启明星辰运维安全管控系统（以下简称OSM），是启明星辰综合内控系列产品之一。

OSM利用在运营商行业的业务积累和已有技术积累，是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人—资源—资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营。

OSM能够对运维人员维护过程的全面跟踪、控制、记录、回放；支持细粒度配置运维人员的访问权限，实时阻断违规、越权的访问行为，同时提供维护人员操作的全过程的记录与报告；系统支持对加密与图形协议进行审计，消除了传统行为审计系统中的审计盲点，是IT系统内部控制最有力的支撑平台之一。

作为国内最早研发和业界领先的堡垒机厂商之一，启明星辰堡垒机产品历经5年多的持续发展，已拥有目前国内最多的客户群，包括电信运营商、金融、能源、政府、烟草、传媒、公安和企事业单位等。

运维协议支持广、易扩展，充分满足运维需要

 

产品实现对多种运维协议或运维客户端的支持，充分满足运维需要，包括字符协议、图形协议、文件传输协议、HTTP（S）应用、数据库访问和Pcanywhere、Radmin等常用运维客户端。通过配置应用发布，还可以灵活扩展其他运维协议或工具。

多种资源访问方式，适应不同人员使用习惯

 

产品支持多种目标资源访问方式，使用界面友好，能够最大程度适应不同用户的使用习惯。

细粒度访问授权，有效控制运维风险

 

产品可根据用户、用户组、访问主机、系统账号、访问方式等内容设置细粒度访问策略，同时支持指令黑白名单、时间黑白名单、IP黑白名单。通过集中统一的访问控制和细粒度的命令级授权策略，确保“权限最小化原则”，有效规避运维操作风险。

审计实名制，为事后取证提供证据

 

以用户身份为依据，真实完整的记录每个用户的所有操作行为；支持实时监控和仿真回放；支持在监控过程中手工切断高危操作。

 

单机部署：

                                                  

OSM在部署时只需要为其分配一个独立IP地址即可，无需对网络拓扑结构进行任何调整。一般而言，OSM部署在服务器所在网段，同时OSM的IP地址通过网络设备发布到外部网络中供运维人员访问。

部署OSM后，内部服务器的维护端口只需开放给OSM系统，无需再让运维人员直接访问。对运维人员，只需开放OSM的访问端口，从而进一步加强内部服务器的安全性。

 

双机部署：

 

                                                    

 

OSM支持HA双机热备部署，以避免单点故障隐患，最大程度满足运维的可靠性和连续性。HA双机热备部署由两个节点组成，分为主机节点和备机节点，主备之间通过心跳线进行主备状态监测和数据实时同步，主机节点一旦断开，备机节点会立刻启动，无需人工干预，从而实现业务的不间断运行。