龔文濤, 郎穎瑩

1(中國(guó)石油大學(xué)(華東) 信息化建設(shè)處,青島 266580)

2(中國(guó)石油大學(xué)(華東) 教育發(fā)展中心,青島 266580)

伴隨網(wǎng)絡(luò)信息科技的突飛猛進(jìn)發(fā)展,信息網(wǎng)絡(luò)安全等級(jí)保護(hù)制度[1]的日益被社會(huì)的各個(gè)企事業(yè)單位重視和落實(shí),針對(duì)企事業(yè)單位內(nèi)部的局域網(wǎng)絡(luò)中存在的各種安全性問(wèn)題[2],有諸多企事業(yè)單位采取諸多先進(jìn)的信息科技管理理念和技術(shù)來(lái)加強(qiáng)單位的網(wǎng)絡(luò)安全管理[3]. 針對(duì)高校來(lái)說(shuō),需要防護(hù)和保護(hù)的系統(tǒng)眾多,包括學(xué)校主頁(yè)、教務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)、資產(chǎn)設(shè)備管理系統(tǒng)、圖書管理系統(tǒng)、檔案管理系統(tǒng)等諸多業(yè)務(wù)應(yīng)用系統(tǒng)[4].

除開(kāi)保護(hù)這些信息系統(tǒng)本身之外,還需對(duì)各個(gè)負(fù)責(zé)應(yīng)用信息系統(tǒng)運(yùn)維二級(jí)單位的網(wǎng)絡(luò)系統(tǒng)管理員和相配套的公司技術(shù)人員加強(qiáng)管理. 堡壘機(jī)[5]作為其中一種重要的技術(shù)手段和解決方案,能夠較好滿足企事業(yè)單位內(nèi)部各個(gè)安全維度的安全管理需求.

堡壘機(jī)[6],又稱之為訪問(wèn)控制網(wǎng)關(guān),其主要是用來(lái)防護(hù)特定區(qū)域網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)信息系統(tǒng)的一種設(shè)備,堡壘機(jī)主要是保護(hù)兩個(gè)層面,一個(gè)是外部的用戶訪問(wèn)入侵和惡意破壞,另一個(gè)層面是防護(hù)內(nèi)部用戶對(duì)網(wǎng)絡(luò)信息資源的訪問(wèn)入侵和惡意破壞,依托多種技術(shù)措施和手段來(lái)實(shí)時(shí)監(jiān)控和搜集堡壘機(jī)防護(hù)范圍內(nèi)的網(wǎng)絡(luò)環(huán)境下的每個(gè)組成元素的使用狀況、系統(tǒng)實(shí)況、操作流程、網(wǎng)絡(luò)時(shí)間、網(wǎng)絡(luò)行為等,為網(wǎng)絡(luò)信息化建設(shè)者和網(wǎng)絡(luò)安全管理人員提供行為審計(jì)、操作備案,以便后期的規(guī)范管理.

堡壘機(jī)的分類多種多樣,從功能角度看,堡壘機(jī)主要具備如下兩個(gè)功能[4-6]：

(1) 安全設(shè)計(jì)管理和控制功能： 依托堡壘機(jī)能夠起到一定的安全審計(jì)功能,包括事前防御、事中預(yù)警的各種有效風(fēng)險(xiǎn)控制策略,也是事后追溯偶的重要證據(jù)源頭.

(2) 核心系統(tǒng)運(yùn)維管理功能： 通過(guò)切斷和阻隔普通終端用戶對(duì)核心網(wǎng)絡(luò)信息系統(tǒng)和服務(wù)器的直接訪問(wèn),而是需要首先登錄堡壘機(jī),再依托堡壘機(jī)登錄和管理其他的服務(wù)器,終端用戶會(huì)依托協(xié)議代理的模式協(xié)助終端用對(duì)核心網(wǎng)絡(luò)信息系統(tǒng)和服務(wù)器的訪問(wèn)和操作.

