堡壘機有哪些職責

堡壘機有以下職責：

• 授權控制職責：創建并維護IT資產使用者及維護者的用戶體系，并進行授權管理和登錄管理，保障相關用戶的IT資產使用能力及運維能力。必須對企業眾多的IT資產進行清晰劃分，明確其使用者和維護者，并授予使用者和運維者相應的訪問和運維權限，使得使用者能夠合理利用IT資源的計算能力充分發揮IT資源的作用，運維者能夠有效的對IT資源進行運維操作。針對不同的IT資源、不同的使用人員和運維人員，制定并實施不同的訪問及運維策略，從而更有效地對IT資源進行訪問和運維，保障IT資源的安全。

• 訪問控制職責：作為IT資源連接和訪問的唯一入口，堡壘機需要能夠訪問不同類型的IT資源，需要能夠以不同的協議訪問不同的操作系統、數據庫、應用、網絡設備等IT資源。為滿足不同的使用場景和適應優劣各異的訪問者環境，堡壘機需要提供各種IT資源訪問方式，使得IT資源訪問者及運維者能夠免受環境限制，隨時隨地對IT資源進行訪問和運維。對于IT資源訪問者及運維者的訪問和運維行為，管理者需要可隨時監控、介入甚至終止，以確保訪問和運維行為安全、合規、可控。可以預見高危操作，并針對高危操作指定安全策略，保障IT資產安全，免受訪問和運維操作過程中的誤操作、惡意操作所破壞。

• 操作審計職責：堡壘機需要負責對訪問和運維IT資源的全過程進行審計，記錄審計日志，為操作事故的事后回溯和追責提供依據，為故障分析提供支撐。堡壘機需要為操作事故提供故障分析手段，可對操作過程審計日志進行全文檢索，快速查找并定位指令操作的時間點和上下文等內容，從而協助故障排除和系統能力恢復。

• 杜絕越權訪問職責：堡壘機明確賦予用戶權限，按照用戶管理權限劃分用戶操作權限，防止低權限用戶行駛高權限操作，給系統和數據造成不可修復的損傷，也防止黑客攻破系統低用戶權限后，對系統進行高危險操作。

• 阻止高危操作職責：堡壘機通過審查系統日志和識別用戶輸入的命令行等，根據用戶的權限分析用戶是否進行違規操作或違法操作。并通過事先設定的策略實現對某些高危操作如刪除數據庫等的命令阻止。

• 禁止賬號共用職責：堡壘機明確分配用戶角色權限，使得各個權限用戶只能行使本權限下的操作，避免了濫用權限做成的后果。

• 防止無法回溯職責：堡壘機通過記錄用戶操作對用戶操作進行錄像，事件發生后可第一時間查看錄像，第一為找出之前哪一步操作造成了事故的發生，更好更快的解決問題。第二為找到相關操作的責任人，并進行追責，防止下次再犯。