陳 濤

中國聯(lián)通天津市分公司 天津 300052

隨著信息化的發(fā)展，政府部門及企事業(yè)單位IT系統(tǒng)不斷發(fā)展，網(wǎng)絡規(guī)模迅速擴大，設備數(shù)量激增，系統(tǒng)內(nèi)的信息和數(shù)據(jù)內(nèi)容在日趨增多，而運維管理在日趨復雜，故安全管理與IT系統(tǒng)運維的無縫融合是必不可少的；構(gòu)建一個強健的IT運維安全管理體系對企業(yè)信息化的發(fā)展至關(guān)重要，因為信息系統(tǒng)的安全運行直接關(guān)系到企業(yè)的效益，所以越來越多的企業(yè)對運維的安全性提出更高要求。我們所說的安全管理應包括兩方面，即網(wǎng)絡安全管理和信息安全管理。

1 管理現(xiàn)狀

目前，機構(gòu)的運維管理有以下三個特點。1)關(guān)鍵的核心業(yè)務都部署于X86服務器或小型機上，操作系統(tǒng)有Linux或Windows；2)業(yè)務應用復雜，操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務軟件等多種角色交叉管理；3)運行維護人員更多依賴Telnet、SSH、FTP、RDP等進行遠程管理。這些現(xiàn)狀使管理中存在一些突出問題，詳見下文分析。

1.1 賬號管理混亂，暗藏巨大風險

1) 公用賬號的使用。在一套系統(tǒng)有多名工程師維護的時候，并不是每個工程師均有自己的獨立賬號，故只能多人共享同一賬號。經(jīng)調(diào)查統(tǒng)計，某省級電信運營商擁有業(yè)務平臺50余套，其中某一平臺關(guān)鍵系統(tǒng)管理員賬號被30個工程師共用，如果發(fā)生安全事故(如系統(tǒng)重要信息內(nèi)容被泄露或該帳號做了惡意操作)，不僅無法對賬號的使用范圍進行有效控制，更難以定位到賬號的實際使用者和責任人，存在較大信息及網(wǎng)絡安全風險和隱患[1]。

2) 單用戶使用多個賬號。目前，當一個工程師維護多套系統(tǒng)或多臺設備的時候，他需要記憶多套口令，同時在多套主機系統(tǒng)、網(wǎng)絡設備之間切換登錄。經(jīng)調(diào)查統(tǒng)計，某省級電信運營商某部門維護共50余套業(yè)務平臺，其中每位工程師要維護7個平臺，每個平臺約6臺服務器、4臺網(wǎng)絡設備，那么該工程師共需管理70臺設備，即需要記住70個賬號與口令，復雜的操作造成了工作量的成倍增加，直接導致工作效率低下，混亂的切換操作甚至會造成誤操作，最終影響系統(tǒng)正常運行。

1.2 粗放式的權(quán)限管理難以保證系統(tǒng)安全

很多企事業(yè)單位甚至運營商都沒有專用的授權(quán)管理系統(tǒng)對運維安全進行把控，基本均采用設備、操作系統(tǒng)自身的授權(quán)功能，這種功能授權(quán)粒度粗，不能依據(jù)業(yè)務需求滿足最小權(quán)限分配原則和用戶管理權(quán)限；而且，這種粗放式的權(quán)限管理會導致出現(xiàn)如運維人員權(quán)限過大和內(nèi)部操作權(quán)限濫用等諸多問題，如果不及時解決，信息系統(tǒng)的安全性難以得到充分保證[1]。

1.3 訪問控制策略不嚴格

目前的維護管理中，只能通過防火墻做到IP層面的訪問控制管理，但是什么用戶以什么身份做的操作我們?nèi)匀粺o法知道。

1.4 無法有效審計用戶操作

目前，由于各系統(tǒng)基本都是獨立運行、維護和管理，故每個系統(tǒng)的審計工作也由相應系統(tǒng)自身完成，而系統(tǒng)自身的審計功能又不能對SSH、RDP等加密協(xié)議所操作的內(nèi)容進行審計，這樣就無法有效解決對運維人員操作行為的監(jiān)管問題；IP地址的有效審計是大多數(shù)網(wǎng)絡安全審計系統(tǒng)具備的功能，但是如何將IP與具體操作人員身份準確關(guān)聯(lián)，并在發(fā)生安全事故后追查責任人，才是亟待解決的難題。

