SOMS-YH-6002-E安全运维管理系统

用户管理

• 支持用户批量删除、导入、导出、启用、停用等操作

支持建立临时用户，设置用户允许登录的有效时间段，到期后自动失效

•  支持新增用户，新建用户包括用户名、姓名、所属角色、手机号、邮箱、密码、用户描述等信息

权限组管理

• 支持对权限组新增、编辑、删除、启用、停用等操作

•  支持运维人员与资产授权关系的快速建立

• 支持资产、账号授权，资产和账号以树形结构展示分组情况

•  支持运维用户左右选择模式：左侧为待选的运维用户，右侧为已选的用户列表

资产管理

• 支持对系统资产新增、删除/批量删除、编辑、导入、导出等操作

•  支持操作系统、交换机/路由器、WEB应用、数据库、C/S应用等资产运维

•  支持资产收藏，收藏的资产显示在资产组前列，方便用户后续运维操作

•  支持左树右表的形式展示资产，展示信息包括资产名称、资产类型、IP、协议、资产组等信息

•  支持在线、离线、运维中资产的状态监控，运维中资产可展示运维协议以及开始运维时间

• 支持SSH、RDP、VNC、TELNET、FTP、SFTP、SCP等资源协议

•  支持修改资源的开放协议及对应协议的端口

• 支持Oracle、SqlServer、Redis、Mysql等数据库远程访问协议运维

• 支持HTTP、HTTPS等WEB资源的远程访问协议运维

• 可通过应用发布的方式进行协议扩展，无需定制即可支持其他通用及专有的运维客户端程序

告警处置

• 支持包括CPU、内存、硬盘、流量、访问控制策略、资产密码拨测、高危sql、OCR识别关键字等类别的告警信息进行处置

• 支持根据告警条件在一定周期内只记录1条告警信息，后续的告警只记录次数

• 支持配置告警发送邮件开关、配置告警邮件的发送级别等

运维工单

• 支持管理员新增授权工单，包括工单名称、优先级、执行人、资产等信息

•  支持对工单进行查看、撤销、通过、拒绝等操作处理

登录认证

• 支持账户密码+硬件USB KEY、飞书、钉钉、企业微信、动态口令、短信任一认证方式搭配进行双因子登录认证，提高系统访问的安全性

• 支持用户可以使用短信验证码登入系统

策略管理

•  支持设置资产被访问的时间范围

•  支持设置资产被访问的地址范围

•  支持访问控制功能，支持对系统的运维用户登录进行可配置的策略设置，根据策略因子：日期、单次、每天、每月、每周、时间、源地址、目标地址、目标协议、目标运维账号、动作(接受、拒绝)来定制访问策略对运维用户行为进行控制

• 支持字符命令的控制、剪贴板同步共享控制；

•  支持自定义禁用的高危命令集合，命令支持正则表达式

• 内置至少15种常见高危命令

审计管理

•  支持字符命令方式（SSH、Telnet协议）的访问审计到所有交互内容，并可以还原操作过程的命令输入和结果输出，其中违反访问控制策略会标红提示

• 支持文件交互方式（FTP、SFTP、SCP协议）的访问审计到所有交互内容，并可以还原操作过程的命令输入和结果输出，其中违反访问控制策略会标红提示

•  支持查看运维审计录像的相关属性，包括运维开始时间、结束时间、运维用户、资产名称、资产IP、协议、客户端IP、视频大小等

• 支持WEB在线回放录像时自带实时水印，防止录像回放时敏感信息被截图和拍照

• 支持通过应用发布实现数据库操作的命令级审计和图形审计的双重审计效果，支持的数据库类型包括：Oracle、SQL Server、Mysql、Redis等

•  报表支持按单次、周、月定时周期性生成，支持word、pdf格式，并且支持将生成报表发送到指定邮箱

• 审计日志可以采用syslog形式分类外发，至少可以分为系统操作日志、运维操作日志、系统运行日志；支持对接国网II型装置

角色管理

•  默认角色至少包括系统管理员、运维操作员、系统审计员三种角色

•  支持对用户角色进行新建、编辑、删除等操作

• 支持自定义角色，支持将系统功能模块按需分配给角色，从而实现分级分权的管理模式

账号稽核

•  通过堡垒机对资产/系统帐号进行稽核，可以发现僵尸帐号、孤儿帐号、幽灵帐号，协助管理员快速发现低频使用的资产/系统帐号、未建立授权管理的资产/系统帐号和未托管到堡垒机的资产帐号

