用戶管理

• 支持用戶批量刪除、導入、導出、啟用、停用等操作

支持建立臨時用戶，設置用戶允許登錄的有效時間段，到期后自動失效

•  支持新增用戶，新建用戶包括用戶名、姓名、所屬角色、手機號、郵箱、密碼、用戶描述等信息

權限組管理

• 支持對權限組新增、編輯、刪除、啟用、停用等操作

•  支持運維人員與資產授權關系的快速建立

• 支持資產、賬號授權，資產和賬號以樹形結構展示分組情況

•  支持運維用戶左右選擇模式：左側為待選的運維用戶，右側為已選的用戶列表

資產管理

• 支持對系統資產新增、刪除/批量刪除、編輯、導入、導出等操作

•  支持操作系統、交換機/路由器、WEB應用、數據庫、C/S應用等資產運維

•  支持資產收藏，收藏的資產顯示在資產組前列，方便用戶后續運維操作

•  支持左樹右表的形式展示資產，展示信息包括資產名稱、資產類型、IP、協議、資產組等信息

•  支持在線、離線、運維中資產的狀態監控，運維中資產可展示運維協議以及開始運維時間

• 支持SSH、RDP、VNC、TELNET、FTP、SFTP、SCP等資源協議

•  支持修改資源的開放協議及對應協議的端口

• 支持Oracle、SqlServer、Redis、Mysql等數據庫遠程訪問協議運維

• 支持HTTP、HTTPS等WEB資源的遠程訪問協議運維

• 可通過應用發布的方式進行協議擴展，無需定制即可支持其他通用及專有的運維客戶端程序

告警處置

• 支持包括CPU、內存、硬盤、流量、訪問控制策略、資產密碼撥測、高危sql、OCR識別關鍵字等類別的告警信息進行處置

• 支持根據告警條件在一定周期內只記錄1條告警信息，后續的告警只記錄次數

• 支持配置告警發送郵件開關、配置告警郵件的發送級別等

運維工單

• 支持管理員新增授權工單，包括工單名稱、優先級、執行人、資產等信息

•  支持對工單進行查看、撤銷、通過、拒絕等操作處理

登錄認證

• 支持賬戶密碼+硬件USB KEY、飛書、釘釘、企業微信、動態口令、短信任一認證方式搭配進行雙因子登錄認證，提高系統訪問的安全性

• 支持用戶可以使用短信驗證碼登入系統

策略管理

•  支持設置資產被訪問的時間范圍

•  支持設置資產被訪問的地址范圍

•  支持訪問控制功能，支持對系統的運維用戶登錄進行可配置的策略設置，根據策略因子：日期、單次、每天、每月、每周、時間、源地址、目標地址、目標協議、目標運維賬號、動作(接受、拒絕)來定制訪問策略對運維用戶行為進行控制

• 支持字符命令的控制、剪貼板同步共享控制；

•  支持自定義禁用的高危命令集合，命令支持正則表達式

• 內置至少15種常見高危命令

審計管理

•  支持字符命令方式（SSH、Telnet協議）的訪問審計到所有交互內容，并可以還原操作過程的命令輸入和結果輸出，其中違反訪問控制策略會標紅提示

• 支持文件交互方式（FTP、SFTP、SCP協議）的訪問審計到所有交互內容，并可以還原操作過程的命令輸入和結果輸出，其中違反訪問控制策略會標紅提示

•  支持查看運維審計錄像的相關屬性，包括運維開始時間、結束時間、運維用戶、資產名稱、資產IP、協議、客戶端IP、視頻大小等

• 支持WEB在線回放錄像時自帶實時水印，防止錄像回放時敏感信息被截圖和拍照

• 支持通過應用發布實現數據庫操作的命令級審計和圖形審計的雙重審計效果，支持的數據庫類型包括：Oracle、SQL Server、Mysql、Redis等

•  報表支持按單次、周、月定時周期性生成，支持word、pdf格式，并且支持將生成報表發送到指定郵箱

• 審計日志可以采用syslog形式分類外發，至少可以分為系統操作日志、運維操作日志、系統運行日志；支持對接國網II型裝置

角色管理

•  默認角色至少包括系統管理員、運維操作員、系統審計員三種角色

•  支持對用戶角色進行新建、編輯、刪除等操作

• 支持自定義角色，支持將系統功能模塊按需分配給角色，從而實現分級分權的管理模式

賬號稽核

•  通過堡壘機對資產/系統帳號進行稽核，可以發現僵尸帳號、孤兒帳號、幽靈帳號，協助管理員快速發現低頻使用的資產/系統帳號、未建立授權管理的資產/系統帳號和未托管到堡壘機的資產帳號

