基于醫(yī)科類院校堡壘機(jī)的建設(shè)及應(yīng)用展望初探

彭桂芬 者明偉 韓華

摘? 要：隨著信息化的發(fā)展，各高校的應(yīng)用系統(tǒng)不斷發(fā)展，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大、設(shè)備數(shù)量激增，網(wǎng)絡(luò)平臺(tái)逐步建設(shè)起來(lái)。談到以深化應(yīng)用和提高效率為特征的運(yùn)維階段，各應(yīng)用系統(tǒng)的運(yùn)維，安全管理逐步融為一體。信息系統(tǒng)的安全運(yùn)行直接關(guān)系到各高校日常教學(xué)和辦公，同時(shí)對(duì)操作和維護(hù)的安全性提出了更高的要求。堡壘機(jī)的建設(shè)和應(yīng)用，通過(guò)基于唯一識(shí)別的集中賬戶和訪問(wèn)控制策略，幫助大學(xué)為用戶建立集中、有序、主動(dòng)的運(yùn)維安全管理和控制平臺(tái)。堡壘機(jī)無(wú)縫連接各種服務(wù)器和網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)集中精細(xì)的運(yùn)維管理和審計(jì)，降低人為操作的安全風(fēng)險(xiǎn)，避免安全損失，滿足合規(guī)要求，保障高校各應(yīng)用系統(tǒng)的穩(wěn)健運(yùn)行。本文結(jié)合我校堡壘機(jī)的建設(shè)，對(duì)高校堡壘機(jī)建設(shè)提供一定的實(shí)踐經(jīng)驗(yàn)。

關(guān)鍵詞：堡壘機(jī);信息技術(shù);網(wǎng)絡(luò)運(yùn)維

中圖分類號(hào)：TP309? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2019）10-0152-04

Abstract：With the development of information technology，the application systems of colleges and universities continue to develop，the network scale expands rapidly，the number of equipment increases sharply，and the network platform is gradually built up. Speaking of the operation and maintenance stage characterized by deepening application and improving efficiency，the operation and maintenance of application systems and safety management are gradually integrated. The safe operation of information system is directly related to the daily teaching and office work of colleges and universities. At the same time，it puts forward higher requirements for the security of operation and maintenance. The construction and application of the fortress machine，through the centralized account and access control strategy based on unique identification，helps the university to establish a centralized，orderly，active operation and security management and control platform for users. Fortress machine seamlessly connects all kinds of servers and network equipment，realizes centralized and meticulous operation and maintenance management and audit，reduces the security risks of human operation，avoids security losses，meets the requirements of compliance，and ensures the stable operation of various application systems in colleges and universities. Combining with the construction of the fortress machine in our university，this paper gives some practical experience for the construction of the fortress machine in colleges and universities.

Keywords：fortress machine;information technology;network operation and maintenance

0? 引? 言

隨著高校信息化水平的不斷提高，大學(xué)應(yīng)用系統(tǒng)的運(yùn)行和維護(hù)工作不斷增加，由維護(hù)人員潛在的違規(guī)行為引起的安全問(wèn)題尤其應(yīng)該得到重視。傳統(tǒng)的安全產(chǎn)品，如防火墻、防病毒、入侵檢測(cè)系統(tǒng)等，可以防范來(lái)自外部的安全問(wèn)題，但對(duì)于內(nèi)部人員的違規(guī)操作無(wú)法做到有效監(jiān)控。大學(xué)信息中心面臨的一個(gè)關(guān)鍵問(wèn)題是如何有效監(jiān)控第三方技術(shù)人員和內(nèi)部運(yùn)維人員的操作行為，并進(jìn)行嚴(yán)格的審計(jì)。堡壘機(jī)的建設(shè)和應(yīng)用可以很好地解決以上的問(wèn)題。

1? 大學(xué)信息系統(tǒng)中操作和維護(hù)人員安全操作的潛在風(fēng)險(xiǎn)

（1）一些醫(yī)學(xué)院校的賬戶管理混亂，隱藏著巨大的風(fēng)險(xiǎn)，例如多個(gè)用戶混用同一個(gè)賬號(hào)。在高校網(wǎng)絡(luò)管理中心，由于工作需要，一些應(yīng)用系統(tǒng)管理賬戶是唯一的，因此只有多個(gè)用戶可以共享同一個(gè)賬戶。結(jié)果是，不僅在發(fā)生安全事故時(shí)，很難找到實(shí)際用戶和賬戶負(fù)責(zé)人，而且還難以有效控制賬戶的使用范圍，存在很大的安全風(fēng)險(xiǎn)。并且目前存在網(wǎng)絡(luò)運(yùn)維人員在大學(xué)中使用多個(gè)賬戶的情況，且這種情況更加常見。如今，高校有很多應(yīng)用系統(tǒng)，這種情況導(dǎo)致的直接結(jié)果是工作效率低、管理繁瑣，甚至出現(xiàn)誤操作，這都會(huì)影響系統(tǒng)的正常運(yùn)行。

