用戶帳號管理

系統(tǒng)用戶帳號全生命周期管理，用戶使用唯一帳號登錄系統(tǒng)，解決共享帳號、臨時帳號、濫用權(quán)限等問題。

批量導(dǎo)入：通過同步第三方服務(wù)器用戶，以及批量導(dǎo)入用戶，支持一鍵同步并導(dǎo)入已有用戶信息，無需重復(fù)創(chuàng)建用戶。

用戶組：用戶帳號按屬性分組管理，可實現(xiàn)對同類型用戶按用戶組賦予權(quán)限。

批量管理：支持批量管理用戶帳號，包括刪除、啟用、禁用、重置密碼、修改用戶基本配置等。

鏡像

集中資源賬戶管理，資源賬戶全生命周期管理，實現(xiàn)單點登錄資源，管理或運維無縫切換。

資源類型：納管資源類型豐富，包括Windows、Linux等主機(jī)資源，MySQL、Oracle等數(shù)據(jù)庫資源，以及Windows應(yīng)用程序資源。支持C/S架構(gòu)運維接入：包括SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin協(xié)議類型主機(jī)資源。支持B/S、C/S架構(gòu)應(yīng)用系統(tǒng)資源接入，可直接配置12+種Edge、Chrome、Oracle Tool等瀏覽器或客戶端Windows服務(wù)器應(yīng)用資源。

資源管理

1、批量導(dǎo)入：通過自動發(fā)現(xiàn)、同步云上資源，以及批量導(dǎo)入資源，支持一鍵同步并導(dǎo)入云上ECS、RDS等服務(wù)器上資源。

2、賬戶組管理：資源賬戶按屬性分組管理，可實現(xiàn)對同類型資源賬戶按賬戶組給用戶賦權(quán)

3、密碼自動代填：采用AES256加密方式存儲資源賬戶，通過密碼自動代填技術(shù)加密共享賬戶，避免賬戶泄露風(fēng)險。

4、賬戶自動改密：通過設(shè)置改密策略，可定時定期修改賬戶密碼，確保資源的賬戶安全。

5、賬戶自動同步：通過設(shè)置賬戶同步策略，可定時定期核查和同步主機(jī)資源賬戶，包括拉取主機(jī)賬戶統(tǒng)計異常系統(tǒng)資源賬戶，以及推送系統(tǒng)新建、刪除、修改的資源賬戶到主機(jī)，確保資源賬戶健康生存周期。

6、批量管理：支持批量管理資源信息和資源賬戶，包括刪除資源、添加資源標(biāo)簽、修改資源信息、驗證資源賬戶、刪除資源賬戶等。

系統(tǒng)訪問權(quán)限

從單個用戶帳號屬性出發(fā)，控制用戶登錄和訪問系統(tǒng)權(quán)限。

1、用戶角色：通過為每個用戶帳號分配不同的角色，賦予用戶訪問系統(tǒng)不同模塊的權(quán)限，對系統(tǒng)用戶身份進(jìn)行分權(quán)。系統(tǒng)支持自定義角色，自定義角色中可以自選添加系統(tǒng)模塊，實現(xiàn)角色多樣化模式。

2、組織部門：通過為每個用戶劃分部門，采用部門組織樹形結(jié)構(gòu)，不限制部門層級，可將用戶按部門分層級管理。

3、登錄限制：通過設(shè)置用戶登錄配置，從登錄有效期、登錄時間、多因子認(rèn)證、登錄IP限制、登錄MAC限制等維度，賦予用戶登錄系統(tǒng)的權(quán)限。

資源訪問權(quán)限

按照用戶、用戶組與資源賬戶、賬戶組之間的關(guān)聯(lián)關(guān)系，建立用戶對資源的控制權(quán)限。

1、訪問控制：通過設(shè)置訪問控制權(quán)限，從訪問有效期、登錄時間、IP限制、上傳/下載、文件傳輸、剪切板、顯示水印等維度，賦予用戶訪問資源的權(quán)限。

2、雙人授權(quán)：通過設(shè)置雙人或多人授權(quán)審核，需要授權(quán)人實時授權(quán)才能訪問資源，保障敏感核心資源絕對安全。

3、命令攔截：通過設(shè)置命令控制策略或數(shù)據(jù)庫控制策略，對服務(wù)器或數(shù)據(jù)庫中敏感、高危操作，強(qiáng)制阻斷、告警及二次復(fù)核，加強(qiáng)對關(guān)鍵操作的管控。

4、批量授權(quán)：通過用戶組和賬戶組形式，支持同時授權(quán)多個用戶以多個資源的控制權(quán)限。

系統(tǒng)行為審計

系統(tǒng)操作行為全紀(jì)錄，針對操作失誤、惡意操作、越權(quán)操作等行為告警通知。

1、系統(tǒng)登錄日志：詳細(xì)記錄登錄系統(tǒng)的方式、登錄用戶、用戶來源IP、登錄時間等信息。支持一鍵導(dǎo)出全部系統(tǒng)登錄日志。

2、系統(tǒng)操作日志：系統(tǒng)操作行為全程記錄，覆蓋所有系統(tǒng)操作事件。支持一鍵導(dǎo)出全部系統(tǒng)操作日志。

3、系統(tǒng)報表：集中可視化呈現(xiàn)用戶在系統(tǒng)的操作統(tǒng)計信息，包括用戶啟用狀態(tài)、用戶與資源創(chuàng)建、用戶登錄方式、異常登錄、會話控制等信息。支持一鍵導(dǎo)出系統(tǒng)報表，并可定周期以郵件方式自動推送系統(tǒng)報表。

