吳耀芳，來學(xué)嘉

0 引言

堡壘最容易從內(nèi)部攻破。IT運維人員的操作審計普遍被金融、電力、安全等行業(yè)采用。從最開始針對屏幕和鍵盤的硬件錄像，到現(xiàn)在普遍使用的軟件錄像，錄像精度越來越高。

國內(nèi)專業(yè)從事“堡壘機(jī)”軟件開發(fā)的企業(yè)近幾年如雨后春筍般多了起來。但截至目前，除了字符界面的操作能以文字形式記錄外，圖形界面的操作都是以錄像形式記錄。錄像審計不僅費時費力，而且運維操作錄像通常只能作為事后的證據(jù)，僅起到威懾作用。盡管計算機(jī)圖像識別技術(shù)已日漸成熟，但用在海量的錄像識別和安全審計上，技術(shù)難度和實現(xiàn)成本仍然太高。

如果將圖形界面的操作通過堡壘機(jī)的應(yīng)用代理，在代理操作時記錄下詳細(xì)的文字日志，不僅能大大提高審計效率，還可以使圖形操作授權(quán)精細(xì)化，起到很好的事前預(yù)防效果。本文以Windows系統(tǒng)為例，將Windows 服務(wù)器上常用的系統(tǒng)維護(hù)轉(zhuǎn)移到堡壘機(jī)，這樣變審計錄像為審計操作日志。出于總成本考慮，不常用的圖形操作仍通過Windows 遠(yuǎn)程桌面來完成，少量的錄像審計不僅可以接受，在應(yīng)用代理系統(tǒng)故障時還能起到災(zāi)備作用。

1 設(shè)計原理

1.1 概念：

由于本文是在現(xiàn)有堡壘機(jī)方案上的改進(jìn)，先介紹下現(xiàn)有堡壘機(jī)系統(tǒng)的基本概念。此處堡壘機(jī)特指用于內(nèi)控的堡壘機(jī)，也叫運維審計型堡壘機(jī)，它是核心系統(tǒng)運維和安全審計管控兩大系統(tǒng)的雜交產(chǎn)物。物理上，堡壘機(jī)借助防火墻的隔離，切斷運維終端對核心IT資產(chǎn)的直接訪問；邏輯上，必須通過堡壘機(jī)的協(xié)議代理、網(wǎng)絡(luò)代理等才能訪問核心IT資產(chǎn)。堡壘機(jī)是進(jìn)出核心系統(tǒng)的“大門”和“翻譯”，它不僅能夠攔截非法訪問和惡意攻擊，還能對運維人員的操作進(jìn)行審計監(jiān)控。通過細(xì)粒度的授權(quán)，可避免運維人員權(quán)力過于集中，降低運維安全風(fēng)險。

1.2 構(gòu)成：

整個系統(tǒng)主要由以下4部分構(gòu)成：

A、 運維終端，通常是運行 Windows系統(tǒng)的 PC，運維人員在上面對核心 IT資產(chǎn)發(fā)出維護(hù)和操作指令；

B、 運維人員操作區(qū)的網(wǎng)絡(luò)設(shè)備，如用于連接核心 IT資產(chǎn)和運維終端的光端機(jī)、路由器、防火墻、交換機(jī)等；

C、 堡壘主機(jī)，一般是運行在Windows和Linux上的多套應(yīng)用系統(tǒng)，硬件上封裝為1臺獨立盒子。

D、 被運維的核心IT資產(chǎn)，如數(shù)據(jù)中心的服務(wù)器、存儲、交換機(jī)、防火墻、路由器等；

B和D之間一般采用光纖連接，如租用電信運營商SDH專線(通常是兩家運營商互備)，這樣通信安全在物理上有很高級別的保障。物理上，A、B、D是串聯(lián)關(guān)系，C一般和B并聯(lián)，主要原因是這樣堡壘機(jī)上線不改變傳統(tǒng)的組網(wǎng)方式。邏輯上，A只能通過C來訪問D，這是通過B的防火墻策略實現(xiàn)的。

1.3 整個系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D，如圖1所示：

圖1 系統(tǒng)的網(wǎng)絡(luò)拓?fù)涫疽鈭D

1.4 主要功能：

1) 單點登錄：通過代填密碼方式，運維人員無需記住也不能知道核心資產(chǎn)的各種密碼，只需要記住堡壘機(jī)的身份認(rèn)證密碼即可訪問核心資產(chǎn)，既便捷又安全。