（2）粗放式的權(quán)限管理，安全性很難保證。大多數(shù)大學(xué)的應(yīng)用系統(tǒng)的運(yùn)行和維護(hù)采用設(shè)備的授權(quán)系統(tǒng)和操作系統(tǒng)本身，授權(quán)功能分散在各種設(shè)備和系統(tǒng)中。大多數(shù)操作和維護(hù)人員的權(quán)限是廣泛粗放的管理。如果出現(xiàn)的問(wèn)題不能及時(shí)得到解決，大學(xué)信息系統(tǒng)的安全性很難得到充分保證。

（3）在運(yùn)維工作中，大部分監(jiān)控和審核都是通過(guò)各網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)的系統(tǒng)日志進(jìn)行的。但是，由于每個(gè)系統(tǒng)的審計(jì)日志分散且內(nèi)容不同，很難根據(jù)業(yè)務(wù)需求制定統(tǒng)一的審計(jì)策略。因此，很難通過(guò)系統(tǒng)自己的審計(jì)及時(shí)發(fā)現(xiàn)非法操作行為，及時(shí)追蹤和收集證據(jù)。

（4）第三方代維人員帶來(lái)的安全隱患。目前，許多公司和組織選擇將非核心業(yè)務(wù)外包給設(shè)備制造商或運(yùn)維公司。由于維護(hù)人員的高度流動(dòng)性以及缺乏對(duì)操作行為的嚴(yán)格必要監(jiān)控，風(fēng)險(xiǎn)越來(lái)越明顯。因此，為了消除隱患和規(guī)避風(fēng)險(xiǎn)，第三方運(yùn)營(yíng)商和維護(hù)方需要通過(guò)嚴(yán)格的權(quán)限控制和操作行為審計(jì)。

（5）傳統(tǒng)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)已無(wú)法滿足現(xiàn)如今運(yùn)維審計(jì)和管理的要求。傳統(tǒng)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)無(wú)法有效解決運(yùn)營(yíng)維護(hù)人員的Telnet的監(jiān)管問(wèn)題和其他操作行為。同時(shí)，傳統(tǒng)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是基于日志審計(jì)，只能審計(jì)到IP地址，在發(fā)生網(wǎng)絡(luò)安全事故后，追查不到責(zé)任人。

上述風(fēng)險(xiǎn)帶來(lái)的運(yùn)維安全風(fēng)險(xiǎn)和審計(jì)監(jiān)督問(wèn)題已成為高校信息系統(tǒng)安全運(yùn)行的重大隱患，制約了大學(xué)信息系統(tǒng)的發(fā)展。因此迫切需要高校IT運(yùn)維管理改革。

2? 堡壘機(jī)的作用及特點(diǎn)

2.1? 堡壘機(jī)的主要作用

（1）堡壘主機(jī)是一個(gè)合規(guī)控制系統(tǒng)，用于控制和審核業(yè)務(wù)環(huán)境中的用戶操作和維護(hù)操作。它通過(guò)集中管理自然人身份和資源以及資源賬戶，建立“自然人-資源-資源賬戶”之間的對(duì)應(yīng)關(guān)系。實(shí)現(xiàn)自然人資源的統(tǒng)一授權(quán)，同時(shí)記錄、分析和顯示授權(quán)人員的操作和維護(hù)操作。幫助內(nèi)部控制工作提前規(guī)劃預(yù)防、實(shí)時(shí)監(jiān)控、違規(guī)響應(yīng)，事后合規(guī)報(bào)告、事故跟蹤和回放，加強(qiáng)對(duì)內(nèi)部業(yè)務(wù)的監(jiān)督，避免核心資產(chǎn)（服務(wù)器，網(wǎng)絡(luò)設(shè)備，安全設(shè)備等）的丟失，保證業(yè)務(wù)系統(tǒng)的正常運(yùn)行。

