堡壘機(jī)，即在一個特定的網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，而運(yùn)用各種技術(shù)手段實(shí)時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動，以便集中報警、及時處理及審計(jì)定責(zé)。

概述

其從功能上講，它綜合了核心系統(tǒng)運(yùn)維和安全審計(jì)管控兩大主干功能，從技術(shù)實(shí)現(xiàn)上講，通過切斷終端計(jì)算機(jī)對網(wǎng)絡(luò)和服務(wù)器資源的直接訪問，而采用協(xié)議代理的方式，接管了終端計(jì)算機(jī)對網(wǎng)絡(luò)和服務(wù)器的訪問。形象地說，終端計(jì)算機(jī)對目標(biāo)的訪問，均需要經(jīng)過運(yùn)維安全審計(jì)的翻譯。

打一個比方，運(yùn)維安全審計(jì)扮演著看門者的工作，所有對網(wǎng)絡(luò)設(shè)備和服務(wù)器的請求都要從這扇大門經(jīng)過。因此運(yùn)維安全審計(jì)能夠攔截非法訪問，和惡意攻擊，對不合法命令進(jìn)行命令阻斷，過濾掉所有對目標(biāo)設(shè)備的非法訪問行為，并對內(nèi)部人員誤操作和非法操作進(jìn)行審計(jì)監(jiān)控，以便事后責(zé)任追蹤。

安全審計(jì)作為企業(yè)信息安全建設(shè)不可缺少的組成部分，逐漸受到用戶的關(guān)注，是企業(yè)安全體系中的重要環(huán)節(jié)。同時，安全審計(jì)是事前預(yù)防、事中預(yù)警的有效風(fēng)險控制手段，也是事后追溯的可靠證據(jù)來源。

產(chǎn)生原因

隨著企事業(yè)單位IT系統(tǒng)的不斷發(fā)展，網(wǎng)絡(luò)規(guī)模和設(shè)備數(shù)量迅速擴(kuò)大，日趨復(fù)雜的IT系統(tǒng)與不同背景的運(yùn)維人員的行為給信息系統(tǒng)安全帶來較大風(fēng)險，主要表現(xiàn)在：

1.多個用戶使用同一個賬號。這種情況主要出現(xiàn)在同一工作組中，由于工作需要，同時系統(tǒng)管理賬號唯一，因此只能多用戶共享同一賬號。如果發(fā)生安全事故，不僅難以定位賬號的實(shí)際使用者和責(zé)任人，而且無法對賬號的使用范圍進(jìn)行有效控制，存在較大安全風(fēng)險和隱患。

2.一個用戶使用多個賬號。目前，一個維護(hù)人員使用多個賬號是較為普遍的情況，用戶需要記憶多套口令同時在多套主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備之間切換，降低工作效率，增加工作復(fù)雜度。如下圖所示：

3.缺少統(tǒng)一的權(quán)限管理平臺，權(quán)限管理日趨繁重和無序；而且維護(hù)人員的權(quán)限大多是粗放管理，無法基于最小權(quán)限分配原則的用戶權(quán)限管理，難以實(shí)現(xiàn)更細(xì)粒度的命令級權(quán)限控制，系統(tǒng)安全性無法充分保證。

4.無法制定統(tǒng)一的訪問審計(jì)策略，審計(jì)粒度粗。各網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫是分別單獨(dú)審計(jì)記錄訪問行為，由于沒有統(tǒng)一審計(jì)策略，并且各系統(tǒng)自身審計(jì)日志內(nèi)容深淺不一，難以及時通過系統(tǒng)自身審計(jì)發(fā)現(xiàn)違規(guī)操作行為和追查取證。

5.傳統(tǒng)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)無法對維護(hù)人員經(jīng)常使用的SSH、RDP等加密、圖形操作協(xié)議進(jìn)行內(nèi)容審計(jì)。

核心功能

單點(diǎn)登錄功能

支持對X11、linux、unix、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等一系列授權(quán)賬號進(jìn)行密碼的自動化周期更改，簡化密碼管理，讓使用者無需記憶眾多系統(tǒng)密碼，即可實(shí)現(xiàn)自動登錄目標(biāo)設(shè)備，便捷安全。

