安恒堡垒机是什么？

安恒堡垒机也叫明御运维审计与风险控制系统，是安恒信息在多年运维安全管理的理论和实践经验积累的基础上，结合各类法律法规（如等级保护、赛班斯法案SOX、PCI、企业内控管理、分级保护、ISO/IEC 27001等）对运维审计的要求，采用B/S架构，集“身份认证（Authentication）、账户管理（Account）、控制权限（Authorization）、日志审计（Audit）”于一体，支持多种字符终端协议、文件传输协议、图形终端协议、远程应用协议的安全监控与历史查询，具备全方位运维风险控制能力的统一安全管理与审计产品。

堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。

堡垒机作用是什么?

1、企业角度：通过细粒度的安全管控策略，保证企业的服务器、网络设备、数据库、安全设备等安全，使用堡垒机可靠运行降低人为安全损失，保障企业效益。

2、管理员角度：所有的运维账号在一个平台上进行管理，管理起来更加简单有序，确保用户拥有的权限是完成任务所需的最小。

3、普通用户角度：运维人员只需要记住一个账号和口令，登录一次，就可以访问多台设备，降低工作复杂度的同时，还提供了工作效率。

堡垒机有哪些主要功能?

①账号管理：设备支持统一的账户管理策略，可以集中管理所有服务器、网络设备、安全设备等账户，完成对账户整个生命周期的监控，设备可以设置特殊的角色，比如审计检查员、运输操作员、设备管理员等。

②身份认证：设备提供统一的认证接口，对用户进行认证，支持身份认证模式包括动态口令、静态密码、硬件Key、生物特征等多种认证方式，设备具有灵活的定制接口，可以与其他第三方认证服务器之间结合安全的认证模式，有效提高了认证的安全性和可靠性。

③资源授权：设备提供基于用户、目标设备、时间、协议类型ip、行为等要素实现细粒度的操作授权，最大限度保护用户资源的安全。

安恒信息的堡垒机产品很好的，市场占有率也比较高，产品名称是明御®运维审计与风险控制系统（简称“DASUSM”），主要是以下几个功能：

1、用户分权

支持多种用户角色：超级管理员、部门管理员、运维管理员、审计管理员、运维员、审计员、系统管理员、密码管理员，每种用户角色的权限都不同，为用户设立不同的角色提供了选择，并且满足三权分立的合规要求。

2、集中授权

通过集中授权，帮助客户梳理用户与主机之间的关系，并且提供一对一、一对多、多对一、多对多的灵活授权模式。

3、单点登录

支持托管主机的账户和密码，运维人员直接点击<登录>即可成功自动登录到目标主机中进行运维操作，无需输入主机的账户和密码。

4、 统一审计

对所有的操作进行详细记录，并提供综合查询功能；审计日志可以在线播放也可以离线播放，所有的审计日志支持自动备份和自动归档。

5、自动运维

对运维人员来说，需要定期手工执行命令；对网管人员来说，需要定期手工备份网络设备的配置信息。通过DASUSM的自动化运维功能，实现自动化的运维任务并将执行结果通知相关人员。

6、命令控制

DASUSM提供了集中的命令控制策略功能，实现基于不同的主机、不同的用户设置不同的命令控制策略，策略提供命令阻断、命令黑名单、命令白名单、命令审核四种动作条件。

7、工单流程

操作人员向管理员申请需要访问的设备，申请时可以选择：设备IP、设备账户、运维有效期、备注事由等，并且运维工单以邮件方式通知管理员。 管理员对运维工单进行审核之后以邮件方式通知给运维人员；如果允许，则运维人员才可访问；否则就无法访问。

8、系统自审

DASUSM作为审计类产品，不光要实现对操作行为进行审计，还要做到对系统自身变化信息进行审计，并且形成系统报表。

9、自动改密

DASUSM提供了对主流服务器（包括Windows，Linux及Unix等），防火墙，交换机，网络设备的自动改密，实现定期密码更新，避免密码外泄带来的运维安全风险。

---