堡垒机安全

InforCube智能运维安全管理平台-运维审计中心（SiCAP-OMA），支持并实施国产商用密码算法（即SM系列国密算法），满足对于信息安全保密及自主可控的要求，为关键信息系统的运维工作提供坚实防线。支持国密otp、国密usbkey认证方式，强化用户身份安全；采用国密算法对用户账号密码等运维过程中的敏感数据进行加密存储和处理，保证数据的安全性；支持国密浏览器，支持基于国密SSL证书构建加密通信隧道，确保运维过程中数据传输的安全性、完整性；使用基于国密算法的签名/验签、摘要算法等技术，保障数据的抗抵赖性，确保运维行为可追溯且不可否认。智能运维安全管理平台SiCAP通过基于动作流的应用协议自适应扩展，实现广泛的应用协议接入。堡垒机安全

由于运维设备多样性和技术栈的差异，堡垒机作为运维操作的安全接入点和集中管控平台，要求必须具备支持多协议运维的能力，以满足不同设备的运维需求。其中，在没有图形用户界面的情况下，需要运维人员通过纯文本命令进行目标资源的管理和维护。InforCube智能运维安全管理平台-运维审计中心（SiCAP-OMA）提供字符型协议运维能力。能够针对Linux、Unix和其他类Unix系统、网络设备、数据库等，通过SSH协议、Telnet协议、FTP协议、SFTP协议以及MySQL、PostgreSQL 等数据库访问协议，进行基于文本命令行的运维操作，实现目标设备运维。字符型协议运维，能够在远程运维、资源受限等运维场景中发挥重要作用，满足运维人员的日常运维需求。事中控制主账号与从账号可多维度匹配，并细粒 度分配.

InforCube智能运维安全管理平台-运维审计中心（SiCAP-OMA），从运维的授权管控、操作控制、访问控制等多个层面进行精细化管控，确保运维操作合法可控。例如：多维度多粒度的动态授权机制，实现了权限的灵活化、精*化、动态化管控；通过严格限制访问时间段的临时工单授权，即保证运维*限细粒度管控，也满足资产临时运维的需求；基于多种种特殊运维场景和多级审批流程，保证运维人员在特殊情况下排障工作及时进行；实时监控会话，结合高危命令配置，阻止正在进行的攻击，防止发生额外的损害；高安全性的密码会同、双人协作与命令复核，加强核*数据安全性；控制运维目标合法性，严格限制越权操作，降低内部攻击和数据泄露风险；实时监控网络活动，及时发现并阻止异常绕行行为；所有运维操作都会被记录并回放，确保每一步都有迹可循。

在运维中，不同运维方式的操作存在差异，运维人员的使用习惯各不相同。堡垒机作为运维操作的安全接入点和集中管控平台，需要支持包含多种运维方式，其中，客户端运维支持多种运维工具以及更为*泛的协议类型，更好的适应不同运维人员的使用习惯。InforCube智能运维安全管理平台-运维审计中心（SiCAP-OMA）提供客户端运维。系统内置Windows/Mac OS/Linux等操作系统的主流运维工具，可供用户自由选用。同时，能够针对不同的操作系统、协议类型，分别设置全局或个人的默认运维工具，满足用户差异性需求。客户端运维，满足不同运维人员的操作习惯，提升运维效率。智能运维安全管理平台SiCAP提供离岸审批功能，满足紧急故障快速授权。

堡垒机部署时，为了不影响现有网络拓扑结构，往往采用旁路部署模式，通过防火墙隔离用户区和服务器区，并配置策略强制用户通过堡垒机访问服务。如果防火墙策略配置的不够细致，会存在绕过堡垒机，直接访问服务器、数据库等资产的行为。InforCube智能运维安全管理平台-运维审计中心（SiCAP-OMA），通过实时监控，配合灵活的审计策略，及时发现资产绕行登录、改密等异常行为，并向管理员发出告警，有效减少运维人员或非法用户违规连接服务器的安全风险。依据防绕行审计结果，用户可及时完善防火墙策略，进一步降低企业资产安全风险，保证数据安全。智能运维安全管理平台SiCAP产品全自主研发并适配信创国产化操作系统、数据库、中间件等。PostgreSQL

可按协议、人员、角色、端口等细粒度 授权配置。堡垒机安全

运维人员每次运维前都要先打开浏览器登录堡垒机，再找到对应的授权资产进行运维，操作步骤较多。InforCube智能运维安全管理平台-运维审计中心（SiCAP-OMA）提供直连运维功能。运维人员无需打开SiCAP-OMA页面，可选用本地客户端工具，通过配置SiCAP-OMA IP地址和用户名、密码、目标资产IP、资产账号、资产账号密码、协议，即可直接访问到目标资产进行运维，进行SiCAP的认证和目标资产运维，整个运维过程需要基于已有SiCAP-OMA的授权。直连运维不*可以简化用户运维步骤，提高运维工作效率，还能适配不同用户的操作习惯，提升用户体验。堡垒机安全