現(xiàn)階段，各行各業(yè)無(wú)不在信息資產(chǎn)方面增加投入，以確保基礎(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)資產(chǎn)和信息安全方面的需要。與此同時(shí)，信息化建設(shè)的重點(diǎn)已經(jīng)由原來的基礎(chǔ)建設(shè)向深化應(yīng)用、安全運(yùn)維方面發(fā)生轉(zhuǎn)變。

隨著防火墻、入侵防御系統(tǒng)等安全產(chǎn)品的廣泛使用，網(wǎng)絡(luò)已經(jīng)具備了抵抗外部入侵的能力，但堡壘往往是在內(nèi)部被攻破的。由于設(shè)備和服務(wù)器眾多，賬號(hào)管理混亂，授權(quán)不清、各種越權(quán)訪問、誤操作、濫用、惡意破壞等情況時(shí)有發(fā)生。在對(duì)網(wǎng)絡(luò)造成嚴(yán)重?fù)p害的案例中，大多數(shù)是企業(yè)內(nèi)部人員所為。

[[421401]]

現(xiàn)今運(yùn)維安全管理面臨的困境：

• 信息系統(tǒng)維護(hù)人員構(gòu)成復(fù)雜，身份認(rèn)證不充分;
• 運(yùn)維人員權(quán)限劃分粗粒度，與職能不符;
• 資產(chǎn)賬號(hào)信息管理存在巨大的安全隱患;
• 高危操作無(wú)法及時(shí)進(jìn)行發(fā)現(xiàn)和阻斷;
• 圖片協(xié)議、加密協(xié)議無(wú)法審計(jì)，造成操作審計(jì)不完全;
• 重要信息系統(tǒng)的合規(guī)要求逐漸增加。

面臨以上困境，可部署堡壘機(jī)來進(jìn)行有效防御。

1. 什么是堡壘機(jī)?

簡(jiǎn)單點(diǎn)來說，堡壘機(jī)是一個(gè)審計(jì)設(shè)備，所謂審計(jì)，就是記錄日志的意思。它審計(jì)和記錄的就是IT運(yùn)維人員對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備等IT資產(chǎn)的運(yùn)維操作，即運(yùn)用各種技術(shù)手段監(jiān)控和記錄運(yùn)維人員對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)等設(shè)備的操作行為，以便集中報(bào)警、及時(shí)處理及審計(jì)定責(zé)。

2. 堡壘機(jī)的價(jià)值

(1) 集中賬號(hào)管理

基于唯一身份標(biāo)識(shí)的全局管理 ，實(shí)現(xiàn)了單點(diǎn)登錄，任何運(yùn)維人員都無(wú)法繞過堡壘機(jī)。統(tǒng)一賬號(hào)管理策略，實(shí)現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無(wú)縫連接。

(2) 集中授權(quán)管理

細(xì)粒度的命令級(jí)授權(quán)策略，針對(duì)運(yùn)維人員、服務(wù)器、服務(wù)器賬號(hào)、服務(wù)器應(yīng)用、訪問時(shí)間等多個(gè)因素設(shè)定細(xì)粒度的授權(quán)策略，使得運(yùn)維人員的權(quán)限得到很細(xì)的劃分，從而杜絕了運(yùn)維人員權(quán)限不明晰的問題。

(3) 集中認(rèn)證管理

堡壘機(jī)審計(jì)系統(tǒng)提供了多種認(rèn)證方式，包括：本地認(rèn)證、證書認(rèn)證、RADIUS認(rèn)證。集中認(rèn)證有效地將非法用戶或非授權(quán)用戶拒之門外，就像一座堡壘堅(jiān)不可破。

(4)集中操作審計(jì)

基于唯一身份標(biāo)識(shí)，全程審計(jì)用戶對(duì)從登錄到退出的操作行為，使得事后的審計(jì)和責(zé)任的定位有了可靠有力的根據(jù)。

3. 管控對(duì)象

4. 堡壘機(jī)主要功能

(1) 單點(diǎn)登錄

堡壘機(jī)提供了基于 B/S 的單點(diǎn)登錄系統(tǒng)，運(yùn)維人員通過一次登錄系統(tǒng)后，就可直接對(duì)多種基于 B/S 和 C/S 的應(yīng)用系統(tǒng)，而無(wú)需再次認(rèn)證過程。

(2) 集中賬號(hào)管理

集中賬號(hào)管理包含對(duì)所有服務(wù)器、網(wǎng)絡(luò)設(shè)備賬號(hào)的集中管理。通過統(tǒng)一的管理還能夠發(fā)現(xiàn)賬號(hào)中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶賬號(hào)安全策略。

(3) 身份認(rèn)證

采用統(tǒng)一的認(rèn)證接口不但便于對(duì)用戶認(rèn)證的管理，而且能夠采用更加安全的認(rèn)證模式，提高認(rèn)證的安全性和可靠性。

(4) 資源授權(quán)

堡壘機(jī)提供統(tǒng)一的界面，對(duì)用戶、角色及行為和資源進(jìn)行授權(quán)，以達(dá)到對(duì)權(quán)限的細(xì)粒度控制，最大限度保護(hù)用戶資源的安全。

系統(tǒng)不但能夠授權(quán)用戶可以通過什么角色訪問資源這樣基于應(yīng)用邊界的粗粒度授權(quán)，對(duì)某些應(yīng)用還可以限制用戶的操作，以及在什么時(shí)間進(jìn)行操作等的細(xì)粒度授權(quán)。

(5) 訪問控制

訪問控制策略是保護(hù)系統(tǒng)安全性的重要環(huán)節(jié)，制定良好的訪問策略能夠更好地提高系統(tǒng)的安全性。

(6) 操作審計(jì)

在各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問日志記錄都采用統(tǒng)一的賬號(hào)、資源進(jìn)行標(biāo)識(shí)后，操作審計(jì)能更好地對(duì)賬號(hào)的完整使用過程進(jìn)行追蹤。