堡壘機通常在信息安全級別受到保護。它主要匹配服務器訪問統(tǒng)一身份認證，統(tǒng)一授權，統(tǒng)一審計，統(tǒng)一監(jiān)控和檢查，特別是在醫(yī)療，稅務，金融等行業(yè)。在這方面，要求特別嚴格。通常，必須滿足以下審核功能：

1、用戶身份認證(如三級評估合規(guī)性要求)一般需要三到兩個級別的醫(yī)院安全評估。上述雙因素方法用于身份驗證。堡壘機必須要求本地認證，AD域認證，Radius認證，數(shù)字證書認證，手機動態(tài)密碼，指紋識別認證，UKEY(移動數(shù)據(jù)證書)認證等認證方式，以滿足三級系統(tǒng)的設計要求。

注意：身份驗證從級別3開始，必須通過兩個因素進行身份驗證，通過兩個因素識別個人，如果將兩個因素(例如動態(tài)密碼)部署到所有生產服務器，則成本非常高并且很容易發(fā)生事故，堡壘機的線路可以合理調節(jié)。本文在中衛(wèi)威威堡壘機上內置了CA，手機動態(tài)密碼，指紋識別，USBKEY證書等強有力的認證。合規(guī)性識別。

2、授權和訪問控制

授權和管理IT運維管理人員，嚴格限制登錄和操作行為。提供細粒度的訪問控制策略，并通過控制訪問時間，允許的IP段和證書，以及IT操作和維護用戶，登錄地址，操作和維護協(xié)議，目標主機和帳戶以及操作和維護來建立詳細的訪問策略會話。操作和維護時間段的組合授權。

國家信息安全，國內堡壘機品牌三級要求

3、單點登錄和賬戶管理

單點登錄是一項操作和維護管理用戶堡壘機集中認證和授權后，堡壘機是唯一的登錄入口，使非法用戶無機化，可以防止非法人員入侵。同時，根據(jù)配置策略，堡壘機集中管理網絡中服務器，網絡設備和安全設備的賬號，實現(xiàn)賬號密碼管理，實現(xiàn)后臺資源的自動登錄，以及運維用戶不需要知道后臺資源的帳戶密碼。該功能為操作和維護用戶提供了對后臺資源帳戶的可控對應，同時實現(xiàn)了后臺資源帳戶密碼的統(tǒng)一保護。

4、違規(guī)操作警報

根據(jù)安全策略檢測操作和維護管理過程中的違規(guī)，并為違規(guī)操作提供實時警報和阻止。

提供在線操作和維護管理操作的實時監(jiān)控，并制定相應的阻塞警報策略。當操作和維護人員在策略中使用敏感命令時，它們將阻止警報并操作維護人員和服務器。斷開或禁用執(zhí)行命令以中斷操作和維護會話。從而實現(xiàn)降低運營風險和改善安全管理和控制的能力。

5、操作和維護審計管理

審計管理主要用于審計運營商的帳戶登錄和資源訪問。每個服務器主機和網絡設備的訪問日志記錄是統(tǒng)一的。在識別帳戶和資源之后，系統(tǒng)記錄整個登錄和操作過程，作為將來分析和取證的基礎。提供Telnet，F(xiàn)TP，SSH，SFTP，RDP，XWindows，VNC，AS400，HTTP和HTTPS等協(xié)議的操作和維護會話的完整記錄。對于圖形管理，系統(tǒng)可以記錄用戶鍵盤操作。對于字符管理，可以記錄用戶操作的系統(tǒng)命令滿足100%的內容審計記錄要求。 以對話為單位，以圖像的形式提供回放，真實直觀地再現(xiàn)當時的操作過程。它支持快速播放、慢速播放和拖放播放。

6、審計報告功能

Fortress Machine提供每日報告、會話報告、報警報告、綜合統(tǒng)計報告和其他審計報告。系統(tǒng)通過認證、授權、審核、密碼等集中管理，實現(xiàn)對整個運維系統(tǒng)的分析，輸出各種運維報告，整合當前運維情況。顯示系統(tǒng)，為管理層提供運行維護管理的依據(jù)。支持pdf、excel等格式。

7、自我安全保護

通過分散管理機制、管理員身份驗證、https加密管理、內部組件加密通信、數(shù)據(jù)文件加密存儲、關閉可能帶來掃描的服務端口來確保自身安全風險。此外，雙熱備(ha)和數(shù)據(jù)冗余存儲(raid1)技術可以保證系統(tǒng)的可靠運行。

8、產品部署模式

KCNW堡壘機系統(tǒng)采用單臂模式旁路部署，不改變網絡拓撲結構。 部署完成后，內部服務器的維護端口只對堡壘機開放，防止操作和維護人員直接訪問服務器，避免了監(jiān)控的風險。