LanSecS堡壘主機內(nèi)控管理平臺技術白皮書1

第堡壘主機對各種字符終端和圖形終端使用的協(xié)議進行代理，實現(xiàn)多平臺的操作支持和審計，例如Telnet、SSH、平臺的RDP遠程桌面協(xié)議，Linux/Unix平臺的XWindow圖形終端訪問協(xié)議等。當運維機通過堡壘主機訪問服務器時，首先由堡壘主機模擬成遠程訪問的服務端，接受運維機的連接和通訊，并對其進行協(xié)議的還原、解析、記錄，最終獲得運維機的操作行為，之后堡壘主機模擬運維機及真正的目標服務器建立通訊并轉(zhuǎn)發(fā)運維機發(fā)送的指令信息，從而實現(xiàn)對各種維護協(xié)議的代理轉(zhuǎn)發(fā)過程。在通訊過程中，堡壘主機會記錄各種指令信息，并根據(jù)策略對通信過程進行控制，如發(fā)現(xiàn)違規(guī)操作，則不進行代理轉(zhuǎn)發(fā)，并由堡壘主機反饋禁止執(zhí)行的回顯提示。身份授權分離以前管理員依賴各IT系統(tǒng)上的系統(tǒng)帳號實線兩部分功能：身份認證和系統(tǒng)授權，但是因為共享帳號、弱口令帳號等問題存在，這兩方面實現(xiàn)都存在漏洞，達不到預期的效果。解決的思路是將身份和授權分離。在堡壘主機上建立主帳號體系，用于身份認證，原各IT系統(tǒng)上的系統(tǒng)帳號僅用于系統(tǒng)授權，這樣可以有效增強身份認證和系統(tǒng)授權的可靠性，從本質(zhì)上解決帳號管理混亂問題，為認證、授權、審計提供可靠的保障。產(chǎn)品概述產(chǎn)品綜述內(nèi)控堡壘主機是一種被加固的可以防御進攻的計算機，具備堅強的安全防護能力。內(nèi)控堡壘主機扮演著看門者的職責，所有對網(wǎng)絡設備和服務器的請求都要從這扇大門經(jīng)過。因此內(nèi)控堡壘主機能夠攔截非法訪問和惡意攻擊，對不合法命令進行阻斷、過濾掉所有對目標設備的非法訪問行為。LanSecS（堡壘主機）內(nèi)控管理平臺具體有強大的輸入輸出審計功能，不僅能詳細記錄用戶操作的每一條指令，而且能夠通過回放的功能，將其動態(tài)的展現(xiàn)出來，大大豐富了內(nèi)控審計的功能。LanSecS（堡壘主機）內(nèi)控管理平臺自身審計日志，可以極大增強審計信息的安全性，保證審計人員有據(jù)可查。LanSecS（堡壘主機）內(nèi)控管理平臺還具備圖形終端審計功能，能夠?qū)Χ嗥脚_的多種終端操作審計，例如windows平臺的RDP形式圖形終端操作。為了給系統(tǒng)管理員查看審計信息提供方便性，LanSecS（堡壘主機）內(nèi)控管理平臺提供了審計查看檢索功能。系統(tǒng)管理員可以通過多種查詢條件查看審計信息?？傊?，LanSecS（堡壘主機）內(nèi)控管理平臺能夠極大的保護企業(yè)內(nèi)部網(wǎng)絡設備及服務器資源的安全性，使得企業(yè)內(nèi)部網(wǎng)絡管理合理化和專業(yè)化。產(chǎn)品組成產(chǎn)品功能單點登錄LanSecS（堡壘主機）內(nèi)控管理平臺提供了基于B/S的單點登錄系統(tǒng)，用戶通過一次登錄系統(tǒng)后，就可以無需認證的訪問包括被授權的多種基于B/S的應用系統(tǒng)。單點登錄為具有多帳號的用戶提供了方便快捷的訪問途經(jīng)，使用戶無需記憶多種登錄用戶ID和口令。它通過向用戶和客戶提供對其個性化資源的快捷訪問提高生產(chǎn)效率。