云堡壘機不僅擁有傳統4A安全管控的基本功能特性，包括身份認證、賬戶管理、權限控制、操作審計四大功能。還擁有高效運維、工單申請等特色功能。

身份認證

采用多因子認證和遠程認證技術，加強用戶身份認證管理。

引用多因子認證技術，包括手機短信、手機令牌、USBKey、動態令牌等方式，安全認證登錄用戶身份，降低用戶帳號密碼風險。

對接第三方認證服務或平臺，包括AD域、RADIUS、LDAP、Azure AD遠程認證，支持遠程認證用戶身份，防止身份泄露。并支持一鍵同步AD域服務器用戶，復用原有用戶部署結構。

賬戶管理

集中管理系統用戶和資源帳號信息，對帳號全生命周期建立可視、可控、可管運維體系。

• 用戶帳號管理

  系統用戶帳號全生命周期管理，用戶使用唯一帳號登錄系統，解決共享帳號、臨時帳號、濫用權限等問題。

• 批量導入

  通過同步第三方服務器用戶，以及批量導入用戶，支持一鍵同步并導入已有用戶信息，無需重復創建用戶。

• 用戶組

  用戶帳號按屬性分組管理，可實現對同類型用戶按用戶組賦予權限。

• 批量管理

  支持批量管理用戶帳號，包括刪除、啟用、禁用、重置密碼、修改用戶基本配置等。

權限控制

集中管控用戶訪問系統和資源的權限，對系統和資源的訪問權限進行細粒度設置，保障了系統管理安全和資源運維安全。

• 系統訪問權限
  從單個用戶帳號屬性出發，控制用戶登錄和訪問系統權限。

• 用戶角色
   通過為每個用戶帳號分配不同的角色，賦予用戶訪問系統不同模塊的權限，對系統用戶身份進行分權。系統支持自定義角色，自定義角色中可以自選添加系統模塊，實現角色多樣化模式。

• 組織部門

  通過為每個用戶劃分部門，采用部門組織樹形結構，不限制部門層級，可將用戶按部門分層級管理。

• 登錄限制

  通過設置用戶登錄配置，從登錄有效期、登錄時間、多因子認證、登錄IP限制、登錄MAC限制等維度，賦予用戶登錄系統的權限。

• 資源訪問權限

  按照用戶、用戶組與資源賬戶、賬戶組之間的關聯關系，建立用戶對資源的控制權限。

• 訪問控制

  通過設置訪問控制權限，從訪問有效期、登錄時間、IP限制、上傳/下載、文件傳輸、剪切板、顯示水印等維度，賦予用戶訪問資源的權限。通過設置雙人或多人授權審核，需要授權人實時授權才能訪問資源，保障敏感核心資源絕對安全。

• 命令攔截

  通過設置命令控制策略或數據庫控制策略，對服務器或數據庫中敏感、高危操作，強制阻斷、告警及二次復核，加強對關鍵操作的管控。

操作審計

基于用戶身份系統唯一標識，從用戶登錄系統開始，全程記錄用戶在系統的操作行為，監控和審計用戶對目標資源的所有操作，實現對安全事件的實時發現與預警。

• 系統行為審計

  系統操作行為全紀錄，針對操作失誤、惡意操作、越權操作等行為告警通知。

  • 系統登錄日志

    詳細記錄登錄系統的方式、登錄用戶、用戶來源IP、登錄時間等信息。支持一鍵導出全部系統登錄日志。

  • 系統操作日志

    系統操作行為全程記錄，覆蓋所有系統操作事件。支持一鍵導出全部系統操作日志。

  • 系統報表

    集中可視化呈現用戶在系統的操作統計信息，包括用戶啟用狀態、用戶與資源創建、用戶登錄方式、異常登錄、會話控制等信息。支持一鍵導出系統報表，并可定周期以郵件方式自動推送系統報表。

• 資源運維審計

  全程記錄用戶的運維操作，支持多種運維審計技術和審計形式，可隨時審計用戶操作行為，識別運維風險，為安全事件追溯和分析提供依據。

• 運維審計技術

  • Linux命令審計

    基于字符協議（SSH、TELNET）的命令操作審計，記錄命令運維全程，支持解析字符操作命令，還原操作指令，根據輸入、輸出結果關鍵字搜索快速定位回放。

  • Windows操作審計

    基于圖形協議（RDP、VNC）終端和應用發布的行為操作審計，遠程桌面的操作全紀錄，包括鍵盤操作、功能鍵操作、鼠標操作、窗口指令、窗口切換、剪切板拷貝等。

  • 數據庫命令審計

    基于數據庫協議（DB2、MySQL、Oracle、SQL Server）的命令操作審計，記錄從SSO單點登錄數據庫到數據庫命令操作全程，支持解析數據庫操作指令，100%還原操作指令。

