為助力企業通過等保合規測評，本文為您介紹云堡壘機各項功能與等保相關條款的對應關系，以便您有針對性地提供佐證材料。

等保三級相關條款

該最佳實踐將主要聚焦于滿足以下等保條例的考察內容：

• 應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。
• 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。
• 應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。
• 應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。
• 應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。
• 應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。
• 當進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。
• 應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。
• 應對登錄的用戶分配賬戶和權限。
• 應重命名或刪除默認賬戶，修改默認賬戶的默認口令。
• 應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。
• 應授予管理用戶所需的最小權限，實現管理用戶的權限分離。
• 應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則。
• 應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。
• 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。

前提條件

已購買標準版及以上版本堡壘機，并已完成堡壘機配置。

安全區域邊界：安全審計

等保條例：應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；

本條款主要考察：是否有進行安全審計。云堡壘機支持對云服務器運維操作進行監控和審計。

使用有審計模塊權限的賬號登錄云堡壘機，單擊“審計 > 歷史會話審計”，進入“歷史會話”頁面。

在歷史會話頁面可分別查看資源會話信息、系統會話信息、運維操作記錄、文件傳輸記錄、會話協同記錄等。

等保條例：審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；

本條款主要考察：日志是否按照要求進行記錄。

使用管理員賬號登錄云堡壘機，單擊“審計 > 歷史會話審計”，進入“歷史會話”頁面。

主要包含資源名稱、類型、主機IP、資源賬戶、起止時間、會話時長、會話大小、操作用戶、操作用戶來源IP、操作用戶來源MAC、登錄方式、運維記錄、文件傳輸記錄、會話協同記錄等信息。

等保條例：應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；

使用管理員賬號登錄云堡壘機，單擊“系統 > 數據維護”，單擊“日志備份”，進入“日志備份”頁面。

在“日志備份”頁面，可以創建、查看日志備份，支持系統登錄日志、資源登錄日志、命令操作日志、文件操作日志、雙人授權日志。也支持備份至Syslog服務器、FTP/SFTP服務器和OBS桶。

等保條例：應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析；

本條款主要考察：是否能夠對遠程訪問的用戶行為進行審計與數據分析。

安全計算環境：身份鑒別

等保條例：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；

本條款主要考察如下三點：

• 是否對登錄用戶進行身份識別和鑒別使用瀏覽器訪問堡壘機頁面，證明需要對用戶身份進行鑒別之后才可正常使用產品功能。

• 身份標識是否具有唯一性：每名用戶創建必須填寫姓名、手機號、郵箱及角色，并且一名用戶只能配置一個角色。

• 身份鑒別信息是否具有復雜度要求并定期更換：云堡壘機支持“手動執行”、“定時執行”、“周期執行”三種改密執行方式，還支持“生成不同密碼”、“生成相同密碼”、“指定相同密碼”三種改密方式。具體操作詳見云堡壘機改密策略。

等保條例：應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現;

云堡壘機采用多因子認證的登錄方式，具體登錄認證的方法有：手機短信、手機令牌、USBkey和動態令牌登錄四種方式。

等保條例：應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施；

云堡壘機可配置用戶登錄安全鎖，可設置鎖定方式、鎖定時長、可嘗試密碼次數等。

訪問控制

等保條例：應授予管理用戶所需的最小權限，實現管理用戶的權限分離；

云堡壘機支持對用戶的操作權限進行限制，分別為三大類：訪問控制策略、命令控制策略和數據庫控制策略。

• 云堡壘機可以對登錄用戶角色的一些操作權限進行控制，比如您可以對運維主管的賬號授予刪除和修改代理服務器的權限。
• 您可以對各個賬戶進行訪問控制，具體可細分到文件管理、上行剪切板、下行剪切板、顯示水印、控制登錄時間和上傳下載文件，并且可以對登錄的角色進行IP的黑白名單限制。

等保條例：應對登錄的用戶分配賬戶和權限；

云堡壘機支持對用戶進行角色分配和用戶組分配。

對于長期不登錄或過期的賬戶，應及時刪除。云堡壘機可以設定僵尸用戶判定時間，超過此時間的賬戶就會被禁用。

安全審計

等保條例：應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；

云堡壘機支持查看實時會話、查看歷史會話及查看查看系統日志的功能。

您可以在系統日志中查看系統登錄日志，具體可細分為登錄時間、登錄用戶、來源IP、日志內容、登錄方式、登錄結果和備注等內容。

等保條例：審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；

可以在系統操作日志中詳細查看每個賬號對堡壘機做了哪些操作，具體記錄到用戶、時間、來源IP、模塊、日志內容、結果。