云計算的普及極大地提升了企業的工作效率，大幅降低了IT基礎設施成本。但如其他行業一樣，在快速發展的同時需逐步完善行業自身體系建設，其中企業的內部監管需求更是首當其沖。

企業內控管理中的痛點

在企業日常的IT系統管理工作中有幾個場景，大家應該很熟悉：

l 多人共同運維一個賬號

小王和小李在同一個工作組，系統管理賬號***，由于工作需要，兩人就一起用這一個賬號。一天一個很早之前的升級導致的bug導致整個業務半個小時不能正常使用，造成了一次不小的安全事故。可是由于升級時間過去了很久，大家也很難定位實際使用者和責任人是誰，導致內部存在著較大的安全風險和隱患。

l 一個用戶使用多個賬號

老王是公司的技術工程師，要維護和管理多個主機，每臺主機都用同樣的密碼，但是這樣存在安全風險，一旦一個密碼被破解了其他的服務器密碼也都不保。因此老王之后費力的記憶多套口令去管理主機，管理非常復雜效率也不夠高。

l 權限管理粗放

小陳的公司從創立到逐漸在市場中創出名氣業務慢慢的做大，服務器的權限分配還是原來的粗放式管理，下面的技術支持都在用root權限訪問生產機，系統安全性無法保證，也容易出現誤操作或者沒有權限的人員隨意翻閱重要數據的問題。

l 難以對運維人員操作行為監管

維護人員經常使用的SSH、RDP等加密、圖形操作協議沒辦法對之進行內容審計，在發現違規操作行為和追查取證上就缺乏依據。

以上這些場景廣泛存在于企業信息化管理中，為了避免因為運維人員的操作失誤帶來安全問題，給企業造成損失，企業選擇使用堡壘機來降低內控風險。

UCloud新推出的運維審計系統(即運維堡壘機)為用戶提供了一套運維管理解決方案，使得管理人員可以對云主機進行集中賬號管理、細粒度的權限管理和審計，幫助用戶提升風險內控水平。

UCloud提供的安全解決方案

運維型堡壘機最早被廣泛應用于金融、運營商等信息化水平較高且對內控水平要求較高的行業， 伴隨著各行業企業信息化水平的廣泛提升，堡壘機的應用也隨之變得更為普遍。堡壘機主要布置在內網核心資源的前端，對運維人員的操作行為進行管理、審計。形象的說，運維人員對云主機的訪問需要經過堡壘機的翻譯。

圖 1 使用堡壘機之前

圖 2 使用堡壘機之后

UCloud推出的運維審計系統(UHAS)是適用于云平臺的運維堡壘機，是運維人員遠程訪問和審計云主機UHost的跳板機機型。UHAS支持Windows(遠程桌面協議)、Linux系統(SSH協議)主流系統及雙因素身份認證。

與傳統堡壘機相比，UCloud安全產品中心-優盾此次推出的堡壘機繼承了云計算的特性，在不影響業務的正常運行的情況下，支持按需獲取，彈性擴容，并且部署簡單，不需要改變網絡拓撲結構，不需要廠商人員過來安裝，不需要改變管理人員和運維人員的操作習慣。此外，UHAS是符合4A安全管理方案的高性能、高安全性的堡壘機，滿足等級保護、分級保護、銀監、證監、 PCI、企業內控管理、 SOX 塞班斯、 ISO27001等運維管理的法律法規要求。

功能介紹

單點登錄

單點登錄可以很好的解決賬號管理無序的問題。單點登錄為具有多賬號的用戶提供了方便快捷的訪問途徑，使用戶無需記憶多種登錄用戶ID和口令。管理主機設備的運維人員不需要任何登錄的用戶名和密碼就可以管理主機。

賬號管理

賬號管理是管理員才能夠使用的一項功能，目的在于集中地對主機、賬號、人員進行集中授權。集中賬號管理可以完成對賬號整個生命周期的監控和管理，并且降低了企業管理大量用戶賬號的難度和工作量，大幅提升安全性。第三方運維人員無法獲知設備的密碼信息，強制運維人員通過堡壘機進行系統安全運維。

操作審計

操作審計能夠更好地對賬號的完整使用過程進行追蹤。對于每一次運維訪問會話，系統都會自動記錄訪問時間、源IP、目標IP地址、運維人員賬號、服務器賬號、操作指令等行為日志，同時系統還將以圖形錄像方式完整記錄運維人員的操作行為。事后管理員能夠以視頻方式對整個操作過程進行回放，真正實現對操作內容的完全審計。

UHAS，你不可或缺的“內網安全伙伴”

在云計算的背景下提升企業的風險內控水平，需要的不僅是制度，更是一個能解決問題的工具，并且這個工具具備云計算的優勢：便捷的、按需的網絡訪問，能夠被快速提供的資源，只需要投入很少的管理工作，與傳統設備相比大幅降低的成本。

UCloud運維堡壘機UHAS助力企業實現“系統運維——運維審計——運維核查——整改追責”的整個系統安全運維過程的閉環管理，成為企業內網安全建設必不可少的一員。