同時，由于系統(tǒng)自身是采用強認證的系統(tǒng)，從而提高了用戶認證環(huán)節(jié)的安全性。單點登錄可以實現(xiàn)和用戶管理授權的無縫隙鏈接，通過對用戶、角色、資源和行為的授權，增加對資源的保護，和對用戶行為的監(jiān)控及審計。賬戶管理集中帳號管理包含對所有服務器、網(wǎng)絡設備帳號的集中管理。帳號和資源的集中管理是集中授權、認證和審計的基礎。集中帳號管理可以完成對帳號整個生命周期的監(jiān)控和管理，而且還降低了企業(yè)管理大量用戶帳號的難度和工作量。同時，通過統(tǒng)一的管理還能夠發(fā)現(xiàn)帳號中存在的安全隱患，并且制定統(tǒng)一的、標準的用戶帳號安全策略。通過建立集中帳號管理，企業(yè)可以實現(xiàn)將帳號及具體的自然人相關聯(lián)。通過這種關聯(lián)，可以實現(xiàn)多級的用戶管理和細粒度的用戶授權。而且，還可以實現(xiàn)針對自然人的行為審計，以滿足審計的需要。身份認證LanSecS（堡壘主機）內(nèi)控管理平臺為用戶提供統(tǒng)一的認證接口。采用統(tǒng)一的認證接口不但便于對用戶認證的管理，而且能夠采用更加安全的認證模式，提高認證的安全性和可靠性。集中身份認證提供靜態(tài)密碼、WindowsNT域、WindowsKerberos、雙因素、一次性口令和生物特征等多種認證方式，而且系統(tǒng)具有靈活的定制接口。資源授權LanSecS（堡壘主機）內(nèi)控管理平臺系統(tǒng)提供統(tǒng)一的界面，對用戶、角色及行為和資源進行授權，以達到對權限的細粒度控制，最大限度保護用戶資源的安全。通過集中訪問授權和訪問控制可以對用戶通過B/S對服務器主機、網(wǎng)絡設備的訪問進行審計。在集中訪問授權里強調(diào)的“集中”是邏輯上的集中，而不是物理上的集中。即在各網(wǎng)絡設備、服務器主機系統(tǒng)中可能擁有各自的權限管理功能，管理員也由各自的歸口管理部門委派，但是這些管理員在LanSecS（堡壘主機）內(nèi)控管理平臺系統(tǒng)上，可以對各自的管理對象進行授權，而不需要進入每一個被管理對象才能授權。授權的對象包括用戶、用戶角色、資源和用戶行為。系統(tǒng)不但能夠授權用戶可以通過什么角色訪問資源這樣基于應用邊界的粗粒度授權，對某些應用還可以限制用戶的操作，以及在什么時間進行操作等的細粒度授權。訪問控制LanSecS（堡壘主機）內(nèi)控管理平臺系統(tǒng)能夠提供細粒度的訪問控制，最大限度保護用戶資源的安全。細粒度的命令策略是命令的集合，可以是一組可執(zhí)行命令，也可以是一組非可執(zhí)行的命令，該命令集合用來分配給具體的用戶，來限制其系統(tǒng)行為，管理員會根據(jù)其自身的角色為其指定相應的控制策略來限定用戶。訪問控制策略是保護系統(tǒng)安全性的重要環(huán)節(jié)，制定良好的訪問策略能夠更好的提高系統(tǒng)的安全性。操作審計操作審計管理主要審計操作人員的帳號使用（登錄、資源訪問）情況、資源使用情況等。在各服務器主機、網(wǎng)絡設備的訪問日志記錄都采用統(tǒng)一的帳號、資源進行標識后，操作審計能更好地對帳號的完整使用過程進行追蹤。系統(tǒng)支持對如下協(xié)議進行審計：Telnet、、RDP（WindowsTerminal）、Xwindows、VNC等。