賬號管理

設(shè)備支持統(tǒng)一賬戶管理策略，能夠?qū)崿F(xiàn)對所有服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等賬號進(jìn)行集中管理，完成對賬號整個生命周期的監(jiān)控，并且可以對設(shè)備進(jìn)行特殊角色設(shè)置如：審計(jì)巡檢員、運(yùn)維操作員、設(shè)備管理員等自定義設(shè)置，以滿足審計(jì)需求

身份認(rèn)證

設(shè)備提供統(tǒng)一的認(rèn)證接口，對用戶進(jìn)行認(rèn)證，支持身份認(rèn)證模式包括動態(tài)口令、靜態(tài)密碼、硬件key、生物特征等多種認(rèn)證方式，設(shè)備具有靈活的定制接口，可以與其他第三方認(rèn)證服務(wù)器之間結(jié)合；安全的認(rèn)證模式，有效提高了認(rèn)證的安全性和可靠性。

資源授權(quán)

設(shè)備提供基于用戶、目標(biāo)設(shè)備、時間、協(xié)議類型IP、行為等要素實(shí)現(xiàn)細(xì)粒度的操作授權(quán)，最大限度保護(hù)用戶資源的安全

訪問控制

設(shè)備支持對不同用戶進(jìn)行不同策略的制定，細(xì)粒度的訪問控制能夠最大限度的保護(hù)用戶資源的安全，嚴(yán)防非法、越權(quán)訪問事件的發(fā)生。

操作審計(jì)

設(shè)備能夠?qū)ψ址?、圖形、文件傳輸、數(shù)據(jù)庫等全程操作行為審計(jì)；通過設(shè)備錄像方式實(shí)時監(jiān)控運(yùn)維人員對操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等進(jìn)行的各種操作，對違規(guī)行為進(jìn)行事中控制。對終端指令信息能夠進(jìn)行精確搜索，進(jìn)行錄像精確定位。

目標(biāo)價值

堡壘機(jī)的作用主要體現(xiàn)在下述幾個方面：

企業(yè)角度

通過細(xì)粒度的安全管控策略，保證企業(yè)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等安全可靠運(yùn)行，降低人為安全風(fēng)險，避免安全損失，保障企業(yè)效益。

管理員角度

所有運(yùn)維賬號的管理在一個平臺上進(jìn)行管理，賬號管理更加簡單有序；

通過建立用戶與賬號的唯一對應(yīng)關(guān)系，確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限；

直觀方便的監(jiān)控各種訪問行為，能夠及時發(fā)現(xiàn)違規(guī)操作、權(quán)限濫用等。

鑒于多賬號同時使用超管進(jìn)行的操作，便于實(shí)名制的認(rèn)證和自然人的關(guān)聯(lián)。

普通用戶角度

運(yùn)維人員只需記憶一個賬號和口令，一次登錄，便可實(shí)現(xiàn)對其所維護(hù)的多臺設(shè)備的訪問，無須記憶多個賬號和口令，提高了工作效率，降低工作復(fù)雜度。

應(yīng)用

一種用于單點(diǎn)登陸的主機(jī)應(yīng)用系統(tǒng)，目前電信、移動、聯(lián)通三個運(yùn)營商廣泛采用堡壘機(jī)來完成單點(diǎn)登陸和薩班斯要求的審計(jì)。

在銀行、證券等金融業(yè)機(jī)構(gòu)也廣泛采用堡壘機(jī)來完成對財務(wù)、會計(jì)操作的審計(jì)。

在電力行業(yè)的雙網(wǎng)改造項(xiàng)目后，采用堡壘機(jī)來完成雙網(wǎng)隔離之后跨網(wǎng)訪問的問題，能夠很好的解決雙網(wǎng)之間的訪問的安全問題。

