隨著企業(yè)信息化的發(fā)展，電子辦公系統(tǒng)逐漸成熟，企業(yè)IT系統(tǒng)正在從軟硬件建設(shè)發(fā)展至深化各方應(yīng)用、提高工作效率、提高應(yīng)對安全風(fēng)險的防御水平上來。以企事業(yè)單位為例，隨著各種重要應(yīng)用的深入，有關(guān)企業(yè)私密的數(shù)據(jù)越來越多地被應(yīng)用起來，也導(dǎo)致企業(yè)私密數(shù)據(jù)外泄的風(fēng)險迅速加大。

在傳統(tǒng)運(yùn)維模式下，事前、事中、事后三個階段均存在較大風(fēng)險，在傳統(tǒng)運(yùn)維模式占據(jù)主流地位的情況下，各類企業(yè)、單位、機(jī)構(gòu)的核心數(shù)據(jù)庫都處于危險之中。就以當(dāng)前的政府、銀行、保險、通訊等企業(yè)來說，此類企業(yè)的資料庫中儲存著大量的公民私密信息，同時管理相對混亂，企業(yè)內(nèi)部的安全運(yùn)維能力也不足，這也成為威脅公民隱私安全的重要原因。這不僅僅是中國各大企業(yè)與機(jī)構(gòu)所面臨的問題，同時也是全世界范圍內(nèi)的嚴(yán)重安全問題。正因如此，內(nèi)控堡壘主機(jī)（簡稱堡壘機(jī)）應(yīng)運(yùn)而生，并且已經(jīng)成為企業(yè)運(yùn)維安全中不可或缺的一部分。

迫切的用戶需求，促進(jìn)了內(nèi)控堡壘主機(jī)技術(shù)高速的更新?lián)Q與完善升級，締造了堡壘機(jī)市場的蓬勃，也由此催生出國內(nèi)一大批***業(yè)界口碑的優(yōu)秀主流堡壘機(jī)品牌產(chǎn)品，例如圣博潤自主研發(fā)的LanSecS（堡壘主機(jī)）內(nèi)控管理平臺便是其中的佼佼者，代表了目前國內(nèi)***水平，并且在某些技術(shù)參數(shù)上已經(jīng)達(dá)到國際領(lǐng)先標(biāo)準(zhǔn)。那么，下面以LanSecS（堡壘主機(jī)）為例，歸納出當(dāng)前業(yè)界內(nèi)控堡壘主機(jī)所具備的主流功能。

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺是北京圣博潤公司基于多年的內(nèi)網(wǎng)管理產(chǎn)品推廣和安全運(yùn)維服務(wù)經(jīng)驗(yàn)積累，總結(jié)IT運(yùn)維過程中遇到的實(shí)際問題，并結(jié)合國內(nèi)先進(jìn)的4A管理理念而研發(fā)的一款統(tǒng)一入口、集中運(yùn)維管理的硬件產(chǎn)品。

主流功能一：單點(diǎn)登錄功能

LanSecS（堡壘主機(jī)）提供了基于B/S的單點(diǎn)登錄系統(tǒng)，用戶通過一次登錄系統(tǒng)后，就可以無需認(rèn)證的訪問包括被授權(quán)的多種基于B/S和C/S的應(yīng)用系統(tǒng)。單點(diǎn)登錄為具有多賬號的用戶提供了方便快捷的訪問途經(jīng)，使用戶無需記憶多種登錄用戶ID和口令。它通過向用戶和客戶提供對其個性化資源的快捷訪問提高生產(chǎn)效率。同時，由于系統(tǒng)自身是采用強(qiáng)認(rèn)證的系統(tǒng)，從而提高了用戶認(rèn)證環(huán)節(jié)的安全性。單點(diǎn)登錄可以實(shí)現(xiàn)與用戶授權(quán)管理的無縫連接，這樣可以通過對用戶、角色、行為和資源的授權(quán)，增加對資源的保護(hù)，和對用戶行為的監(jiān)控及審計。