1 堡壘機(jī)技術(shù)原理和功能分析

1.1 網(wǎng)絡(luò)信息資源監(jiān)管問(wèn)題分析

伴隨網(wǎng)絡(luò)信息技術(shù)的日益深入應(yīng)用,各種網(wǎng)絡(luò)信息系統(tǒng)越來(lái)越多,園區(qū)網(wǎng)的規(guī)模越來(lái)越大,數(shù)量 越來(lái)越多,數(shù)量龐大和業(yè)務(wù)繁雜的網(wǎng)絡(luò)信息系統(tǒng)為園區(qū)網(wǎng)的網(wǎng)絡(luò)建設(shè)者和網(wǎng)絡(luò)安全管理員帶來(lái)各種如下的壓力和風(fēng)險(xiǎn)：

(1) 多個(gè)用戶使用同一套賬號(hào)和密碼： 系統(tǒng)構(gòu)建之處,因?yàn)闃I(yè)務(wù)部署需要和人力資源有限,僅有的系統(tǒng)超級(jí)管理員賬號(hào)唯一,而需要使用的運(yùn)維管理用戶眾多,使得這些管理員共同這一套超級(jí)管理員的賬號(hào)和密碼,使得后期監(jiān)管出現(xiàn)真空地帶,沒(méi)法對(duì)賬號(hào)的具體使用人員進(jìn)行限定和控制,進(jìn)而存在實(shí)名認(rèn)證不嚴(yán)的風(fēng)險(xiǎn).

(2) 一個(gè)用戶使用多套賬號(hào)和密碼： 因?yàn)樾畔⑾到y(tǒng)規(guī)模大、數(shù)量多,而運(yùn)維的人員有限,有的用戶需要身兼數(shù)職,包括系統(tǒng)管理員、運(yùn)維員、安全管理員、審計(jì)員、數(shù)據(jù)庫(kù)操作員等多重身份和角色重疊,需要從多套網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)信息系統(tǒng)之間多重的切換,增加管理員的記憶負(fù)擔(dān),并降低工作效率,并帶來(lái)多套用戶和密碼的泄露隱患.

(3) 缺乏統(tǒng)一標(biāo)準(zhǔn)化的授權(quán)管理系統(tǒng)： 業(yè)務(wù)的眾多帶來(lái)的就是管理環(huán)節(jié)和業(yè)務(wù)操作次數(shù)頻繁,使得權(quán)限分配難度加大,難以做到精細(xì)化的管理控制,對(duì)核心的業(yè)務(wù)系統(tǒng)只能實(shí)現(xiàn)粗放似管理,難以對(duì)某一個(gè)用戶對(duì)某一個(gè)系統(tǒng)的某一項(xiàng)操作做到細(xì)粒度的訪問(wèn)控制授權(quán).

(4) 無(wú)法做到訪問(wèn)控制內(nèi)容審計(jì)： 傳統(tǒng)的網(wǎng)絡(luò)安全審計(jì)設(shè)備無(wú)法對(duì)用戶常見(jiàn)的SSH和RDP等加密和圖形化的操作協(xié)議執(zhí)行內(nèi)容審計(jì)操作,使得各項(xiàng)核心的主要操作無(wú)據(jù)可查,對(duì)核心信息系統(tǒng)的管理帶來(lái)巨大的風(fēng)險(xiǎn)和隱患.

1.2 堡壘機(jī)技術(shù)原理分析

“堡壘”寓意一般是用于防守的堅(jiān)固建筑物或形容難于攻破的物體,“堡壘機(jī)”則寓意為專門預(yù)防攻擊而設(shè)定的主機(jī),通過(guò)將用于堡壘防護(hù)用的主機(jī)安全加固后,使其足以防御一般,網(wǎng)絡(luò)攻擊,并將其布設(shè)在核心網(wǎng)絡(luò)信息資源的前端,使其作為堅(jiān)強(qiáng)的“堡壘”,在提供正常服務(wù)前提下,確保其防護(hù)的資源安全.

結(jié)合堡壘機(jī)的概念和應(yīng)用需求分析,堡壘機(jī)實(shí)現(xiàn)的技術(shù)原理一般如下： 堡壘機(jī)需要搜集和保存運(yùn)維人員對(duì)核心網(wǎng)絡(luò)資源的操作行為,分析其操作內(nèi)容來(lái)實(shí)現(xiàn)精細(xì)化的權(quán)限控制和后臺(tái)操作行為審計(jì),一般堡壘機(jī)還可以通過(guò)代理技術(shù)完成堡壘機(jī)如下管理機(jī)制：

首先是運(yùn)維員登錄和連接到堡壘機(jī),并向堡壘機(jī)提出操作申請(qǐng); 其次是堡壘機(jī)通過(guò)核驗(yàn)操作員的身份和權(quán)限之后,依托堡壘機(jī)自備的代理模塊將替用戶連接到核心的網(wǎng)絡(luò)信息資源,并提供操作平臺(tái); 最后,核心網(wǎng)絡(luò)信息資源將操作結(jié)果反饋給堡壘機(jī),操作完成.

