基于堡壘機的運維安全管理

張偉 林昶

關鍵詞：堡壘機;運維安全;管理

前言：隨著信息化建設的增強，安全管理成為影響信息化應用水平的重要因素，運維管理與安全管理更顯動態化特征，運維效果體現多樣性發展趨勢。基于運維堡壘機，要發揮技術優勢，多角度進行管控，營造優質的信息應用環境。

1、正確認識堡壘機運維安全管理現狀

1.1、運維人員管理情況分析

1.1.1、運維人員管控不到位。立足傳統信息安全建設，主要針對的是黑客，將其黑客攻擊作為防范方向，同時關注網絡邊界的訪客，忽視內部人員行為不當對系統安全造成的威脅。從內部人員角度分析，尤其是訪問權限較高的運維人員，其接觸信息系統核心數據、設備的幾率更高，也存在惡意性質或者非惡意性質的破壞行為。另外，賬號共享情況較為普遍，各種信息協議廣泛存在，操作人員身份缺乏清晰性與明確性，管理透明性不足，使得整個管理行為存在不可控性。一旦發生信息安全風險，事故性質以及緣由很難準確定位。從本質上講，內部人員的整體操作失控狀態突出，面對安全事故的影響，后果無法預估。

1.1.2、賬戶管控漏洞較多

一方面，針對同一賬號，存在多用戶共同使用的情況。具體講，對于信息部門的硬件設備以及系統軟件，涉獵諸多業務內容，系統類型較多。另外，在

信息化系統建設中，內控管理本身存在不足性，經驗匱乏，便利性欠缺，尤其是身份認證以及權限劃分缺乏清晰性與明確性，權限關系較為混亂。與此同時，在日常操作中，系統開發與維護人員存在賬號共用的問題，無法準確定位安全事故真正責任者，很難全面知曉賬戶所有應用人。也就是說，賬號使用范圍很難實現精準控制，安全隱患突出;另外，同一用戶存在使用多個賬戶的情況。對于維護人員，一人多賬戶情況較多。在這種狀態下，諸多口令需要進行記憶，尤其是還需要掌握多種主機系統，需要在多種設備之間進行多次轉換。一旦設備規模較大，甚至超過幾百臺，維護人員維護操作流程與環節增加，工作量擴大，復雜性增強，很難保證較高的工作效率與工作效果，誤操作幾率增大，系統正常運行遭到威脅;除此之外，授權環節存在缺陷，清晰度不足。在信息管理之中，不同層級賬戶權限劃分較為粗放，精細度不夠，尚未構建科學合理的運維操作授權模式，授權粒度較粗，忽視最小權限分配原則，與業務管理存在嚴重脫節的問題。為此，信息系統安全性之所以較低，主要源于運維人員較高的權限以及操作的不規范性。

1.2、堡壘機運維人員優化措施

為了提升堡壘機運維人員管理水平，首要任務是合理分配賬戶，做好授權工作，保證清晰性與明確性，這是安全設計的重要前提。一方面，要重視對賬號管理機制進行優化。基于堡壘機具備運維賬號的托管功能，促使運維操作單點登錄到主機系統。也就是說，借助堡壘機賬號的獲取，能夠達到針對性運維事件的操作，省去系統賬號劃分的需要，同時，即便是臨時性運維人員，也可以使用臨時性堡壘機賬號，設置一定時間實現過期，在遇到調崗問題之時，進行賬號的及時刪除處理。其次，做好授權管理機制的完善與優化。堡壘機制擁有黑白指令名單的功能，能實現對服務器以及交換機的的有效管理，達到對粒度劃分不合理問題的處理，實現對低權限用戶的限制，降低出現越權高危指令風險的幾率。系統上線之后，ACL能夠發揮作用，維護堡壘機功能的同時，限制相關端口互訪的行為，這就大大降低越權訪問風險的發生。

2、堡壘機的運維流程的改善措施

2.1、準確分析運維流程管理存在的問題

立足當前，即便應用了ITIL管理規范，但是，在運維流程方面仍存在不足。一方面，運維操作存在較大的隨意性，尤其在工作中存在較高的自主性，很難實現對運維工作的全面監督，監管缺乏有效的審批，運維項目報備不及時，這些問題的存在造成較高的內控風險，極易發生對設備的不規范操作，誘發破壞行為，造成嚴重后果。同時，對運維工作任務工作量缺乏清晰的認識。其次，尚未構建科學高效的異常機制。針對運維操作中出現的異常情況，尚未構建有效的預警機制，很難實現對安全事件的及時、有效的處理，大大降低整體應對措施的實效性。

2.2、多角度進行運維流程管理的完善

為了切實提升堡壘機運維管理水平，要將流程管理作為切入點，整體進行分析，構建針對性應對措施。一方面，以制度以及技術為重點，對其進行全面規范，維護系統運行安全性與可靠性，同時，責任的清晰劃分是根本。另外，對整個操作流程與環節進行完善，依托堡壘機制的策略性設置，將運維的時間、地點、項目等任務落到實處。面對核心性任務，一般需要設置二次審批確認。再次，對于異常事件，要保證處理流程的高效性。積極構建科學的審計流程，制定有效的預警機制，以便及時發現異常，最快進行反饋與處理。

結束語：綜上，對于堡壘機而言，其在信息系統運維管理中作用日益加深，因此，要對其給予高度關注，重視運維過程記錄以及責任追蹤的同時，強化運維人員管理以及運維流程優化完善，保證運維管理的全面性與系統性，最大限度減少信息安全事故的發生，維護整個信息系統的穩定性與可靠性。

參考文獻：

[1]匡石磊.基于堡壘機的屏幕錄像系統的運維操作審計研究與實踐[J].網絡安全技術與應用，2021（06）：7-10.

[2]劉炬宏.等保2.0下堡壘機在醫院信息系統的應用[J].市場周刊，2021，34（03）：41-42.

[3]黃劍韜，黃志中，王琳琳，路程伊，金鵬，呂飛，孫娜娜，王偉，侯瑞峰.基于堡壘機的智能綜合運維管理系統的設計與思考[J].中國數字醫學，2018，13（08）：68-69+21.