1.5 缺乏針對信息安全及數(shù)據(jù)安全的保護實施指南

信息就象其它重要的業(yè)務資產(chǎn)一樣，對于整個業(yè)務系統(tǒng)不可或缺，因此需要妥善保護，這種信息的保護在當今互連日益緊密的業(yè)務環(huán)境中尤為重要。

信息安全就是要保護信息免受威脅的影響，從而確保業(yè)務的連續(xù)性，縮減業(yè)務風險，最大化投資收益并充分把握業(yè)務機會。應通過實施一整套適當?shù)目刂拼胧﹣韺崿F(xiàn)信息安全，包括策略控制、過程控制、程序控制、組織結(jié)構(gòu)控制和軟硬件功能控制等。在適當?shù)臅r候改進這些控制措施，從而確保實現(xiàn)特定的安全和業(yè)務目標[2]。

2 運維安全管理系統(tǒng)—堡壘機

加強對運維人員操作行為的監(jiān)管與審計是信息安全發(fā)展的必然趨勢，因此，針對運維操作管理與審計的堡壘機應運而生。堡壘機提供了一套多維度的運維操作管控與審計解決方案，使得管理人員可以全面對各種資源(如網(wǎng)絡設備、服務器、安全設備和數(shù)據(jù)庫等)進行集中賬號管理、細粒度的權(quán)限管理和訪問審計，幫助企業(yè)提升內(nèi)部風險控制水平。通過IT運維堡壘機，可以實現(xiàn)網(wǎng)絡系統(tǒng)內(nèi)部的操作權(quán)限控制、身份認證、系統(tǒng)授權(quán)等，有效降低外部攻擊、信息泄露等風險，加強信息系統(tǒng)網(wǎng)絡、系統(tǒng)和應用的安全管理，確保信息內(nèi)容的安全；重點保障涉及各類資金、客戶信息的生產(chǎn)數(shù)據(jù)安全，確保系統(tǒng)安全、可靠、穩(wěn)定運行。

基于其應用場景，堡壘機可分為兩種類型。

1) 網(wǎng)關(guān)型堡壘機。網(wǎng)關(guān)型的堡壘機其本身不直接向外部提供服務，而是部署在外部與內(nèi)部網(wǎng)絡之間，用于提供對內(nèi)部網(wǎng)絡某些特定資源的安全訪問控制。類似于前置機，內(nèi)部用戶向外看到的是堡壘機，外部網(wǎng)絡用戶對內(nèi)看到的也是堡壘機，為內(nèi)部網(wǎng)絡資源提供了一道安全屏障。但由于此類堡壘機需要處理應用層的數(shù)據(jù)內(nèi)容，隨著業(yè)務量的增大，其性能消耗會急劇增加，成為了性能瓶頸，因此，日趨成熟的防火墻、UTM、IPS、網(wǎng)閘等安全產(chǎn)品逐步取代了網(wǎng)關(guān)型堡壘機。

2) 運維審計型堡壘機。運維審計型堡壘機目前應用非常普遍，也被稱作“內(nèi)控堡壘機”。該類堡壘機被部署在業(yè)務系統(tǒng)前的某一特定區(qū)域，業(yè)務流量不經(jīng)過堡壘機，但運維管理必須經(jīng)過堡壘機，堡壘機對運維人員的操作權(quán)限進行控制和操作行為審計。

運維審計型堡壘機與網(wǎng)關(guān)型堡壘機有所不同，它只針對運維操作進行管控，故本身不會承載大規(guī)模的業(yè)務流量而影響性能，同時，該類堡壘機不僅能控制運維人員的管理權(quán)限，又可對違規(guī)操作等行為進行控制和審計，所以該類堡壘機作為運維操作審計的手段得到了廣泛應用。

3 運維安全管理系統(tǒng)工作思路及原理

3.1 工作思路

運維安全管理系統(tǒng)的核心功能是用于實現(xiàn)對運維操作人員的權(quán)限控制與操作行為審計。運維安全管理系統(tǒng)(堡壘機)必須能夠監(jiān)控運維人員的所有操作，并能夠分析出其操作的內(nèi)容，對于運維操作人員來說運維審計型堡壘機相當于一臺代理服務器(Proxy Server)，其工作流程如圖1所示。

圖1 堡壘機工作流程示意圖

1) 運維人員在操作過程中首先連接到堡壘機，然后向堡壘機提交操作請求。

2) 該運維人員的賬號及請求通過堡壘機的權(quán)限檢查后，堡壘機的應用代理模塊將代替運維人員連接到目標設備完成相應操作，之后目標設備將執(zhí)行結(jié)果返回給堡壘機，最后堡壘機再將執(zhí)行結(jié)果返回給運維人員。