依托堡壘機(jī)管理機(jī)制,完成了邏輯上面運(yùn)維管理人員和核心網(wǎng)絡(luò)信息資源的分離,構(gòu)建基于網(wǎng)絡(luò)管理員、堡壘機(jī)賬號(hào)、授權(quán)訪問(wèn)控制、目標(biāo)設(shè)備的管理機(jī)制,解決圖形協(xié)議和加密協(xié)議無(wú)法通過(guò)協(xié)議還原審計(jì)的難題.

1.3 堡壘機(jī)核心功能概述

堡壘機(jī)的核心功能很多,有代表性的主要體現(xiàn)在如下方面：

(1) 支持賬號(hào)和權(quán)限的細(xì)粒度管理,對(duì)賬號(hào)能夠配置詳細(xì)和精確的訪問(wèn)控制策略,對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、主機(jī)設(shè)備及安全賬號(hào)之間進(jìn)行集中管理和細(xì)粒度關(guān)聯(lián),使得用戶與系統(tǒng)和操作之間做到一一對(duì)應(yīng),以滿足細(xì)粒度訪問(wèn)控制授權(quán)的安全需求.

(2) 支持用戶運(yùn)維全生命周期的操作審計(jì),用戶依托賬號(hào)登入堡壘機(jī)后,能夠借助堡壘機(jī)管理平臺(tái),登入管理員分配給他的網(wǎng)絡(luò)信息系統(tǒng)資源,配置相關(guān)的協(xié)議要求,實(shí)現(xiàn)核心服務(wù)器資源的訪問(wèn)控制,這個(gè)訪問(wèn)控制過(guò)程將被堡壘機(jī)全生命周期記錄和備案.

(3) 靈活的資源授權(quán)管理： 堡壘機(jī)為設(shè)備提供各種靈活的細(xì)粒度資源管理功能,包括對(duì)服務(wù)器資源的對(duì)象IP、操作協(xié)議類型、協(xié)議端口進(jìn)行設(shè)定,并且依據(jù)對(duì)賬號(hào)的IP限制和賬號(hào)有效期的設(shè)定,可以實(shí)現(xiàn)對(duì)訪問(wèn)控制主體的靈活控制,確保訪問(wèn)控制中網(wǎng)絡(luò)信息系統(tǒng)的安全.

2 基于主備模式的堡壘機(jī)網(wǎng)絡(luò)架構(gòu)

2.1 基于主備模式的堡壘機(jī)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

常見(jiàn)的單機(jī)堡壘機(jī)部署適合小規(guī)模的園區(qū)網(wǎng),主要網(wǎng)絡(luò)架構(gòu)包括堡壘機(jī)單機(jī)一臺(tái)、園區(qū)網(wǎng)核心、用戶及服務(wù)器區(qū). 這種布局模式適應(yīng)用戶規(guī)模小、服務(wù)器數(shù)量少的應(yīng)用場(chǎng)景,對(duì)堡壘機(jī)的雙機(jī)冗余與服務(wù)連續(xù)性要求不高,這種網(wǎng)絡(luò)架構(gòu)部署的優(yōu)點(diǎn)是成本低,部署快,對(duì)網(wǎng)絡(luò)架構(gòu)影響小,不足之處是存在單點(diǎn)故障.

針對(duì)較大規(guī)模的園區(qū)網(wǎng)安全需求,基于單點(diǎn)模式下堡壘機(jī)網(wǎng)絡(luò)架構(gòu)的無(wú)法滿足,故此,需要部署基于主機(jī)、備用機(jī)等雙機(jī)模式和冗余網(wǎng)絡(luò)架構(gòu). 以某高校為例,經(jīng)過(guò)多年的信息化建設(shè),已建成五百余臺(tái)服務(wù)器,且已建成獨(dú)立初具規(guī)模的數(shù)據(jù)中心,但是存在運(yùn)維人員規(guī)模大、對(duì)堡壘機(jī)實(shí)時(shí)性服務(wù)和持續(xù)性服務(wù)要求高等部署需求,故此需要部署雙機(jī)模式.

結(jié)合主備模式堡壘機(jī)網(wǎng)絡(luò)架構(gòu)部署要求,考慮到有數(shù)據(jù)中心、學(xué)校核心、應(yīng)用防火墻等要素,特此設(shè)計(jì)主備模式堡壘機(jī)網(wǎng)絡(luò)架構(gòu),如圖1所示.

