終端統一身份安全管理系統專注于為SSH遠程運維特定場景提供專項輕量級運維支持，旨在解決常規運維方式面對海量云服務終端設備運維效率低下的問題，通過運維帳號集中管理、身份認證安全增強、單點登錄、批量運維、運維審計等機制，保證運維安全的同時，提升運維管理的便利性和高效性。

功能特點

• 單點登錄：支持管理人員、運維人員一次登入本系統，無須再次提供憑證，即可安全登入其所管轄的所有終端，實現對其管轄的終端的單點登錄。
• 終端管理：支持批量添加、分組管理、類型管理、信息同步等終端管理操作。
• 終端運維：支持批量連接、批量執行命令、運維模板管理、終端連接管理等高效便捷的終端運維方式。
• 安全認證：支持“用戶名/口令 + 動態令牌”的雙因子登錄認證與基于動態令牌的敏感操作二次認證機制，增強身份鑒別認證強度。
• 用戶管理：實現對管理員與運維員的精細化管理。管理員能夠對系統內所有運維人員帳號進行集中管理，統一進行權限控制等操作；運維員則在授權范圍內執行設備運維操作，確保運維工作的有序進行。
• 權限管理：支持運維人員訪問控制、終端訪問控制、批量權限轉移操作。
  • 運維人員訪問控制：運維人員登入本系統、通過本系統登入終端，均限制其可授權訪問的終端、登入終端的帳戶的操作權限，保證運維人員在其管轄范圍內執行允許的運維操作。
  • 終端訪問控制：通過訪問策略管理，對終端設備接入實行管控措施。
  • 批量權限轉移：支持將某運維人員所管轄的終端設備權限批量轉移至其他一位或多位運維人員。
• 日志管理：支持記錄人員登錄系統、訪問終端、執行指令等操作日志，支持按人員、時間段、人員IP地址、操作狀態等進行日志過濾，實現對終端的運維操作審計。

應用場景

• 海量終端高效納管：面對云環境、車聯網物聯網場景中大規模分散的邊緣終端設備，手動逐臺添加終端效率低下，且易造成終端信息缺失、管理無序等問題。系統管理人員可自動同步廠商終端設備清單，或基于設備信息模板導入快速批量完成海量終端信息采集。通過自定義標簽分組（可按業務、所處位置等多維度）、運維權限分配等措施，有序納管海量終端。
• 規模化終端批量運維：在需要為眾多數量的終端設備執行相同的運維操作場景下，傳統的人工逐臺操作耗時易錯，在本系統內運維人員可批量選擇需要運維的終端，一鍵建立SSH連接，通過預先設置的運維指令模板腳本，對所有連接終端批量執行指令，實現高效的規模化終端批量運維操作。
• 用戶行為安全身份認證：面對弱口令爆破、賬號共享等可能導致內外部攻擊者橫向移動的身份安全風險，基于動態令牌強化身份認證強度，管理人員、運維人員在登錄系統時需要通過“用戶名/口令+動態令牌”的雙因子認證機制完成登錄認證；在進行接入設備、下發指令等敏感操作時強制觸發基于動態令牌的二次安全認證，強化系統登錄、運維操作等用戶行為安全認證。
• 運維賬號治理：面對“萬能口令”泛濫帶來的賬號濫用風險，即：運維人員為簡化操作，對所有終端使用相同的用戶名和口令。采用運維賬號集中管理，由管理員統一管理運維人員個人賬號、分配終端運維權限；并基于單點登錄機制，運維人員一次登入本系統，即可安全登入其所管轄的所有終端，無需記憶或查詢大量的終端登錄口令。在安全與效率之間達到平衡。
• 離職人員賬號權限管控：運維人員離職后，管理人員通過用戶管理將其所管轄的終端權限轉移給其他運維人員，并對其賬號進行禁用或刪除操作，快速完成運維權限交接及賬號回收，解決傳統運維中”僵尸賬號”遺留問題。
• 云平臺租戶自主運維：面對云平臺中需要獨立管理自有資源的租戶，為租戶分發專享管理賬號，租戶可直接進行遠程運維操作，在授權范圍內自主執行批量命令、管理運維模板、管理運維日志，使租戶運維不必依賴云服務廠商，同時減輕云服務廠商運維壓力。
• 運維合規審計：針對政務/金融/醫療/車聯網等強監管行業基礎設施，系統提供集中化、可溯源的日志管理體系，管理人員可對登錄日志、操作日志、終端日志進行集中管理，全鏈路記錄操作日志，實現對操作人、操作時間、執行命令、客戶端IP等進行溯源查詢，解決傳統SSH日志分散、難追溯的問題。