综合核心系统运维和安全审计管控两大主干功能，从技术实现上讲，通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过运维安全审计的翻译。打一个比方，运维安全审计扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此运维安全审计能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为，并对内部人员误操作和非法操作进行审计监控，以便事后责任追踪。

产品功能Product Functions

1.单点登录

运维安全审计系统提供了基于B/S的单点登录系统，用户通过访问WEB页面一次登录系统后，就可以无需认证的访问被授权的多种基于B/S和C/S的应用系统。单点登录为具有多账号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高工作效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。

单点登录可以实现与用户授权管理的无缝链接，可以通过对用户、角色、行为和资源的授权，增加对资源的保护和对用户行为的监控及审计。

2.集中账号管理

集中账号管理包含对所有服务器、网络设备账号的集中管理。账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对账号整个生命周期的监控和管理，而且还降低了管理大量用户账号的难度和工作量。同时，通过统一的管理还能够发现账号中存在的安全隐患，并且制定统一的、标准的用户账号安全策略。

通过建立集中账号管理，单位可以实现将账号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。

3.集中身份认证

为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。

集中身份认证支持电子证书、Windows AD域、Windows Kerberos、双因素、动态口令和生物特征识别等多种认证方式，而且系统具有灵活的定制接口，可以方便的与第三方LDAP认证服务器对接。

4.统一资源授权

提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。

在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，运维人员也由各自的归口管理部门委派，这些运维人员可以通过运维安全审计系统对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够实现授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以实现限制用户的操作，以及在什么时间、什么地点进行操作等的细粒度授权。

5.细粒度访问控制

能能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。

访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好的提高系统的安全性。

基于细粒度的访问控制下，运维安全审计系统为用户做到：

       Who（谁）： 控制什么用户允许操作

       Where（什么地点）：控制来源于什么地址的用户允许访问什么资源

       When（什么时间）：控制在什么时间允许用户操作

       What（做了什么）：控制用户执行的操作

6.运维操作审计

操作审计管理主要审计操作人员的账号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后，操作审计能更好地对账号的完整使用过程进行追踪。

7.共享资源的单点登录

目前的单点登录产品主要针对C/S、B/S应用系统、网络设备、主机操作系统做审计、控制，但对公用的资源没有做相应的审计、控制。

我们的新版天融信运维安全审计系统TOPSAG支持对共享文件、文件夹、共享光驱进行单点登录，并做资源的访问审计；支持对共享打印机进行单点登录，并做打印审计。

8.管理多种运维操作方式

在不改变用户使用习惯的前提下，可管理以下多种运维操作方式：

        字符终端运维操作：

                1.终端命令行操作：Telnet、SSH

                2.文本菜单终端HP的SAM，IBM的SMIT，LINUX的SETUP等

        图形终端操作：RDP、X11、VNC

        文件传输操作：FTP、SFTP、SCP、RDP磁盘通道、剪贴板等文件传输

        应用终端操作：

                1.基于WEB操作：http、https

                2.基于C/S应用终端操作：AS400

        KVM Over IP操作：Avocent、Raritan

                1.Avocent 管理终端DSR、DSVIEW

                2.力登管理终端：RARITAN、RARITAN_CC

        数据库运维操作：Oracle、DB2、Informix、Sybase、MS SQL等

        具备高度扩展性，可支持各种已知和未知的B/S、C/S管理终端的操作

                1.智能负载均衡

支持分布部署，支持在运维管理过程中，实现对运维管理的负载均衡。

在运维管理大型网络时，当被管资源数量巨大，网络数据链路较为集中的情况下，为了使运维管理不影响正常业务的资源访问，运维安全审计系统可提供 “分布部署，集中管理”的负载均衡模式，对当前的运维管理所需的网络资源占用进行智能化分配调度。

                1.实现运维命令的实时审计和拦截控制

对于普通用户登录到目标设备上正在进行的操作，审计管理员可以通过运维安全审计系统的WEB界面做到实时监控，做到边操作边审计，真正实现操作透明；同时对于用户的违规操作，审计管理员还可以做到实时切断。

9.加密协议审计

支持对SSH、SFTP等加密类协议，以及RDP、VNC、X11等图形协议进行全面审计。可以记录操作命令、操作过程中的键盘事件，同时可以对操作过程进行实时监控、录像、回放。