部署堡壘機保障運維安全

◆艾奇昆

部署堡壘機保障運維安全

◆艾奇昆

（遼寧省信息中心 遼寧 110002）

隨著信息系統在政務信息化的建設中全面滲透。政府機關、事業單位的核心業務應用系統，使用數量眾多的網絡設備、服務器主機來提供網絡服務、運行關鍵業務，提供電子政務、數據庫應用、協同工作群件等服務。由于設備和服務器眾多，越權訪問、誤操作、濫用、惡意破壞等情況時有發生，這嚴重影響了政府單位信息化工作的效率，并對單位的聲譽造成了嚴重的影響。本文以作者單位運維保障工作中存在的安全隱患作為主要研究的對象，闡述了堡壘機的工作原理及其功能，并將堡壘機親自部署到數據中心機房，解決了目前比較棘手的安全運維審計的問題，按照國家信息安全相關的規范，真正做到了事前授權、事中監控、事后審計的安全運維保障。

堡壘機；運維；旁路；拓樸；RDP

0 前言

隨著信息技術的不斷發展和信息化建設的不斷進步[1]，業務應用、辦公系統、商務平臺不斷推出和投入運行，信息系統在政務信息化的建設中全面滲透。政府機關、事業單位的核心業務應用系統，使用數量眾多的網絡設備、服務器主機來提供網絡服務、運行關鍵業務，提供電子政務、數據庫應用、協同工作群件等服務。由于設備和服務器眾多，越權訪問、誤操作、濫用、惡意破壞等情況時有發生，這嚴重影響了政府單位信息化工作的效率，并對單位的聲譽造成了嚴重的影響。如何提高政府信息化部門的運維管理水平，跟蹤服務器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計依據，降低運維成本，滿足相關規范要求，越來越成為政府信息化部門關注的大事。

伴隨著信息安全的發展，防病毒軟件、防火墻、IDS、IPS，漏掃等安全產品已經得到了廣泛的應用，雖然使用這些產品可以解決一些安全問題，但是對于已得到授權的人員的違規操作或誤操作卻無能為力。根據資料統計，在對單位造成嚴重損害的案例中，有 70%是組織內部人員所為。

1 運維工作存在的問題

我們單位是全省電子政務外網運維服務的技術支撐單位，在我們單位的機房里，運行著很多的業務應用系統，一直以來對這些與業務應用系統相關的服務器、存儲、網絡設備、安全設備的維護工作都是分兩部分去做的：一部分軟件系統運維工作（主要是各處室獨立分管的核心業務應用系統軟件運維工作）由各處室負責維護；另一部分硬件系統運維工作（包括機房中各應用系統的服務器、存儲、網絡設備、安全設備等）都由我們運行保障處負責維護管理。一直以來，我們單位的信息應用系統的運維保障工作就存在很大的安全隱患，其主要表現如下：

1.1 賬號共享及缺乏身份識別

在我們的機房中，存在著大量的網絡設備、主機操作系統和應用系統，分別屬于不同的部門。各應用系統都有一套獨立的賬號體系，用戶為了方便登錄，經常出現多人共用賬號的情況。

多人同時使用一個系統帳號在帶來方便性的同時[2]，導致用戶身份唯一性無法確定。如果其中任何一個人離職或者將賬號告訴其他無關人員，會使這個賬號的安全性無法保證。

由于共享賬號是多人共同使用，發生問題后，無法準確定位惡意操作或誤操作的責任人。更改密碼需要通知到每一個需要使用此賬號的人員，帶來了密碼管理的復雜化。

賬號的共享或一人使用多個賬號會導致整個運維管理過程的復雜混亂。

因為整個運維過程的不確定因素太多，所以使得整個運維過程不可控。這不僅給運維人員帶來了巨大的麻煩，而且讓系統管理人員也無法準確定位故障責任人，如果長期在這種傳統的運維模式下運維，將會給我們單位帶來巨大的損失，甚至還無法追究相關當事人的責任。

1.2 授權不清晰引發的問題

領導者如何進行授權[3]，是企業管理的一個深刻命題。做過管理的人都應該知道，授權在企業管理中是非常重要的。但是，很多企業管理者在授權時，要么顧慮重重，對誰也不放心；要么授權不當，缺乏監督制度，造成企業管理混亂。

