信息化觀察網(wǎng)

現(xiàn)階段，各行各業(yè)無(wú)不在信息資產(chǎn)方面增加投入，以確?；A(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)資產(chǎn)和信息安全方面的需要。與此同時(shí)，信息化建設(shè)的重點(diǎn)已經(jīng)由原來(lái)的基礎(chǔ)建設(shè)向深化應(yīng)用、安全運(yùn)維方面發(fā)生轉(zhuǎn)變。

隨著防火墻、入侵防御系統(tǒng)等安全產(chǎn)品的廣泛使用，網(wǎng)絡(luò)已經(jīng)具備了抵抗外部入侵的能力，但堡壘往往是在內(nèi)部被攻破的。由于設(shè)備和服務(wù)器眾多，賬號(hào)管理混亂，授權(quán)不清、各種越權(quán)訪問(wèn)、誤操作、濫用、惡意破壞等情況時(shí)有發(fā)生。在對(duì)網(wǎng)絡(luò)造成嚴(yán)重?fù)p害的案例中，大多數(shù)是企業(yè)內(nèi)部人員所為。

現(xiàn)今運(yùn)維安全管理面臨的困境：

1.信息系統(tǒng)維護(hù)人員構(gòu)成復(fù)雜，身份認(rèn)證不充分；

2.運(yùn)維人員權(quán)限劃分粗粒度，與職能不符；

3.資產(chǎn)賬號(hào)信息管理存在巨大的安全隱患；

4.高危操作無(wú)法及時(shí)進(jìn)行發(fā)現(xiàn)和阻斷；

5.圖片協(xié)議、加密協(xié)議無(wú)法審計(jì)，造成操作審計(jì)不完全；

6.重要信息系統(tǒng)的合規(guī)要求逐漸增加。

面臨以上困境，可部署堡壘機(jī)來(lái)進(jìn)行有效防御。

1.什么是堡壘機(jī)？

簡(jiǎn)單點(diǎn)來(lái)說(shuō)，堡壘機(jī)是一個(gè)審計(jì)設(shè)備，所謂審計(jì)，就是記錄日志的意思。它審計(jì)和記錄的就是IT運(yùn)維人員對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備等IT資產(chǎn)的運(yùn)維操作，即運(yùn)用各種技術(shù)手段監(jiān)控和記錄運(yùn)維人員對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)等設(shè)備的操作行為，以便集中報(bào)警、及時(shí)處理及審計(jì)定責(zé)。

2.堡壘機(jī)的價(jià)值

（1）集中賬號(hào)管理

基于唯一身份標(biāo)識(shí)的全局管理，實(shí)現(xiàn)了單點(diǎn)登錄，任何運(yùn)維人員都無(wú)法繞過(guò)堡壘機(jī)。統(tǒng)一賬號(hào)管理策略，實(shí)現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無(wú)縫連接。

（2）集中授權(quán)管理

細(xì)粒度的命令級(jí)授權(quán)策略，針對(duì)運(yùn)維人員、服務(wù)器、服務(wù)器賬號(hào)、服務(wù)器應(yīng)用、訪問(wèn)時(shí)間等多個(gè)因素設(shè)定細(xì)粒度的授權(quán)策略，使得運(yùn)維人員的權(quán)限得到很細(xì)的劃分，從而杜絕了運(yùn)維人員權(quán)限不明晰的問(wèn)題。

（3）集中認(rèn)證管理

堡壘機(jī)審計(jì)系統(tǒng)提供了多種認(rèn)證方式，包括：本地認(rèn)證、證書(shū)認(rèn)證、RADIUS認(rèn)證。集中認(rèn)證有效地將非法用戶或非授權(quán)用戶拒之門(mén)外，就像一座堡壘堅(jiān)不可破。

（4）集中操作審計(jì)

基于唯一身份標(biāo)識(shí)，全程審計(jì)用戶對(duì)從登錄到退出的操作行為，使得事后的審計(jì)和責(zé)任的定位有了可靠有力的根據(jù)。

3.管控對(duì)象

4.堡壘機(jī)主要功能

（1）單點(diǎn)登錄

堡壘機(jī)提供了基于B/S的單點(diǎn)登錄系統(tǒng)，運(yùn)維人員通過(guò)一次登錄系統(tǒng)后，就可直接對(duì)多種基于B/S和C/S的應(yīng)用系統(tǒng)，而無(wú)需再次認(rèn)證過(guò)程。

（2）集中賬號(hào)管理

集中賬號(hào)管理包含對(duì)所有服務(wù)器、網(wǎng)絡(luò)設(shè)備賬號(hào)的集中管理。通過(guò)統(tǒng)一的管理還能夠發(fā)現(xiàn)賬號(hào)中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶賬號(hào)安全策略。

（3）身份認(rèn)證

采用統(tǒng)一的認(rèn)證接口不但便于對(duì)用戶認(rèn)證的管理，而且能夠采用更加安全的認(rèn)證模式，提高認(rèn)證的安全性和可靠性。

（4）資源授權(quán)

堡壘機(jī)提供統(tǒng)一的界面，對(duì)用戶、角色及行為和資源進(jìn)行授權(quán)，以達(dá)到對(duì)權(quán)限的細(xì)粒度控制，最大限度保護(hù)用戶資源的安全。

系統(tǒng)不但能夠授權(quán)用戶可以通過(guò)什么角色訪問(wèn)資源這樣基于應(yīng)用邊界的粗粒度授權(quán)，對(duì)某些應(yīng)用還可以限制用戶的操作，以及在什么時(shí)間進(jìn)行操作等的細(xì)粒度授權(quán)。

（5）訪問(wèn)控制

訪問(wèn)控制策略是保護(hù)系統(tǒng)安全性的重要環(huán)節(jié)，制定良好的訪問(wèn)策略能夠更好地提高系統(tǒng)的安全性。

（6）操作審計(jì)

在各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問(wèn)日志記錄都采用統(tǒng)一的賬號(hào)、資源進(jìn)行標(biāo)識(shí)后，操作審計(jì)能更好地對(duì)賬號(hào)的完整使用過(guò)程進(jìn)行追蹤。