李瀾濤　趙娜　魏旭璐

摘要： 企業(yè)網(wǎng)絡(luò)安全需求日益提高，傳統(tǒng)安全管理平臺(tái)在單點(diǎn)登錄、賬號(hào)管理及審計(jì)中存在問題，本文利用堡壘主機(jī)進(jìn)行集中登陸、身份授權(quán)等功能，實(shí)際測(cè)試采用極地銀河內(nèi)控堡壘主機(jī)加固后的企業(yè)完全平臺(tái)，可實(shí)現(xiàn)統(tǒng)一的賬號(hào)管理、雙向可備份審計(jì)、審計(jì)查詢檢索等功能。系統(tǒng)部署便捷，極大地提高了企業(yè)內(nèi)部網(wǎng)絡(luò)安全性。

關(guān)鍵詞：堡壘主機(jī)；身份授權(quán)；審計(jì)備份

中圖分類號(hào)：G64文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2015）01 （b）-0000-00

1企業(yè)網(wǎng)絡(luò)安全典型現(xiàn)狀分析

隨著信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進(jìn)步，辦公系統(tǒng)、商務(wù)平臺(tái)的不斷推出和投入運(yùn)行，信息系統(tǒng)在企業(yè)的運(yùn)營中全面滲透。電信行業(yè)、財(cái)政、稅務(wù)、公安、金融、電力、石油、大中企業(yè)和門戶網(wǎng)站，更是使用數(shù)量較多的服務(wù)器主機(jī)來運(yùn)行關(guān)鍵業(yè)務(wù)。

1.1 企業(yè)管理現(xiàn)狀

隨著網(wǎng)絡(luò)安全威脅日益增多，單純來自于外界的威脅變得有限，更多的、更嚴(yán)重的威脅來自于內(nèi)部，或由內(nèi)外勾結(jié)所產(chǎn)生的破壞。企業(yè)生產(chǎn)數(shù)據(jù)面臨被內(nèi)部人員篡改、刪除、竊取，主機(jī)被關(guān)機(jī)、設(shè)備配置被修改，導(dǎo)致企業(yè)生產(chǎn)停頓、商業(yè)資料泄露，給企業(yè)造成巨大的損失。目前企業(yè)機(jī)構(gòu)的運(yùn)維管理總體上有以下三個(gè)特點(diǎn)：

1、關(guān)鍵的核心業(yè)務(wù)都部署于Unix和Windows服務(wù)器上。

2、應(yīng)用的復(fù)雜度決定了多種角色交叉管理。

3、通過Telnet， SSH， FTP， RDP等方式進(jìn)行遠(yuǎn)程管理。

1.2 企業(yè)管理中存在的問題分析

1、賬號(hào)管理工作問題

由于共享帳號(hào)是多人共同使用，發(fā)生問題后，無法準(zhǔn)確定位惡意操作或誤操作的責(zé)任人。更改密碼需要通知到每一個(gè)需要使用此帳號(hào)的人員，帶來了密碼管理的復(fù)雜化。同時(shí)還造成密碼策略無法有效執(zhí)行；帳號(hào)授權(quán)不清晰；訪問控制策略無法嚴(yán)格執(zhí)行的問題。

2、審計(jì)工作問題

審計(jì)問題主要包括：缺乏帳號(hào)分配審計(jì)；缺乏用戶使用相應(yīng)帳號(hào)的授權(quán)審計(jì)；缺乏用戶登錄登出系統(tǒng)的審計(jì)；缺乏用戶對(duì)系統(tǒng)訪問行為審計(jì)這四個(gè)方面。而且，由于各系統(tǒng)的日志記錄能力各不相同，例如對(duì)于Unix系統(tǒng)來說，日志記錄就存在以下問題：

（1）Unix系統(tǒng)中，用戶在服務(wù)器上的操作有一個(gè)歷史命令記錄的文件，但是用戶可以隨意更改和刪除自己的記錄；

（2）root用戶不僅僅可以修改自己的歷史記錄，還可以修改他人的歷史記錄，系統(tǒng)本身的歷史記錄文件已經(jīng)變的不可信；

（3）記錄的命令數(shù)量有限制；

（4）無法記錄操作人員、操作時(shí)間、操作結(jié)果等。

綜上所述，企業(yè)現(xiàn)狀迫切要求企業(yè)內(nèi)部規(guī)范管理，通過內(nèi)控堡壘主機(jī)實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)的合理化，安全化，專業(yè)化，規(guī)范化，充分保障企業(yè)資源安全。