圖1 基于主備模式的堡壘機(jī)構(gòu)拓?fù)鋱D

堡壘機(jī)位于數(shù)據(jù)中心轄區(qū)內(nèi),與需要保護(hù)的機(jī)器路由可達(dá),并無(wú)縫銜接到現(xiàn)有的WEB應(yīng)用防火墻WAF的防護(hù)體系之內(nèi),故此,需要將堡壘機(jī)的網(wǎng)絡(luò)架構(gòu)嵌套應(yīng)用防火墻之內(nèi),為數(shù)據(jù)中心和外界網(wǎng)絡(luò)構(gòu)筑安全防護(hù)框架,所有途徑堡壘機(jī)的流量需要經(jīng)過(guò)WAF進(jìn)行分析和保護(hù),提升堡壘機(jī)的安全防護(hù)水平.

堡壘機(jī)雙機(jī)的配置,最好是配置專屬的單獨(dú)局域網(wǎng),從數(shù)量層面來(lái)說(shuō),部署基于冗余主、備的堡壘機(jī)系統(tǒng)至少需要三個(gè)IP地址資源,以此來(lái)配置主機(jī)IP、備機(jī)IP、浮動(dòng)IP. 主機(jī)IP和備機(jī)IP需要配置之前確保IP接入交換機(jī)分配的端口和Vlan配置正確,且需要保證IP地址資源沒(méi)有被占用.

2.2 基于主備模式的堡壘機(jī)網(wǎng)絡(luò)配置分析

基于主備模式堡壘機(jī)主要部署在數(shù)據(jù)中心下,但是需要通過(guò)學(xué)校核心和數(shù)據(jù)中心之間的應(yīng)用防火墻之中,故此,主要的配置步驟需要一方面在學(xué)校核心上配置靜態(tài)路由,一邊需要在數(shù)據(jù)中心層面配置策略路由,并要考慮冗余. 數(shù)據(jù)中心包括核心1和核心2,網(wǎng)絡(luò)配置如下：

在數(shù)據(jù)中心1上配置堡壘機(jī)網(wǎng)絡(luò)：

在數(shù)據(jù)中心2上配置堡壘機(jī)網(wǎng)絡(luò)：

學(xué)校核心需要為堡壘機(jī)的三個(gè)核心IP配置靜態(tài)路由,主機(jī)IP為10.10.110.1; 備機(jī)IP為10.10.110.2;虛擬IP為10.10.110.3,第一IP的靜態(tài)路由配置如下：

2.3 基于主備模式的堡壘機(jī)操作權(quán)限設(shè)計(jì)

堡壘機(jī)操作的角色分類包括3類： 堡壘機(jī)審計(jì)員、堡壘機(jī)操作員、堡壘機(jī)系統(tǒng)管理員,各個(gè)操作角色定位如下：

堡壘機(jī)審計(jì)員： 記錄和審計(jì)各個(gè)堡壘機(jī)中操作的日志,確保對(duì)堡壘機(jī)所有的操作有記錄并可追溯.

堡壘機(jī)操作員： 堡壘機(jī)操作員依據(jù)堡壘機(jī)管理員給其分配的網(wǎng)絡(luò)信息系統(tǒng)資源進(jìn)行運(yùn)維管理,確保在堡壘機(jī)防護(hù)體系下對(duì)網(wǎng)絡(luò)信息系統(tǒng)按照要求和規(guī)則運(yùn)維,確保業(yè)務(wù)是在堡壘機(jī)的監(jiān)管范圍內(nèi).

堡壘機(jī)系統(tǒng)管理員： 堡壘機(jī)系統(tǒng)管理主要有如下幾個(gè)核心功能,一個(gè)是對(duì)堡壘機(jī)操作員的管理,包括新增、刪除、修改所有操作員的屬性.

綜上所述,在堡壘機(jī)操作的角色分類之中,權(quán)限最復(fù)雜和應(yīng)用最廣泛的就是堡壘機(jī)系統(tǒng)管理員,其還可以對(duì)操作資源進(jìn)行管理,包括新增網(wǎng)絡(luò)信息系統(tǒng)資源,并且對(duì)其中的操作方式和協(xié)議進(jìn)行配置,比如對(duì)Windows操作系統(tǒng)來(lái)說(shuō),主要是配置其遠(yuǎn)程桌面協(xié)議(RDP,Remote Desktop Protocol),RDP協(xié)議是一個(gè)多通道(multi-channel)的協(xié)議,能夠?yàn)楸緳C(jī)提供遠(yuǎn)程桌面服務(wù). 對(duì)Linux操作系統(tǒng)來(lái)說(shuō),主要是配置其Secure Shell服務(wù),簡(jiǎn)稱SSH協(xié)議,其由IETF(互聯(lián)網(wǎng)工程任務(wù)組,Internet Engineering Task Force)的網(wǎng)絡(luò)小組(Network Working Group)所制定,SSH為建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議,能夠?yàn)長(zhǎng)inux類操作系統(tǒng)提供操作和管理Linux系統(tǒng)的相關(guān)服務(wù).

