终端统一身份安全管理系统专注于为SSH远程运维特定场景提供专项轻量级运维支持，旨在解决常规运维方式面对海量云服务终端设备运维效率低下的问题，通过运维帐号集中管理、身份认证安全增强、单点登录、批量运维、运维审计等机制，保证运维安全的同时，提升运维管理的便利性和高效性。

功能特点

• 单点登录：支持管理人员、运维人员一次登入本系统，无须再次提供凭证，即可安全登入其所管辖的所有终端，实现对其管辖的终端的单点登录。
• 终端管理：支持批量添加、分组管理、类型管理、信息同步等终端管理操作。
• 终端运维：支持批量连接、批量执行命令、运维模板管理、终端连接管理等高效便捷的终端运维方式。
• 安全认证：支持“用户名/口令 + 动态令牌”的双因子登录认证与基于动态令牌的敏感操作二次认证机制，增强身份鉴别认证强度。
• 用户管理：实现对管理员与运维员的精细化管理。管理员能够对系统内所有运维人员帐号进行集中管理，统一进行权限控制等操作；运维员则在授权范围内执行设备运维操作，确保运维工作的有序进行。
• 权限管理：支持运维人员访问控制、终端访问控制、批量权限转移操作。
  • 运维人员访问控制：运维人员登入本系统、通过本系统登入终端，均限制其可授权访问的终端、登入终端的帐户的操作权限，保证运维人员在其管辖范围内执行允许的运维操作。
  • 终端访问控制：通过访问策略管理，对终端设备接入实行管控措施。
  • 批量权限转移：支持将某运维人员所管辖的终端设备权限批量转移至其他一位或多位运维人员。
• 日志管理：支持记录人员登录系统、访问终端、执行指令等操作日志，支持按人员、时间段、人员IP地址、操作状态等进行日志过滤，实现对终端的运维操作审计。

应用场景

• 海量终端高效纳管：面对云环境、车联网物联网场景中大规模分散的边缘终端设备，手动逐台添加终端效率低下，且易造成终端信息缺失、管理无序等问题。系统管理人员可自动同步厂商终端设备清单，或基于设备信息模板导入快速批量完成海量终端信息采集。通过自定义标签分组（可按业务、所处位置等多维度）、运维权限分配等措施，有序纳管海量终端。
• 规模化终端批量运维：在需要为众多数量的终端设备执行相同的运维操作场景下，传统的人工逐台操作耗时易错，在本系统内运维人员可批量选择需要运维的终端，一键建立SSH连接，通过预先设置的运维指令模板脚本，对所有连接终端批量执行指令，实现高效的规模化终端批量运维操作。
• 用户行为安全身份认证：面对弱口令爆破、账号共享等可能导致内外部攻击者横向移动的身份安全风险，基于动态令牌强化身份认证强度，管理人员、运维人员在登录系统时需要通过“用户名/口令+动态令牌”的双因子认证机制完成登录认证；在进行接入设备、下发指令等敏感操作时强制触发基于动态令牌的二次安全认证，强化系统登录、运维操作等用户行为安全认证。
• 运维账号治理：面对“万能口令”泛滥带来的账号滥用风险，即：运维人员为简化操作，对所有终端使用相同的用户名和口令。采用运维账号集中管理，由管理员统一管理运维人员个人账号、分配终端运维权限；并基于单点登录机制，运维人员一次登入本系统，即可安全登入其所管辖的所有终端，无需记忆或查询大量的终端登录口令。在安全与效率之间达到平衡。
• 离职人员账号权限管控：运维人员离职后，管理人员通过用户管理将其所管辖的终端权限转移给其他运维人员，并对其账号进行禁用或删除操作，快速完成运维权限交接及账号回收，解决传统运维中”僵尸账号”遗留问题。
• 云平台租户自主运维：面对云平台中需要独立管理自有资源的租户，为租户分发专享管理账号，租户可直接进行远程运维操作，在授权范围内自主执行批量命令、管理运维模板、管理运维日志，使租户运维不必依赖云服务厂商，同时减轻云服务厂商运维压力。
• 运维合规审计：针对政务/金融/医疗/车联网等强监管行业基础设施，系统提供集中化、可溯源的日志管理体系，管理人员可对登录日志、操作日志、终端日志进行集中管理，全链路记录操作日志，实现对操作人、操作时间、执行命令、客户端IP等进行溯源查询，解决传统SSH日志分散、难追溯的问题。