通過這種方式，建立了“運維人員->堡壘機用戶賬號->授權(quán)->目標設備賬號->目標設備”的管理模式，而堡壘機將運維人員與目標設備隔離開來，充當了“中間件”的角色，在解決了操作權(quán)限控制和行為審計問題的同時，也解決了加密協(xié)議和圖形協(xié)議等無法通過協(xié)議還原進行審計的問題。

3.2 工作原理

在實際應用中，堡壘機的用戶可分為管理員、操作員、審計員三類。其工作原理如圖2所示。

圖2 運維安全管理系統(tǒng)工作原理圖

管理員最重要的職責是給運維人員分配堡壘機的訪問權(quán)限，根據(jù)運維人員的業(yè)務需求來對堡壘機上該運維操作用戶進行安全策略配置。堡壘機管理員在登錄后通過“策略管理”組件對堡壘機進行安全策略管理，最終將配置的安全策略存儲到堡壘機數(shù)據(jù)庫中。

堡壘機的核心組件屬于“應用代理”組件，它不僅負責與堡壘機內(nèi)部其他組件進行交互，而且擔負著用戶的操作中轉(zhuǎn)工作。運維人員的操作請求會首先發(fā)給“應用代理”組件，此時“應用代理”組件會調(diào)用“策略管理”組件，以核查此次操作是否符合策略配置庫中的安全策略，然后根據(jù)“策略管理”組件的核查結(jié)果予以操作執(zhí)行或拒絕。

當堡壘機的“策略管理”組件核查通過運維人員的操作行為之后，“應用代理”組件將自動連接到目標設備并完成運維人員的相應操作，然后堡壘機會將操作結(jié)果返回給對應的運維操作人員；堡壘機內(nèi)部的“審計模塊”會對本次操作全程記錄，最后將本次操作過程存儲到到審計日志數(shù)據(jù)庫中。

審計員具備調(diào)查運維操作人員的操作記錄權(quán)限，可通過“審計模塊”提供的功能來查看用戶操作錄像或執(zhí)行的命令等詳細內(nèi)容。

一般堡壘機可支持至少如下協(xié)議。1)字符型遠程操作協(xié)議，如SSH、TELNET、RLOGIN；2)圖形終端操作協(xié)議，如RDP(5.X、6.X、7.X)、VNC、X11；3)數(shù)據(jù)庫遠程協(xié)議，如ORACLE(8i、9i、10g、11g)、MSSQL SERVER(2000、2005)、SYBASE；4)文件傳輸協(xié)議，如FTP、SFTP。

4 運維安全管理系統(tǒng)主要功能

4.1 單點登錄功能

很多運維人員需要記憶多個系統(tǒng)的登錄ID和口令，單點登錄功能為運維人員解決了這個難題，提供了方便快捷的訪問途經(jīng)。當用戶通過堡壘機的認證之后(堡壘機認證一般為靜態(tài)口令+動態(tài)口令的認證方式)就可以直接訪問(無需再到應用系統(tǒng)進行認證)，包括被授權(quán)的多種基于B/S和C/S的應用系統(tǒng)。它不僅提高了運維人員登錄不同繁雜系統(tǒng)的工作效率，同時，由于系統(tǒng)自身采用強認證，還提高了運維人員認證環(huán)節(jié)的安全性[3]。

4.2 賬號管理功能

帳號的集中管理包含對某一系統(tǒng)下所有服務器、網(wǎng)絡設備等帳號的集中管理。只有具備帳號和資源的集中管理功能，才能進一步進行集中授權(quán)、認證和審計。帳號的集中管理不僅可以完成對帳號整個生命周期的監(jiān)控和管理，而且還降低了運維人員管理大量用戶帳號的難度和工作量。同時，通過賬號的統(tǒng)一管理還能夠發(fā)現(xiàn)某些帳號存在的安全隱患(如不符合相關(guān)規(guī)范等)，從而完成對賬號安全策略的審計。

通過帳號的集中管理，企業(yè)可以實現(xiàn)將帳號與具體的運維人員相關(guān)聯(lián)，通過這種關(guān)聯(lián)，可以實現(xiàn)多級的用戶管理和細粒度的用戶授權(quán)，而且還可以實現(xiàn)針對自然人的行為審計，以滿足審計的需要。

