沒有堡壘機(jī)的網(wǎng)絡(luò)環(huán)境下政企單位，網(wǎng)絡(luò)運(yùn)維目前所存在的問題：
 
       1．多個(gè)用戶使用同一個(gè)賬號(hào)。這種情況主要出現(xiàn)在同一工作組中，由于工作需要，同時(shí)系統(tǒng)管理賬號(hào)，因此只能多用戶共享同一賬號(hào)。如果發(fā)生安全事故，不僅難以定位賬號(hào)的實(shí)際使用者和責(zé)任人，而且無法對(duì)賬號(hào)的使用范圍進(jìn)行有效控制，存在較大安全風(fēng)險(xiǎn)和隱患。

       2．一個(gè)用戶使用多個(gè)賬號(hào)。目前，一個(gè)維護(hù)人員使用多個(gè)賬號(hào)是較為普遍的情況，用戶需要記憶多套口令同時(shí)在多套主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備之間切換，降低工作效率，增加工作復(fù)雜度。

       3．缺少統(tǒng)一的權(quán)限管理平臺(tái)，權(quán)限管理日趨繁重和無序；而且維護(hù)人員的權(quán)限大多是粗放管理，無法基于極小權(quán)限分配原則的用戶權(quán)限管理，難以實(shí)現(xiàn)更細(xì)粒度的命令級(jí)權(quán)限控制，系統(tǒng)安全性無法充分保證。

       4．無法制定統(tǒng)一的訪問審計(jì)策略，審計(jì)粒度粗。各網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫是分別單獨(dú)審計(jì)記錄訪問行為，由于沒有統(tǒng)一審計(jì)策略，并且各系統(tǒng)自身審計(jì)日志內(nèi)容深淺不一，難以及時(shí)通過系統(tǒng)自身審計(jì)發(fā)現(xiàn)違規(guī)操作行為和追查取證。

       5．傳統(tǒng)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)無法對(duì)維護(hù)人員經(jīng)常使用的SSH、RDP等加密、圖形操作協(xié)議進(jìn)行內(nèi)容審計(jì)。為了加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)內(nèi)控管理，一些企業(yè)部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)；網(wǎng)絡(luò)安全審計(jì)系統(tǒng)應(yīng)用較為普遍，主要通過旁路鏡像或分光方式，分析網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行審計(jì)；可對(duì)一些非加密的運(yùn)維操作協(xié)議進(jìn)行審計(jì)；但卻無法對(duì)通過加密協(xié)議的操作內(nèi)容進(jìn)行審計(jì)，仍然難以解決對(duì)運(yùn)維人員操作行為的監(jiān)管問題。

       如何解決上述風(fēng)險(xiǎn)帶來的各種安全隱患和審計(jì)監(jiān)管問題?運(yùn)維安全審計(jì)系統(tǒng)給我們提供一套運(yùn)維管理解決方案，使得管理人員可以全面對(duì)各種資源進(jìn)行集中賬號(hào)管理、細(xì)粒度的權(quán)限管理和審計(jì)，幫助企業(yè)提升風(fēng)險(xiǎn)內(nèi)控水平
 
       運(yùn)維安全審計(jì)堡壘機(jī)的核心思路是邏輯上將人與目標(biāo)設(shè)備分離，建立“人一主賬號(hào)(堡壘機(jī)用戶賬號(hào))一授權(quán)一從賬號(hào)(目標(biāo)設(shè)備賬號(hào))的模式；在這種模式下，基于身份標(biāo)識(shí)，通過集中管控安全策略的賬號(hào)管理、授權(quán)管理和審計(jì)，建立針對(duì)維護(hù)人員的“主賬號(hào)一登錄一訪問操作一退出”的全過程完整審計(jì)管理，實(shí)現(xiàn)對(duì)各種運(yùn)維加密／非加密、圖形操作協(xié)議的命令級(jí)審計(jì)。
 

堡壘機(jī)的作用主要體現(xiàn)在下述幾個(gè)方面：

       1．企業(yè)角度 通過細(xì)粒度的安全管控策略，保證企業(yè)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等安全可靠運(yùn)行，降低人為安全風(fēng)險(xiǎn)，避免安全損失，保障企業(yè)效益。