LanSecS（堡壘主機）內(nèi)控管理平臺系統(tǒng)通過系統(tǒng)自身的用戶認證系統(tǒng)、用戶授權系統(tǒng)，以及訪問控制等詳細記錄整個會話過程中用戶的全部行為日志。還可以將產(chǎn)生的日志傳送給第三方。對于生成的日志支持豐富的查詢和操作。支持按服務器方式進行查詢：通過對特定服務器地址進行查詢，可以發(fā)現(xiàn)該服務器上發(fā)生的命令和行為。支持按用戶名方式進行查詢通過對用戶名進行查詢，可以發(fā)現(xiàn)該用戶的所有行為。支持按登陸地址方式進行查詢通過對特定IP地址進行查詢，可以發(fā)現(xiàn)該地址對應主機及其用戶在服務器上進行的所有操作。支持按照登陸時間進行查詢通過對登錄時間進行查詢，可以發(fā)現(xiàn)特定時間內(nèi)登錄服務器的用戶及其進行過的所有操作。支持對命令發(fā)生時間進行查詢可以通過對命令發(fā)生的時間進行查詢，可以查詢到特定時間段服務器上發(fā)生過的所有行為。支持對命令名稱進行查詢通過查詢特定命令如LS，可以查詢到使用過該命令的所有用戶及其使用的時間等。支持上述六個查詢條件的任意組合查詢?nèi)纾嚎梢圆樵?誰（用戶名）""什么時間登錄（登錄時間）"服務器并在"什么時間（命令發(fā)生時間）"在"服務器（目標服務器）"上執(zhí)行過"什么操作（命令）"。支持對日志的備份操作處理支持對日志的刪除處理關鍵技術LanSecS（堡壘主機）內(nèi)控管理平臺采用系列先進技術，成功實現(xiàn)命令及圖形的捕獲及控制，為服務器的安全運行提供了強有力的系統(tǒng)工具。邏輯命令自動識別技術LanSecS（堡壘主機）內(nèi)控管理平臺自動識別當前操作終端，對當前終端的輸入輸出進行控制，組合輸入輸出流，自動識別邏輯語義命令。系統(tǒng)會根據(jù)輸入輸出上下文，確定邏輯命令編輯過程，進而自動捕獲出用戶使用的邏輯命令。該項技術解決了邏輯命令自動捕獲功能，在傳統(tǒng)鍵盤捕獲及控制領域取得新的突破，可以更加準確的控制用戶意圖。該技術能自動識別命令狀態(tài)和編輯狀態(tài)以及私有工作狀態(tài)，準確捕獲邏輯命令。分布式處理技術LanSecS（堡壘主機）內(nèi)控管理平臺采用分布式處理架構進行處理，啟用命令捕獲引擎機制，通過策略服務器完成策略審計，通過日志服務器存儲操作審計日志，并通過實時監(jiān)視中心，實時察看用戶在服務器上行為。這種分體式設計有利于策略的正確執(zhí)行和操作記錄日志的安全。同時，各組件之間采用安全連接進行通信，防止策略和日志被篡改。各組件可以獨立工作，可以分布于不同的服務器上，亦可所有組件安裝于一臺服務器。正則表達式匹配技術LanSecS（堡壘主機）內(nèi)控管理平臺采用正則表達式匹配技術，將正則表達式組合入樹型可遺傳策略結構，實現(xiàn)控制命令的自動匹配及控制。樹型可遺傳策略適合現(xiàn)代企業(yè)事業(yè)架構，對于服務器的分層分級管理及控制提供了強大的工具。RDP協(xié)議代理為了對圖形終端操作行為進行審計和監(jiān)控，LanSecS（堡壘主機）內(nèi)控管理平臺對圖形終端使用的協(xié)議進行代理，實現(xiàn)多平臺的多種圖形終端操作的審計，例如Windows平臺的RDP方式圖形終端操作，Linux/Unix平臺的XWindow方式圖形終端操作。多進程/線程及同步技術LanSecS（堡壘主機）內(nèi)控管理平臺主體采用多進程/線程技術實現(xiàn)，利用獨特的通信和數(shù)據(jù)同步技術，準確控制程序行為。