4.3 身份認證功能

堡壘機應為運維人員提供統(tǒng)一的認證接口，這就要求堡壘機有安全的認證模式來提高認證安全性和可靠性。

堡壘機的集中身份認證提供靜態(tài)密碼、一次性口令、短信認證口令、Windows NT域、Windows Kerberos、雙因素和生物特征等多種認證方式，而且系統(tǒng)應具有靈活的定制接口，采取其中幾種認證方式同時認證以提高認證模式的安全性[3]。

4.4 資源授權(quán)功能

為達到對權(quán)限的細粒度控制，堡壘機系統(tǒng)應提供強大的管理界面，對用戶、角色及行為和相關(guān)資源進行授權(quán)，從而最大限度地保護業(yè)務系統(tǒng)資源的安全。堡壘機對相關(guān)資源進行授權(quán)之后，即可針對運維人員對服務器主機、網(wǎng)絡設備的訪問進行審計。堡壘機不但能夠針對基于應用邊界的粗粒度進行授權(quán)(如授權(quán)用戶可以通過什么角色訪問什么資源等)，還可以針對用戶行為進行細粒度授權(quán)(如對某些應用可以限制用戶的操作，以及在什么時間進行操作等)。

4.5 操作審計功能

堡壘機應具備全程運維安全審計功能，對運維人員的操作進行錄屏和字符型記錄等。堡壘機可以全面記錄“運維人員從登錄到退出”的整個過程，從而可完整審計運維人員通過某賬號所做的操作(如在什么時間登錄什么設備、做什么操作、返回什么結(jié)果、什么時間退出等行為)，幫助管理人員及時發(fā)現(xiàn)權(quán)限濫用、違規(guī)操作，最終準確定位操作員身份，以便追查取證。

操作審計功能包括：字符會話審計功能(如SSH、TELNET等協(xié)議的操作過程)、圖形操作審計功能(如RDP、VNC等遠程桌面的操作行為)、文件傳輸審計功能(包括FTP、SFTP等協(xié)議的操作行為)等。

操作審計查詢應包括多種方式查詢：如支持按服務器方式、按用戶名方式、按登錄地址方式、按登錄時間進行查詢，支持對命令發(fā)生時間、命令名稱進行查詢，并支持上述查詢條件的任意組合查詢。

4.6 敏感管控功能

敏感管控即對用戶的具體操作命令及操作內(nèi)容進行實時攔截分析，根據(jù)已授權(quán)關(guān)系阻斷或者放行。操作授權(quán)實現(xiàn)方式為設定黑白名單。黑名單設定內(nèi)容為針對具體資源、具體操作對象，采用的具體操作手段為不允許。用戶在該場景下進行該操作，系統(tǒng)自動阻斷，并提示用戶?；诤诿麊危梢耘渲冒酌麊?，即在白名單配置范圍內(nèi)，設定特定用戶可以不受限制。用戶進行該項操作時，系統(tǒng)自動放行。

敏感管控功能大大加強了重要信息及數(shù)據(jù)的安全，該功能可以對系統(tǒng)內(nèi)重要內(nèi)容、配置、底層數(shù)據(jù)進行保護，在非白名單的權(quán)限下不能對系統(tǒng)或數(shù)據(jù)庫進行預設的敏感操做以及對預設的重要數(shù)據(jù)文件進行下載和修改。

5 運維安全管理系統(tǒng)的優(yōu)勢

1) 運維安全管理系統(tǒng)具備完整的生命周期管理解決方案。涵蓋IT運維安全管理的所有領(lǐng)域，真正實現(xiàn)“事前審批”、“事中控制”和“事后審計”的安全保護。

2) 運維安全管理系統(tǒng)有優(yōu)越的擴展能力。支持RSA認證集成、AD集成、Tivoli監(jiān)控集成、硬件設備帳號的LDAP集成等功能。

3) 運維安全管理系統(tǒng)有豐富的接口。支持SSH、RDP、JDBC、HTTP、FTP、AD、LDAP、File、Web Service等多種接口。

4) 運維安全管理系統(tǒng)能夠有效提高IT運維帳號管理效率。實現(xiàn)自動化、流程化、集中化的IT帳號管理，簡化管理員工作，降低用戶忘記密碼情況，提高用戶工作效率。

5) 運維安全管理系統(tǒng)滿足了相關(guān)安全規(guī)范要求。滿足我國頒發(fā)的信息安全等級保護條例、企業(yè)內(nèi)部控制基本規(guī)范，以及美國頒發(fā)的薩班斯法案(SOX)等，能夠提供全面的安全控制與審計功能(文字審計、視頻審計)。