2堡壘主機(jī)的作用和功能發(fā)展

2.1 堡壘主機(jī)概述

堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)的安全的目的。堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)，所以堡壘主機(jī)也必須是自身保護(hù)最完善的主機(jī)。

2.2 堡壘主機(jī)平臺(tái)系統(tǒng)的發(fā)展及解決思路

2.1.1旁路審計(jì)

操作審計(jì)管理主要審計(jì)操作人員的帳號(hào)使用（登錄、資源訪問）情況、資源使用情況等。在各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問日志記錄都采用統(tǒng)一的帳號(hào)、資源進(jìn)行標(biāo)識(shí)后，操作審計(jì)能更好地對(duì)帳號(hào)的完整使用過程進(jìn)行追蹤。

所謂的旁路審計(jì)可以針對(duì)常見的明文協(xié)議，如TELNET/FTP/HTTP等，采用鏡像監(jiān)聽技術(shù)從旁路對(duì)協(xié)議報(bào)文進(jìn)行審計(jì)。

它主要存在的問題是無法對(duì)密文協(xié)議如：SSH/RDP進(jìn)行旁路審計(jì)以及審計(jì)信息不可讀（實(shí)名、信息量）等。解決思路就是采用審計(jì)雙向備份及審計(jì)查詢檢索技術(shù)等。

2.1.2集中登錄

集中登錄是指先登錄管理作業(yè)服務(wù)器，然后轉(zhuǎn)換身份再對(duì)相關(guān)服務(wù)器進(jìn)行維護(hù)。屬于多用戶單帳號(hào)管理方式，這種登錄方式的主要問題是：

1.多用戶共享root帳號(hào)，權(quán)限劃分不明，所有人員都具有最高的ROOT權(quán)限。 2.無法跟蹤某個(gè)管理員的確切操作。 3.依靠各自服務(wù)器的日志信息，審計(jì)信息不可讀。

解決集中登錄的問題可采用單點(diǎn)登錄或者連續(xù)跳轉(zhuǎn)登錄技術(shù)。

2.1.3身份授權(quán)分離

以前管理員依賴各IT系統(tǒng)上的系統(tǒng)帳號(hào)實(shí)線兩部分功能：身份認(rèn)證和系統(tǒng)授權(quán)，但是因?yàn)楣蚕韼ぬ?hào)、弱口令帳號(hào)等問題存在，這兩方面實(shí)現(xiàn)都存在漏洞，達(dá)不到預(yù)期的效果。

解決的思路是將身份和授權(quán)分離。在堡壘主機(jī)上建立主帳號(hào)體系，用于身份認(rèn)證，原各IT系統(tǒng)上的系統(tǒng)帳號(hào)僅用于系統(tǒng)授權(quán)，這樣可以有效增強(qiáng)身份認(rèn)證和系統(tǒng)授權(quán)的可靠性，從本質(zhì)上解決帳號(hào)管理混亂問題，為認(rèn)證、授權(quán)、審計(jì)提供可靠的保障。

3基于堡壘主機(jī)的加固解決方案

3.1 極地銀河內(nèi)控堡壘主機(jī)概述

極地銀河內(nèi)控堡壘主機(jī)是一種被加固的可以防御進(jìn)攻的計(jì)算機(jī)，能夠具備很強(qiáng)安全防范功能。極地銀河內(nèi)控堡壘主機(jī)是在整個(gè) Unix/Linux主機(jī)系統(tǒng)的扮演著看門者的工作，所有的請(qǐng)求都要從這扇大門走過，它攔截所有用戶的非法訪問，和惡意攻擊，過濾掉所有對(duì)目標(biāo)訪問Unix/Linux設(shè)備的非法行為，對(duì)不合法命令進(jìn)行命令阻斷。

