現(xiàn)階段，各行各業(yè)無不在信息資產(chǎn)方面增加投入，以確保基礎(chǔ)網(wǎng)絡(luò)、業(yè)務系統(tǒng)、數(shù)據(jù)資產(chǎn)和信息安全方面的需要。與此同時，信息化建設(shè)的重點已經(jīng)由原來的基礎(chǔ)建設(shè)向深化應用、安全運維方面發(fā)生轉(zhuǎn)變。

隨著防火墻、入侵防御系統(tǒng)等安全產(chǎn)品的廣泛使用，網(wǎng)絡(luò)已經(jīng)具備了抵抗外部入侵的能力，但堡壘往往是在內(nèi)部被攻破的。由于設(shè)備和服務器眾多，賬號管理混亂，授權(quán)不清、各種越權(quán)訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生。在對網(wǎng)絡(luò)造成嚴重損害的案例中，大多數(shù)是企業(yè)內(nèi)部人員所為。

[[421401]]

現(xiàn)今運維安全管理面臨的困境：

• 信息系統(tǒng)維護人員構(gòu)成復雜，身份認證不充分;
• 運維人員權(quán)限劃分粗粒度，與職能不符;
• 資產(chǎn)賬號信息管理存在巨大的安全隱患;
• 高危操作無法及時進行發(fā)現(xiàn)和阻斷;
• 圖片協(xié)議、加密協(xié)議無法審計，造成操作審計不完全;
• 重要信息系統(tǒng)的合規(guī)要求逐漸增加。

面臨以上困境，可部署堡壘機來進行有效防御。

1. 什么是堡壘機?

簡單點來說，堡壘機是一個審計設(shè)備，所謂審計，就是記錄日志的意思。它審計和記錄的就是IT運維人員對服務器、網(wǎng)絡(luò)設(shè)備等IT資產(chǎn)的運維操作，即運用各種技術(shù)手段監(jiān)控和記錄運維人員對網(wǎng)絡(luò)內(nèi)的服務器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等設(shè)備的操作行為，以便集中報警、及時處理及審計定責。

2. 堡壘機的價值

(1) 集中賬號管理

基于唯一身份標識的全局管理 ，實現(xiàn)了單點登錄，任何運維人員都無法繞過堡壘機。統(tǒng)一賬號管理策略，實現(xiàn)與各服務器、網(wǎng)絡(luò)設(shè)備等無縫連接。

(2) 集中授權(quán)管理

細粒度的命令級授權(quán)策略，針對運維人員、服務器、服務器賬號、服務器應用、訪問時間等多個因素設(shè)定細粒度的授權(quán)策略，使得運維人員的權(quán)限得到很細的劃分，從而杜絕了運維人員權(quán)限不明晰的問題。

(3) 集中認證管理

堡壘機審計系統(tǒng)提供了多種認證方式，包括：本地認證、證書認證、RADIUS認證。集中認證有效地將非法用戶或非授權(quán)用戶拒之門外，就像一座堡壘堅不可破。

(4)集中操作審計

基于唯一身份標識，全程審計用戶對從登錄到退出的操作行為，使得事后的審計和責任的定位有了可靠有力的根據(jù)。

3. 管控對象

4. 堡壘機主要功能

(1) 單點登錄

堡壘機提供了基于 B/S 的單點登錄系統(tǒng)，運維人員通過一次登錄系統(tǒng)后，就可直接對多種基于 B/S 和 C/S 的應用系統(tǒng)，而無需再次認證過程。

(2) 集中賬號管理

集中賬號管理包含對所有服務器、網(wǎng)絡(luò)設(shè)備賬號的集中管理。通過統(tǒng)一的管理還能夠發(fā)現(xiàn)賬號中存在的安全隱患，并且制定統(tǒng)一的、標準的用戶賬號安全策略。

(3) 身份認證

采用統(tǒng)一的認證接口不但便于對用戶認證的管理，而且能夠采用更加安全的認證模式，提高認證的安全性和可靠性。

(4) 資源授權(quán)

堡壘機提供統(tǒng)一的界面，對用戶、角色及行為和資源進行授權(quán)，以達到對權(quán)限的細粒度控制，最大限度保護用戶資源的安全。

系統(tǒng)不但能夠授權(quán)用戶可以通過什么角色訪問資源這樣基于應用邊界的粗粒度授權(quán)，對某些應用還可以限制用戶的操作，以及在什么時間進行操作等的細粒度授權(quán)。

(5) 訪問控制

訪問控制策略是保護系統(tǒng)安全性的重要環(huán)節(jié)，制定良好的訪問策略能夠更好地提高系統(tǒng)的安全性。

(6) 操作審計

在各服務器主機、網(wǎng)絡(luò)設(shè)備的訪問日志記錄都采用統(tǒng)一的賬號、資源進行標識后，操作審計能更好地對賬號的完整使用過程進行追蹤。