艾科运维安全管理系统（简称：IDOSM）是集用户（Account）管理、授权（Authorization）管理、认证 （Authentication）管理和综合审计（Audit）于一体的集中运维管理系统。IDOSM能够为企业 提供集中的管理平台，减少系统维护工作；能够为企业提供全面的用户和资源管理，减少企业 的维护成本；能够帮助企业制定严格的资源访问策略，并且采用强身份认证手段，全面保障系 统资源的安全；能够详细记录用户对资源的访问及操作，达到对用户行为审计的需要。

    IDOSM采用层次化、模块化的设计，产品整体架构包括：资源层、接口管 理层、核心服务层和统一展示层。

   资源层

    负责提供各种类型资源的资源管理交互。

    接口管理层

    主要功能是实现核心层与外部产品、用户资源系统之间的数据交互，包括 账号类、认证类、授权类和审计类四个方面的接口。其中账号/角色管理接口实现资源从账号 的收集和同步管理，认证接口实现与第三方强身份认证产品的联动和主账号认证，访问控制策 略接口实现访问控制策略的下发，审计接口能接收外部系统产生的各类日志。通过数据接口层 完成与各种应用系统的相关接口通信。

   核心服务层

    完成系统各功能模块的业务处理，包括身份管理，行为管理，审计管理以及 协议代理等服务，每个模块再细分若干子模块完成各自的管理功能。核心层具体的功能模块如 下：

        账号管理

        授权管理

        认证管理

        审计管理

   统一展示层

    负责用户交互部分的展现，一方面对用户身份的认证，同时显示信息给系统 操作人员，包括操作人员的可访问资源展现及自服务展现；另一方面接受管理人员的管理配置和审计人员的审计查看，将管理人员和审计人员的输入传递到核心服务层处理。

产品特色

丰富的部署方式，架构部署灵活

• HA双机部署：一般HA双机基于监测网络存活状态进行切换，无法做到根据系统服务状态进行切换，艾科运维安全管理系统真正实现基于硬件和应用服务状态进行监控切换，从而为客户提供不间断的服务，同时采用双写技术，保证客户数据安全，确保高可靠性；

• 集群部署：对于大规模资产高并发访问且运维不可中断性质的客户，支持三台或三台以上的集群部署模式，确保运维访问能够均衡的由各个堡垒处理；

• 分布式部署：实现公司总部与各分公司之间，组织机构分散而需要统一集中管理的问题；

多元化的认证方法，支持组合认证

• 自身提供了证书认证、手机动态令牌、MAC地址认证、AD域认证等服务，也可与第三方CA、动态令牌等进行结合。支持任意组合认证，提高访问的安全性；

强大的资源管理能力，资源数据直观展现

• 资源数量统计：支持柱形图方式查看系统中不同资源所占比例；

• 资源类型：支持资源类型丰富，unix资源、网络资源、windows资源、数据库资源、C/S资源、B/S资源；

• 资源驱动管理：支持按资源类型上传资源管理驱动程序，可使资源的管理更具有针对性；

• 应用发布单独管理：支持应用发布代填驱动自定义上传，针对不同应用资源，采用相对应的代填脚本；

用户账号及资源账号的全生命周期管理

• 主账号支持分组管理，分组可以采用树形方式展现，不限制分组层级数量；

• 完整的用户账号管理；生命周期管理，实现账号的创建、维护、修改、删除的集中管理；

• 账号同步：将用户账号数据以excel方式导入运维审计与管理系统，实现数据统一，无需重复创建数据；

• 从账号管理：支持资源从账号的管理，系统具有各种资源类型驱动器能够将资源上的账号进行自动收集、推送、抽取、同步及属性的变更等；

• 支持手动登录账号、口令自动添加功能，操作员单点登录时，手动输入的从账号、口令，系统会自动添加到该资源账号列表中，避免重复添加；

灵活的授权管理功能，基于资源扩展属性的动态授权

• 角色管理：系统内部管理功能权限支持自定义角色。系统内置运维、管理、审计三大角色，角色可按照组节点进行定义，系统内置运维、管理、审计三大角色，从而实现分层分级管理模式；

• 岗位授权：资源授权模式基于岗位授权，岗位授权概念十分灵活，建立岗位授权后，岗位授权上可绑定已有用户及资源、账号，也可直接在岗位授权上新建用户及资源、账号，这样授权可迁移、授权粒度更细；并可针对岗位授权设置相关安全策略；

• 资源自动授权：支持资源按筛选规则定义资源属性，按照资源属性自动完成授权；

• 资源账号批量授权：支持设置资源账号组策略，将资源账号组策略绑定至岗位授权后，单点登录时系统会自动从资源账号组中添加的账号集合中筛选出资源实际添加的账号并可进行登录代填口令；

基于HTML5技术的单点登录，多浏览器支持

• 支持快速登录功能：系统可将运维人员经常访问的资源自动添加到历史登录记录中，运维人员点击历史记录，便可快速进行单点登录，体现平台运维便捷性，易用性；

• 支持RDP、SSH1、SSH2、TELNET、FTP、SFTP、VNC、XWINDOW等协议；

• 支持en、su、super用户角色自动切换操作并代填密码；

• 强大的审计管理，基于WEB的审计回放与监控，无需安装插件；

• 图形资源访问时，支持鼠标、键盘、剪切板、文件传输记录，并且对图形资源的审计回放时，可以从某个键盘、剪切板、文件传输记录的指定位置开始回放；

• 支持Windows图形审计的监控，管理员可以随时查看运维人员的操作，并且可以发送告警信息进行会话锁定和解锁；

• 图形审计支持画质如灰度、灰度低级的设置，帧间隔，压缩比等设置，可以大大缩减图形审计产生录像文件的大小，每十分钟真彩模式下的审计录像大小为0.5M左右；

• 采用ES搜索引擎，审计数据查询速度更快，结果更准确；

• 所有审计回放及监控操作，均基于web实现，无需再安装客户端插件；

• 支持在审计录像回放中加入水印等安全功能，有效保障企业数据安全；

访问零信任

• 基于安全零信任策略和架构，遵循最小最少权限原则，构建基于身份的可信赖计算机制，保障用户对企业资产的安全运维；

• 对用户的异常行为，支持对接腾讯AI模块进行判定，不放过任何可疑行为；

支持多种云平台运维部署

• 支持腾讯云、阿里云、华为云、天翼云、数梦工场等云平台；

直观的可视化页面展现

• 支持对在线用户、在线主机、计划任务、运维数据、实时监控等统计数据进行页面展示；

• 支持对策略分布、威胁分布、系统运行状态等数据进行图形展示；

• 支持对主机运维、计划任务、用户运维等数据TOP展示；

良好的扩展性及定制化能力,扩展灵活，定制安全

• 支持第三方应用程序获取密码接口；

• 支持定制开发：平台自身根据技术发展和市场需求不断变化而变化着，保证充分满足市场及用户需求。