極地銀河內(nèi)控堡壘主機(jī)支持多信道通信，用戶只需要在一點(diǎn)便可以登錄到不同的 Unix/Linux設(shè)備上進(jìn)行工作，無需在不同的機(jī)器上分別登錄，大大的節(jié)約了系統(tǒng)管理員的時(shí)間，從而提高了工作效率。

3.2 系統(tǒng)總體技術(shù)功能

3.2.1統(tǒng)一的WEB方式管理

使用極地銀河堡壘主機(jī)，無論管理員還是用戶，都采用同意的WEB方式管理， 用戶登錄堡壘主機(jī)后可以看到所有授權(quán)資源列表，訪問資源時(shí)不用再輸入帳號(hào)和密碼，做到真正的單點(diǎn)登錄。系統(tǒng)內(nèi)部提供認(rèn)證服務(wù)器組件，所有對(duì)資源的訪問都是認(rèn)證服務(wù)器提供的臨時(shí)會(huì)話號(hào)，即使會(huì)話號(hào)被截獲，也無法通過此會(huì)話號(hào)再次訪問資源，提高資源訪問的安全性。

3.2.2 支持強(qiáng)認(rèn)證和數(shù)字加密功能

系統(tǒng)可以方便的集成各種強(qiáng)認(rèn)證方式，如證書認(rèn)證、智能卡認(rèn)證、短信認(rèn)證甚至人體特征認(rèn)證（指紋、視網(wǎng)膜等）方式。極地銀河內(nèi)控堡壘主機(jī)在處理用戶數(shù)據(jù)時(shí)都采用相應(yīng)的數(shù)據(jù)加密技術(shù)來保護(hù)用戶通信的安全性和數(shù)據(jù)的完整性。防止惡意用戶截獲和篡改數(shù)據(jù)。充分保護(hù)用戶在操作過程中不被惡意破壞。

3.2.3審計(jì)雙向備份技術(shù)

審計(jì)雙向備份指的將用戶的行為審計(jì)信息記錄在本地和發(fā)送到指定的服務(wù)器，進(jìn)行雙向?qū)懭耄沟弥匾挠脩粜袨閷徲?jì)信息能夠得到安全的管理，避免丟失數(shù)據(jù)無法查證，提高審計(jì)信息的安全性，管理員自身也可以通過某種技術(shù)手段將這些重要的審計(jì)信息保存或備份到其他的存儲(chǔ)設(shè)備上。定期的歸檔和調(diào)閱。

3.3系統(tǒng)部署

極地銀河內(nèi)控堡壘主機(jī)能夠架設(shè)在企業(yè)內(nèi)部網(wǎng)絡(luò)的 Unix/Linux主機(jī)之上，是一道安全屏障，因此企業(yè)內(nèi)部 Unix/Linux主機(jī)不需要擔(dān)心任何安全問題，可以全身心投入到業(yè)務(wù)處理中。

它在部署過程中不需要任何客戶端代理或服務(wù)器端引擎；部署不影響現(xiàn)有企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不影響業(yè)務(wù)數(shù)據(jù)流。同時(shí)，堡壘主機(jī)支持了雙機(jī)熱備、支持集中管理分級(jí)部署，完全可以實(shí)現(xiàn)快速上線使用。

4總結(jié)

通過對(duì)內(nèi)控堡壘主機(jī)從而加固企業(yè)網(wǎng)絡(luò)安全平臺(tái)的測(cè)試，真正做到對(duì)于內(nèi)部網(wǎng)絡(luò)的嚴(yán)格管理，可以控制、限制和追蹤用戶的行為，判定用戶的行為是否對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全運(yùn)行帶來威脅。

參考文獻(xiàn)：

[1] 閆文耀，王志曉. 基于堡壘主機(jī)防火墻的安全模型研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2008（06）

[2] 教育行業(yè)內(nèi)控解決方案. BeiJing Jidi Information Tech Co.，Ltd. http：//www.jidisec.com/news/83_491.html online 2013/07

[3] 周春楠. 綜合審計(jì)與責(zé)任分析系統(tǒng)關(guān)鍵技術(shù)與設(shè)計(jì)原理[J]. 電信科學(xué)，2013，11：152-158.