  • 文件傳輸審計

    基于遠程桌面的文件傳輸操作審計，以及基于文件傳輸協議（FTP、SFTP、SCP）的傳輸操作審計，對Web瀏覽器或客戶端文件傳輸全程審計，記錄傳輸的文件名稱和目標路徑。

  • 運維審計形式

    實時監控：實時查看正在進行的運維會話，支持監控和中斷實時會話。

  • 歷史日志

    運維操作全程記錄，詳細記錄歷史運維會話信息，支持一鍵導出歷史會話日志。

  • 會話視頻

    支持對Linux命令審計、Windows操作審計全程錄像記錄，回放錄像視頻。支持生成視頻文件，一鍵下載會話視頻。

  • 運維報表

    集中可視化呈現運維統計信息，包括運維時間分布、資源訪問次數、會話時長、雙人授權、命令攔截、字符數命令、傳輸文件數等信息。支持一鍵導出運維報表，并可定周期以郵件方式自動推送系統報表。

  • 日志備份

    通過配置日志備份，可將歷史會話日志遠程備份至Syslog服務器、FTP/SFTP服務器、OBS桶，實現系統日志容災備份。

高效運維

通過多種架構運維、多種運維資源、多種運維工具、多種運維形式的接入，全面提升運維效率。

• Web瀏覽器運維
   HTML5遠程登錄資源，無需安裝客戶端，一鍵登錄運維資源，實現操作實時監控、文件上傳下載等運維管理。

  • 一站式登錄運維
     在Windows、Linux、Android、iOS等操作系統上，支持任意主流瀏覽器無插件化運維，包括Edge、Chrome、Firefox等主流瀏覽器，讓運維人員脫離運維工具和操作系統束縛，隨時隨地遠程運維。

  • 批量登錄
    支持一鍵登錄多個授權資源，多個資源可同時在一個瀏覽器頁簽運維。

  • 協同會話

    支持多人參與“協同分享”，邀請其他運維人員或專家進行協同運維，對同一會話進行協同操作或問題定位，提高多人運維效率。

  • 文件傳輸

    基于WSS的文件管理技術，支持文件上傳/下載，以及文件在線管理，實現多主機文件共享功能 。

  • 命令群發

    針對多個Linux資源，開啟群發鍵。在一個會話窗口執行命令后，其他會話窗口將同步執行相同操作。

• 第三方客戶端運維

  在不改變用戶使用原來客戶端習慣的前提下，支持一鍵接入多種運維工具，提升運維效率。

  • 多種運維工具
    支持接入SecureCRT、Xshell、Xftp、WinSCP、Navicat 、Toad for Oracle等工具。
  • SSH客戶端運維
    針對字符協議類主機資源，可通過運維客戶端登錄資源，實現運維平臺多種選擇。
  • 數據庫客戶端運維
    針對數據庫主機資源，通過配置SSO單點登錄工具，調用數據庫客戶端，實現一鍵登錄目標數據庫資源，數據庫運維操作。
  • 文件傳輸客戶端運維
    針對文件傳輸協議類主機資源，通過調用FTP/SFTP/SCP客戶端登錄資源，實現客戶端運維。

• 自動化運維
  線上多步驟復雜操作自動化執行，告別枯燥的重復工作，提高工作效率。

  • 腳本管理
    線下腳本上線管理，支持Shell和Python類型腳本的管理。
  • 運維任務
    通過配置命令執行、腳本執行、文件傳輸的運維任務，可定期、批量、自動執行預置的運維任務。

工單申請

系統運維用戶在運維過程中，遇到需運維資源而無權限情況，可提交系統工單申請資源控制權限，尋求管理人員授權審批。

• 系統運維人員
  • 通過手動或自動觸發工單系統，提交訪問授權工單、命令授權工單、數據庫授權工單申請權限；
  • 支持提交工單、查詢工單、催單、撤銷工單、刪除工單等功能。
• 系統管理人員
  • 通過自定義審批流程，支持多級審批；
  • 支持批準單個工單、批量批準工單、駁回工單、撤銷工單、查詢工單、刪除工單等功能。