相關(guān)廠商

目前，已經(jīng)有相當(dāng)多的廠商開始涉足這個領(lǐng)域，如：思福迪、帕拉迪、圣博潤、尚思卓越、綠盟、

科友、齊治、金萬維、極地、派拉等，這些都是目前行業(yè)里做的專業(yè)且受到企業(yè)用戶好評的廠商，但每家廠商的產(chǎn)品所關(guān)注的側(cè)重又有所差別。

以某運(yùn)維安全審計(jì)產(chǎn)品為例，其產(chǎn)品更側(cè)重于運(yùn)維安全管理，它集單點(diǎn)登錄、賬號管理、身份認(rèn)證、資源授權(quán)、訪問控制和操作審計(jì)為一體的新一代運(yùn)維安全審計(jì)產(chǎn)品，它能夠?qū)Σ僮飨到y(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等操作過程進(jìn)行有效的運(yùn)維操作審計(jì)，使運(yùn)維審計(jì)由事件審計(jì)提升為操作內(nèi)容審計(jì)，通過系統(tǒng)平臺的事前預(yù)防、事中控制和事后溯源來全面解決企業(yè)的運(yùn)維安全問題，進(jìn)而提高企業(yè)的IT運(yùn)維管理水平。

功能

1、身份認(rèn)證及授權(quán)管理

健全的用戶管理機(jī)制和靈活的認(rèn)證方式

為解決企業(yè)IT系統(tǒng)中普遍存在的因交叉運(yùn)維而存在的無法定責(zé)的問題,堡壘機(jī)提出了采用“集中賬號管理“的解決辦法；集中帳號管理可以完成對帳號整個生命周期的監(jiān)控和管理，而且還降低了企業(yè)管理大量用戶帳號的難度和工作量。

同時，通過統(tǒng)一的管理還能夠發(fā)現(xiàn)帳號中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶帳號安全策略。針對平臺中創(chuàng)建的運(yùn)維用戶可以支持靜態(tài)口令、動態(tài)口令、數(shù)字證書等多種認(rèn)證方式；支持密碼強(qiáng)度、密碼有效期、口令嘗試死鎖、用戶激活等安全管理功能；支持用戶分組管理;支持用戶信息導(dǎo)入導(dǎo)出，方便批量處理。

細(xì)粒度、靈活的授權(quán)

系統(tǒng)提供基于用戶、運(yùn)維協(xié)議、目標(biāo)主機(jī)、運(yùn)維時間段（年、月、日、周、時間）等組合的授權(quán)功能，實(shí)現(xiàn)細(xì)粒度授權(quán)功能，滿足用戶實(shí)際授權(quán)的需求。授權(quán)可基于：用戶到資源、用戶組到資源、用戶到資源組、用戶組到資源組。

單點(diǎn)登錄功能是運(yùn)維人員通過堡壘機(jī)認(rèn)證和授權(quán)后，堡壘機(jī)根據(jù)配置策略實(shí)現(xiàn)后臺資源的自動登錄。保證運(yùn)維人員到后臺資源帳號的一種可控對應(yīng)，同時實(shí)現(xiàn)了對后臺資源帳號的口令統(tǒng)一保護(hù)與管理。系統(tǒng)提供運(yùn)維用戶自動登錄后臺資源的功能。堡壘機(jī)能夠自動獲取后臺資源帳號信息并根據(jù)口令安全策略，定期自動修改后臺資源帳號口令；根據(jù)管理員配置，實(shí)現(xiàn)運(yùn)維用戶與后臺資源帳號相對應(yīng)，限制帳號的越權(quán)使用；運(yùn)維用戶通過堡壘機(jī)認(rèn)證和授權(quán)后，SSA根據(jù)分配的帳號實(shí)現(xiàn)自動登錄后臺資源。

運(yùn)維事件事中控制

實(shí)時監(jiān)控

監(jiān)控正在運(yùn)維的會話，信息包括運(yùn)維用戶、運(yùn)維客戶端地址、資源地址、協(xié)議、開始時間等：監(jiān)控后臺資源被訪問情況，提供在線運(yùn)維操作的實(shí)時監(jiān)控功能。針對命令交互性協(xié)議，可以實(shí)時監(jiān)控正在運(yùn)維的各種操作，其信息與運(yùn)維客戶端所見完全一致。

