摘要：為了解決信息系統(tǒng)存在的運維審計的難題，同時為了滿足國家信息安全等級保護三級的要求，筆者所在部門實施了新一代內(nèi)控堡壘主機系統(tǒng)的建設。本文從系統(tǒng)的概念和功能出發(fā)，結合信息安全等級保護三級的相應要求，展開介紹堡壘主機在運維審計方面為信息系統(tǒng)的內(nèi)控管理提供的一個完整解決方案。而后通過在局域網(wǎng)中的實際部署經(jīng)驗整理了技術要點和實施細節(jié)。通過本文，可以了解堡壘主機在運維審計當中的作用以及實施案例。

關鍵詞：堡壘主機；內(nèi)控管理；運維審計；實踐案例

中圖分類號： TP393.08 文獻標識碼：A 文章編號：1672-3791（2015）05（c）-0000-00

近年來，筆者所在民航系統(tǒng)內(nèi)的信息化水平正在逐步從初級應用階段發(fā)展至高級應用階段，而伴隨著這個過程產(chǎn)生的信息化應用與信息安全管理的矛盾也愈發(fā)突出[1]。筆者所在單位近年來在局域網(wǎng)內(nèi)先后部署了多項網(wǎng)絡安全和網(wǎng)絡分析產(chǎn)品，已經(jīng)形成了較為完善的信息安全防護體系，主要技術人員也積累了運維經(jīng)驗。但信息系統(tǒng)故障等網(wǎng)絡安全問題仍然時有發(fā)生。通過分析故障產(chǎn)生的原因，發(fā)現(xiàn)大部分違規(guī)行為竟然來源于一些合法用戶的例行操作。傳統(tǒng)意義的安全防護系統(tǒng)可以從技術角度解決一些潛在的安全問題，但對于內(nèi)部人員操作的管理手段不完善帶來的數(shù)據(jù)破壞和泄露可能比技術原因造成的損害更為嚴重。

國家公安部《信息系統(tǒng)安全等級保護基本要求》中明確規(guī)定了二級（含）以上的重要信息系統(tǒng)網(wǎng)絡安全、主機安全、應用安全都需要具備安全審計功能[2]，所以，根據(jù)等級保護要求以及本單位的實際情況，我們迫切需要一種有效的手段來對內(nèi)部人員的設備維護行為進行控制和審計，解決信息安全管理中遇到的難題。難題具體體現(xiàn)在：運維權限分配復雜、系統(tǒng)密碼管理不足、操作風險難以控制、共享賬號安全隱患、系統(tǒng)資源授權不清晰、訪問控制策略不嚴格、重要操作無法有效審計等。而以上這些信息安全問題，通過引入內(nèi)控堡壘主機并結合管理措施之后基本得到了有效解決。

1 內(nèi)控堡壘主機介紹

1.1 什么是內(nèi)控堡壘主機？

最早的堡壘主機主要定位于防御外部進攻[3]。通過將其部署在防火墻或路由器之外，可以使那些需要面向外部的服務集中于堡壘主機上進行集中保護，以此來換取內(nèi)部網(wǎng)絡的安全。

而隨著信息化應用的日趨復雜，由被動防御型的堡壘主機發(fā)展出來了更加偏重于對內(nèi)部網(wǎng)絡、應用和數(shù)據(jù)進行綜合安全保護的管理控制平臺，也就是我們所說的內(nèi)控堡壘主機。它從網(wǎng)絡內(nèi)部出發(fā)，通過多種信息安全技術（訪問控制、身份認證、虛擬化、協(xié)議代理、操作審計等）實現(xiàn)用戶對內(nèi)部網(wǎng)絡資源的安全訪問，同時對用戶的操作過程形成完整的審計記錄。這樣的內(nèi)控平臺正可以有效地解決我們在日常運維和內(nèi)控管理中遇到的難題。

1.2 功能特點

1.2.1 設備的集中管控

內(nèi)控堡壘主機可以將服務器和網(wǎng)絡設備的信息，以及用戶信息和訪問權限提前配置在堡壘主機中，這樣便從傳統(tǒng)的分布式管理模式轉變成可控的集中式管理模式，以此為基礎帶來了設備管理效率和安全穩(wěn)定性的提升。