2) 授權(quán)與控制：可以根據(jù)用戶、角色、核心資產(chǎn)、時間、應(yīng)用協(xié)議等各種維度進(jìn)行授權(quán)，最細(xì)粒度的訪問控制可以最大限度地保護(hù)安全。

3) 操作審計：能全程對運維人員的所有操作進(jìn)行精確錄像；對于字符終端，能全程記錄所有輸入的命令；對于數(shù)據(jù)庫，能全程記錄所有輸入的SQL語句。

1.5 重要改進(jìn)：

現(xiàn)有堡壘機(jī)系統(tǒng)，主要采用錄像來記錄運維操作,不方便審計。本文以 Windows系統(tǒng)為例，將核心系統(tǒng)上常用的文件管理、進(jìn)程管理、IIS管理、計劃任務(wù)管理、系統(tǒng)服務(wù)管理等系統(tǒng)應(yīng)用代理到堡壘機(jī)，當(dāng)運維人員操作堡壘機(jī)上的上述應(yīng)用代理軟件時，外觀上除了多一層服務(wù)器選擇外，其它和本地操作基本相似，但任何操作都可以記錄下精確的日志，如某個運維人員在某個時間點瀏覽了某服務(wù)器的某個目錄結(jié)構(gòu)。

在對運維人員授權(quán)控制時，可精細(xì)到某個非常細(xì)微的子功能，如僅允許某個運維角色只能讀取某服務(wù)器上某個子目錄下的日志文件，或僅能啟動、停止指定的某些系統(tǒng)服務(wù)，或臨時允許某人在指定的時間段維護(hù)某個功能。

另外，當(dāng)運維人員對核心系統(tǒng)做修改性操作時可自動做備份或提醒。如配置文件在修改保存前自動備份到事先設(shè)定的位置，可隨時查看歷史版本或回退到某個版本；對于某些配置文件，修改后可能需要提示運維人員重啟某個服務(wù)后才能立即生效；有些服務(wù)進(jìn)程在指定時間段，如證券交易時間，不能輕易重啟，如果運維人員重啟服務(wù)會給予提醒，甚至要求運維人員雙人確認(rèn)后才能重啟。

2 一期需求簡表

2.1 安全和管理需求：

a. 破壞性操作前能給出警告、自動備份；

b. 授權(quán)分允許、禁止 2類，禁止優(yōu)先，沒有允許授權(quán)不能操作；

c. 可按角色、用戶、時間段、服務(wù)器、應(yīng)用、功能授權(quán)；

d. 堡壘機(jī)用戶能與現(xiàn)有AD域控環(huán)境集成；

e. 除系統(tǒng)角色(管理員、審計員、運維人員)外可自定義角色；

f. 按層級授權(quán)時，支持“禁止遞歸”和“允許二次授權(quán)”兩個選項。在默認(rèn)情況下，如果授權(quán)了某個父層結(jié)構(gòu)的權(quán)限，相應(yīng)的子孫層也自動被授權(quán)，如果勾選了“禁止遞歸”，則被授權(quán)人只能訪問父層，不能訪問子孫層。在默認(rèn)情況下，不允許運維人員二次授權(quán)，如果勾選了“允許二次授權(quán)”，則被授權(quán)人可以再授權(quán)給其他運維人員。允許二次授權(quán)不僅和授權(quán)層級相關(guān)，還和用戶角色相關(guān)。

g. g.增加、刪除、修改服務(wù)器。

2.2 審計需求：

a. 運維操作日志能記錄下時間、人員、目標(biāo)設(shè)備、功能、參數(shù)等；

b. 能根據(jù)上述日志要素做篩選和瀏覽；

2.3 應(yīng)用代理需求：

a. 文件管理，界面類似于FTP圖形客戶端。可按服務(wù)器、磁盤、目錄、文件逐層授權(quán)。支持以下目錄操作：創(chuàng)建、刪除、改名、瀏覽、打包下載；支持以下文件操作：上傳、解壓縮、上傳并解壓縮、下載、打包下載、下載并本地打開、刪除、屬性查看。

b. IIS管理：按服務(wù)器、站點、應(yīng)用池、虛擬目錄逐層授權(quán)。支持以下常用IIS操作：站點、應(yīng)用池、虛擬目錄的屬性查看、新建、屬性修改、刪除4種操作。

c. 系統(tǒng)服務(wù)管理：按服務(wù)器、服務(wù)逐層授權(quán)。支持以下操作：列表瀏覽、服務(wù)屬性查看、停止服務(wù)、啟動服務(wù)、重啟服務(wù)、安裝服務(wù)、卸載服務(wù)、代填密碼(如果需要指定用戶帳戶運行)。

