信息化IT應(yīng)用技術(shù)的高速發(fā)展，使得企業(yè)在IT運(yùn)維中必將面臨一系列安全風(fēng)險(xiǎn)。

首先，企業(yè)日常工作中一些看似平常的做法往往會(huì)帶來(lái)賬號(hào)管理混亂的運(yùn)維風(fēng)險(xiǎn)。例如在某些系統(tǒng)中共用賬號(hào)，員工在自己不方便時(shí)要求同事代為進(jìn)行某些操作，還有局域網(wǎng)長(zhǎng)期存在Guest賬號(hào)，這些為了一時(shí)方便的賬號(hào)可能會(huì)給整個(gè)系統(tǒng)的安全帶來(lái)困擾。等到系統(tǒng)出現(xiàn)問(wèn)題時(shí)，由于賬號(hào)共用，可能導(dǎo)致無(wú)法確定責(zé)任人，即使可以確定責(zé)任人也需要較長(zhǎng)的時(shí)間進(jìn)行技術(shù)定位。

其次，有些企業(yè)的系統(tǒng)不支持細(xì)致的賬號(hào)分級(jí)，致使很多普通員工或者臨時(shí)維護(hù)人員也擁有極大權(quán)限，甚至是admin權(quán)限，這樣缺乏統(tǒng)一權(quán)限策略的局域網(wǎng)通常會(huì)有很大安全問(wèn)題，導(dǎo)致權(quán)限管理混亂。因?yàn)閾碛袡?quán)限的人員過(guò)多，出現(xiàn)問(wèn)題后無(wú)法在短時(shí)間內(nèi)排除責(zé)任者，更不用說(shuō)有些木馬會(huì)竊取內(nèi)部員工的賬號(hào)，以高級(jí)權(quán)限在局域網(wǎng)內(nèi)運(yùn)行，導(dǎo)致安全問(wèn)題。

第三，由于企業(yè)很少有自己的IT運(yùn)維團(tuán)隊(duì)，運(yùn)維多是外包給第三方公司完成，因此由第三方運(yùn)維所導(dǎo)致的安全風(fēng)險(xiǎn)異常之大，例如運(yùn)維公司遭到惡意代碼攻擊、運(yùn)維人員流動(dòng)風(fēng)險(xiǎn)等，發(fā)生問(wèn)題的概率無(wú)法預(yù)測(cè)，其嚴(yán)重程度也遠(yuǎn)超其他的安全風(fēng)險(xiǎn)。

還有，因?yàn)镮T系統(tǒng)通常包括多種品牌的軟硬件設(shè)備，每種軟硬件通常都有自己的日志管理系統(tǒng)，往往會(huì)造成設(shè)備日志管理混亂的情況。這些日志分布在系統(tǒng)的各個(gè)部分之中，無(wú)法發(fā)揮應(yīng)有的作用，而且有些日志管理系統(tǒng)非常簡(jiǎn)陋，粒度很粗，這就導(dǎo)致IT運(yùn)維的重要部分，日志審計(jì)不能及時(shí)發(fā)現(xiàn)問(wèn)題，從而無(wú)法為管理員提供有價(jià)值的信息。

最后一點(diǎn)是關(guān)于傳統(tǒng)安全審計(jì)方面的問(wèn)題。傳統(tǒng)安全審計(jì)對(duì)于加密協(xié)議的支持較少，無(wú)法審計(jì)網(wǎng)內(nèi)的加密內(nèi)容，也無(wú)法實(shí)現(xiàn)基于IP的安全審計(jì)，這就給整個(gè)系統(tǒng)審計(jì)造成盲區(qū)，無(wú)法發(fā)揮應(yīng)有的作用。

