从数据运维安全的角度来看，堡垒机录像审计功能能够满足主机层面的安全管理需求，但是运维人员一旦登录到主机后，便可对该台主机进行任何的操作、查看该主机上的任何数据，如果此时运维人员通过录像、截屏、拍照等方式窃取服务器数据，企业是很难通过事后审计来回溯追责的。为了提前防范此类运维风险，行云管家堡垒机上线了会话水印功能。

什么是堡垒机会话水印？

当用户在行云管家中通过RDP/VNC/SSH等协议访问云主机并获取其远程桌面/终端时，即创建了一个服务器远程桌面会话。一个完整的会话包含了协议类型、主机信息（IP、端口、用户口令等）、访问方式等一系列属性。行云管家堡垒机会话水印功能，是将访问该服务器的运维人员的账号等信息，以半透明水印的方式印在服务器远程桌面会话窗口上，当远程桌面会话窗口被录像、截屏、拍照，运维人员的信息也会被一并记录，方便事后回溯追责。

如何开启堡垒机会话水印功能？

行云管家堡垒机会话水印功能默认关闭状态，如果企业需要该项功能，需要通过管理员账号，在行云管家后台开启此项功能服务。

1、展开功能模块菜单，选择“安全审计/关键设备运维策略”，进入相应的策略功能设置。

2、点击“创建新的关键设备运维策略”，在弹出的窗口中，输入了策略名称并进行相关设置：

3、点击对应运维策略的“策略编辑”按钮，再点击“会话背景水印”的编辑图标，打开“修改会话背景水印”对话框，并选择对应的会话背景水印策略；

行云管家堡垒机除了会话水印还拥有很多安全运维功能，例如：双因子认证、内网访问助手、敏感指令阻断等，同时还提供堡垒机审计录像的下载功能，方便企业长期保存。