可信主机

•  支持添加可信主机，配置可信主机后，只有在可信主机范围的IP地址可以登录

IP白名单

•  支持IP白名单配置，配置后，只有可信任的IP或IP段才能访问系统

安博平台,安博平台(中国)展示

•  支持管理员安博平台,安博平台(中国)展示运维用户数量、权限组、资产、计划任务、策略数量功能模块，并支持一键跳转至各模块对应功能页面

• 支持管理员安博平台,安博平台(中国)拓扑图展示，包括运维用户、资产、资产组，并实时监测运维用户与被运维资产之间的运维关系；支持展示运维用户名称、运维方式、上次登录时间，展示资产名称、资产IP、资产类型、上次登录时间等信息

• 支持运维用户安博平台,安博平台(中国)展示我的资产、账号有效期、密码有效期、运维工具下载等信息展示

•  支持运维用户安博平台,安博平台(中国)展示最近5/10次运维记录

资产账号管理

•  支持对资产账号的自定义添加，删除和导出

•  支持资产账号密码托管，实现资产单点登录功能

• 运维人员输入账号密码成功单点登录后，系统将自动上收账号到对应资产的账号列表。便于借助拥有资产登录权限的运维人员将资源账户进行上收

•  支持对操作系统、交换机、路由器等资源进行密码变更；密码变更可以根据密码策略的要求进行变更，变更的密码符合密码策略中关于密码强度的要求，支持周期性执行改密任务

单点登录

•  支持无需安装任何控件，即可基于浏览器进行RDP、VNC、SSH，telnet，SCP/FTP/SFTP等协议的单点登录，实现跨浏览器和跨运维客户端操作系统的运维操作

•  支持web登录时，运维界面添加水印功能，防止敏感信息通过截图拍照泄漏

•  具备web方式单点登录的同时，还支持xshell、SecureCRT、putty等客户端工具，方便满足不同的运维人员的使用习惯

•  支持同时打开多个运维界面

•  可以制定计划任务，资产执行提前编辑好的脚本。脚本超时执行时间为每个计划在机器上的超时时间，执行超过超时时间后会断开连接。自动化任务可关联堡垒机相应资产帐号

•  支持将成功的单点登录记录保存为历史记录，方便下次登录时直接点击历史记录一键快速登录

• 支持一键共享运维窗口，允许其他专家进行指导操作对应的资产

•  支持运维用户连接资产时不进行任何操作一段时间后断开和目标资产的连接

•  支持管理员实时监控用户运维操作，发现高危操作时，可以一键中断运维操作，保障资产安全

•  运维用户在有对未授权资源有临时访问需求时可申请工单，经管理员审批通过后即可进行临时运维访问

系统配置

•  为管理员提供操作向导模式，方便用户进行设备管理和使用

•  支持IPV4、IPV6协议栈下的管理

•  支持配置数据与审计数据的备份与还原，支持本地备份或远程备份

•  支持后续升级包通过界面直接升级

• 自身账号密码使用国产密码算法SM3，采用哈希+Salt算法进行加密和验证

•  资产的用户密码和邮件密码数据需要还原，采用国密算法SM4，对称加密算法

•  支持通过第三方认证Radius、AD/LDAP服务器用户进行登录系统

•  支持配置用户登录次数，密码时效性，登录超时时间，最大并发登录用户数，最小密码长度，运维会话超时时间，最小密码复杂度等

• 支持配置包括网络配置、时钟配置、授权配置、数据维护、运行监视等配置

指标项

SOMS-YH-6002-E