多進程/線程方式邏輯處理準確，事務處理不會發(fā)生干擾，這有利于保證系統(tǒng)的穩(wěn)定性、健壯性。數(shù)據(jù)加密功能LanSecS（堡壘主機）內(nèi)控管理平臺在處理用戶數(shù)據(jù)時都采用相應的數(shù)據(jù)加密技術來保護用戶通信的安全性和數(shù)據(jù)的完整性。防止惡意用戶截獲和篡改數(shù)據(jù)。充分保護用戶在操作過程中不被惡意破壞。審計查詢檢索功能自從《薩班斯法案》的推出，企業(yè)內(nèi)控得到了嚴格的審查，企業(yè)的內(nèi)部審計顯得非常重要。LanSecS（堡壘主機）內(nèi)控管理平臺能夠為企業(yè)內(nèi)部網(wǎng)絡提供完全的審計信息，這些審計信息能夠為企業(yè)追蹤用戶行為，判定用戶行為等，能夠還原出用戶的一些操作性為。傳統(tǒng)審計關聯(lián)到IP，這本身是一個不確定的和不負責任的審計結果，因為IP信息不能夠真實反應出真實的操作者是誰，從而企業(yè)內(nèi)部網(wǎng)絡出現(xiàn)問題不能追蹤用戶。LanSecS（堡壘主機）內(nèi)控管理平臺能夠?qū)@些用戶關聯(lián)審計行為，就是說真正能夠把每一次審計出的用戶操作性為綁定到自然人身上，便于企業(yè)內(nèi)部網(wǎng)絡管理追蹤到個人。操作還原技術操作還原技術是指將用戶在系統(tǒng)中的操作行為以真實的環(huán)境模擬顯現(xiàn)出來，審計管理員可以根據(jù)操作還原技術還原出真實的操作，以判定問題出在哪里。LanSecS（堡壘主機）內(nèi)控管理平臺采用操作還原技術能夠?qū)⒂脩舻牟僮髁鞒套詣拥卣宫F(xiàn)出來，能夠監(jiān)控用戶的每一次行為，判定用戶的行為是否對企業(yè)內(nèi)部網(wǎng)絡安全性造成危害。產(chǎn)品優(yōu)勢良好的擴展性LanSecS（堡壘主機）內(nèi)控管理平臺產(chǎn)品從4A解決方案中抽象出來，提供最便捷的4A項目集成方案。在程序結構上充分考慮到4A項目和非4A項目的使用場景，以先進的體系結構，清晰合理的模塊劃分實現(xiàn)多種用戶場景的適用性。在4A項目中，LanSecS（堡壘主機）內(nèi)控管理平臺放棄帳號、認證、授權的集中管理，只提供執(zhí)行單元，完成訪問控制和操作審計功能；在非4A項目中將4A的一些理念融合到LanSecS（堡壘主機）內(nèi)控管理平臺產(chǎn)品中，除提供基礎的訪問控制和操作審計功能外，還提供精簡的帳號、認證、授權集中管理功能。強大的審計功能精確記錄用戶操作時間。審計結果支持多種展現(xiàn)方式，讓操作得以完整還原。審計結果可以錄像回放，支持調(diào)節(jié)播放速度，并且回放過程中支持前后拖拽，方便快速定位問題操作。方便的審計查詢功能，能夠一次查詢多條指令。部署和使用簡單不需要在被管理設備上安裝代理程序。不需要改變網(wǎng)絡的物理拓撲結構。不影響被管理設備的運行。管理員和操作員都使用WEB方式操作，操作簡單。高度的安全性和成熟性LanSecS（堡壘主機）內(nèi)控管理平臺系統(tǒng)的開發(fā)研制中，我們采用成熟的先進技術，對系統(tǒng)的關鍵技術在前期的工作中進行了大量實驗和攻關及原型建立，在已開發(fā)并經(jīng)廣泛測試的產(chǎn)品中，上述的關鍵技術問題已解決。