主流功能二：賬號管理功能

集中賬號管理包含對所有服務(wù)器、網(wǎng)絡(luò)設(shè)備賬號的集中管理。賬號和資源的集中管理是集中授權(quán)、認(rèn)證和審計的基礎(chǔ)。集中賬號管理可以完成對賬號整個生命周期的監(jiān)控和管理，而且還降低了企業(yè)管理大量用戶賬號的難度和工作量。同時，通過統(tǒng)一的管理還能夠發(fā)現(xiàn)賬號中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶賬號安全策略。通過建立集中賬號管理，企業(yè)可以實(shí)現(xiàn)將賬號與具體的自然人相關(guān)聯(lián)。通過這種關(guān)聯(lián)，可以實(shí)現(xiàn)多級的用戶管理和細(xì)粒度的用戶授權(quán)。而且，還可以實(shí)現(xiàn)針對自然人的行為審計，以滿足審計的需要。

主流功能三：身份認(rèn)證功能

LanSecS（堡壘主機(jī)）為用戶提供統(tǒng)一的認(rèn)證接口。采用統(tǒng)一的認(rèn)證接口不但便于對用戶認(rèn)證的管理，而且能夠采用更加安全的認(rèn)證模式，提高認(rèn)證的安全性和可靠性。

集中身份認(rèn)證提供靜態(tài)密碼、Windows NT域、Windows Kerberos、雙因素、一次性口令和生物特征等多種認(rèn)證方式，而且系統(tǒng)具有靈活的定制接口，可以方便的與其它第三方認(rèn)證服務(wù)器之間結(jié)合。

主流功能四：資源授權(quán)功能

LanSecS（堡壘主機(jī)）系統(tǒng)提供統(tǒng)一的界面，對用戶、角色及行為和資源進(jìn)行授權(quán)，以達(dá)到對權(quán)限的細(xì)粒度控制，***限度保護(hù)用戶資源的安全。通過集中訪問授權(quán)和訪問控制可以對用戶通過B/S、C/S對服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問進(jìn)行審計和阻斷。在集中訪問授權(quán)里強(qiáng)調(diào)的"集中"是邏輯上的集中，而不是物理上的集中。即在各網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)系統(tǒng)中可能擁有各自的權(quán)限管理功能，管理員也由各自的歸口管理部門委派，但是這些管理員在極地銀河內(nèi)控堡壘主機(jī)系統(tǒng)上，可以對各自的管理對象進(jìn)行授權(quán)，而不需要進(jìn)入每一個被管理對象才能授權(quán)。授權(quán)的對象包括用戶、用戶角色、資源和用戶行為。系統(tǒng)不但能夠授權(quán)用戶可以通過什么角色訪問資源這樣基于應(yīng)用邊界的粗粒度授權(quán)，對某些應(yīng)用還可以限制用戶的操作，以及在什么時間進(jìn)行操作這樣應(yīng)用內(nèi)部的細(xì)粒度授權(quán)。

主流功能五：訪問控制功能

LanSecS（堡壘主機(jī)）系統(tǒng)能夠提供細(xì)粒度的訪問控制，***限度保護(hù)用戶資源的安全。細(xì)粒度的命令策略是命令的集合，可以是一組可執(zhí)行命令，也可以是一組非可執(zhí)行的命令，該命令集合用來分配給具體的用戶，來限制其系統(tǒng)行為，管理員會根據(jù)其自身的角色為其指定相應(yīng)的控制策略來限定用戶。訪問控制策略是保護(hù)系統(tǒng)安全性的重要環(huán)節(jié)，制定良好的訪問策略能夠更好的提高系統(tǒng)的安全性。

主流功能六：操作審計功能

操作審計管理主要審計人員的賬號使用（登錄、資源訪問）情況、資源使用情況等。在各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問日志記錄都采用統(tǒng)一的賬號、資源進(jìn)行標(biāo)識后，操作審計能更好地對賬號的完整使用過程進(jìn)行追蹤。LanSecS（堡壘主機(jī)）系統(tǒng)通過系統(tǒng)自身的用戶認(rèn)證系統(tǒng)、用戶授權(quán)系統(tǒng)，以及訪問控制等詳細(xì)記錄整個會話過程中用戶的全部行為日志。還可以將產(chǎn)生的日志傳送給第三方產(chǎn)品。

在有以上強(qiáng)大功能支持的安全體系下，內(nèi)控堡壘主機(jī)徹底實(shí)現(xiàn)了對企業(yè)系統(tǒng)用戶管理、內(nèi)網(wǎng)操作審計、網(wǎng)絡(luò)設(shè)備管理、電子文件泄露、黑客等行為的防御功能，***詮釋了"堡壘"的定義，成為各企事業(yè)單位運(yùn)維安全的堅實(shí)壁壘。