隨著信息技術(shù)的不斷發(fā)展和信息化監(jiān)事的不斷進(jìn)步，企業(yè)的核心業(yè)務(wù)應(yīng)用系統(tǒng)中，使用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)來(lái)提供網(wǎng)絡(luò)服務(wù)、運(yùn)行關(guān)鍵業(yè)務(wù)，提供電子政務(wù)、數(shù)據(jù)庫(kù)應(yīng)用、協(xié)同工作群建等服務(wù)。由于設(shè)備和服務(wù)器眾多，越權(quán)訪問(wèn)、誤操作、濫用、惡意破壞等情況時(shí)有發(fā)生，這嚴(yán)重影響了單位信息化工作效率，并對(duì)單位的聲譽(yù)造成了嚴(yán)重的影響。如何提高信息化部門(mén)的運(yùn)維管理水平，跟蹤服務(wù)器上的操作行為，防止黑客的入侵和破壞。提供控制和審計(jì)依據(jù)，降低運(yùn)維成本，滿(mǎn)足相關(guān)規(guī)范要求，越來(lái)越成為信息化部門(mén)關(guān)注的大事。
 

      伴隨著信息安全的發(fā)展，防病毒軟件、防火墻、IDS、IPS，漏掃等安全產(chǎn)品已經(jīng)得到了廣泛的應(yīng)用，雖然使用這些產(chǎn)品可以解決一些安全問(wèn)題，但是對(duì)于已得到授權(quán)的人員的違規(guī)操作或誤操作卻無(wú)能為力。根據(jù)資料統(tǒng)計(jì)，在對(duì)單位造成嚴(yán)重?fù)p害的案例中，有70%是組織內(nèi)部人員所為。

運(yùn)維工作存在的問(wèn)題：

      很多單位是外方運(yùn)維服務(wù)技術(shù)支撐的單位，在單位機(jī)房里，運(yùn)行著很多業(yè)務(wù)應(yīng)用系統(tǒng)，一直以來(lái)對(duì)這些與業(yè)務(wù)應(yīng)用系統(tǒng)相關(guān)的服務(wù)器、儲(chǔ)存、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的維護(hù)工作都是分為兩部分去做的：一部分軟件系統(tǒng)運(yùn)維工作由各處室負(fù)責(zé)維護(hù)，另一部分硬件系統(tǒng)運(yùn)維工作都由運(yùn)行保障處負(fù)責(zé)維護(hù)管理。一直以來(lái)，單位的信息應(yīng)用系統(tǒng)的運(yùn)維保障工作就存在很大的安全隱患，其主要表現(xiàn)如下：

1．帳號(hào)共享及缺乏身份
 

      在單位的機(jī)房中，存在著大量的網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和應(yīng)用系統(tǒng)，分別屬于不同的部門(mén)。各應(yīng)用系統(tǒng)都有一套獨(dú)立的帳號(hào)體系，用戶(hù)為了方便登錄，經(jīng)常出現(xiàn)多人共用帳號(hào)的情況。

      多人同同時(shí)使用一個(gè)系統(tǒng)帳號(hào)在帶來(lái)方便性的同時(shí)，導(dǎo)致用戶(hù)身份唯一性無(wú)法確定。如果其中任何一個(gè)人離職或者將帳號(hào)告訴其他無(wú)關(guān)人員，會(huì)使這個(gè)帳號(hào)的安全性無(wú)法保證。

      由于共享帳號(hào)是多人共問(wèn)使用，發(fā)生問(wèn)題后，無(wú)法準(zhǔn)確定位惡意操作或誤操作的責(zé)任人。更改密碼需要通知到每一個(gè)需要使用此帳號(hào)的人員，帶來(lái)了密碼管理的復(fù)雜化。

      因?yàn)檎麄€(gè)運(yùn)維過(guò)程的不確定因素太多，所以使得整個(gè)運(yùn)維過(guò)程不可控。這不僅給運(yùn)維人員帶來(lái)了巨大的麻煩，而且讓系統(tǒng)管理人員也無(wú)法準(zhǔn)確定位故障責(zé)任人，如果長(zhǎng)期在這種傳統(tǒng)的運(yùn)維模式下進(jìn)行運(yùn)維，這將會(huì)給單位帶來(lái)巨大的損失，甚至還無(wú)法追究相關(guān)當(dāng)事人的責(zé)任。

2．授權(quán)不清晰引發(fā)的問(wèn)題

      領(lǐng)導(dǎo)者如何進(jìn)行授權(quán)，是企業(yè)管理的一個(gè)深刻命題。做過(guò)管理的人都應(yīng)該知道，授權(quán)在企業(yè)管理中是非常重要的。但是，很多企業(yè)管理者在授權(quán)時(shí)，要么顧慮重重，對(duì)誰(shuí)也不放心；要么授權(quán)不當(dāng)，缺乏監(jiān)督制度，造成企業(yè)管理混亂。

      很多單位的信息化運(yùn)維工作也存在著類(lèi)似的問(wèn)題，讓每個(gè)運(yùn)維人員在自己責(zé)任范圍內(nèi)正確安全的使用自己的每一個(gè)權(quán)限十分重要。在運(yùn)維模式中，授權(quán)是不清晰的，例如：運(yùn)維人員登錄某臺(tái)服務(wù)器或核心交換機(jī)等關(guān)鍵性設(shè)備時(shí)，擁有很高的或N-是超越自己權(quán)限范圍的權(quán)限，一旦執(zhí)行了非法操作或是誤操作，都會(huì)導(dǎo)致嚴(yán)重的后果。