而且，LanSecS（堡壘主機）內(nèi)控管理平臺系統(tǒng)所選取的硬件平臺和軟件平臺，是具有良好的技術支持和發(fā)展前途的成熟產(chǎn)品。系統(tǒng)運用了先進的加密、過濾、備份、數(shù)字簽名及身份認證、權限管理等安全手段，建立健全的系統(tǒng)安全機制，保證了用戶的合法性和數(shù)據(jù)不被非法盜取，從而保證產(chǎn)品的安全性。主要應用運維管理LanSecS（堡壘主機）內(nèi)控管理平臺通過單點登陸進行集中的運維管理，將全部設備集中管控，統(tǒng)一進行維護管理；通過集中賬戶管理解決運維管理人員密碼安全存儲問題，統(tǒng)一管理維護人員密碼口令，避免密碼遺忘和泄露；通過提供運維管理工具幫助管理員日常維護管理，快捷方便提供日常管理工具；通過訪問控制避免管理員誤操作的發(fā)生，禁止使用危險命令，防止破壞性事件發(fā)生；通過操作審計進行全稱記錄，并進行回放瀏覽。安全管理嚴重的攻擊來自系統(tǒng)內(nèi)部（80%來自內(nèi)部攻擊），LanSecS（堡壘主機）內(nèi)控管理平臺針對各種途徑服務器的訪問方式進行監(jiān)控，支持telnet，，rdp，xwindow等，通過將服務器的常用端口關閉，阻止了其他主機訪問服務器。通過堡壘主機代理連接的方式，可以訪問指定服務器，即加強了服務器的安全，又不影響功能使用。但是，目前沒有可靠辦法保證系統(tǒng)管理員安全策略配置行為的有效性，合法性以及一致性，一般都通過行政手段，讓系統(tǒng)管理員記錄安全策略配置過程，這有嚴重的安全隱患。LanSecS（堡壘主機）內(nèi)控管理平臺可以記錄系統(tǒng)管理員對網(wǎng)絡邊界安全設備的配置過程，保證安全策略的一致性，其生成的日志系統(tǒng)，可以比較方便的集成到企事業(yè)現(xiàn)有安全策略管理架構中。技術參數(shù)LanSecS（堡壘主機）內(nèi)控管理平臺單點登錄客戶端支持Windows全系列產(chǎn)品；支持常見數(shù)據(jù)庫；支持常用連接工具；具體參數(shù)如下列表：名稱說明windows

7

（mstsc）windows7遠程桌面連接windowsXPSP3

（mstsc）WindowsXPSp3遠程桌面連接windowsXPSP2（mstsc）WindowsXPSp2遠程桌面連接CMD窗口windows運行中的CMD窗口securityCRT常用的字符連接工具支持telnet\ssh連接winscp()常用的FTP連接工具支持連接mstsc常用的主機圖形訪問工具支持linux\unix圖形連接neterm常用的字符連接工具支持telnet\ssh連接ToadOracle客戶端管理工具Golden32Oracle客戶端管理工具SybasecontralSybase客戶端管理工具WeblogicconsoleWeblogic管理工具PLsqlORACLE常用客戶端winsql常用數(shù)據(jù)庫連接客戶端支持：DB2\sysbase\informix等多種數(shù)據(jù)庫連接dbaccess(informix)informix自有數(shù)據(jù)庫客戶端sqlserver2000sqlserver2000查詢分析器sqlserver2019sqlserver2019查詢分析器MysqlMysql數(shù)據(jù)庫管理器LanSecS（堡壘主機）內(nèi)控管理平臺支持如下系列系統(tǒng)資源從