運維安全管理系統(tǒng)在最大程度上保障了信息安全和數(shù)據(jù)安全，避免了IT運維人員無意或惡意造成的信息安全事故[4]。

6 運維安全管理系統(tǒng)的應用

6.1 運維安全管理系統(tǒng)在銀行領(lǐng)域的應用

銀行中心IT系統(tǒng)支撐著全行核心業(yè)務的運行，特別是中心服務器承載著核心業(yè)務和數(shù)據(jù)，而運維人員對核心設備的權(quán)限又最高，任何錯誤操作或惡意行為都可以造成不可估量的損失。這就要求在銀行IT網(wǎng)絡中部署運維安全管理系統(tǒng)，針對核心業(yè)務的服務器進行集中管理，對高危操作和命令進行限制并監(jiān)控，對非法操作及時產(chǎn)生告警并采取阻斷措施，對所有針對核心設備的操作都要記錄并定期審計。

6.2 運維安全管理系統(tǒng)在電信運營商領(lǐng)域的應用

很多運營商的業(yè)務平臺都是由Web、App、DB服務器組成，通過專網(wǎng)或互聯(lián)網(wǎng)對外提供服務。對系統(tǒng)的維護一般通過SSH或RDP方式進行。廠家和第三方維護人員通過Internet進行遠程維護，本地維護人員通過本地網(wǎng)絡直接訪問。這種多方人員的復雜維護方式很難對維護人員的操作行為進行管控，故電信運營商一般會在平臺統(tǒng)一管理出口處建立運維安全管理系統(tǒng)，對所有平臺的維護操作進行統(tǒng)一管控。

這種建立了內(nèi)控外審安全體系的網(wǎng)絡，最大程度上降低了維護人員對系統(tǒng)操作造成的安全風險，同時客戶利益也得到了最大程度的安全保障。

7 運維安全管理系統(tǒng)未來發(fā)展趨勢

堡壘機創(chuàng)新技術(shù)應拓展良好的可擴展性，不僅將4A的理念融進堡壘機，還要將網(wǎng)絡安全設備的聯(lián)動機制融入其中，最終達到網(wǎng)絡安全和信息安全同時防護的目的。

堡壘機創(chuàng)新技術(shù)應夯實全面的信息系統(tǒng)、數(shù)據(jù)監(jiān)控及訪問控制功能，做到細粒度智能管控，從而最大程度地保障用戶的信息系統(tǒng)。

堡壘機創(chuàng)新技術(shù)應提升單點登錄等便捷功能，未來應能夠單點登錄某共享文件夾，共享打印機、某一程序或單獨某一軟件，從而實現(xiàn)該程序應用的虛擬化。

堡壘機創(chuàng)新技術(shù)應能夠?qū)崿F(xiàn)真正意義上的負載均衡，在管理大型網(wǎng)絡時應提供“分布部署，集中管理”的負載均衡管理模式，針對運維管理所需的網(wǎng)絡資源占用進行智能化分配調(diào)度。

8 結(jié)束語

本文主要探討了運維安全管理系統(tǒng)的概念及其在運行維護中的主要功能。隨著信息產(chǎn)業(yè)鏈的快速發(fā)展，信息安全越來越重要，隨之而來的信息安全威脅也日益增多，而這些信息安全的威脅在很大程度上來自內(nèi)部網(wǎng)絡，所以綜合防護、內(nèi)部威脅防護越來越被人們所接受。目前，有關(guān)信息安全的各項政策法規(guī)也紛紛對運維人員的操作行為審計提出明確要求，堡壘機作為運維安全審計產(chǎn)品其發(fā)揮的作用也將越來越重要，它將成為信息系統(tǒng)安全的一道基礎(chǔ)防線，應用范圍勢必會快速擴展到各個行業(yè)當中。

參考文獻

[1]綠盟安全審計系統(tǒng)—堡壘機產(chǎn)品白皮書[EB/OL].[2014-10-12].http://www.chinabyte.com/w/a/20110805/NSF1.pdf

[2]信息安全管理實施指南[S/OL].[2015-01-28].http://wenku.baidu.com/view/6a204bf8c8d376eeaeaa311f.html

[3]LanSecS內(nèi)控管理平臺(堡壘主機)技術(shù)白皮書[EB/OL].[2014-10-12].http://www.docin.com/p-443056290.html

[4]IT運維安全審計[EB/OL].[2014-10-12].http://wenku.baidu.com/link?url=looz88zQ_1uhvz-_dwUnkbE1dElRBfhuv_AzGViVfVTd_oYqPn5mQ6UBrE 83vCXets3cfsp5xCbmUkLTOxdLb3aG4Hx9gUds3ZTM WnOygtS