山东正舟IT运维安全审计产品是一款基于B/S架构的操作行为安全审计系统，主要功能是对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计，支持IT运维人员对多种远程维护方式，如字符终端方式(SSH、Telnet、Rlogin)、图形方式（RDP、X11、VNC、Radmin、PCAnywhere）、文件传输（FTP、SFTP）以及多种主流数据库的的详细记录和提供细粒度的审计，并支持操作过程的全程回放。淄博正舟IT运维安全审计产品弥将运维审计由事件审计提升为内容审计，并将身份认证、授权、管理、审计有机地结合，保证只有合法用户才能使用其拥有运维的权限关键资源。

　　设备集中统一管理

　　运维用户通过一个统一的平台就能登录所有的目标设备，包括Unix、Linux、Windows服务器以及各类网络设备，并且运维用户不需要知道目标设备的账户密码；同时目标设备的密码可以依据企业策略定期自动修改。

　　根据策略实现对操作的控制管理

　　根据企业的策略，控制哪些运维用户、可以通过什么样的权限、在什么时间、访问哪些目标设备，从而能够有效的控制运维用户的操作权限，降低运维操作的复杂度。

　　实时的操作告警及审计机制

　　运维操作的复杂难免会造成运维用户的误操作，企业需要避免由此带来的风险，并能有问题追溯机制。这就要求能对运维用户的所有操作进行实时的控制、告警及监控，避免由于一些敏感的操作导致网络中断或企业信息泄露，同时能记录所有操作并能随时根据审计的需要查询任何时候任何人员所做的任何操作，并有详尽的报表。

　　符合法律法规

　　针对安然、世通等财务欺诈事件，2002年出台的《公众公司会计改革和投资者保护法案》（Sarbanes‐Oxley Act）对组织治理、财务会计、监管审计制定了新的准则，并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。与此同时，国内相关职能部门亦在内部控制与风险管理方面制定了相应的指引和规范。

　　由于信息系统的脆弱性、技术的复杂性、操作的人为因素，在设计以预防、减少或消除潜在风险为目标的安全架构时，引入运维管理与操作监控机制以预防、发现错误或违规事件，对IT风险进行事前防范、事中控制、事后监督和纠正的组合管理是十分必要的。

　　功能价值

　　一、集中访问控制

　　1.身份管理和认证:

　　(1)支持运维用户口令认证、LADP认证、AD域认证、Raduis认证、POP3认证方式。

　　(2)支持密码强度、密码有效期、口令尝试死锁、用户激活等安全管理功能。

　　(3)支持用户分组管理。

　　(4)支持用户信息导入导出，方便批量处理。

　　2. 授权:

　　(1)系统提供基于用户、运维协议、目标主机、运维时间段、运维客户端IP等组合的授权功能，实现细粒度授权功能，满足用户实际授权的需求。

　　(2)提供基于用户到资源的授权。

　　(3)提供基于用户组到资源的授权。

　　(4)提供基于用户到资源组的授权。

　　(5)提供基于用户组到资源组的授权。

　　二、审计功能

　　事中审计与控制：

　　1、实时监控?

　　(1) 监控正在运维的会话，信息包括运维用户、运维客户端地址、资源地址、协议、开始时间等。

　　(2)监控后台资源被访问情况。

　　(3) 提供在线运维操作的实时监控功能。针对命令交互性协议可以图像方式实时监控正在运维的各种操作，其信息与运维客户端所见完全一致。

　　2、违规操作实时告警与阻断:

　　(1)针对运维过程中可能存在潜在操作风险，IT运维安全审计产品根据用户配置的安全策略实施运维过程中的违规操作检测，对违规操作提供实时告警和阻断，从而达到降低操作风险及提高安全管理与控制的能力。

　　(2) 非字符型协议的操作能够实时阻断，字符型协议的操作可以通过命令行配置进行规则匹配实现告警与阻断。

　　(3) 提供用户可配置的告警规则。

　　(4)告警规则支持告警级别、告警分类和与后台资源绑定。

　　(5)在具有自动登录功能的IT运维安全审计产品上，可实现告警规则与后台资源的账户级别进行绑定，针对不同用户实施不同的规则，从而提供更细粒度的操作控制

　　(6) 告警动作支持会话阻断、审计平台告警、邮件告警、Syslog告警、SNMP TRAP告警等。

　　事后审计与报表：

　　1、完整记录网络会话过程

　　(1)系统提供运维协议Telnet、FTP、SSH、SFTP、RDP（Windows Terminal）、Xwindows、VNC、AS400、Http、Https等网络会话的完整会话记录，完全满足内容审计中信息百分百不丢失的要求。

　　(2) 会话信息包括运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终止时间、流量大小信息。

　　(3)会话信息包括运维过程中所有进出后台资源的数据。

　　2、详尽的会话审计与回放

　　(1)运维操作审计以会话为单位，提供当日和条件查询定位。条件查询支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式。针对命令交互方式的协议，提供逐条命令及相关操作结果的显示。

　　(2)提供图像形式的回放，真实、直观、可视地重现当时的操作过程。

　　(3)回放提供快放、慢放、拖拉等方式，方便快速定位和查看。

　　(4)针对命令交互方式的协议，提供按命令进行定位回放。

　　(5)针对RDP、Xwindows、VNC协议，提供按时间进行定位回放。

　　3、完备的审计报表功能

　　(1)IT运维安全审计产品提供运维人员操作，管理员操作以及违规事件等多种审计报表。

　　(2)提供日常报表，包括今日会话、今日审计、用户信息、资源信息、权限信息、规则信息、管理员角色信息等报表。

　　(3) 提供会话报表，可根据用户选定时间、用户、资源形成会话报表。

　　(4) 自审计操作报表，可根据用户选定时间、管理员、模块形成自审计报表。

　　(5) 告警报表，可根据告警类别、级别、资源、运维用户、协议、时间等条件形成报表。

　　(6) 综合统计报表，可根据时间、资源、用户等条件形成综合统计报表，报表中包括概要信息、每个用户操作信息、每个资源被操作信息等。

　　三、统一修改密码策略

　　后台资源自动登陆功能是运维人员通过IT运维安全审计产品认证和授权后，IT运维安全审计产品根据配置策略实现后台资源的自动登录。此功能提供了运维人员到后台资源账户的一种可控对应，同时实现了对后台资源账户的口令统一保护。

　　四、权限统一控制

　　四权分立，系统管理员、运维管理员、口令管理员和审计员，可定制管理员角色。

　　五、HA支持

　　IT运维安全审计产品支持双机模式，双机模式下设备宕机后，运维人员只需重新建立运维会话即可；如未采用双机模式，IT运维安全审计产品宕机后需要管理员通知运维人员，保证运维人员能够直接登录后台目标设备。

　　六、内置审计平台

　　内置专用审计平台，无需安装外置的审计平台。

　　七、网络接入模式

　　支持网桥模式和旁路模式接入。