d. 計劃任務(wù)管理：按服務(wù)器、計劃任務(wù)逐層授權(quán)。支持以下操作：列表瀏覽、Task屬性查看、結(jié)束運行、啟動運行、新建、禁用、啟用、其它屬性修改、代填密碼(運維人員不能知道核心資產(chǎn)賬戶的密碼)。

e. 進(jìn)程管理：按服務(wù)器授權(quán)。支持以下操作：列表瀏覽、進(jìn)程屬性查看、結(jié)束進(jìn)程。

f. 遠(yuǎn)程桌面管理：按服務(wù)器、目標(biāo)系統(tǒng)帳號授權(quán)，自動代填密碼，支持選項選擇：是否允許使用剪貼板，是否允許使用本地驅(qū)動器。

3 技術(shù)實現(xiàn)方法

為節(jié)省成本,通過集成現(xiàn)有 Windows系統(tǒng)接口來實現(xiàn)后臺管理，前端模仿 Windows系統(tǒng)提供常用的操作界面即可。用戶和角色管理和現(xiàn)有的Active Directory集成，創(chuàng)建和角色對應(yīng)的組，將授權(quán)管理集中到域控服務(wù)器上。因需求2.1和2.2相對簡單，下面重點說明如何實現(xiàn)需求2.3：

a. 文件管理：前端提供樹視圖逐級展開，后臺使用管理共享(如c$)方式來訪問目標(biāo)服務(wù)器上的目錄和文件。

b. IIS管理：前端模仿 IIS樹實現(xiàn)最常用的操作，后端使用IIS自帶的命令行工具。對于IIS6，可用iisweb.vbs來管理站點，用iisvdir.vbs來管理虛擬目錄，詳細(xì)方法可用關(guān)鍵字“使用腳本管理 IIS”搜索MSDN；對于IIS7，則可用appcmd.exe命令行程序來管理。

c. 系統(tǒng)服務(wù)管理：后端可用sc.exe命令行查詢、修改服務(wù)器上的系統(tǒng)服務(wù)。

d. 計劃任務(wù)管理：后端可使用schtasks.exe命令行工具。

e. 進(jìn)程管理：后端可用tasklist.exe命令行查看進(jìn)程列表和進(jìn)程詳細(xì)信息，用taskkill.exe命令行結(jié)束進(jìn)程。

f. 遠(yuǎn)程桌面管理：前端提供服務(wù)器選擇視圖，選擇服務(wù)器

后使用系統(tǒng)自帶的RDP OCX控件嵌入程序中即可支持

代填密碼等。

應(yīng)用代理系統(tǒng)由前端界面和后端服務(wù)組成，前端運行在運維終端上，后端服務(wù)運行在堡壘機(jī)上。為提高系統(tǒng)自身安全系數(shù)，不采用流行的BS架構(gòu)，前端采用WinForm，以更好地采集運維終端身份信息，前端和后端服務(wù)通信時采用PKI機(jī)制加密通信，避免被網(wǎng)絡(luò)嗅探工具攻擊和破解。

4 數(shù)據(jù)比較

以10臺運維終端為例，給出兩種堡壘機(jī)的比較數(shù)據(jù)，如表1所示：

表1 堡壘機(jī)的數(shù)據(jù)比較

5 結(jié)束語

本文通過說明現(xiàn)有運維堡壘機(jī)的局限性,針對圖形操作錄像審計效率低問題,另辟蹊徑,通過應(yīng)用代理形式,變錄像審計為文字日志審計,而且可以事前預(yù)防。通過將 Windows系統(tǒng)上常見的系統(tǒng)管理做界面上兩次包裝，本文將其稱之為應(yīng)用代理，不僅解決了審計難題，而且解決了授權(quán)難題。最后給出兩種堡壘機(jī)的比較數(shù)據(jù)。

[1]王棟,來風(fēng)剛,李靜,數(shù)據(jù)中心IT 運維審計體系研究. [J]ELECTRIC POWER IT,2012,10(1):20-23.

[2]杜寧寧,趙慶亮, 淺談信息安全審計在金融行業(yè)的實踐.[J]中國內(nèi)部審計,2012-4：66-68.

[3]韓榮杰,于曉誼,基于堡壘主機(jī)概念的運維審計系統(tǒng). [J]安全視窗，2012-13：56-58.

[4]林秀,IT安全管理與綜合審計系統(tǒng)應(yīng)用探討. [J]電信技術(shù), 2011-6:66-68.