賬戶同步類別名稱Windows（支持域模式）windowsserver2019windowsserver2019windowsserver2000windowsxpwindows2000unix/linuxlinuxHPunixAIX(IBM)SCOUnixsuse10suse9數(shù)據(jù)庫Oracle9iOracle10gmysqlsqlserver2000sqlserver2019informixdb2sysbase網(wǎng)絡設備（支持radius）Cisco、華為、華三、juniper安全設備Firewall、SSLVPN、IDSLanSecS（堡壘主機）內(nèi)控管理平臺包括多種協(xié)議代理，常用協(xié)議如下表：協(xié)議代理類型telnetssh1ssh2RDPX11VNCftpSftp產(chǎn)品部署邏輯部署示意圖LanSecS（堡壘主機）內(nèi)控管理平臺部署邏輯圖：物理部署示意圖LanSecS（堡壘主機）內(nèi)控管理平臺支持多種部署方式，部署簡單方便，實用，能夠很好的滿足用戶的要求。并根據(jù)用戶實際規(guī)模、安全級別采用以下兩種部署方式：1、LanSecS（堡壘主機）內(nèi)控管理平臺典型部署示意圖：2、LanSecS（堡壘主機）內(nèi)控管理平臺支持雙機熱備示意圖：部署說明如圖，LanSecS（堡壘主機）內(nèi)控管理平臺部署在被管服務器區(qū)的訪問路徑上，通過防火墻或者交換機的訪問控制策略限定只能由LanSecS（堡壘主機）內(nèi)控管理平臺直接訪問服務器的遠程維護端口。維護人員維護被管服務器或者網(wǎng)絡設備時，首先以WEB方式登錄堡壘主機，然后通過堡壘主機上展現(xiàn)的訪問資源列表直接訪問授權資源?？蛻羰找鎸崿F(xiàn)集中帳號管理，降低管理費用實現(xiàn)對用戶帳號的統(tǒng)一管理和維護在實現(xiàn)集中帳號管理前，每一個新上線應用系統(tǒng)均需要建立一套新的用戶帳號管理系統(tǒng)，并且分別由各自的管理員負責維護和管理。這種相對獨立的帳號管理系統(tǒng)不僅建設前期投入成本較高，而且后期管理維護成本也會成倍增加。而通過堡壘主機的集中帳號管理，可實現(xiàn)對IT系統(tǒng)所需的帳號基礎信息（包括用戶身份信息、機構部門信息、其他公司相關信息，以及生命周期信息等）進行標準化的管理，能夠為各IT系統(tǒng)提供基礎的用戶信息源。通過統(tǒng)一用戶信息維護入口，保證各系統(tǒng)的用戶帳號信息的唯一性和同步更新。解決用戶帳號共享問題主機、數(shù)據(jù)庫、網(wǎng)絡設備中存在大量的共享帳號，當發(fā)生安全事故時，難于確定帳號的實際使用者，通過部署LanSecS（堡壘主機）內(nèi)控管理平臺系統(tǒng)，可以解決共享帳號問題。解決帳號鎖定問題用戶登錄失敗五次，應對帳號進行鎖定。網(wǎng)絡設備、主機、應用系統(tǒng)等大都不支持帳號鎖定功能。通過部署LanSecS（堡壘主機）內(nèi)控管理平臺系統(tǒng)，可以實現(xiàn)用戶帳號鎖定、一鍵刪除等功能。實現(xiàn)集中身份認證和訪問控制，避免冒名訪問，提高訪問安全性提供集中身份認證服務實現(xiàn)用戶訪問IT系統(tǒng)的認證入口集中化和統(tǒng)一化，并實現(xiàn)高強度的認證方式，使整個IT系統(tǒng)的登錄和認證行為可控制及可管理，從而提升業(yè)務連續(xù)性和系統(tǒng)安全性。