功能特性

更新时间： 2020/06/22 GMT+08:00

CBH具备“三个集中，一个高效”的功能特点，“三个集中”即集中账号管理（包括用户账号管理和资源账号管理）、集中权限管理、集中安全审计，“一个高效”即高效运维会话。

通过在CBH系统中创建用户、添加资源和配置策略，能够细粒度地划分不同角色的权限，控制用户对服务器的访问，对所有运维操作进行审计、监控、控制和历史回放可追溯。

建立基于唯一身份标识的全局用户账户管理，支持统一账号管理策略，实现与各服务器、应用系统和数据库服务器等无缝连接。

表1 集中账户管理功能说明
功能项	功能详情
身份管理	采用多因子认证和远程认证技术，加强安全认证管理。引用多因子认证技术，安全认证登录用户身份，降低用户账号密码风险。对接远程认证服务，同步第三方认证服务器用户，复用原有用户结构，并支持远程认证用户身份。
用户账号管理	系统用户账号全面管理，用户使用唯一账号，解决共享账号、临时账号、滥用权限等问题。采用部门组织树形结构，不限制部门层级，可将用户分部门分层级管理。用户账号全生命周期管理，包括用户账号的创建、修改、删除、维护等。对用户账号分组管理，可实现对同类型用户分组赋予权。
资源账号管理	资产一键同步和发现，管理资源类型丰富，包括Windows、Linux等主机资源，以及Windows应用资源。支持管控SSH、RDP、MySQL等12类协议类型主机资源。支持对Windows Server2008 R2及以上系统版本服务器的应用进行管控，可直接配置IE、Chrome等12+种浏览器或客户端应用资源。采用AES256加密方式管理资源账户，全自动改密和同步账户，实现庞大服务器、数据库和应用系统等资产的一站式管理。

按照用户、部门组织、资源组，建立用户职责与资源分配的授权管理体系。通过用户角色，赋予用户CBH系统模块不同访问控制权限，有序分配用户系统权限；通过访问控制策略、命令控制策略和数据库控制策略，基于最小权限原则，实现集中运维操作管控。

表2 集中权限管理功能说明
功能项	功能详情
系统权限	对用户分配不同角色，不同角色配置不同系统访问权限，对用户系统访问操作进行分权。
资源权限	按照用户、用户组、资源账户、账户组，建立用户对资源的控制权限。用户与资源账户点对点关联，授权用户访问控制资源权限，并可对单个用户或资源进行访问权限限制。资源双人或多人权限审核，保障敏感核心资源绝对安全。支持对主机或数据库资源执行的关键指令进行细粒度的权限划分，运维动作精准控制、二次授权等，实现对运维实时命令拦截，管控敏感操作。

基于系统用户唯一身份标识，对用户从登录开始的全程操作行为进行审计，监控用户对目标资源的所有敏感操作，聚焦关键事件，实现对安全事件的实时发现与预警。

表3 集中安全审计功能说明
功能项	功能详情
系统审计	系统登录和系统操作全程记录，支持记录详细系统登录过程，记录系统配置创建、修改、删除、执行等操作，以及备份系统配置和系统日志。系统操作行为集中可视化管控，灵活的操作告警通知，覆盖所有操作事件。
运维审计	全程记录运维操作，为安全事件追溯和分析提供依据。提供Linux命令审计和Windows操作全程记录，支持备份历史记录、回放录像视频、搜索操作指令等功能，可随时审计用户操作行为，识别运维风险。支持OCR审计，将审计图像文件识别为文本文件，提高图像类运维的审计效率。文件传输和RDP剪切板审计，为上传恶意文件、拖库、窃取数据等危险行为提供了查询依据。

多种运维方式、多种运维工具等运维选择，全面提升运维效率。

表4 高效运维会话功能说明
功能项	功能详情
Web浏览器运维	HTML5远程登录资源，无需安装客户端，一键登录运维资源，实现操作实时监控、文件上传下载等运维管理。在Windows、Linux、Android、iOS等操作系统上只要通过一款主流的浏览器，就能实现对资源的访问和操作，让运维人员脱离运维工具和操作系统束缚。协同会话：支持多人参与实时会话的“协同分享”，邀请其他运维人员或专家进行协同运维，对同一会话进行协同操作或问题定位，提高多人运维效率。文件传输：基于WSS的文件管理技术，支持文件上传和下载，以及文件在线管理。
第三方客户端运维	在不改变用户原来使用客户端习惯的前提下，支持一键接入多种运维工具，提升运维效率。支持接入SSH客户端、FTP/SFTP/SCP客户端、SSO单点登录客户端进行运维。数据库运维审计：通过配置SSO单点登录工具，调用数据库客户端，实现一键登录目标数据库资源，审计数据库命令操作。
自动化运维	通过配置命令执行、脚本执行、文件传输的运维任务，实现多步骤复杂操作自动化执行，告别枯燥的重复工作，提高工作效率。

华为云提供云计算服务