近年來數(shù)據(jù)安全事故頻發(fā)，包括斯諾登事件、希拉里郵件丑聞以及攜程宕機(jī)事件等，數(shù)據(jù)安全與防止泄露成為政府和企業(yè)都非常關(guān)心的議題。越來越多的企業(yè)安裝部署堡壘機(jī)，堡壘機(jī)的基本思想是在技術(shù)，管理，操作，人的幾個(gè)層面上，去建立安全防護(hù)體系的。通俗易懂來說就是主要用于信息安全運(yùn)維領(lǐng)域，可對(duì)運(yùn)維人員的操作進(jìn)行錄像和統(tǒng)一的登錄入口。

         那問題來了，堡壘機(jī)是如何在數(shù)據(jù)安全事件的責(zé)任定位到具體的某個(gè)人呢？

         在實(shí)際部署過程中，堡壘機(jī)旁掛在在網(wǎng)絡(luò)交換機(jī)節(jié)點(diǎn)上，實(shí)現(xiàn)運(yùn)維人員遠(yuǎn)程訪問維護(hù)服務(wù)器的跳板，即物理上并聯(lián)，邏輯上串聯(lián)。簡(jiǎn)單的說，就是服務(wù)器運(yùn)維管理人員原先是直接通過遠(yuǎn)程訪問技術(shù)進(jìn)行服務(wù)器維護(hù)和操作，這期間不免有一些誤操作或者越權(quán)操作，而“堡壘機(jī)”作為遠(yuǎn)程運(yùn)維的跳板，使運(yùn)維人員間接通過堡壘機(jī)進(jìn)行對(duì)遠(yuǎn)程服務(wù)的的運(yùn)維操作。如原來使用微軟的遠(yuǎn)程桌面RDP進(jìn)行windows服務(wù)器的遠(yuǎn)程運(yùn)維，現(xiàn)在先訪問到堡壘機(jī)，再由堡壘機(jī)訪問遠(yuǎn)程windows服務(wù)器。這期間，運(yùn)維人員的所有操作都被記錄下來，可以以屏幕錄像、字符操作日志等形式長(zhǎng)久保存。在服務(wù)器發(fā)生故障時(shí)，就可以通過保存的記錄對(duì)之前的操作進(jìn)行審計(jì)。

         現(xiàn)在我們來看一下網(wǎng)域堡壘機(jī)NSA是如何實(shí)現(xiàn)運(yùn)維事件的“事后審計(jì)”？

         完整記錄網(wǎng)絡(luò)會(huì)話過程

         系統(tǒng)提供運(yùn)維協(xié)議Telnet、FTP、SSH、SFTP、RDP（Windows Terminal）、Xwindows、VNC、AS400、Http、Https等網(wǎng)絡(luò)會(huì)話的完整會(huì)話記錄，完全滿足內(nèi)容審計(jì)中信息百分百不丟失的要求。

         會(huì)話信息包括運(yùn)維用戶、運(yùn)維地址、后臺(tái)資源地址、資源名、協(xié)議、起始時(shí)間、終止時(shí)間、流量大小信息；會(huì)話信息包括運(yùn)維過程中所有進(jìn)出后臺(tái)資源的數(shù)據(jù)。

         詳盡的會(huì)話審計(jì)與回放

         運(yùn)維操作審計(jì)以會(huì)話為單位，提供當(dāng)日和條件查詢定位。條件查詢支持按運(yùn)維用戶、運(yùn)維地址、后臺(tái)資源地址、協(xié)議、起始時(shí)間、結(jié)束時(shí)間和操作內(nèi)容中關(guān)鍵字等組合方式。

         針對(duì)命令交互方式的協(xié)議，提供逐條命令及相關(guān)操作結(jié)果的顯示；

         提供圖像形式的回放，真實(shí)、直觀、可視地重現(xiàn)當(dāng)時(shí)的操作過程；

         回放提供快放、慢放、拖拉等方式，方便快速定位和查看；

         針對(duì)命令交互方式的協(xié)議，提供按命令進(jìn)行定位回放；

         針對(duì)RDP、Xwindows、VNC協(xié)議，提供按時(shí)間進(jìn)行定位回放。

         完備的審計(jì)報(bào)表功能

         IT運(yùn)維安全審計(jì)產(chǎn)品提供運(yùn)維用戶操作，管理員操作以及違規(guī)事件等多種審計(jì)報(bào)表。

         提供日常報(bào)表，包括今日會(huì)話、今日自審計(jì)、用戶信息、資源信息、權(quán)限信息、規(guī)則信息、管理員角色信息等報(bào)表；

         提供會(huì)話報(bào)表，可根據(jù)用戶選定時(shí)間、用戶、資源形成會(huì)話報(bào)表；

         提供自審計(jì)操作報(bào)表，可根據(jù)用戶選定時(shí)間、管理員、模塊形成自審計(jì)報(bào)表；

         提供告警報(bào)表，可根據(jù)告警類別、級(jí)別、資源、運(yùn)維用戶、協(xié)議、時(shí)間等條件形成報(bào)表；

         提供綜合統(tǒng)計(jì)報(bào)表，可根據(jù)時(shí)間、資源、用戶等條件形成綜合統(tǒng)計(jì)報(bào)表，報(bào)表中包括概要信息、每個(gè)用戶操作信息、每個(gè)資源被操作信息等。