可信主機

•  支持添加可信主機，配置可信主機后，只有在可信主機范圍的IP地址可以登錄

IP白名單

•  支持IP白名單配置，配置后，只有可信任的IP或IP段才能訪問系統

首頁展示

•  支持管理員首頁展示運維用戶數量、權限組、資產、計劃任務、策略數量功能模塊，并支持一鍵跳轉至各模塊對應功能頁面

• 支持管理員首頁拓撲圖展示，包括運維用戶、資產、資產組，并實時監測運維用戶與被運維資產之間的運維關系；支持展示運維用戶名稱、運維方式、上次登錄時間，展示資產名稱、資產IP、資產類型、上次登錄時間等信息

• 支持運維用戶首頁展示我的資產、賬號有效期、密碼有效期、運維工具下載等信息展示

•  支持運維用戶首頁展示最近5/10次運維記錄

資產賬號管理

•  支持對資產賬號的自定義添加，刪除和導出

•  支持資產賬號密碼托管，實現資產單點登錄功能

• 運維人員輸入賬號密碼成功單點登錄后，系統將自動上收賬號到對應資產的賬號列表。便于借助擁有資產登錄權限的運維人員將資源賬戶進行上收

•  支持對操作系統、交換機、路由器等資源進行密碼變更；密碼變更可以根據密碼策略的要求進行變更，變更的密碼符合密碼策略中關于密碼強度的要求，支持周期性執行改密任務

單點登錄

•  支持無需安裝任何控件，即可基于瀏覽器進行RDP、VNC、SSH，telnet，SCP/FTP/SFTP等協議的單點登錄，實現跨瀏覽器和跨運維客戶端操作系統的運維操作

•  支持web登錄時，運維界面添加水印功能，防止敏感信息通過截圖拍照泄漏

•  具備web方式單點登錄的同時，還支持xshell、SecureCRT、putty等客戶端工具，方便滿足不同的運維人員的使用習慣

•  支持同時打開多個運維界面

•  可以制定計劃任務，資產執行提前編輯好的腳本。腳本超時執行時間為每個計劃在機器上的超時時間，執行超過超時時間后會斷開連接。自動化任務可關聯堡壘機相應資產帳號

•  支持將成功的單點登錄記錄保存為歷史記錄，方便下次登錄時直接點擊歷史記錄一鍵快速登錄

• 支持一鍵共享運維窗口，允許其他專家進行指導操作對應的資產

•  支持運維用戶連接資產時不進行任何操作一段時間后斷開和目標資產的連接

•  支持管理員實時監控用戶運維操作，發現高危操作時，可以一鍵中斷運維操作，保障資產安全

•  運維用戶在有對未授權資源有臨時訪問需求時可申請工單，經管理員審批通過后即可進行臨時運維訪問

系統配置

•  為管理員提供操作向導模式，方便用戶進行設備管理和使用

•  支持IPV4、IPV6協議棧下的管理

•  支持配置數據與審計數據的備份與還原，支持本地備份或遠程備份

•  支持后續升級包通過界面直接升級

• 自身賬號密碼使用國產密碼算法SM3，采用哈希+Salt算法進行加密和驗證

•  資產的用戶密碼和郵件密碼數據需要還原，采用國密算法SM4，對稱加密算法

•  支持通過第三方認證Radius、AD/LDAP服務器用戶進行登錄系統

•  支持配置用戶登錄次數，密碼時效性，登錄超時時間，最大并發登錄用戶數，最小密碼長度，運維會話超時時間，最小密碼復雜度等

• 支持配置包括網絡配置、時鐘配置、授權配置、數據維護、運行監視等配置

指標項

SOMS-YH-6002-E