淺談運維堡壘機系統

陸茂蘭

摘要：隨著網絡及信息的高速發展，安全問題越來越明顯，傳統安全產品的廣泛使用雖然可以解決一部分安全問題，并不能對已得到授權的人員的違規操作或誤操作進行校驗。運維堡壘機系統其業務流程清晰，軟件框架結構安全、網絡硬件部署安全可靠，在維護接入的集中化管理、運維人員統一權限管理、運維操作審計和合規審計方面取得較大突破。

關鍵詞：運維堡壘機；系統架構；應用1背景

目前主流的安全管理系統和方法都是基于特征庫進行安全訪問分析和管理，比如防病毒管理、入侵檢測、抗DDOS設備都是通過其特征庫進行的安全訪問監控。其特征庫的完備性直接影響到管理系統的有效性、準確性，并不能對已得到授權的人員的違規操作或誤操作進行校驗。隨著企業業務支撐系統中網絡設備、主機系統、應用系統的不斷壯大，存在的安全訪問控制要求也越來越高。我們需要能夠動態的展現訪問是否符合安全制度、安全系統的配置是否完備，能夠及時發現非法、違規、異常的訪問操作等。

2內控風險

當前，面對日趨復雜的IT系統，通過購買防火墻等系列安全設備使得網絡的安全性得到了一定的提高。但不同背景的運維人員已給信息系統安全運行帶來潛在的內控風險，具體表現在：⑴賬號管理無序，多人共同使用一個系統賬號。⑵權限管理粗放，系統安全得不到保證。⑶合規性風險，未采用至少兩種身份認證的“雙因素認證”。⑷系統審計缺失，難以實現針對管理員全部操作的完整、全面、規范的審計。

3堡壘機系統

堡壘機，為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動，以便集中報警、記錄、分析、處理的一種技術手段，它將建立面向用戶的集中、主動的運維安全管控模式，降低人為安全風險，滿足合規要求，保證企業效益。

3.1 設計思路

堡壘機綜合了運維管理和安全性的融合，切斷了計算機對網絡和服務器資源的直接訪問，而是采用協議代理的方式，接管了終端計算機對網絡和服務器的訪問。即用戶通過終端計算機對目標的訪問，均需經過堡壘機的統一認證、統一授權、統一審計。堡壘機基于集中管理、身份管理、訪問控制、權限控制和操作審計，幫助用戶最小化運維操作風險。

集中管理：集中管理包含對所有服務器、網絡設備賬號的集中管理。分散無法管理，只有集中管理才能把復雜問題簡單化，才能實現統一管理。

身份管理：身份是識別和確認操作者的依據，身份管理是指對系統操作者的身份進行的管理。國家等級保護相關規定出臺后，對于二級以上系統均提出了明確要求，即系統登錄需采用至少兩種身份認證方式——“雙因素認證”。通過身份管理將有利于準確定位操作責任人。

訪問控制：訪問控制的含義是限定運維人員對資源設備的訪問。杜絕任何資源均能被任意運維人員登錄操作，從而保護合法操作者合法訪問資源，降低未授權訪問帶來的風險。

權限控制：用戶訪問方式以內部遠程訪問為主，運維人員可通過登錄堡壘機以ssh/telnet/rdp/vnc訪問方式管理設備。對不同用戶進行不同策略的控制，最大限度的保護用戶資源的安全，嚴防非法、越權訪問事件的發生。

操作審計：全程實時監控記錄運維人員在服務器、數據庫及網絡設備上所做的各種操作，包括字符串、圖形、文件傳輸等操作，對賬號的使用全過程記錄使得運維事件事后審計能根據錄像進行問題的追本溯源，直接定位問題根源所在。對違規行為進行事中控制、實時告警與阻斷。

3.2 部署及應用

一套運維堡壘機系統當中，部署主備兩臺和堡壘機，實現高可靠性，部署一臺虛擬應用服務器，讓堡壘機以B/S方式實現對后臺的各項管理配置和維護應用的集中發布。堡壘機部署在業務支撐網的入口，運維人員訪問的設備地址必須經堡壘機允許后才能訪問。

堡壘機提供了功能完善、操作靈便、界面友好。系統管理員登錄堡壘機系統后錄入運維人員身份信息、服務器等設備信息、按要求做好運維人員對服務器的訪問控制；運維人員需要維護服務器時，首先以web方式登錄堡壘機，然后通過堡壘機上展現的訪問資源列表直接訪問授權的資源。

4價值總結

堡壘機系統邏輯上是將人與目標設備分離，基于唯一身份標識，通過集中管控安全策略的賬號管理、授權管理和審計，對運維人員的操作進行全程監控和記錄，實現運維操作的安全審計，滿足信息安全審計要求。

運維人員只需記憶一個賬號和口令，一次登錄，便可實現對所維護的多臺設備的訪問，提高了工作效率。系統管理員對賬號的管理將變得簡單有序，只需要給每一個運維人員建立唯一的自然賬號，配置要管轄的設備資源，建立設備的資源賬號，根據業務需要，配置訪問控制策略，每個人能以何種身份訪問設備，建立自然人與設備賬號的對應關系。對各種訪問行為的監控也將變得方便直觀，運維人員的所有操作行為均由運維堡壘機系統來進行記錄、存儲，并對相關信息進行分析、回放和審計等。對一個企業來說，通過嚴謹的安全管控，不僅可保證企業的服務器、網絡設備、安全設備等可靠運行，而且能降低人為安全風險，給企業經濟效益也起到了保障作用。

[參考文獻]

[1]郝永清.堡壘主機搭建全攻略與流行何可攻擊技術深度分析.科學出版社,2010.

[2趙瑞霞,王會平.構建堡壘主機抵御網絡攻擊.網絡安全技術與應用,2010年08期.