1.2.2 操作的集中審計

內(nèi)控堡壘主機通過協(xié)議代理的方式，將原來從某臺內(nèi)網(wǎng)終端直接通過遠程連接對網(wǎng)絡設備和服務器進行操作的不可控的分散管理方式，轉變成為了用戶必須集中至堡壘主機的統(tǒng)一入口再對有授權的設備進行操作。而全部操作都通過協(xié)議錄制得到記錄，實現(xiàn)了精細化的集中操作審計。

總之，內(nèi)控堡壘主機結合了傳統(tǒng)的4A 理念，即賬號管理、認證管理、授權管理、安全審計，與應用發(fā)布技術，形成了一個完善且可控的遠程接入解決方案。一方面，統(tǒng)一身份認證和統(tǒng)一訪問授權使得遠程接入用戶需要通過多種身份認證手段以及基于角色的授權管理才可以接入設備，滿足了信息安全等級保護的要求；另一方面，全面的審計功能讓管理員不但可以完整錄制會話過程，還可以實時監(jiān)視遠程訪問會話并及時終止非法操作。

2 制定解決方案

2.1 信息安全等級保護要求

根據(jù)信息安全等級保護第三級[4]的相關要求制定內(nèi)控堡壘主機的解決方案，可以滿足在要求中涉及到的網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復五項技術方面的要求，以及安全管理機構、人員安全管理、系統(tǒng)運維管理三項管理方面的要求。根據(jù)要求中的內(nèi)容以及內(nèi)控堡壘主機針對每一項提供的解決方案，整理如下表1。

2.2 設計原則

2.2.1 整體安全和全網(wǎng)統(tǒng)一的原則

資源訪問的安全設計需要綜合考慮信息網(wǎng)絡的各個環(huán)節(jié)和全部實體，然后在不同層次上綜合使用多種安全手段，為內(nèi)部信息網(wǎng)絡和安全業(yè)務提供管理和服務。

2.2.2 標準化原則

項目的安全體系設計嚴格遵循了國家標準，如《信息系統(tǒng)安全等級保護基本要求》。在達到標準要求的同時能夠使企業(yè)內(nèi)部的信息系統(tǒng)在可控范圍內(nèi)實現(xiàn)安全的互聯(lián)互通。

2.2.3 需求、風險、成本平衡原則

任何信息系統(tǒng)都無法做到絕對安全，所以設計時就需要明確性能要求以及側重點，然后從需求出發(fā)，在功能、風險和成本之間進行平衡和折中[5]。

2.2.4 實用、高效、可擴展原則

無論現(xiàn)狀如何，隨著技術發(fā)展信息系統(tǒng)仍將不斷變化，哪怕在系統(tǒng)實施過程中，系統(tǒng)的結構、配置也會發(fā)生變化。所以系統(tǒng)需要有一定的靈活性來適應這些變化，使其符合“有層次、成體系”的標準，既有利于系統(tǒng)安全，又有利于擴展。

2.2.5 技術、管理相結合原則

為了使內(nèi)控堡壘主機可以發(fā)揮其應有的效果，管理者必須首先根據(jù)系統(tǒng)的功能特點來重新梳理和完善現(xiàn)有的運行管理機制和安全規(guī)章制度，同時對技術人員進行思想教育和技術培訓。通過合理的規(guī)定和具體培訓，才能完成系統(tǒng)的應用。

2.3 設計思路

2.3.1 集中管理模式

管理模式?jīng)Q定了管理的高度，所以明確管理模式應當是我們要確定首要因素。根據(jù)多年的運維實踐發(fā)現(xiàn)，我們對維護人員及其操作的管理手段并未伴隨著信息化進程的推進而得到加強，這樣導致了人為因素造成的運行故障比例居高不下，缺少有效的審計手段。因此迫使我們必須由分散的管理模式轉變?yōu)榧械墓芾砟Ｊ健＜泄芾硎沁\維管理思想的必然發(fā)展趨勢和唯一選擇[6]。通常，集中管理包括：集中的資源訪問入口、集中的賬號管理、集中的授權管理、集中的認證管理、集中的審計管理等等。

2.3.2 訪問協(xié)議代理

內(nèi)控堡壘主機通過對各平臺所使用的協(xié)議進行代理來實現(xiàn)對操作行為的審計和監(jiān)控[7]。比如SSH、TELNET、FTP、RDP、VNC等等Windows或Linux平臺上的訪問協(xié)議。

