联系我们

网域数据安全,专注上网行为管理 网络安全设备

堡垒机应该具备哪些技术特点,及主要功能分析

1、堡垒机应该具备哪些技术特点
 
       网络安全性:堡垒机的部署对整个网络结构影响应尽可能的小。系统对现有网络不应有特殊要求。对系统故障有完善的保护机制,系统故障后不会影响业务系统正常运营,并能够快速恢复达到保障运维正常进行的要求。
 
       信息安全性:堡垒机应该提供完善的用户管理、账号管理、行为审计等多种安全手段的同时,确保系统本身的信息收集、处理和保存过程的安全,系统提供保存信息的加密存储确保敏感信息不能泄露或被窃取,系统提供严格的自审计系统,保证对设备操作的完整记录。
 
       准确性:堡垒机应保证数据处理的准确性和一致性。
 
       开放性:堡垒机应现有的、规范的、开放的接口协议,以保证系统对各种外部系统的互连能力。

       扩展性:堡垒机具备平滑扩容的能力,扩容时应不改变组网结构,不降低系统性能,能满足现有业务发展的需求。

       易用性:堡垒机应具有良好的人机操作界面、更好的提示信息,方便系统管理人员使用。
 


2、堡垒机主要功能分析
 
       身份认证与授权:身份认证采取设置不同账号,来区分自然人的身份,从而将谁使用共享账号的情况准确定位到自然人身上;授权,能够将维护不同设备的管理员严格划分,使管理员只能看到自己维护的设备资源。系统提供基于用户、运维协议、目标主机、运维时间段、会话时长、运维客户端IP等组合的授权功能,实现细粒度授权功能,满足用户实际授权的需求。
 
       用户管理:可以根据具体的维护人员添加唯一与其身份对应的用户,实现维护人员身份的唯一性管理。可以划分多种用户角色,以实现账号权限的三权分立 (使用权、管理权、监督权);提供临时用户账号功能,临时帐号可定期自动回收:提供账号有效期管理,设置用户账号的有效时间,时间精确到天。
 
       访问控制:可实现基于用户、目标设备、系统帐号、登陆规则、访问协议类型,设定比较详细的访问控制列表,可以对用户访问权限进行查看、变更、删除等操作;针对每条访问控制,可以设置一条或者多条基于时间段、地址范围的登录规则,以方便对用户接入的限制管理。针对采用http/https协议的访问,可以做到基于URL访问控制;
 
       密码管理:以静态 口令登录的服务器,可以用运维权限集中管理与审计系统统一管理,这样可以控制将设备口令透露给第三方人员。通过对目标设备密码的托管,实现对后台设备的自动登录;可以实现对后台windows、unix、linux设备系统密码的定期自动修改。
 
       实时监控:可以通过网络连接查看当前正在运维人员对设备的实时操作情况。
 
       监控正在运维的会话,信息包括运维用户、运维客户端地址、资源地址、协议、开始时间等;

       监控后台资源被访问情况;提供在线运维操作的实时监控功能。针对命令交互性协议可以图像方式实时监控正在运维的各种操作,其信息与运维客户端所见完全一致。
 
       文件传输:对于Windows设备,还可以支持磁盘映射功能,将本地磁盘映射到目标服务器上去,以方便文件的传输操作。用户可以通过运维操作管理系统,进行文件的FTP/SFTP/SCP方式的传输操作;
 
       报表功能:运维权限集中管理与审计系统提供多种报表展示的同时还能够提供客户自定义报表生成;审计员可导出报表后发邮件给相关负责人,可以将用户信息、设备信息、系统用户和权限列表生成表格,并以excel格式导出备份。

更多推荐: