堡壘機技術運維安全管控系統設計與應用

李巖+石磊

摘 要 堡壘機技術即在一個特定的網絡環境下，為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動，以便集中報警、記錄、分析、處理的一種技術手段。

【關鍵詞】堡壘機技術 運維模式 堡壘機技術

在當前的計算機運維安全管理中，堡壘機技術的應用很好的提高了系統的安全性。因此技術人員根據傳統運維中存在的安全管控問題，利用堡壘機安全性能特點，結合運維安全管控實踐方法開展了堡壘機技術支持下的安全管控系統設計與應用研究。這一研究的開展，對于運維系統安全可靠性提供了

1 傳統運維模式風險分析

傳統運維模式下，大量的運維人員通過KVM或直連信息設備開展變更、配置、備份與維護等操作，面臨的風險主要有以下幾個方面。

（1）賬號及授權管理不清晰；

（2）缺乏身份認證；

（3）運維操作無全過程審計。

2 運維安全管控系統架構設計與應用

2.1 堡壘機技術的介紹

堡壘機，即在一個特定的網絡環境下，為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，通過訪問控制、賬號管理、身份認證、行為審計、單點登錄與協議代理等多種信息安全技術，實現運維人員對信息系統的安全訪問，同時對運維人員的操作過程形成完整的審計記錄。

2.2 設計依據

國家公安部《信息安全等級保護基本要求》中對二級（含）以上的信息系統提出明確的安全審計要求：“審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶；審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用、賬號的分配、創建與變更、審計策略的調整及審計系統功能的關閉與啟動等系統內重要的安全相關事件等”。本次運維安全管控系統設計嚴格按照等級保護要求，范圍覆蓋DMZ區、等級保護二級及以上信息系統。

2.3 系統架構設計

2.3.1 風險控制流程

為確保運維安全管控系統滿足電力企業運維實際需求，要制定完善的風險控制流程，實現事前實行統一的賬號管理、權限訪問策略、審計策略，事中身份認證、授權及監控，事后統一綜合審計的風險控制流程，如圖1所示。

2.3.2 架構設計

運維安全管控系統架構設計由展示層、功能層、存儲層與資源層4層組成。

展示層面向用戶，采用靜態口令、動態口令、數字證書等多種身份認證方式，具備密碼強度、密碼有效期、口令嘗試死鎖、用戶激活等安全管理功能，實現用戶分組管理，分別對系統管理員、審計員、運維人員提供不同的訪問頁面。

功能層實現賬號管理、認證管理、授權管理、綜合審計與系統管理等功能，采用協議分析、基于數據包還原技術，實現操作界面模擬，將所有的操作轉換為圖形化界面，實現審計信息不丟失。除了實現運維操作圖形化審計功能的展現外，還能對字符進行分析，包括命令行操作的命令及回顯信息和非字符型操作時鍵盤、鼠標的敲擊信息。

存儲層實現對運維安全管控系統賬號及各信息系統賬號的存儲及審計信息的存儲，實現賬號及審計信息的靈活調用。

資源層面向各信息系統，用于實現賬號同步、認證結合、審計結合等方面的數據接口工作，支持字符串操作SSH/Telnet、圖形操作RDP/VNC/X11/pcAnywhere/DameWare等。

2.4 系統部署與應用

在等級保護二級區域和DMZ區域各部署兩臺堡壘機，堡壘機做雙機主備，實現對等保二級區域和DMZ區域的網絡設備及服務器的運維審計，由于堡壘機采用旁路部署，實施過程中對現有網絡業務不會造成任何影響。雙機熱備與主備之間通過業務管理端口線進行主備狀態監測和配置同步，主機節點一旦斷開，備機節點會立刻啟動，無需人工干預，從而實現運維安全管控業務的不間斷運行。系統部署后實現了以下應用。

2.4.1 通過集中化管理，實現單點登錄

通過系統的部署，對資源賬號的統一管理，把復雜問題簡單化。

2.4.2 通過賬號管理，實現用戶實名制及統一身份認證

為每個用戶分配了獨一無二的用戶賬號，設備上的系統賬號不變，通過把多個用戶賬號和單個系統賬號做關聯，讓用戶的身份和具體的操作一一對應起來，從而實現用戶實名制管理。

2.4.3 有效地執行訪問控制，防止非授權訪問

通過系統設置詳細的訪問控制規則，用戶只能按照規則設置來訪問相應資源，徹底杜絕了非授權訪問所帶來的問題。

2.4.4 精準溯源操作審計

基于安全運維審計系統的實時監控及字符會話審計技術，完整地記錄用戶的所有操作行為，使運維操作透明化。

2.4.5 實現獨立審計與三權分立，完善IT內控機制

通過應用實現獨立的審計與三權分立，在三權分立的基礎上實施內控與審計，有效地控制操作風險，完善IT內控機制。

3 結語

在電力企業信息化水平快速發展的今天，技術發展與管理模式相輔相成，信息安全不僅需要先進的技術，更需要完善的制度和審計手段。通過運維安全運維管控系統的建設，進一步完善了電力企業在信息運維過程中的身份認證、訪問控制、權限控制、操作監控和審計等措施。實現了全面監控和審計運維人員對DMZ區域和IDC區域內的信息系統和業務數據的操作，使筆者所在單位的信息安全防護體系有效的落地，進一步提高電力企業信息安全防護水平。

參考文獻

[1]袁慧萍，董貞良.銀行數據中心運維安全審計實踐探析[J].信息安全與通信保密，2015（04）.

[2]余錚，廖榮濤，陳磊.基于旁路的全周期信息運維審計系統研究與應用[J].湖北電力，2013（02）.

[3]龐博.基于內控堡壘主機的運維審計實踐[J].科技資訊，2015（15）.