我們單位的信息化運維工作也存在著類似的問題，讓每個運維人員在自己責任范圍內正確安全的使用自己的每一個權限十分重要。在我單位的運維模式中，授權是不清晰的，例如:運維人員登錄某臺服務器或核心交換機等關鍵性設備時，擁有很高的或者是超越自己權限范圍的權限，一旦執行了非法操作或是誤操作，都會導致嚴重的后果。

面對上述運維模式中存在授權不清晰的問題，也引起了我們的足夠重視。我們一直在尋找一個理想的運維模式，在這個模式下，可以對我們運維人員的訪問操作權限進行精確的劃分。

1.3 運維人員操作過程無審計

因為各部門獨立運維和管理自己的業務應用信息系統，所以各系統的審計也是相互獨立的。每個網絡設備，每個主機系統都分別進行審計，安全事故發生后需要排查各系統的日志，但是系統本身記錄的日志，不能最終定位到具體的操作人員。

另外各系統的日志記錄能力各不相同，例如對于 Linux 系統來說[4]，日志記錄就存在以下問題：

（1）Linux系統中，用戶在服務器上的操作有一個歷史命令記錄的文件，但是root用戶不僅僅可以修改自己的歷史記錄，還可以修改他人的歷史記錄,系統本身的歷史記錄文件已經變的不可信。

（2）無法記錄操作人員、操作時間、操作結果等。

1.4 第三方人員管理隱患

目前，我單位各部門已經將一些業務應用系統外包給代維公司，在享受便利的同時，也帶來了很大的安全問題：代維人員流動性大、缺少操作行為監控、代維人員的權限過大等等，這些問題帶來的安全風險日益凸現。因此，我們需要通過嚴格的權限控制和操作行為審計，加強對代維人員的行為管理，從而達到消除隱患、規避風險的目的。

2 解決方案

如何解決我們單位在運維管理過程中存在的上述問題呢？經過與多位信息安全專家和廠商工程師溝通后，最終我們決定采取部署堡壘機解決上述問題。在這里，我首先介紹一下堡壘機的歷史及其主要功能：

2.1 堡壘機的歷史

堡壘機[5]，即在一個特定的網絡環境下，為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動，以便集中報警、及時處理及審計定責的設備。

其從功能上講，它綜合了核心系統運維和安全審計管控兩大主干功能，從技術實現上講，通過切斷終端計算機對網絡和服務器資源的直接訪問，而采用協議代理的方式，接管了終端計算機對網絡和服務器的訪問。形象地說，終端計算機對目標的訪問，均需要經過堡壘機的翻譯。打一個比方，堡壘機扮演著看門者的工作，所有對網絡設備和服務器的請求都要從這扇大門經過。因此堡壘機能夠攔截非法訪問和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標設備的非法訪問行為，并對內部人員誤操作和非法操作進行審計監控，以便事后責任追蹤。

堡壘機的概念起源于跳板機。高端行業用戶為了對運維人員的遠程登錄進行集中管理，會在機房里部署跳板機。跳板機就是一臺服務器，維護人員在維護過程中，首先要統一登錄到這臺服務器上，然后從這臺服務器再登錄到目標設備進行維護。

跳板機并沒有實現對運維人員操作行為的控制和審計，使用跳板機過程中還是會有誤操作、違規操作導致的操作事故，一旦出現操作事故很難快速定位原因和責任人。

運維專家認識到跳板機的不足，提出了以下運維操作管理理念：

理念一：唯有控制才能真正解決問題；

理念二：系統賬號無法確認用戶身份；

理念三：人為操作難免會出問題。

在這些理念的指引下，2005年左右，業界研發出了世界上第一臺運維堡壘機，自此運維堡壘機以一個獨立的產品形態被廣泛部署，有效地降低了運維操作風險，使運維操作管理變得更簡單、更安全！同時，首臺運維堡壘機的訪問代理模式，對運維人員的身份認證、運維操作的訪問控制和審計等功能，都被運維堡壘機產品一直沿用至今。

2.2 堡壘機的主要功能

堡壘機可對主機、服務器、網絡設備、安全設備等的管理維護進行安全、有效、直觀的操作審計，對策略配置、系統維護、內部訪問等進行詳細的記錄，提供細粒度的審計，并支持操作過程的全程回放[6]。它彌補了傳統審計系統的不足，將運維審計由事件審計提升為內容審計，并將身份認證、授權、管理、審計有機地結合，保證只有合法用戶才能使用其擁有運維權限的關鍵資源，為組織在運維操作風險控制、內控安全和合規性等方面提供一套完善、有效的審計手段。