違規(guī)操作實(shí)時告警與阻斷

針對運(yùn)維過程中可能存在的潛在操作風(fēng)險，SSA根據(jù)用戶配置的安全策略實(shí)施運(yùn)維過程中的違規(guī)操作檢測，對違規(guī)操作提供實(shí)時告警和阻斷，從而達(dá)到降低操作風(fēng)險及提高安全管理與控制的能力。對于非字符型協(xié)議的操作能夠?qū)崟r阻斷；

字符型協(xié)議的操作可以通過用戶配置的命令行規(guī)則進(jìn)行規(guī)則匹配，實(shí)現(xiàn)告警與阻斷。告警動作支持權(quán)限提升、會話阻斷、郵件告警、短信告警等。

運(yùn)維事件事后審計(jì)

對常見協(xié)議能夠記錄完整的會話過程

堡壘機(jī)能夠?qū)θ粘Ｋ姷降倪\(yùn)維協(xié)議如SSH,FTP,Telnet,SFTP,Http,Https,RDP,X11,VNC等會話過程進(jìn)行完整的記錄，以滿足日后審計(jì)的需求；審計(jì)結(jié)果可以錄像和日志方式呈現(xiàn)，錄像信息包括運(yùn)維用戶名稱、目標(biāo)資源名稱、客戶端IP、客戶端計(jì)算機(jī)名稱、協(xié)議名、運(yùn)維開始時間、結(jié)束時間、運(yùn)維時長等信息

詳盡的會話審計(jì)與回放

運(yùn)維人員操作錄像以會話為單位，能夠?qū)τ脩裘?、日期和?nèi)容進(jìn)行單項(xiàng)查詢和組合式查詢定位。組合式查詢則按運(yùn)維用戶、運(yùn)維地址、后臺資源地址、協(xié)議、起始時間、結(jié)束時間和操作內(nèi)容中關(guān)鍵字等組合方式進(jìn)行；針對命令字符串方式的協(xié)議，提供逐條命令及相關(guān)操作結(jié)果的顯示：提供圖像形式的回放，真實(shí)、直觀、可視地重現(xiàn)當(dāng)時的操作過程；回放提供快放、慢放、拖拉等方式，針對檢索的鍵盤輸入的關(guān)鍵字能夠直接定位定位回放；針對RDP、X11、VNC協(xié)議，提供按時間進(jìn)行定位回放的功能。

豐富的審計(jì)報表功能

堡壘機(jī)系統(tǒng)平臺能夠?qū)\(yùn)維人員的日常操作、會話已經(jīng)管理員對審計(jì)平臺進(jìn)行的操作配置或者是報警次數(shù)等做各種報表統(tǒng)計(jì)分析。報表包括：日常報表、會話報表、自審計(jì)操作報表、告警報表、綜合統(tǒng)計(jì)報表,并可根據(jù)個性需求設(shè)計(jì)和展現(xiàn)自定義報表。以上報表可以EXCEL格式輸出，并且可以以折線、柱狀、圓餅圖等圖形方式展現(xiàn)出來。

應(yīng)用發(fā)布

針對用戶獨(dú)特的運(yùn)維需求，堡壘機(jī)推出了業(yè)界虛擬桌面主機(jī)安全操作系統(tǒng)設(shè)備，通過其配合堡壘機(jī)進(jìn)行審計(jì)能夠完全達(dá)到審計(jì)、控制、授權(quán)的要求，配合此產(chǎn)品,可實(shí)現(xiàn)對數(shù)據(jù)庫維護(hù)工具、pcAnywhere、DameWare等不同工具的運(yùn)維操作進(jìn)行監(jiān)控和審計(jì)。

特點(diǎn)

