陸茂蘭

摘要：隨著網(wǎng)絡(luò)及信息的高速發(fā)展，安全問(wèn)題越來(lái)越明顯，傳統(tǒng)安全產(chǎn)品的廣泛使用雖然可以解決一部分安全問(wèn)題，并不能對(duì)已得到授權(quán)的人員的違規(guī)操作或誤操作進(jìn)行校驗(yàn)。運(yùn)維堡壘機(jī)系統(tǒng)其業(yè)務(wù)流程清晰，軟件框架結(jié)構(gòu)安全、網(wǎng)絡(luò)硬件部署安全可靠，在維護(hù)接入的集中化管理、運(yùn)維人員統(tǒng)一權(quán)限管理、運(yùn)維操作審計(jì)和合規(guī)審計(jì)方面取得較大突破。

關(guān)鍵詞：運(yùn)維堡壘機(jī)；系統(tǒng)架構(gòu)；應(yīng)用1背景

目前主流的安全管理系統(tǒng)和方法都是基于特征庫(kù)進(jìn)行安全訪問(wèn)分析和管理，比如防病毒管理、入侵檢測(cè)、抗DDOS設(shè)備都是通過(guò)其特征庫(kù)進(jìn)行的安全訪問(wèn)監(jiān)控。其特征庫(kù)的完備性直接影響到管理系統(tǒng)的有效性、準(zhǔn)確性，并不能對(duì)已得到授權(quán)的人員的違規(guī)操作或誤操作進(jìn)行校驗(yàn)。隨著企業(yè)業(yè)務(wù)支撐系統(tǒng)中網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)的不斷壯大，存在的安全訪問(wèn)控制要求也越來(lái)越高。我們需要能夠動(dòng)態(tài)的展現(xiàn)訪問(wèn)是否符合安全制度、安全系統(tǒng)的配置是否完備，能夠及時(shí)發(fā)現(xiàn)非法、違規(guī)、異常的訪問(wèn)操作等。

2內(nèi)控風(fēng)險(xiǎn)

當(dāng)前，面對(duì)日趨復(fù)雜的IT系統(tǒng)，通過(guò)購(gòu)買防火墻等系列安全設(shè)備使得網(wǎng)絡(luò)的安全性得到了一定的提高。但不同背景的運(yùn)維人員已給信息系統(tǒng)安全運(yùn)行帶來(lái)潛在的內(nèi)控風(fēng)險(xiǎn)，具體表現(xiàn)在：⑴賬號(hào)管理無(wú)序，多人共同使用一個(gè)系統(tǒng)賬號(hào)。⑵權(quán)限管理粗放，系統(tǒng)安全得不到保證。⑶合規(guī)性風(fēng)險(xiǎn)，未采用至少兩種身份認(rèn)證的“雙因素認(rèn)證”。⑷系統(tǒng)審計(jì)缺失，難以實(shí)現(xiàn)針對(duì)管理員全部操作的完整、全面、規(guī)范的審計(jì)。

3堡壘機(jī)系統(tǒng)

堡壘機(jī)，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外部和內(nèi)部用戶的入侵和破壞，而運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng)，以便集中報(bào)警、記錄、分析、處理的一種技術(shù)手段，它將建立面向用戶的集中、主動(dòng)的運(yùn)維安全管控模式，降低人為安全風(fēng)險(xiǎn)，滿足合規(guī)要求，保證企業(yè)效益。

3.1 設(shè)計(jì)思路

堡壘機(jī)綜合了運(yùn)維管理和安全性的融合，切斷了計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器資源的直接訪問(wèn)，而是采用協(xié)議代理的方式，接管了終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器的訪問(wèn)。即用戶通過(guò)終端計(jì)算機(jī)對(duì)目標(biāo)的訪問(wèn)，均需經(jīng)過(guò)堡壘機(jī)的統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、統(tǒng)一審計(jì)。堡壘機(jī)基于集中管理、身份管理、訪問(wèn)控制、權(quán)限控制和操作審計(jì)，幫助用戶最小化運(yùn)維操作風(fēng)險(xiǎn)。

集中管理：集中管理包含對(duì)所有服務(wù)器、網(wǎng)絡(luò)設(shè)備賬號(hào)的集中管理。分散無(wú)法管理，只有集中管理才能把復(fù)雜問(wèn)題簡(jiǎn)單化，才能實(shí)現(xiàn)統(tǒng)一管理。

身份管理：身份是識(shí)別和確認(rèn)操作者的依據(jù)，身份管理是指對(duì)系統(tǒng)操作者的身份進(jìn)行的管理。國(guó)家等級(jí)保護(hù)相關(guān)規(guī)定出臺(tái)后，對(duì)于二級(jí)以上系統(tǒng)均提出了明確要求，即系統(tǒng)登錄需采用至少兩種身份認(rèn)證方式——“雙因素認(rèn)證”。通過(guò)身份管理將有利于準(zhǔn)確定位操作責(zé)任人。