4、告警通知：通過配置系統(tǒng)告警，針對系統(tǒng)操作和系統(tǒng)環(huán)境制定不同告警方式和告警級別，以郵件方式和系統(tǒng)消息方式推送告警通知，以便及時發(fā)現(xiàn)系統(tǒng)異常和用戶異常操作。

資源運維審計

全程記錄用戶的運維操作，支持多種運維審計技術(shù)和審計形式，可隨時審計用戶操作行為，識別運維風(fēng)險，為安全事件追溯和分析提供依據(jù)。

運維審計技術(shù)

1、Linux命令審計

基于字符協(xié)議（SSH、TELNET）的命令操作審計，記錄命令運維全程，支持解析字符操作命令，還原操作指令，根據(jù)輸入、輸出結(jié)果關(guān)鍵字搜索快速定位回放。

2、Windows操作審計：基于圖形協(xié)議（RDP、VNC）終端和應(yīng)用發(fā)布的行為操作審計，遠(yuǎn)程桌面的操作全紀(jì)錄，包括鍵盤操作、功能鍵操作、鼠標(biāo)操作、窗口指令、窗口切換、剪切板拷貝等。

3、數(shù)據(jù)庫命令審計：基于數(shù)據(jù)庫協(xié)議（DB2、MySQL、Oracle、SQL Server）的命令操作審計，記錄從SSO單點登錄數(shù)據(jù)庫到數(shù)據(jù)庫命令操作全程，支持解析數(shù)據(jù)庫操作指令，100%還原操作指令。

4、文件傳輸審計：基于遠(yuǎn)程桌面的文件傳輸操作審計，以及基于文件傳輸協(xié)議（FTP、SFTP、SCP）的傳輸操作審計，對Web瀏覽器或客戶端文件傳輸全程審計，記錄傳輸?shù)奈募Q和目標(biāo)路徑。

運維審計形式

1、實時監(jiān)控：實時查看正在進(jìn)行的運維會話，支持監(jiān)控和中斷實時會話。

2、歷史日志：運維操作全程記錄，詳細(xì)記錄歷史運維會話信息，支持一鍵導(dǎo)出歷史會話日志。

3、會話視頻：支持對Linux命令審計、Windows操作審計全程錄像記錄，回放錄像視頻。支持生成視頻文件，一鍵下載會話視頻。

4、運維報表：集中可視化呈現(xiàn)運維統(tǒng)計信息，包括運維時間分布、資源訪問次數(shù)、會話時長、雙人授權(quán)、命令攔截、字符數(shù)命令、傳輸文件數(shù)等信息。支持一鍵導(dǎo)出運維報表，并可定周期以郵件方式自動推送系統(tǒng)報表。

5、日志備份：通過配置日志備份，可將歷史會話日志遠(yuǎn)程備份至Syslog服務(wù)器、FTP/SFTP服務(wù)器、OBS桶，實現(xiàn)系統(tǒng)日志容災(zāi)備份。

Web瀏覽器運維

HTML5遠(yuǎn)程登錄資源，無需安裝客戶端，一鍵登錄運維資源，實現(xiàn)操作實時監(jiān)控、文件上傳下載等運維管理。

1、一站式登錄運維在：Windows、Linux、Android、iOS等操作系統(tǒng)上，支持任意主流瀏覽器無插件化運維，包括Edge、Chrome、Firefox等主流瀏覽器，讓運維人員脫離運維工具和操作系統(tǒng)束縛，隨時隨地遠(yuǎn)程運維。

2、批量登錄支：持一鍵登錄多個授權(quán)資源，多個資源可同時在一個瀏覽器頁簽運維。

3、協(xié)同會話支：持多人參與“協(xié)同分享”，邀請其他運維人員或?qū)＜疫M(jìn)行協(xié)同運維，對同一會話進(jìn)行協(xié)同操作或問題定位，提高多人運維效率。

4、文件傳輸基：于WSS的文件管理技術(shù)，支持文件上傳/下載，以及文件在線管理，實現(xiàn)多主機(jī)文件共享功能 。

5、命令群發(fā)針：對多個Linux資源，開啟群發(fā)鍵。在一個會話窗口執(zhí)行命令后，其他會話窗口將同步執(zhí)行相同操作。

第三方客戶端運維

在不改變用戶使用原來客戶端習(xí)慣的前提下，支持一鍵接入多種運維工具，提升運維效率。

1、多種運維工具：支持接入SecureCRT、Xshell、Xftp、WinSCP、Navicat 、Toad for Oracle等工具。

2、SSH客戶端運維：針對字符協(xié)議類主機(jī)資源，可通過運維客戶端登錄資源，實現(xiàn)運維平臺多種選擇。

3、數(shù)據(jù)庫客戶端運維：針對數(shù)據(jù)庫主機(jī)資源，通過配置SSO單點登錄工具，調(diào)用數(shù)據(jù)庫客戶端，實現(xiàn)一鍵登錄目標(biāo)數(shù)據(jù)庫資源，數(shù)據(jù)庫運維操作。

4、文件傳輸客戶端運維：針對文件傳輸協(xié)議類主機(jī)資源，通過調(diào)用FTP/SFTP/SCP客戶端登錄資源，實現(xiàn)客戶端運維。

自動化運維

線上多步驟復(fù)雜操作自動化執(zhí)行，告別枯燥的重復(fù)工作，提高工作效率。

1、腳本管理：線下腳本上線管理，支持Shell和Python類型腳本的管理。

2、運維任務(wù)：通過配置命令執(zhí)行、腳本執(zhí)行、文件傳輸?shù)倪\維任務(wù)，可定期、批量、自動執(zhí)行預(yù)置的運維任務(wù)。