實現(xiàn)用戶密碼管理，滿足SOX法案內(nèi)控管理的要求多數(shù)企業(yè)對主機、網(wǎng)絡設備、數(shù)據(jù)庫的訪問都是基于“用戶名+靜態(tài)密碼”訪問，密碼長期不更換，密碼重復嘗試的次數(shù)也沒有限制，這些都不能滿足SOX法案內(nèi)控管理的需求。僅通過制度要求用戶在密碼更換、密碼設定等方面滿足SOX相關要求，無法在具體執(zhí)行過程中對用戶進行有效監(jiān)督和檢查。LanSecS（堡壘主機）內(nèi)控管理平臺系統(tǒng)通過建設集中的認證系統(tǒng)，并結合集中帳號管理的相關功能，實現(xiàn)用戶密碼管理，密碼自動變更，提高系統(tǒng)認證的安全性。實現(xiàn)對用戶的統(tǒng)一接入訪問控制功能部署堡壘主機前，維護人員接入IT系統(tǒng)進行維護操作具有接入方式多樣、接入點分散的特點。而維護人員中很多是代維人員，這些代維人員來自于各集成商或設備供應商，人員參差不齊，流動性大。由于維護人員對系統(tǒng)擁有過大權限，缺乏對其進行訪問控制和行為審計的手段，存在極大的安全隱患。LanSecS（堡壘主機）內(nèi)控管理平臺系統(tǒng)統(tǒng)一維護人員訪問系統(tǒng)和設備的入口，提供訪問控制功能，有效的解決運維人員的操作問題，降低相關IT系統(tǒng)的安全風險。實現(xiàn)集中授權管理，簡化授權流程，減輕管理壓力實現(xiàn)統(tǒng)一的授權管理各應用系統(tǒng)分別管理所屬的資源，并為本系統(tǒng)的用戶分配權限，若沒有集中統(tǒng)一的資源授權管理平臺，授權管理任務隨著用戶數(shù)量及應用系統(tǒng)數(shù)量的增加越來越重，系統(tǒng)的安全性也無法得到充分保證。LanSecS（堡壘主機）內(nèi)控管理平臺系統(tǒng)實現(xiàn)統(tǒng)一的授權管理，對所有被管應用系統(tǒng)的授權信息進行標準化的管理，減輕管理員的管理工作，提升系統(tǒng)安全性。授權流程化管理通過LanSecS（堡壘主機）內(nèi)控管理平臺系統(tǒng)，管理層可容易地對用戶權限進行審查，并確保用戶的權限中不能有不兼容職責，用戶只能擁有及身份相符的權限，授權也有相應的工作流審批。實現(xiàn)單點登錄，規(guī)范操作過程，簡化操作流程單點登錄LanSecS（堡壘主機）內(nèi)控管理平臺提供了基于B/S的單點登錄系統(tǒng)，用戶通過一次登錄系統(tǒng)后，就可以無需認證的訪問包括被授權的多種基于B/S和C/S的應用系統(tǒng)。單點登錄為具有多帳號的用戶提供了方便快捷的訪問途經(jīng)，使用戶無需記憶多種登錄用戶ID和口令。它通過向用戶和客戶提供對其個性化資源的快捷訪問來提高生產(chǎn)效率。同時，單點登錄可以實現(xiàn)及用戶授權管理的無縫連接，這樣可以通過對用戶、角色、行為和資源的授權，增加對資源的保護，和對用戶行為的監(jiān)控及審計。規(guī)范操作流程規(guī)范操作人員和第三方代維廠商的操作行為。通過LanSecS（堡壘主機）內(nèi)控管理平臺系統(tǒng)的部署，所有系統(tǒng)管理人員，第三方系統(tǒng)維護人員，都必須通過LanSecS（堡壘主機）內(nèi)控管理平臺系統(tǒng)來實施網(wǎng)絡管理和服務器維護。對所有操作行為做到可控制、可審計、可追蹤。審計