堡垒机通常在信息安全级别受到保护。它主要匹配服务器访问统一身份认证，统一授权，统一审计，统一监控和检查，特别是在医疗，税务，金融等行业。在这方面，要求特别严格。通常，必须满足以下审核功能：

1、用户身份认证(如三级评估合规性要求)一般需要三到两个级别的医院安全评估。上述双因素方法用于身份验证。堡垒机必须要求本地认证，AD域认证，Radius认证，数字证书认证，手机动态密码，指纹识别认证，UKEY(移动数据证书)认证等认证方式，以满足三级系统的设计要求。

注意：身份验证从级别3开始，必须通过两个因素进行身份验证，通过两个因素识别个人，如果将两个因素(例如动态密码)部署到所有生产服务器，则成本非常高并且很容易发生事故，堡垒机的线路可以合理调节。本文在中卫威威堡垒机上内置了CA，手机动态密码，指纹识别，USBKEY证书等强有力的认证。合规性识别。

2、授权和访问控制

授权和管理IT运维管理人员，严格限制登录和操作行为。提供细粒度的访问控制策略，并通过控制访问时间，允许的IP段和证书，以及IT操作和维护用户，登录地址，操作和维护协议，目标主机和帐户以及操作和维护来建立详细的访问策略会话。操作和维护时间段的组合授权。

国家信息安全，国内堡垒机品牌三级要求

3、单点登录和账户管理

单点登录是一项操作和维护管理用户堡垒机集中认证和授权后，堡垒机是唯一的登录入口，使非法用户无机化，可以防止非法人员入侵。同时，根据配置策略，堡垒机集中管理网络中服务器，网络设备和安全设备的账号，实现账号密码管理，实现后台资源的自动登录，以及运维用户不需要知道后台资源的帐户密码。该功能为操作和维护用户提供了对后台资源帐户的可控对应，同时实现了后台资源帐户密码的统一保护。

4、违规操作警报

根据安全策略检测操作和维护管理过程中的违规，并为违规操作提供实时警报和阻止。

提供在线操作和维护管理操作的实时监控，并制定相应的阻塞警报策略。当操作和维护人员在策略中使用敏感命令时，它们将阻止警报并操作维护人员和服务器。断开或禁用执行命令以中断操作和维护会话。从而实现降低运营风险和改善安全管理和控制的能力。

5、操作和维护审计管理

审计管理主要用于审计运营商的帐户登录和资源访问。每个服务器主机和网络设备的访问日志记录是统一的。在识别帐户和资源之后，系统记录整个登录和操作过程，作为将来分析和取证的基础。提供Telnet，FTP，SSH，SFTP，RDP，XWindows，VNC，AS400，HTTP和HTTPS等协议的操作和维护会话的完整记录。对于图形管理，系统可以记录用户键盘操作。对于字符管理，可以记录用户操作的系统命令满足100%的内容审计记录要求。 以对话为单位，以图像的形式提供回放，真实直观地再现当时的操作过程。它支持快速播放、慢速播放和拖放播放。

6、审计报告功能

Fortress Machine提供每日报告、会话报告、报警报告、综合统计报告和其他审计报告。系统通过认证、授权、审核、密码等集中管理，实现对整个运维系统的分析，输出各种运维报告，整合当前运维情况。显示系统，为管理层提供运行维护管理的依据。支持pdf、excel等格式。

7、自我安全保护

通过分散管理机制、管理员身份验证、https加密管理、内部组件加密通信、数据文件加密存储、关闭可能带来扫描的服务端口来确保自身安全风险。此外，双热备(ha)和数据冗余存储(raid1)技术可以保证系统的可靠运行。

8、产品部署模式

KCNW堡垒机系统采用单臂模式旁路部署，不改变网络拓扑结构。 部署完成后，内部服务器的维护端口只对堡垒机开放，防止操作和维护人员直接访问服务器，避免了监控的风险。