智慧运维,安全成就所托,贴心的运维安全管控专家
产品概述
绿盟运维安全管理系统(英文简称OSMS)以满足等级保护下身份鉴别、访问控制、安全审计等监管要求为核心,基于“账号、认证、授权和审计”4A管理理念,执行三权分立和最小访问权限原则,运用协议代理技术,实现精准的事前识别、精细的事中控制和精确的事后审计,为客户提供一套先进的运维安全管控与审计解决方案,目标是帮助企业转变传统IT安全运维被动响应的模式,建立面向用户的集中、主动的运维安全管控模式,降低人为安全风险,满足合规要求,保障企业效益。
精准事前识别
基于唯一身份标识的全局实名制管理,支持双因素身份鉴别;设备资产和账号自动收集分析;访问权限全局统一集中管理。
精细事中控制
支持访问策略和工单申请双向访问权限管控;运维数据实现逐层细粒度行为分析和控制;支持一人操作一人审批管理模式和特权身份自动切换。
精确的事后审计
运维行为全程审计,明确展示谁在什么时间,什么地方访问了哪个设备,具体操作行为和结果,可定位、快进、跳过空闲操作等多种录屏播放方式,以及自动按期生成审计报表。
特性
01
灵活的身份鉴别方式
支持可知因素加不可知因素的双因素身份鉴别方式,可对不同用户设置不同认证方式,比如用户A使用本地+usbkey认证,其他用户全部为ldap认证+usbkey认证,其中USBKEY认证支持国密算法。
02
智能化巡检资产
自动发现运维环境中的设备资产信息,主动托管到堡垒机上管理。可向管理员提示,因运维人员更替、设备资产更换等变动导致出现长期无人管理的孤儿设备,封堵资产管理漏洞。
03
高效率管理设备账号密码信息
支持按策略进行设备账号密码托管检测,发现弱口令、重复口令等风险,发现托管资产中存在设备账号信息,支持托管账号密码自动改密、有效性定期巡检。发现幽灵、孤儿等异常设备账号信息,有效封堵违规访问行为。
04
细粒度的访问控制
基于RBAC访问控制权限设计,对运维数据从谁在在什么时间访问哪个设备的物理层,逐步到运维有什么权限做什么操作的业务层进行管控,可实时告警、阻断,标记危险级别等管控。
05
双向访问授权管理
支持“向下”管控和“向上”申请管理模式。上级管理员配置运维人员访问策略权限,对于高价值资产可设置登录授权和命令授权,支持一人操作一人管控的金库模式;运维人员可发起工单申请获取更多运维权限,做好最小化访问权限管理。
06
丰富多样的运维通道
支持B/S和C/S运维访问方式。支持名片式、列表式、树形等多种访问列表展示,可搜索定位待运维资源。支持达梦数据库客户端直连访问堡垒机,单点登录运维管理达梦数据库,省去windows应用发布服务器采购成本和不安全因素。
07
跨平台无缝管理
具有跨平台的运维行为管控能力,可覆盖多种主流主机操作系统、网络设备、数据库和运维协议,包括但不限于RDP\VNC\X11\SFTP\Ftp\SSH\Telnet\Rlogin\http\https等协议,达梦数据库、华为、思科网络设备等。
08
全程运维行为审计
对自然人进行全局唯一身份标识,全面记录“运维人员从登录到退出”的整个过程,录屏方式展示运维人员操作行为,准确提供谁在什么时间什么地点做了什么事情等审计日志,精准定位事故责任,也为事故恢复提供参考依据。
09
审计保护和零管理
审计日志存储时间不低于6个月,采用系统和用户数据隔离存储方式,审计日志循环覆盖写保护,并支持磁盘自动告警。专利技术保护外置备份存储日志,仅专用播放器离线审计查看。
10
快速部署,简单易用
“物理旁路,逻辑串联”的模式,支持IPv4/v6双栈网络环境,双机部署下秒级完成故障切换。提供功能配置向导和在线帮助指南,解答新老客户存在的疑问。
优势
01
信息技术应用创新能力
OSMS构筑在信创战略合作伙伴基础上的运维安全管理类型产品。执行严格的三权分立和最小访问权限原则,系统默认三员用户,权限相互独立制约。满足双因素鉴别要求,应用SM2国密算法保护身份鉴别信息。支持远程访问管理,通信数据加密传输,管理和业务接口物理分离。
02
稳定可靠的安全性保障
支持热拔插式冗余电源,防范电源故障宕机,支持双机部署,配置实时同步,秒级故障切换。审计日志存储6个月以上。采用专利技术,外置备份审计日志,仅由专用审计播发器查看。审计日志存储循环覆盖写并自动告警。用户配置信息加密存储,仅能通过OSMS解密获取。
03
高效智能的资产管理
支持自动发现运维环境中存在的设备资产信息智能托管。能够发现运维人员违规新建的幽灵账号或后门账号。支持因运维人员离职,或职责切换等原因,长期不被使用的孤儿账号等。支持设备账号密码周期自动修改和自动巡检验证。
04
简单易用的使用体验
支持中标和银河麒麟等操作系统,remmina客户端多种运维协议直接访问堡垒机,单点登录服务器、网络设备、数据库、web服务器、安全设备等多种业务系统,保留用户原有使用习惯。支持多种设备登录方式,个性化配置、配置信息批量处理、双向访问管控等功能特性。