应用背景
目录
产品介绍
功能特性
客户收益
16
功能概述
• 身份认证
事中控制
• 访问授权
• 指令授权 • 实时监控
• 事后检索
• 设备管理
• 自动改密
• 操作回放
• 报表统计
事前预防
事后审计
用户管理与认证手段
事前预防
系统管理员 配置管理员 管理员用户 密码管理员 审计管理员 内部运维人员 第三方运维人员
其他功能
支持运维用户同一时间只能从一个IP登录
支持运维会话超时设置 支持设备时间同步功能 支持告警事件对外转发，转发方式支持syslog、snmp trap、邮件等 支持批量脚本自动执行 支持第三方客户端的应用发布，实现录像审计
特性
改密结果高强度加密保护 改密计划支持密码手工输入、 随机相同和随机不同三种方式 支持上次改密时间记录和手工 改密
访问控制策略
事中控制
谁
特性
向导式配置 可设置访问的运维用户
从哪/什么时候 访问对象
可设置访问的时间和源IP
可设置访问的目标设备 可指定协议和设备帐号
访问方式
产品介绍
功能特性
客户收益
7
产品概述
天玥网络安全审计系统-运维安全管控系统 天玥OSM（Operations Security Management）
帐号 管理
账号管理 实现对服务器、网络设备、数据库及 其帐号的统一集中管理。 单点登录
实现密码代填和统一单点登录。支持
行为 审计
天玥 OSM
单点 登录
可启用二次审批和备注功能
指令控制策略
事中控制
特性
向导式配置 支持黑白指令集配置
支持指令正则匹配
多种响应方式：告警、阻断、 忽略和审批
事后检索与回放【需重新写】
事后审计
天玥OSM
时间
用户
IP地址
指令
结果
检索条件、定位回放
操作行为视频录像
事后检索与回放
事后审计
特性
支持高级检索询功能，查询条件支持与或非组合，条件
匹配符支持等于、不等于、区间、包含、大于、小于等
内容 支持检索模版
支持视频回放所有操作行为，支持定位回放
回放支持倍速/低速播放、拖动、暂停、停止、重新播 放等播放控制操作
统计报表
事后审计
特性
内置报表模版 支持以日报、周报、月报的方 式自动生成周期性报表 支持报表发送至指定邮箱
特性
支持批量导入导出 支持分级管理 支持Windows AD域 独有的“协议-帐号”绑定方 式，授权更为精细
自动改密
事前预防
功能
自持密码复杂度设置 支持linux类主机、unix类主 机、Windows主机、思科设 备、华为设备的帐号自动改密 支持周期改密，改密结果查看 和邮件/ftp发送
网络安全审计与运维安全管控解决方案
应客户收益
2
运维现状
管理人员 开发人员 第三方厂家人员 运维人员
帐号共用 无法控制
操作源头 难于定位
加密协议 无法审计
独立授权 无法控制
企业各类IT资源
严重后果
内部人员操作安全隐患 第三方人员泄密风险 高权限帐号滥用风险 帐号共用风险 违规行为无法控制
数据库访 其他设备
问
Oracle mysql sqlserver
或工具
KVM
DB2
Sybase
Teradata Informix
Pcanywh
ere
Radmin
部署方式
物理旁路部署，不必更 改现有的网络拓扑结构
Https
SSH、Telnet、ftp、 RDP、VNC、 Pcanywehre、Radmin Http(s)…
运维访问鉴权
资源列表
资源名称1：192.168.10.200 资源名称2：192.168.10.201 资源名称2：192.168.10.201
协议代理模块
SSH客户端 telnet客户端 RDP客户端 FTP客户端
SSH协议代理 telnet协议代理 RDP协议代理 FTP协议代理
被管资源2
...
多种单点登录方式，最大程度适应不 同人员使用习惯。 访问控制
基于最小权限原则，实现集中访问控
制和细粒度命令级控制。 行为审计 审计实名制，对用户从登录到退出的 全程操作行为的监控和事后审计。
访问 控制
产品理念
管理水平不断提升
行为审计 权限控制 访问授权 身份认证 集中管理 是基础 是前提 是手段 是核心 是保证
安全风险逐渐降低
设计思路
管理人员 开发人员 第三方厂家人员 运维人员 身份管理 身份认证 单点登录 协议代理 访问控制
行为审计
设备管理 帐号管理
企业各类IT资源
技术方案-协议代理
WEB界面登录
运维用户管理 用户身份认证 访问控制管理
设备帐号管理
统一认证管理
集中授权管理
运维审计管理
管理用户
被管资源1
特性
管理员用户三权分立，各施其 职 支持按部门进行分级管理 指定第三方运维人员使用期限， 到期帐号锁定 支持静态口令、radius、ldap、 AD域等多种认证手段 支持双因素认证手段 支持批量导入导出
运维用户
设备管理
事前预防
功能
设备基本属性管理 设备分组管理 设备帐号及密码管理 设备访问协议及端口 设备类型及图标管理
业务中断
经济损失
形象破坏
现有手段
现有手段
防火墙/VPN
不足
无法实现命令级别的访问控制 无法识别SSH、RDP等加密或图形协议 无法实现访问控制 无法捕捉用户完整访问过程 无法实现审计实名制 无法忽略用户违规操作
IDS/IPS
旁路/日志审计
专业的需求，需要专业的产品与解决方案
政策法规
应用背景
目录
应用发布模块
PLSQL IE PCAnywhere
被管资源2
...
运维用户
RAdmin
SQLPLUS OS上安装的APP应用工具
其他工具
运 维 录 像
被管资源3
广泛的运维对象支持
广泛的运维协议支持
字符协议 图形协议 文件传输 WEB应用
SSH RDP TELNET RLOGIN TN5250 （AS400） VNC SFTP HTTPS FTP HTTP
运维用户
天玥-OSM
被管资源3
技术方案-应用发布
WEB界面登录 运维用户管理 用户身份认证 访问控制管理 集中授权管理 运维审计管理 设备帐号管理 统一认证管理
管理用户
运维访问鉴权
被管资源1
资源列表
资源名称1：192.168.10.200 资源名称2：192.168.10.201 资源名称2：192.168.10.201