī)開放，防止操作和維護(hù)人員直接訪問服務(wù)器，避免了監(jiān)控的風(fēng)險(xiǎn)。