（2）堡壘主機(jī)可以全面跟蹤、控制、記錄和回放操作維護(hù)人員的維護(hù)過(guò)程;支持對(duì)操作和維護(hù)人員的訪問(wèn)的細(xì)粒度配置，實(shí)時(shí)防止違規(guī)和未授權(quán)訪問(wèn)行為，并提供維護(hù)人員操作的記錄和報(bào)告。該系統(tǒng)支持加密和圖形協(xié)議的審計(jì)，消除了傳統(tǒng)行為審計(jì)系統(tǒng)中審計(jì)的盲點(diǎn)，是業(yè)務(wù)系統(tǒng)內(nèi)部控制最強(qiáng)大的支撐平臺(tái)。

2.2? 堡壘主機(jī)的特點(diǎn)

2.2.1? 操作和維護(hù)支持范圍廣泛易擴(kuò)展，完全滿足運(yùn)維需求

堡壘機(jī)支持各種操作和維護(hù)協(xié)議或操作和維護(hù)客戶端，以完全滿足操作和維護(hù)需求，包括字符協(xié)議、圖形協(xié)議、文件傳輸協(xié)議、HTTP（S）應(yīng)用程序、數(shù)據(jù)庫(kù)訪問(wèn)以及常見的操作和維護(hù)客戶端，如PcAnywhere和Radmin。通過(guò)配置應(yīng)用程序發(fā)布，還可以靈活地?cái)U(kuò)展其他uM協(xié)議或工具。

2.2.2? 多種資源訪問(wèn)方法，以適應(yīng)不同人的使用習(xí)慣

堡壘機(jī)支持多種目標(biāo)資源訪問(wèn)方式，用戶界面友好，可以完全適應(yīng)不同用戶的使用習(xí)慣。

2.2.3? 細(xì)粒度的訪問(wèn)授權(quán)，有效控制操作和維護(hù)風(fēng)險(xiǎn)

堡壘機(jī)可根據(jù)用戶、用戶組、訪問(wèn)主機(jī)、系統(tǒng)賬號(hào)、訪問(wèn)方式等內(nèi)容設(shè)置細(xì)粒度的訪問(wèn)策略，并支持設(shè)置指令黑白名單、時(shí)間黑白名單、IP黑白名單。集中統(tǒng)一的訪問(wèn)控制和細(xì)粒度的命令級(jí)授權(quán)策略確保了“最小化權(quán)限”的原則，有效避免了運(yùn)維操作的風(fēng)險(xiǎn)。

2.2.4? 審核實(shí)名制，為事后收集證據(jù)提供依據(jù)

根據(jù)用戶的身份，以真實(shí)、完整的方式記錄每個(gè)用戶的所有操作;支持實(shí)時(shí)監(jiān)控和仿真回放;支持在監(jiān)控期間手動(dòng)切割高風(fēng)險(xiǎn)操作。

3? 基于我校的堡壘機(jī)實(shí)施方案

隨著我校網(wǎng)絡(luò)信息化水平的不斷提高，我校的應(yīng)用系統(tǒng)不斷發(fā)展，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，設(shè)備數(shù)量激增，建設(shè)重點(diǎn)逐步建立，轉(zhuǎn)向以深化應(yīng)用和提高效率為特征的運(yùn)營(yíng)和維護(hù)階段，各種應(yīng)用系統(tǒng)的運(yùn)行和維護(hù)以及安全管理逐步整合。為了實(shí)現(xiàn)學(xué)校的集中控制和運(yùn)行控制，以及審計(jì)、降低人身安全風(fēng)險(xiǎn)、避免安全損失、滿足合規(guī)要求、保證應(yīng)用系統(tǒng)的穩(wěn)定運(yùn)行等要求，我校完成了一套堡壘機(jī)（Shterm-SC2）設(shè)備的采購(gòu)、上架及安裝調(diào)試工作。

3.1? 部署圖

使用時(shí)，需要讓所有運(yùn)維用戶的遠(yuǎn)程操作管理都通過(guò)Shterm來(lái)實(shí)現(xiàn)。為了保證用戶按照這個(gè)流程去管理，既可以讓Shterm來(lái)接管最終設(shè)備密碼，也可以通過(guò)在防火墻、路由器上做ACL策略來(lái)實(shí)現(xiàn)控制。邏輯部署圖如圖1所示。

部署說(shuō)明如下：

（1）Shterm部署在邏輯串接（物理旁路），采用在主備模式下為雙機(jī)熱備（即主備節(jié)點(diǎn)工作模式）。

（2）協(xié)議在部署過(guò)程中，只要Shterm實(shí)際地址與受管設(shè)備之間的IP地址可達(dá)，協(xié)議就可以互操作，安裝在Shterm-APP上的客戶端就可以正常訪問(wèn)服務(wù)器。

