账号管理

账号管理包括云堡垒运维账号和运维资产账号。运维账号实名制、运维账号生命周期管理、运维资产账号集中管理和资产账号改密功能。

• 堡垒机账号的实名制：云堡垒为每个运维人员创建唯一的运维账号（主账号），所有资产账号（从账号）均与主账号进行关联，确保所有运维行为审计记录的一致性，有效解决账号共用问题便于定位问题责任人

• 运维账号生命周期管理：账号的启用、禁用和有效时间，直接由管理员掌控

• 运维资产账号的集中管理：账号密码掌握在管理员手中，避免了密码泄露风险

• 资产账号改密：云堡垒支持人工或定期自动修改运维资产账号的密码

统一认证

登录认证是整个运维过程的首要环节也是最重要的环境，云堡垒提供双因素认证，大大保证了统一入口的登录安全。

云堡垒支持单点登录，运维人员认证登录后访问资产无需再次输入资产账号密码即可登录。

集中授权

云堡垒通过集中统一的访问控制和细粒度的命令级授权策略，确保每个运维用户拥有的权限是完成任务所需的最合理权限。

• 访问策略（保证自然人和资产的授权最小化）

• 命令策略（黑白名单）

• 基于时间段和IP段进行限制

• 协议功能分别控制（例如RDP剪贴板和磁盘映射功能等）

资源管理

资源管理包括：用户资产管理、服务管理、从账号管理、从账号密码管理。

• 资产管理：资产管理包括资产基础信息录入、资产导入导出、资产移动等功

• 服务管理：添加资产服务名、服务类型、端口、编码等信息

• 从账号管理：按照服务添加账号及密码认证信息，和其他和服务相关的信息

• 从账号密码管理：对常见资源进行从账号密码定期修改，可配置密码策略，定期对资产密码进行维护

行为审计

行为审计包括：实时操作过程监控、二次审批、告警与阻断、审计记录和回放、审计报表。

• 实时操作过程监控：对于所有远程访问目标主机的会话连接，均可实现操作过程同步监视，运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中，管理员可以随时手工中断违规操作会话

• 二次审批：支持对特殊指令执行进行审批。运维人员操作过程中触发命令策略，需要得到管理员的审批后才能继续执行后续操作

• 告警与阻断：支持根据已设定的访问控制策略，自动检测日常运维过程中发生的越权访问、违规操作等安全事件，系统能够根据安全事件的类型、等级等条件进行自动的告警或阻断处理

• 审计与回放：审计过程的完整记录，根据操作记录定位回放或完整重现维护人员对远程主机的整个操作过程，从而真正实现对操作内容的完全审计

• 审计报表：内置能够满足不同客户审计需求的安全审计报表模板，支持自动或手工方式生成运维审计报告，便于管理员全面分析运维的合规性

• 审计存储：支持自动或手动配置备份和日志备份，管理员可以对备份数据导出保存

审计报表

审计报表功能，内置能够满足不用客户审计需求的安全审计报表模板，支持自动或手工方式生成运维审计报告，便于管理员全面分析运维的合规性。

系统内置多种运行维护报表模板。

• 支持以html、CSV方式生成并导出报表

• 支持管理员自定义审计报表

• 支持以日报、周报、月报的方式自动生成周期性报表