       2．管理員角度 所有運(yùn)維賬號(hào)的管理在一個(gè)平臺(tái)上進(jìn)行管理，賬號(hào)管理更加簡單有序；通過建立用戶與賬號(hào)的對(duì)應(yīng)關(guān)系，確保用戶擁有的權(quán)限是完成任務(wù)所需的極小權(quán)限；直觀方便的監(jiān)控各種訪問行為，能夠及時(shí)發(fā)現(xiàn)違規(guī)操作、權(quán)限濫用等。

       3．普通用戶角度 運(yùn)維人員只需記憶一個(gè)賬號(hào)和口令，一次登錄，便可實(shí)現(xiàn)對(duì)其所維護(hù)的多臺(tái)設(shè)備的訪問，無須記憶多個(gè)賬號(hào)和口令，提高了工作效率，降低工作復(fù)雜度。
 
部署方式

       堡壘機(jī)采用“物理旁路，邏輯串聯(lián)”的部署思路，主要通過兩步實(shí)現(xiàn)：

       1)通過配置交換機(jī)或需要管理設(shè)備的訪問控制策略，只允許堡壘機(jī)的IP可以訪問需要管理的設(shè)備。

       2)將堡壘機(jī)連接到對(duì)應(yīng)交換機(jī)，確保所有維護(hù)人員到堡壘機(jī)IP可達(dá)。
 
系統(tǒng)架構(gòu)

       堡壘機(jī)管理平臺(tái)由功能管理模塊、平臺(tái)管理模塊和平臺(tái)接口構(gòu)成，負(fù)責(zé)用戶主從賬號(hào)管理、認(rèn)證管理、權(quán)限分配、審計(jì)信息搜集和管理。其具有以下模塊：

       功能管理模塊 提供賬號(hào)管理功能、認(rèn)證管理功能、權(quán)限管理功能和審計(jì)管理功能。

       平臺(tái)管理 提供對(duì)堡壘機(jī)平臺(tái)自身管理，包括配置管理、系統(tǒng)監(jiān)控和審計(jì)日志管理。

       平臺(tái)接口 提供對(duì)用戶、設(shè)備的各種管理接口，包括賬號(hào)接口、認(rèn)證接口、訪問接口。其中：

       1)賬號(hào)接口：提供主從賬號(hào)的同步和導(dǎo)入接口；

       2)認(rèn)證接口：提供主從賬號(hào)登錄的認(rèn)證接口；

       3)訪問接口：提供主從賬號(hào)與用戶、設(shè)備的訪問接口。
 
       下面分別說明賬號(hào)管理、認(rèn)證管理、權(quán)限管理和審計(jì)管理模塊的功能。

賬號(hào)管理

       賬號(hào)管理主要負(fù)責(zé)集中維護(hù)包括主賬號(hào)、從賬號(hào)、堡壘機(jī)自身管理賬號(hào)以及對(duì)賬號(hào)密碼的管理。

主賬號(hào)

       主賬號(hào)的范圍包括設(shè)備管理員、維護(hù)人員、第三方代維人員。主賬號(hào)是登錄堡壘機(jī)，獲取目標(biāo)設(shè)備訪問權(quán)利的賬號(hào)，與實(shí)際用戶身份一一對(duì)應(yīng)，每個(gè)用戶一個(gè)主賬號(hào)，每個(gè)主賬號(hào)只屬于一個(gè)用戶。

從賬號(hào)

       從賬號(hào)的范圍包括主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等。通過從賬號(hào)，才能實(shí)現(xiàn)對(duì)目標(biāo)設(shè)備的訪問；從賬號(hào)的維護(hù)和管理是通過堡壘機(jī)進(jìn)行。

認(rèn)證管理

       系統(tǒng)可通過本地認(rèn)證、外部認(rèn)證(如LDAP、RADIUS)等認(rèn)證方式，對(duì)用戶賬號(hào)進(jìn)行統(tǒng)一認(rèn)證鑒權(quán)，并實(shí)現(xiàn)單點(diǎn)登錄。單點(diǎn)登錄是用戶完成主賬號(hào)登錄后，訪問具有權(quán)限的所有目標(biāo)設(shè)備時(shí)，均不需要再輸入賬號(hào)口令，堡壘機(jī)自動(dòng)代為登錄，因此不需要用戶記錄多套賬號(hào)口令、重復(fù)登錄，提高工作效率。
 