2.4 基于主備模式的堡壘機(jī)測(cè)試案例

測(cè)試案例一. 堡壘機(jī)的對(duì)操作行為的審計(jì)功能測(cè)試. 通過(guò)堡壘機(jī)的審計(jì)功能模塊,能夠方便對(duì)近期操作的堡壘機(jī)行為審計(jì)展示和追溯,如圖2所示,能方便展示出堡壘機(jī)操作員的登錄時(shí)間、登錄ip地址、登錄的資源、操作的策略等元素信息,較好解決網(wǎng)絡(luò)信息安全的監(jiān)管不到位的問(wèn)題,方便對(duì)堡壘機(jī)的行為審計(jì).

測(cè)試案例二. 堡壘機(jī)單機(jī)故障.

測(cè)試過(guò)程： 假設(shè)一臺(tái)堡壘機(jī)出現(xiàn)故障,網(wǎng)絡(luò)不通,業(yè)務(wù)不通,交替測(cè)試的結(jié)果顯示,另一臺(tái)工作正常,并不影響堡壘機(jī)的整體業(yè)務(wù),足以證實(shí)其主備機(jī)的穩(wěn)定.

主備堡壘機(jī)單點(diǎn)故障時(shí)到虛IP的網(wǎng)絡(luò)測(cè)試如下：C：Usersadministrator>tracert 10.10.110.3

通過(guò)最多 30 個(gè)躍點(diǎn)跟蹤：

到baoleiji [10.10.110.3] 的路由：

通過(guò)tracert的網(wǎng)絡(luò)測(cè)試可驗(yàn)證在單臺(tái)堡壘機(jī)出現(xiàn)故障時(shí),虛IP的網(wǎng)絡(luò)一直暢通,業(yè)務(wù)不受影響.

圖2 堡壘機(jī)操作行為審計(jì)界面

3 總結(jié)

本文分析和總結(jié)了堡壘機(jī)相關(guān)的概念和功能定位,探討堡壘機(jī)的工作機(jī)理,對(duì)堡壘機(jī)增強(qiáng)高校園區(qū)網(wǎng)內(nèi)的各項(xiàng)有力措施進(jìn)行分析和闡述,分析和討論基于單點(diǎn)的堡壘機(jī)架構(gòu)和基于主備的堡壘機(jī)架構(gòu)優(yōu)缺點(diǎn),并對(duì)基于主機(jī)、備機(jī)的堡壘機(jī)網(wǎng)絡(luò)架構(gòu)進(jìn)行設(shè)計(jì)和配置,給出基于冗余的堡壘機(jī)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)核心環(huán)節(jié),并給出數(shù)據(jù)中心、學(xué)校核心的配置代碼,最終分析和總結(jié)堡壘機(jī)中三種常見(jiàn)角色及角色功能定位.

1王棟,來(lái)風(fēng)剛,李靜. 數(shù)據(jù)中心IT運(yùn)維審計(jì)體系研究. 電力信息化,2012,10(1)： 20-23.

2杜寧寧,趙慶亮. 淺談信息安全審計(jì)在金融行業(yè)的實(shí)踐. 中國(guó)內(nèi)部審計(jì),2012,(4)： 66-68.

3蔡蔚. “互聯(lián)網(wǎng)+”時(shí)代網(wǎng)絡(luò)安全分析與管理策略研究. 信息安全與技術(shù),2015,(9)： 8-11.

4韓榮杰,于曉誼. 基于堡壘主機(jī)概念的運(yùn)維審計(jì)系統(tǒng). 信息化建設(shè),2012,(1)： 56-59.

5鐘平,王會(huì)林. 高校網(wǎng)絡(luò)安全實(shí)驗(yàn)室建設(shè)探索. 實(shí)驗(yàn)室科學(xué),2010,13(1)： 122-124.

6洪允德,高強(qiáng). 計(jì)算機(jī)網(wǎng)絡(luò)安全課程實(shí)驗(yàn)教學(xué)探索. 中國(guó)教育技術(shù)裝備,2014,(22)： 146-148. [doi： 10.3969/j.issn.1671-489X.2014.22.146]