訪問(wèn)控制：訪問(wèn)控制的含義是限定運(yùn)維人員對(duì)資源設(shè)備的訪問(wèn)。杜絕任何資源均能被任意運(yùn)維人員登錄操作，從而保護(hù)合法操作者合法訪問(wèn)資源，降低未授權(quán)訪問(wèn)帶來(lái)的風(fēng)險(xiǎn)。

權(quán)限控制：用戶訪問(wèn)方式以內(nèi)部遠(yuǎn)程訪問(wèn)為主，運(yùn)維人員可通過(guò)登錄堡壘機(jī)以ssh/telnet/rdp/vnc訪問(wèn)方式管理設(shè)備。對(duì)不同用戶進(jìn)行不同策略的控制，最大限度的保護(hù)用戶資源的安全，嚴(yán)防非法、越權(quán)訪問(wèn)事件的發(fā)生。

操作審計(jì)：全程實(shí)時(shí)監(jiān)控記錄運(yùn)維人員在服務(wù)器、數(shù)據(jù)庫(kù)及網(wǎng)絡(luò)設(shè)備上所做的各種操作，包括字符串、圖形、文件傳輸?shù)炔僮?，?duì)賬號(hào)的使用全過(guò)程記錄使得運(yùn)維事件事后審計(jì)能根據(jù)錄像進(jìn)行問(wèn)題的追本溯源，直接定位問(wèn)題根源所在。對(duì)違規(guī)行為進(jìn)行事中控制、實(shí)時(shí)告警與阻斷。

3.2 部署及應(yīng)用

一套運(yùn)維堡壘機(jī)系統(tǒng)當(dāng)中，部署主備兩臺(tái)和堡壘機(jī)，實(shí)現(xiàn)高可靠性，部署一臺(tái)虛擬應(yīng)用服務(wù)器，讓堡壘機(jī)以B/S方式實(shí)現(xiàn)對(duì)后臺(tái)的各項(xiàng)管理配置和維護(hù)應(yīng)用的集中發(fā)布。堡壘機(jī)部署在業(yè)務(wù)支撐網(wǎng)的入口，運(yùn)維人員訪問(wèn)的設(shè)備地址必須經(jīng)堡壘機(jī)允許后才能訪問(wèn)。

堡壘機(jī)提供了功能完善、操作靈便、界面友好。系統(tǒng)管理員登錄堡壘機(jī)系統(tǒng)后錄入運(yùn)維人員身份信息、服務(wù)器等設(shè)備信息、按要求做好運(yùn)維人員對(duì)服務(wù)器的訪問(wèn)控制；運(yùn)維人員需要維護(hù)服務(wù)器時(shí)，首先以web方式登錄堡壘機(jī)，然后通過(guò)堡壘機(jī)上展現(xiàn)的訪問(wèn)資源列表直接訪問(wèn)授權(quán)的資源。

4價(jià)值總結(jié)

堡壘機(jī)系統(tǒng)邏輯上是將人與目標(biāo)設(shè)備分離，基于唯一身份標(biāo)識(shí)，通過(guò)集中管控安全策略的賬號(hào)管理、授權(quán)管理和審計(jì)，對(duì)運(yùn)維人員的操作進(jìn)行全程監(jiān)控和記錄，實(shí)現(xiàn)運(yùn)維操作的安全審計(jì)，滿足信息安全審計(jì)要求。

運(yùn)維人員只需記憶一個(gè)賬號(hào)和口令，一次登錄，便可實(shí)現(xiàn)對(duì)所維護(hù)的多臺(tái)設(shè)備的訪問(wèn)，提高了工作效率。系統(tǒng)管理員對(duì)賬號(hào)的管理將變得簡(jiǎn)單有序，只需要給每一個(gè)運(yùn)維人員建立唯一的自然賬號(hào)，配置要管轄的設(shè)備資源，建立設(shè)備的資源賬號(hào)，根據(jù)業(yè)務(wù)需要，配置訪問(wèn)控制策略，每個(gè)人能以何種身份訪問(wèn)設(shè)備，建立自然人與設(shè)備賬號(hào)的對(duì)應(yīng)關(guān)系。對(duì)各種訪問(wèn)行為的監(jiān)控也將變得方便直觀，運(yùn)維人員的所有操作行為均由運(yùn)維堡壘機(jī)系統(tǒng)來(lái)進(jìn)行記錄、存儲(chǔ)，并對(duì)相關(guān)信息進(jìn)行分析、回放和審計(jì)等。對(duì)一個(gè)企業(yè)來(lái)說(shuō)，通過(guò)嚴(yán)謹(jǐn)?shù)陌踩芸?，不僅可保證企業(yè)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等可靠運(yùn)行，而且能降低人為安全風(fēng)險(xiǎn)，給企業(yè)經(jīng)濟(jì)效益也起到了保障作用。

[參考文獻(xiàn)]

[1]郝永清.堡壘主機(jī)搭建全攻略與流行何可攻擊技術(shù)深度分析.科學(xué)出版社,2010.

[2趙瑞霞,王會(huì)平.構(gòu)建堡壘主機(jī)抵御網(wǎng)絡(luò)攻擊.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2010年08期.