超全的審計(jì)協(xié)議范圍

平臺采用協(xié)議分析、基于數(shù)據(jù)包還原虛擬化技術(shù)，實(shí)現(xiàn)操作界面模擬，將所有的操作轉(zhuǎn)換為圖形化界面予以展現(xiàn)，實(shí)現(xiàn)100%審計(jì)信息不丟失：針對運(yùn)維操作圖形化審計(jì)功能的展現(xiàn)外，同時還能對字符進(jìn)行分析，包括命令行操作的命令以及回顯信息和非字符型操作時鍵盤、鼠標(biāo)的敲擊信息。

系統(tǒng)支持的審計(jì)協(xié)議以及工具包括：

字符串操作：SSH,Telnet（工具：SecureCRT,Putty,Xshell）

圖形操作：RDP,VNC,X11,pcAnywhere,DameWare等

其他協(xié)議：FTP,SFTP,Http,Https等

數(shù)據(jù)庫工具:Oracle,sqlserver,Mysql客戶端工具

協(xié)議以及工具

字符串操作：SSH,Telnet（工具：SecureCRT,Putty,Xshell）

圖形操作：RDP,VNC,X11,pcAnywhere,DameWare等

其他協(xié)議：FTP,SFTP,Http,Https,SQLPLUS等

報表管理

平臺具有豐富的報表統(tǒng)計(jì)功能，可以進(jìn)行默認(rèn)報表和自定義報表來進(jìn)行運(yùn)維數(shù)據(jù)的報表統(tǒng)計(jì)。

平臺提供多種報表格式，包括Word、Excel等。

平臺提供折線、餅狀、柱狀等多種圖表統(tǒng)計(jì)運(yùn)維數(shù)據(jù)，方便后期的運(yùn)維分析和管理。

機(jī)制完善用戶管理權(quán)限

平臺對用戶的管理權(quán)限嚴(yán)格分明，各司其職，分為系統(tǒng)管理員、審計(jì)管理員、運(yùn)維管理員、口令管理員四種管理員角色，平臺也支持管理員角色的自定義創(chuàng)建，對管理權(quán)限進(jìn)行細(xì)粒度設(shè)置，保障了平臺的用戶安全管理，以滿足審計(jì)需求

平臺集用戶管理、身份認(rèn)證、資源授權(quán)、訪問控制、操作審計(jì)為一體，有效地實(shí)現(xiàn)了事前預(yù)防、事中控制和事后審計(jì)。

高效的處理能力

審計(jì)平臺能夠?qū)ΤＲ姷腟SH,Telnet,FTP,SFTP,HTTP,HTTPS,WindowsTerminal,X11、VNC協(xié)議進(jìn)行完整的透明轉(zhuǎn)發(fā)，針對如RDP,VNC,X11等圖形化協(xié)議的處理能力要比同類產(chǎn)品處理能力強(qiáng)。

可擴(kuò)展性與兼容性

平臺采用模塊化設(shè)計(jì)，單模塊故障不影響其他模塊使用，從而提高了平臺的健壯性、穩(wěn)定性

運(yùn)維人員登陸可支持Portal統(tǒng)一登錄，并兼容終端C,S客戶端連接設(shè)備；

審計(jì)平臺的認(rèn)證方式可以與第三方的認(rèn)證設(shè)備進(jìn)行定制兼容

具有強(qiáng)大研發(fā)實(shí)力，不但能為客戶提供長期的產(chǎn)品更新，還能按照客戶的實(shí)際需求進(jìn)行定制開發(fā)。

靈活的部署方式

堡壘機(jī)提供了功能完善、操作靈活、使用方便、界面友好、符合習(xí)慣的審計(jì)管理功能；

B,S方式實(shí)現(xiàn)了對后臺的各項(xiàng)管理配置

平臺簡單易部署，通過配置導(dǎo)航，可在短時間內(nèi)完成配置要求，實(shí)現(xiàn)上線要求。

完善的系統(tǒng)安全設(shè)計(jì)

基于HTTPS,SSL的自身安全管理與審計(jì)；

嚴(yán)格的安全訪問控制和管理員身份認(rèn)證支持強(qiáng)認(rèn)證；

審計(jì)信息加密存儲；

完善的審計(jì)信息備份機(jī)制；

完整全面的自審計(jì)功能。