堡壘機可以針對數據中心機房的重要資產進行運維操作，再現關鍵行為軌跡，探索操作意圖，集全局實時監控與敏感過程回放等功能特點，有效解決了我們平時信息化監管中的一個關鍵問題[7]:即以操作為核心，從操作層入手，實現對人、設備、操作的統一管理，做到事前防范、事中控制、事后監督和糾正的組合，從而幫助用戶最小化人為操作風險。

堡壘機根據“4W要素”要審計運維人員的操作過程，即[8]“誰（who）在什么時間（when）登錄哪臺設備（where）、做了什么操作（what）”，全面記錄“運維人員從登錄到退出”的整個過程，幫助管理人員及時發現權限濫用、違規操作，準確定位身份，以便追查取證。

堡壘機普遍采取旁路部署方式，只需要將其接入網絡，不會改變原有網絡拓樸結構，旁路部署模式需要給堡壘機分配一個IP地址，并且此地址需要與目標訪問服務器和維護終端直接路由可達。

安全審計作為信息安全建設不可缺少的組成部分[9]，逐漸受到用戶的關注，是信息安全體系中的重要環節。同時，安全審計是事前預防、事中預警的有效風險控制手段，也是事后追溯的可靠證據來源。堡壘機具有事前授權、事中監控、事后審計的功能。

2.3 堡壘機部署實施

針對我們單位在運維過程中存在的上述安全隱患，我們決定在數據中心機房部署一臺堡壘機，通過部署這臺堡壘機，我們解決了在運維工作中一些比較棘手的問題，取得了一定的成效。

因為考慮到堡壘機一般采取旁路方式，所以我們決定采取旁路部署。以下是我們單位增加堡壘機后的網絡拓樸圖:

圖1 堡壘機部署拓樸圖

將堡壘機部署到安全接入區，為什么要采取這樣的部署方式呢？主要是針對我單位運維操作中，最迫切需要解決的安全隱患即:各部門運維人員或第三方代維公司服務人員頻繁通過RDP（遠程桌面）方式訪問各自業務應用系統的服務器（主要是windows系統服務器），進行遠程維護操作。我們最先需要保障這方面運維服務的安全。經過與廠家工程師溝通，并將堡壘機親自安裝到數據中心機房現場測試其功能后，我們決定按照以下方案先期部署堡壘機:首先將堡壘機以旁路方式安裝部署到安全接入區，并在邊界防火墻的“訪問控制”策略上，配置為只允許從外到內訪問這臺唯一堡壘機本身IP地址的RDP（遠程桌面）協議和端口，禁用除了堡壘機本身IP地址以外的其他任何地址從外到內訪問的RDP（遠程桌面）協議及端口。

按照上述方式部署完成后，我們就可以登錄堡壘機了，堡壘機是通過 WEB界面登錄進行管理的，我們還要在堡壘機上進行設置，主要是按照業務類別添加不同的組別和用戶，

組別建立完成后，還要添加設備，以上操作完成后，我們還要按照各部門不同用戶的角色權限添加不同的用戶，在堡壘機上，用戶按照角色主要分成管理員、運維用戶、審計員等。管理員具有最高的權限，運維用戶可以登錄堡壘機對業務應用服務器進行RDP（遠程桌面）維護，審計員可以查看統計報表，進行操作審計。

運維用戶（運維用戶角色）登錄堡壘機后可以對需要管理的應用服務器進行RDP遠程桌面操作，審計員登陸堡壘機后，可以查看到審計事件的統計報表，同時審計員還可以查看到的終端用戶登錄服務器的錄像回放。

2.4 取得的成果

通過部署堡壘機，我們單位對于各部門運維人員或第三方代維公司服務人員頻繁通過RDP（遠程桌面）方式訪問各自業務應用系統服務器進行遠程維護的方式，進行了有效的管理。現在，如果各部門人員需要登錄各自的業務應用服務器，那么都必須先登錄這臺堡壘機，然后通過這臺堡壘機再登錄各自的應用服務器進行運維操作。這樣徹底的規避了一些潛在的安全風險，真正做到了事前授權、事中監控、事后審計。