      面對(duì)上述運(yùn)維模式中存在授權(quán)不清晰的問(wèn)題，也引起『我們的足夠重視。我們直在尋找一個(gè)理想的運(yùn)維模式，在這個(gè)模式下，可以對(duì)我們運(yùn)維人員的訪問(wèn)操作權(quán)限進(jìn)行精確的劃分。

3．運(yùn)維人員操作過(guò)程無(wú)審計(jì)

      因?yàn)楦鞑块T(mén)獨(dú)立運(yùn)維和管理自已的業(yè)務(wù)應(yīng)用信息系統(tǒng)，所以各系統(tǒng)的審計(jì)也是相互獨(dú)立的。每個(gè)網(wǎng)絡(luò)設(shè)備，每個(gè)主機(jī)系統(tǒng)都分別進(jìn)行審計(jì)，安全事故發(fā)生后需要排查各系統(tǒng)的日志，但是系統(tǒng)本身記錄的日志，不能最終定位到具體的操作人員。

      另外各系統(tǒng)的日志記錄能力各不相同，例如對(duì)于Linux系統(tǒng)來(lái)說(shuō)，日志記錄就存在以下問(wèn)題：

      Linux系統(tǒng)中，用戶(hù)在服務(wù)器上的操作有一個(gè)歷史命令記錄的文件，但是root用戶(hù)不僅僅可以修改自己的歷史記錄，甚至還可以修改他人的歷史記錄，系統(tǒng)本身的歷史記錄文件已經(jīng)變的不可信；無(wú)法記錄操作人員、操作時(shí)間、操作結(jié)果等。

4．第三方人員管理隱患
      
      目前，很多單位各部門(mén)已經(jīng)將一些業(yè)務(wù)應(yīng)用系統(tǒng)外包給代維公司，在享受便利的同時(shí)，也帶來(lái)了很大的安全問(wèn)題：代維人員流動(dòng)性大、缺少操作行為監(jiān)控、代維人員的權(quán)限過(guò)大等等，這些問(wèn)題帶來(lái)的，安全風(fēng)險(xiǎn)日益凸現(xiàn)。因此，我們需要通過(guò)格的權(quán)限控制和操作行為審計(jì)，加強(qiáng)對(duì)代維人員的行為管理而達(dá)到消除隱患、規(guī)避風(fēng)險(xiǎn)的目的。

如何斛決單位在運(yùn)維管過(guò)程中存在的上述問(wèn)題呢?

堡壘機(jī)部署實(shí)施

      針對(duì)單位在運(yùn)維過(guò)程中存在的上述安全隱患，我們決定在數(shù)據(jù)中心機(jī)房部署一臺(tái)堡壘機(jī)，通過(guò)部署這臺(tái)堡壘機(jī)，解決了在運(yùn)維工作中一些比較棘手的問(wèn)題，取得了一定的成效。

      因?yàn)榭紤]到堡壘機(jī)一般采取旁路部署，所以我們決定采取旁路署。

      將堡壘機(jī)部署到安全接入?yún)^(qū)，主要是針對(duì)單位運(yùn)維操作中，最迫切需要解決的安全隱患，即：各部門(mén)運(yùn)維人員或第三方代維公司服務(wù)人員頻繁通過(guò)RDP方式訪問(wèn)各自業(yè)務(wù)應(yīng)用系統(tǒng)的服務(wù)器，進(jìn)行遠(yuǎn)程維護(hù)操作。所以我們最先需要保障這方面運(yùn)維服務(wù)的安全。

取得的成果

      通過(guò)部署堡壘機(jī)，能對(duì)于各部門(mén)運(yùn)維人員或第三方代維公司服務(wù)人員頻繁通過(guò)RDP(遠(yuǎn)程桌面)方式訪問(wèn)各自業(yè)務(wù)應(yīng)用系統(tǒng)服務(wù)器進(jìn)行遠(yuǎn)程維護(hù)的方式進(jìn)行了有效的管理?，F(xiàn)在，如果各部門(mén)人員需要登錄各自的業(yè)務(wù)應(yīng)用服務(wù)器，那么都必須先登錄這臺(tái)堡壘機(jī)，然后通過(guò)這臺(tái)堡壘機(jī)再登錄各自的應(yīng)用服務(wù)器進(jìn)行運(yùn)維操作。這樣就徹底的規(guī)避了一些潛在的安全風(fēng)險(xiǎn)，真正做到了事前授權(quán)、事中監(jiān)控、事后審計(jì)。

      下一步，我們準(zhǔn)備將一些網(wǎng)絡(luò)設(shè)備(例如路由器、交換機(jī))、安全設(shè)備(例如防火墻、IDS)、Linux服務(wù)器等，也統(tǒng)一納入堡壘機(jī)的安全運(yùn)維管理。利用這臺(tái)堡壘機(jī)，可以對(duì)終端用戶(hù)通過(guò)Telnet、SSH、VNC、X11等協(xié)議遠(yuǎn)程登錄設(shè)備的方式，進(jìn)行有效的安全運(yùn)維審計(jì)管理。