權(quán)限管理

授權(quán)管理包括設(shè)備管理和授權(quán)、賬號(hào)授權(quán)。

1．設(shè)備管理和授權(quán)

       系統(tǒng)將需要管理的設(shè)備錄入，設(shè)備信息包括設(shè)備名稱、版本、IP地址、連接協(xié)議等。設(shè)備可按照組織結(jié)構(gòu)或地域組織。

2．賬號(hào)授權(quán)

       系統(tǒng)提供用戶對(duì)目標(biāo)設(shè)備(即主賬號(hào)到從賬號(hào))訪問的授權(quán)，對(duì)于訪問授權(quán)可以具體到命令級(jí)。

審計(jì)管理

       堡壘機(jī)的審計(jì)范圍包括審計(jì)用戶對(duì)被管理設(shè)備的所有敏感關(guān)鍵操作、對(duì)堡壘機(jī)自身的配置管理行為進(jìn)行審計(jì)。

用戶操作行為審計(jì)內(nèi)容

       提供對(duì)通過SSH、RDP、VNC、X-Window、Telnet、Rlogin、FTP等協(xié)議的訪問行為進(jìn)行內(nèi)容審計(jì)，會(huì)話回放。
 
堡壘機(jī)自身配置管理審計(jì)

       提供對(duì)堡壘機(jī)賬號(hào)分配、賬號(hào)授權(quán)、登錄堡壘機(jī)過程、認(rèn)證管理、授權(quán)管理的行為審計(jì)。
 
一套好的運(yùn)維安全審計(jì)具備要素

集中的運(yùn)維操作管理平臺(tái)

       應(yīng)實(shí)現(xiàn)對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備的運(yùn)維管理賬號(hào)的集中賬號(hào)管理、集中認(rèn)證和授權(quán)，通過單點(diǎn)登錄，提供對(duì)操作行為的精細(xì)化管理和審計(jì)，達(dá)到運(yùn)維管理簡單、方便、可靠的目的。

1．管理方便

       應(yīng)提供一套簡單直觀的賬號(hào)管理、授權(quán)管理策略，管理員可快速方便地查找某個(gè)用戶，查詢修改訪問權(quán)限；同時(shí)用戶能夠方便的通過登錄堡壘機(jī)對(duì)自己的基本信息進(jìn)行管理，包括賬號(hào)、口令等進(jìn)行修改更新。

2．可擴(kuò)展性

       當(dāng)進(jìn)行新系統(tǒng)建設(shè)或擴(kuò)容時(shí)，需增加新設(shè)備到堡壘機(jī)時(shí)，系統(tǒng)應(yīng)能方便的增加設(shè)備數(shù)量和設(shè)備種類。

3．精細(xì)審計(jì)

       針對(duì)傳統(tǒng)網(wǎng)絡(luò)安全審計(jì)產(chǎn)品無法對(duì)通過加密、圖形運(yùn)維操作協(xié)議進(jìn)行為審計(jì)的缺陷，系統(tǒng)應(yīng)能實(shí)現(xiàn)對(duì)RDP、VNC、X-Window、SSH、SFTP等協(xié)議進(jìn)行集中審計(jì)，提供對(duì)各種操作的精細(xì)授權(quán)管理和實(shí)時(shí)監(jiān)控審計(jì)。

4．審計(jì)可查

       可實(shí)時(shí)監(jiān)控和完整審計(jì)記錄所有維護(hù)人員的操作行為；并能根據(jù)需求，方便快速的查找到用戶的操作行為日志，以便追查取證。

5．安全性

       堡壘機(jī)須有冗余、備份措施，包括雙機(jī)熱備、負(fù)載均衡、異地?cái)?shù)據(jù)備份等。

6．部署方便

       系統(tǒng)采用物理旁路，邏輯串聯(lián)的模式，不需要改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不需要在終端安裝客戶端軟件，不改變管理員、運(yùn)維人員的操作習(xí)慣，也不影響正常業(yè)務(wù)運(yùn)行。

您可能需要了解的設(shè)備：運(yùn)維安全堡壘機(jī)