下一步，我們準備將一些網絡設備（例如路由器、交換機）、安全設備（例如防火墻、IDS）、Linux服務器等，也統一納入堡壘機的安全運維管理。利用這臺堡壘機，我們可以對終端用戶通過telnet、SSH、VNC、X11等協議遠程登錄設備的方式，進行有效的安全運維審計管理。

2.5 信息安全加固

信息安全從來都是一把雙刃劍[10]，我們在部署堡壘機保證運維系統安全審計的同時，也帶來了一定的安全隱患，比如，如果一旦堡壘機被黑客攻破，那么堡壘機將形同虛設，帶來的后果將是災難性的；另外如果堡壘機出現自身硬件故障（例如宕機），那么就會形成單點故障，將會影響整個遠程運維的操作。

對于以上的問題，我們將從兩個方面去解決：

一是加強管理，重新制定適合本單位數據中心設備運行維護的規范，前些年[11]有“一流設備，三流管理”的說法，目前信息系統安全運維工作越來越受重視，這種狀況正在改變。我們將根據實際情況詳細制定機房（數據中心）信息安全運行維護規范，加強設備巡檢制度建設，加強機房（數據中心）信息安全系統應急措施規范的制定。

二是增加安全設備，進一步保障在現有網絡拓樸架構下，各運維系統設備安全穩定的運行。雖然堡壘機系統的內核是基于Linux架構的，但是為了安全起見，我們準備再購置一臺IPS（入侵防御系統）設備和一臺抗DDOS攻擊的設備，并將其部署在安全接入區，安裝在邊界防火墻的后面，以起到及時的中斷、調整或隔離一些不正常或是具有危害性網絡數據包傳輸的行為。

另外，為了避免堡壘機宕機帶給我們的單點故障，我們準備再購置一臺相同型號，相同版本的堡壘機，并將其也部署到安全接入區，與之前的堡壘機設置為在雙機熱備方式下工作，保持這兩臺堡壘機的配置策略一致，并為這兩臺堡壘機分配一個浮動的IP地址，設置好主、從關系。

3 結束語

通過以上堡壘機部署方案的實施，我們單位各業務應用系統的運維審計安全監管的工作得到了很大的改善。各部門人員對于各自業務應用系統安全運維的意識得到了提高，信息安全運維審計監管工作本身就是持續改進的過程[12]，我們只有緊跟信息安全新技術發展的形式，才能與時俱進，在保證信息安全的前提下，更好的為單位運維服務做好保障工作。

[1]郝永清.堡壘主機搭建全攻略與流行黑客攻擊技術深度分析[M].北京:科學出版社，2010.

[2]羅守山等編著.密碼學與信息安全技術[M].北京:北京郵電大學出版社，2009.

[3]龔偉華.銀行數據中心基礎設施建設與運維管理[M].北京:機械工業出版社發行室，2016.

[4]（美）麥克克魯爾，（美）斯坎布雷，（美）克茨 著，趙軍 等譯.黑客大曝光:網絡安全機密與解決方案（第7版）[M].北京:清華大學出版社，2013.

[5]百度http://baike.baidu.com/link?url=3mNBTpDpds2l00 Ee9xANQ9niWZprm2jeInvZZ5 HgM6r65CIW8un2eGRih04 8tQuHCwSLtOieCcEzdG7qSZ8SyVQJg1rLUw8pqirolyRlWg-yj LvLMzFrwV 4wzZH9qfiz 2012.

[6]陳小兵.安全之路——Web滲透技術及實戰案例解析（第2版）[M].北京:電子工業出版社，2015.

[7][美]彼得·基姆（Peter Kim）著，徐文博，成明遙等譯.黑客秘笈滲透測試實用指南 [M].北京:人民郵電出版社，2015.

[8][美]Daniel Regalado，Shon Harris等著，李楓譯.灰帽黑客（第4版）[M].北京:清華大學出版社，2016.

[9]GB/T 20945-2007 信息安全技術 信息系統安全審計產品技術要求和測試評價方法[S].北京:人民出版社，2007.

[10]恒盛杰資訊，黑客攻防從入門到精通.[M]北京:機械工業出版社，2013.

[11]符長青，符曉勤，符曉蘭著.信息系統運維服務管理[M].北京:清華大學出版社，2015.

[12]王東紅，魏廣朝著.信息系統運維基礎[M].北京:北京理工大學出版社，2012.