前提條件

已購買標(biāo)準(zhǔn)版及以上版本堡壘機(jī)，并已完成堡壘機(jī)配置。

安全區(qū)域邊界：安全審計(jì)

等保條例：應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對重要的用戶行為和重要安全事件進(jìn)行審計(jì)；

本條款主要考察：是否有進(jìn)行安全審計(jì)。云堡壘機(jī)支持對云服務(wù)器運(yùn)維操作進(jìn)行監(jiān)控和審計(jì)。

使用有審計(jì)模塊權(quán)限的賬號登錄云堡壘機(jī)，單擊“審計(jì) > 歷史會(huì)話審計(jì)”，進(jìn)入“歷史會(huì)話”頁面。

在歷史會(huì)話頁面可分別查看資源會(huì)話信息、系統(tǒng)會(huì)話信息、運(yùn)維操作記錄、文件傳輸記錄、會(huì)話協(xié)同記錄等。具體操作詳見云堡壘機(jī)歷史會(huì)話。

等保條例：審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；

本條款主要考察：日志是否按照要求進(jìn)行記錄。

使用管理員賬號登錄云堡壘機(jī)，單擊“審計(jì) > 歷史會(huì)話審計(jì)”，進(jìn)入“歷史會(huì)話”頁面。

主要包含資源名稱、類型、主機(jī)IP、資源賬戶、起止時(shí)間、會(huì)話時(shí)長、會(huì)話大小、操作用戶、操作用戶來源IP、操作用戶來源MAC、登錄方式、運(yùn)維記錄、文件傳輸記錄、會(huì)話協(xié)同記錄等信息。具體操作詳見云堡壘機(jī)歷史會(huì)話

應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；

使用管理員賬號登錄云堡壘機(jī)，單擊“系統(tǒng) > 數(shù)據(jù)維護(hù)”，單擊“日志備份”，進(jìn)入“日志備份”頁面。

在“日志備份”頁面，可以創(chuàng)建、查看日志備份，支持系統(tǒng)登錄日志、資源登錄日志、命令操作日志、文件操作日志、雙人授權(quán)日志。也支持備份至Syslog服務(wù)器、FTP/SFTP服務(wù)器和OBS桶。具體操作詳見云堡壘機(jī)創(chuàng)建數(shù)據(jù)備份。

應(yīng)能對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析；

本條款主要考察：是否能夠?qū)h(yuǎn)程訪問的用戶行為進(jìn)行審計(jì)與數(shù)據(jù)分析。具體詳見云堡壘機(jī)運(yùn)維審計(jì)。

安全計(jì)算環(huán)境：身份鑒別

等保條例：應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；

本條款主要考察如下三點(diǎn)：

是否對登錄用戶進(jìn)行身份識別和鑒別使用瀏覽器訪問堡壘機(jī)頁面，證明需要對用戶身份進(jìn)行鑒別之后才可正常使用產(chǎn)品功能。

圖4 云堡壘機(jī)登錄界面

身份標(biāo)識是否具有唯一性：每名用戶創(chuàng)建必須填寫姓名、手機(jī)號、郵箱及角色，并且一名用戶只能配置一個(gè)角色。詳見：云堡壘機(jī)創(chuàng)建用戶。

身份鑒別信息是否具有復(fù)雜度要求并定期更換：華為云堡壘機(jī)支持“手動(dòng)執(zhí)行”、“定時(shí)執(zhí)行”、“周期執(zhí)行”三種改密執(zhí)行方式，還支持“生成不同密碼”、“生成相同密碼”、“指定相同密碼”三種改密方式。具體操作詳見云堡壘機(jī)改密策略。

等保條例：應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn);

華為云堡壘機(jī)采用多因子認(rèn)證的登錄方式，具體登錄認(rèn)證的方法有：手機(jī)短信、手機(jī)令牌、USBkey和動(dòng)態(tài)令牌登錄四種方式。具體操作詳見：云堡壘機(jī)配置多因子認(rèn)證。

等保條例：應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施；

華為云堡壘機(jī)可配置用戶登錄安全鎖，可設(shè)置鎖定方式、鎖定時(shí)長、可嘗試密碼次數(shù)等。具體操作詳見：云堡壘機(jī)配置用戶登錄安全鎖。

訪問控制

等保條例：應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離；

華為云堡壘機(jī)支持對用戶的操作權(quán)限進(jìn)行限制，分別為三大類：訪問控制策略、命令控制策略和數(shù)據(jù)庫控制策略。

華為云堡壘機(jī)可以對登錄用戶角色的一些操作權(quán)限進(jìn)行控制，詳細(xì)細(xì)粒度劃分見圖9，比如您可以對運(yùn)維主管的賬號授予刪除和修改代理服務(wù)器的權(quán)限。

您可以對各個(gè)賬戶進(jìn)行訪問控制，具體可細(xì)分到文件管理、上行剪切板、下行剪切板、顯示水印、控制登錄時(shí)間和上傳下載文件，并且可以對登錄的角色進(jìn)行IP的黑白名單限制。如圖10所示

等保條例：應(yīng)對登錄的用戶分配賬戶和權(quán)限；

華為云堡壘機(jī)支持對用戶進(jìn)行角色分配和用戶組分配，具體操作詳見：華為云堡壘機(jī)用戶角色管理和華為云堡壘機(jī)用戶組管理。

對于長期不登錄或過期的賬戶，應(yīng)及時(shí)刪除。云堡壘機(jī)可以設(shè)定僵尸用戶判定時(shí)間，超過此時(shí)間的賬戶就會(huì)被禁用。

安全審計(jì)

等保條例：應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對重要的用戶行為和重要安全事件進(jìn)行審計(jì)；

華為云堡壘機(jī)支持查看實(shí)時(shí)會(huì)話、查看歷史會(huì)話及查看查看系統(tǒng)日志的功能。

您可以在系統(tǒng)日志中查看系統(tǒng)登錄日志，具體可細(xì)分為登錄時(shí)間、登錄用戶、來源IP、日志內(nèi)容、登錄方式、登錄結(jié)果和備注等內(nèi)容。

等保條例：審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；

華為云可以在系統(tǒng)操作日志中詳細(xì)查看每個(gè)賬號對堡壘機(jī)做了哪些操作，具體記錄到用戶、時(shí)間、來源IP、模塊、日志內(nèi)容、結(jié)果。如圖13所示