綜上所述，企業(yè)內(nèi)部迫切需要進(jìn)行規(guī)范管理，通過(guò)多種用戶認(rèn)證方式，不同的安全操作權(quán)限，同一地點(diǎn)的不同資源的集中訪問(wèn)，簡(jiǎn)化操作流程，并滿足相關(guān)規(guī)范中關(guān)于用戶身份與訪問(wèn)管理的審計(jì)要求。內(nèi)控堡壘主機(jī)應(yīng)運(yùn)而生，通過(guò)部署堡壘主機(jī)可幫助企業(yè)IT運(yùn)維內(nèi)部網(wǎng)絡(luò)的合理化，安全化，專(zhuān)業(yè)化，規(guī)范化，充分保障企業(yè)資源安全。

為了有效解決此類(lèi)企業(yè)內(nèi)部的管控問(wèn)題，北京圣博潤(rùn)公司自主研發(fā)了LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)，該平臺(tái)是北京圣博潤(rùn)公司基于多年的內(nèi)網(wǎng)管理產(chǎn)品推廣和安全運(yùn)維服務(wù)經(jīng)驗(yàn)積累后，總結(jié)IT運(yùn)維過(guò)程中遇到的實(shí)際問(wèn)題，并結(jié)合國(guó)內(nèi)先進(jìn)的4A管理理念而研發(fā)的一款統(tǒng)一入口、集中運(yùn)維管理的硬件產(chǎn)品。

LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)的主要應(yīng)用于運(yùn)維管理與安全管理兩大方面。

運(yùn)維管理：LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)通過(guò)單點(diǎn)登陸進(jìn)行集中的運(yùn)維管理，將全部設(shè)備集中管控，統(tǒng)一進(jìn)行維護(hù)管理；通過(guò)集中賬戶管理解決運(yùn)維管理人員密碼安全存儲(chǔ)問(wèn)題，統(tǒng)一管理維護(hù)人員密碼口令，避免密碼遺忘和泄露；通過(guò)提供運(yùn)維管理工具幫助管理員日常維護(hù)管理，快捷方便提供日常管理工具；通過(guò)訪問(wèn)控制避免管理員誤操作的發(fā)生，禁止使用危險(xiǎn)命令，防止破壞性事件發(fā)生；通過(guò)操作審計(jì)進(jìn)行全稱(chēng)記錄，并進(jìn)行回放瀏覽。

安全管理：在信息系統(tǒng)安全施工中，大部分的攻擊來(lái)自系統(tǒng)內(nèi)部（80%來(lái)自內(nèi)部攻擊），LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)針對(duì)各種途徑服務(wù)器的訪問(wèn)方式進(jìn)行監(jiān)控，支持 telnet、ftp、sftp、ssh、ssh2、rdp，xwindow 、vnc等協(xié)議。超級(jí)管理員可以通過(guò)設(shè)置防火墻的訪問(wèn)控制策略關(guān)閉登陸服務(wù)器的常用端口或配置交換機(jī)的ACL訪問(wèn)控制列表，阻止普通管理員直接訪問(wèn)內(nèi)網(wǎng)資源。堡壘機(jī)通過(guò)協(xié)議代理轉(zhuǎn)發(fā)的方式，既加強(qiáng)了內(nèi)網(wǎng)資源的訪問(wèn)安全，又利于集中管理。

另一種禁止普通管理員直接登錄內(nèi)網(wǎng)資源的方式為通過(guò)堡壘主機(jī)批量修改原有設(shè)備或系統(tǒng)的賬戶和密碼，普通用戶僅擁有堡壘主機(jī)的登錄權(quán)限，這樣就可以限制用戶對(duì)內(nèi)網(wǎng)資源的使用權(quán)限并保證審計(jì)的可靠性。

企業(yè)IT系統(tǒng)的高速發(fā)展，軟硬件投資的不斷攀升，將IT運(yùn)維的標(biāo)準(zhǔn)提升到一個(gè)嶄新的高度。LanSecS（堡壘主機(jī)）內(nèi)控管理平臺(tái)旨在幫助企事業(yè)單位更高效的管理自身IT資產(chǎn)，切實(shí)提高安全運(yùn)維水平。