隨著信息安全等級保護(hù)制度的開展和普及，越來越多的政府部門和企事業(yè)單位開始參與并落實(shí)制度的執(zhí)行。國務(wù)院法規(guī)和中央文件明確規(guī)定，要實(shí)行信息安全等級保護(hù)，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度。

有人提出了疑問，具體是哪些標(biāo)準(zhǔn)、哪些條款成為推動(dòng)堡壘主機(jī)落地的驅(qū)動(dòng)力？那接下來將針對標(biāo)準(zhǔn)的解讀以及等級保護(hù)要求來給大家撥開疑云，看清方向。我們來看等級保護(hù)制度的主要標(biāo)準(zhǔn)，在這里列舉2個(gè)：

1、《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求（GBT 25070—2010）》

2、《信息系統(tǒng)安全等級保護(hù)基本要求（GBT 22239-2008）》

首先看《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求（GBT 25070—2010）》，我們以三級系統(tǒng)為標(biāo)準(zhǔn)來探討。三級系統(tǒng)安全計(jì)算環(huán)境應(yīng)從以下方面進(jìn)行安全設(shè)計(jì)：

1、 用戶身份鑒別

需要采用兩種或兩種以上組合方式進(jìn)行身份驗(yàn)證。堡壘機(jī)擁有本地認(rèn)證、AD域認(rèn)證、Radius認(rèn)證、數(shù)字證書認(rèn)證，提供外部接口可供指紋識(shí)別認(rèn)證、UKEY（移動(dòng)數(shù)據(jù)證書）認(rèn)證，滿足三級系統(tǒng)的設(shè)計(jì)要求。

2、 自主訪問控制

應(yīng)在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶。自主訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級和（或）記錄或字段級。

堡壘機(jī)通過主從賬號一一對應(yīng)的授權(quán)方式，賦予用戶完成操作的最小權(quán)限。其中命令訪問控制策略，能對高危命令進(jìn)行告警或阻斷；圖形控制策略能對RDP文件傳輸進(jìn)行控制，達(dá)到允許或阻斷的能力。訪問控制粒度達(dá)到文件或命令級別，滿足三級系統(tǒng)的設(shè)計(jì)要求。

3、 標(biāo)記和強(qiáng)制訪問控制

在對安全管理員進(jìn)行身份鑒別和權(quán)限控制的基礎(chǔ)上，應(yīng)由安全管理員通過特定操作界面對主、客體進(jìn)行安全標(biāo)記；應(yīng)按安全標(biāo)記和強(qiáng)制訪問控制規(guī)則，對確定主體訪問客體的操作進(jìn)行控制。

堡壘機(jī)通過旁路部署，邏輯網(wǎng)關(guān)的形式接入用戶網(wǎng)絡(luò)，不改變用戶現(xiàn)有的網(wǎng)絡(luò)構(gòu)架；為用戶提供C/S、B/S兩種登錄方式，不改變用戶現(xiàn)有的運(yùn)維習(xí)慣。登錄統(tǒng)一安全管理與綜合審計(jì)系統(tǒng)平臺(tái)，由超級管理員進(jìn)行標(biāo)記分配來控制操作管理。滿足三級系統(tǒng)的設(shè)計(jì)要求。

4、 系統(tǒng)安全審計(jì)

應(yīng)記錄系統(tǒng)的相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。應(yīng)提供審計(jì)記錄查詢、分類、分析和存儲(chǔ)保護(hù)；確保對特定安全事件進(jìn)行報(bào)警；確保審計(jì)記錄不被破壞或非授權(quán)訪問。應(yīng)為安全管理中心提供接口。

堡壘機(jī)能夠?qū)ψ址?、圖形、數(shù)據(jù)庫操作、WEB應(yīng)用、應(yīng)用發(fā)布、KVM等各類操作進(jìn)行審計(jì)；字符類審計(jì)能不僅可以命令識(shí)別，而且還可以對FTP/SFTP的文件傳輸進(jìn)行審計(jì)并記錄；圖形類審計(jì)能夠?qū)崿F(xiàn)實(shí)時(shí)的文字識(shí)別功能，完成標(biāo)題欄的識(shí)別，傳統(tǒng)的審計(jì)視頻流可被搜索、精準(zhǔn)定位；數(shù)據(jù)庫操作能夠?qū)崿F(xiàn)協(xié)議解析，完整無死角進(jìn)行操作審計(jì)；WEB應(yīng)用、應(yīng)用發(fā)布以及KVM的安全審計(jì)，讓整個(gè)信息系統(tǒng)的任何操作都逃避不了堡壘機(jī)的“法眼”，并能根據(jù)客戶需求輸出各類可查詢的審計(jì)記錄；堡壘機(jī)作為獨(dú)立的第三方審計(jì)系統(tǒng)，可以有效避免數(shù)據(jù)遭到破壞或非授權(quán)的訪問刪除、增加、篡改；對于審計(jì)記錄只有超級管理員和審計(jì)員可以查看，并實(shí)現(xiàn)三權(quán)分立的原則；系統(tǒng)為安全管理中心提供接口，輸出日志等相關(guān)信息。滿足三級系統(tǒng)的設(shè)計(jì)要求。

5、 用戶數(shù)據(jù)完整性保護(hù)、用戶數(shù)據(jù)保密性保護(hù)、客體安全重用、程序可信執(zhí)行保護(hù)堡壘主機(jī)在信息安全等級保護(hù)制度中的探究與應(yīng)用。

堡壘機(jī)通過HTTPS加密協(xié)議進(jìn)行通信鏈路的傳輸，采用加密技術(shù)對數(shù)據(jù)的存儲(chǔ)進(jìn)行保密性保護(hù)；各模塊相互傳數(shù)據(jù)及配置和控制信息都采用加密傳輸方式，提高了信息的保密性。傳輸?shù)臄?shù)據(jù)不被泄漏或篡改，在傳輸錯(cuò)誤或異常中斷的情況下能重發(fā)數(shù)據(jù)。數(shù)據(jù)保護(hù)機(jī)制采用HASH值對數(shù)據(jù)進(jìn)行驗(yàn)證，保證數(shù)據(jù)不會(huì)篡改，保持?jǐn)?shù)據(jù)的完整性。滿足三級系統(tǒng)的設(shè)計(jì)要求。

綜上所述，堡壘機(jī)從設(shè)計(jì)到功能完全符合等級保護(hù)安全設(shè)計(jì)三級要求，對于目前定級的二、三級系統(tǒng)完全適用，成為通過信息安全等級保護(hù)設(shè)計(jì)和測評不可或缺的重要安全審計(jì)系統(tǒng)。

作為等級保護(hù)制度的基本標(biāo)準(zhǔn)，也是測評機(jī)構(gòu)或相關(guān)監(jiān)管部門重要的審計(jì)依據(jù)——《信息系統(tǒng)安全等級保護(hù)基本要求（GBT 22239-2008）》的地位不可小覷。它從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全以及管理安全六個(gè)方面對信息系統(tǒng)的安全性分等級進(jìn)行規(guī)定。

堡壘機(jī)從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全到數(shù)據(jù)安全中的身份鑒別、訪問控制、安全審計(jì)、數(shù)據(jù)安全均滿足標(biāo)準(zhǔn)要求。成為各單位部門想通過信息安全等級測評后成功的關(guān)鍵設(shè)備。