2.3.3 身份授權分離

為避免傳統(tǒng)方式的共享賬號、弱口令賬號等問題導致的安全漏洞，我們的解決思路是將身份和授權分離。首先建立用于身份認證的獨立賬號體系，然后保留各系統(tǒng)賬號但使其由堡壘主機接管并定期更新密碼，使得被管理設備本身的系統(tǒng)賬號僅用于系統(tǒng)授權而剝離其身份認證功能，有效增強了身份認證和系統(tǒng)授權的可靠性。

2.4 系統(tǒng)構架

我們部署的內(nèi)控堡壘主機由展現(xiàn)層、核心服務層、接口管理層三層結構組成。

展現(xiàn)層面向用戶，集成了多種包括匙扣令牌在內(nèi)的強身份認證方式，分別對系統(tǒng)管理員和運維用戶提供不同的訪問操作頁面。

核心服務層面向授權和協(xié)議代理，部署在服務器上。在核心服務層上完成賬號管理、授權管理及策略設置等操作。其中的協(xié)議代理包含用戶輸入模塊、命令捕獲引擎、策略控制和日志服務，所以具備對用戶行為進行監(jiān)視、控制和記錄的功能。

接口管理層面向個信息系統(tǒng)，用于實現(xiàn)審計結合、賬號同步、認證結合等方面的數(shù)據(jù)接口工作。另外它還包含應用發(fā)布服務，以此來實現(xiàn)對B/S、C/S、半B/S半C/S系統(tǒng)的單點登錄及審計工作。

3 內(nèi)控堡壘主機的實施

系統(tǒng)的實施過程中，我們將堡壘主機及其應用發(fā)布服務器的部署位置單獨剝離開劃分為管理區(qū)，把內(nèi)部網(wǎng)絡的其他設備如服務器、網(wǎng)絡設備、數(shù)據(jù)庫等等劃分為業(yè)務區(qū)。在內(nèi)控堡壘主機部署上架后，運維人員將集中通過內(nèi)控堡壘主機對業(yè)務區(qū)的目標設備進行日常運維操作。

設備上架后，我們需要通過防火墻策略配置解除客戶端到堡壘主機及堡壘主機到目標服務器的端口限制。這樣當用戶訪問設備時，堡壘主機才可以完成對TELNET（端口23）、SSH（端口22）、RDP（端口3389）等協(xié)議的代理訪問具體設備，并在堡壘主機上完成對設備的單點登錄及會話的完整審計。

4 結語

在信息化水平快速發(fā)展的今天，技術發(fā)展與管理模式相輔相成。信息安全不僅需要先進的設備和嫻熟的技術，更需要完善的制度和審計手段。內(nèi)控堡壘主機的實施切實有效地規(guī)范了內(nèi)外部維護人員對IT基礎設施的維護行為，彌補了操作審計空白。它通過集中管理的模式，借助于協(xié)議代理、身份授權分離等技術，極大地減少了維護人員誤操作或惡意操作的概率，縮短了故障定位時間。這次內(nèi)控堡壘主機的實施完善了筆者所在單位的信息安全保護體系，將有助于提高信息系統(tǒng)運行的安全性和穩(wěn)定性。

參考文獻：

[1]潘玉珣. 新一代堡壘主機[J]. 信息安全與通信保密，2011，05：45.

[2]韓榮杰，于曉誼. 基于堡壘主機概念的運維審計系統(tǒng)[J]. 信息化建設，2012，01：56-59.

[3]趙瑞霞，王會平. 構建堡壘主機抵御網(wǎng)絡攻擊[J]. 網(wǎng)絡安全技術與應用，2010，08：26-27.

[4] 公安部信息安全等級保護評估中心. GB/T 22239-2008， 信息安全技術信息系統(tǒng)安全等級保護基本要求[S]. 北京：中國標準出版社，2008.

[5]韓海航，王久輝. 大型交通網(wǎng)絡系統(tǒng)安全保障體系研究[J]. 計算機安全，2007，10：77-80.

[6]吳國良. 面向NGB的網(wǎng)絡與信息管控建設[J]. 廣播與電視技術，2013，10：28+30-33.

[7]陳旭. IT運維操作管理有效降低企業(yè)風險[J]. 高科技與產(chǎn)業(yè)化，2010，05：116-119.

作者簡介：

龐博（1985-），男，軟件工程學士，助理工程師，主要研究方向為平面網(wǎng)絡及網(wǎng)絡安全。