（3）Shterm的浮動(dòng)地址是用戶操作的唯一的入口（單點(diǎn)登錄），然后根據(jù)管理員在Shterm上預(yù)設(shè)的訪問(wèn)控制規(guī)則選擇設(shè)備和系統(tǒng)賬戶，自動(dòng)登錄到目標(biāo)設(shè)備。

（4）在接入網(wǎng)線時(shí)，eth0接入網(wǎng)絡(luò)。

3.2? 功能實(shí)現(xiàn)

通過(guò)整套堡壘機(jī)（Shterm-SC2）設(shè)備的上架及安裝調(diào)試工作后，可以實(shí)現(xiàn)如下功能。

3.2.1? 用戶賬戶管理

用戶賬號(hào)基本管理包括：用戶狀態(tài)、用戶權(quán)限、用戶登錄密碼、用戶審計(jì)權(quán)限等。

3.2.2? 用戶登錄限制

用戶登錄限制包括：限制用戶登錄時(shí)間、限制用戶登錄IP、限制用戶密碼有效時(shí)間等。

3.2.3? 批量添加或修改用戶

堡壘機(jī)可以批量添加或修改用戶。

3.2.4? 目標(biāo)設(shè)備管理

在Shterm中被管理的設(shè)備統(tǒng)稱為目標(biāo)設(shè)備，配置管理員可以在“基本控制-目標(biāo)設(shè)備”中添加和管理目標(biāo)設(shè)備。添加和管理目標(biāo)設(shè)備是配置管理員最重要的任務(wù)之一。

3.2.5? 系統(tǒng)賬號(hào)管理

可以實(shí)現(xiàn)系統(tǒng)賬號(hào)查看、新建、編輯。

配置管理員可以通過(guò)依次點(diǎn)擊“基本控制-系統(tǒng)賬號(hào)”按鈕，在系統(tǒng)賬號(hào)管理界面查看、新建、編輯系統(tǒng)賬號(hào)。

3.2.6? 目標(biāo)設(shè)備管理

設(shè)備批量導(dǎo)入：配置管理員可以通過(guò)批量導(dǎo)入快速添加多個(gè)目標(biāo)設(shè)備。

3.2.7? 訪問(wèn)權(quán)限管理

Shterm能夠通過(guò)訪問(wèn)權(quán)限管理用戶賬號(hào)、目標(biāo)設(shè)備、服務(wù)、系統(tǒng)賬號(hào)之間的關(guān)系，用戶可以根據(jù)需要通過(guò)訪問(wèn)權(quán)限規(guī)則管理以上要素之間的關(guān)系，從而實(shí)現(xiàn)訪問(wèn)權(quán)限控制的目的。

3.2.8? 創(chuàng)建訪問(wèn)權(quán)限

Shterm能夠通過(guò)訪問(wèn)權(quán)限建立用戶賬號(hào)、目標(biāo)設(shè)備、服務(wù)、系統(tǒng)賬號(hào)之間的關(guān)系，用戶可以根據(jù)需要通過(guò)訪問(wèn)權(quán)限規(guī)則建立以上要素之間的關(guān)系，從而實(shí)現(xiàn)訪問(wèn)權(quán)限控制的目的。

3.2.9? 金庫(kù)模式

實(shí)時(shí)監(jiān)控與阻斷：對(duì)于普通用戶登錄目標(biāo)設(shè)備的連續(xù)操作，審計(jì)管理員可以對(duì)短期Web界面進(jìn)行實(shí)時(shí)監(jiān)控，并在操作時(shí)進(jìn)行審計(jì)，實(shí)現(xiàn)透明操作。同時(shí)，審計(jì)管理員還可以實(shí)時(shí)切斷用戶的非法操作。

雙人授權(quán)訪問(wèn)：對(duì)于核心設(shè)備的維護(hù)，通常需要獲得兩個(gè)人的授權(quán)才能登錄進(jìn)行維護(hù)。對(duì)于每個(gè)訪問(wèn)控制規(guī)則，Shocker可以設(shè)置雙重授權(quán)。

雙人復(fù)核操作：對(duì)于核心設(shè)備上的敏感命令操作，需要在執(zhí)行之前由第二人進(jìn)行檢查。當(dāng)用戶在核心設(shè)備上執(zhí)行敏感命令時(shí)，操作請(qǐng)求自動(dòng)發(fā)送給指定的授權(quán)人，并且在授權(quán)人同意后，可以在設(shè)備上執(zhí)行該命令;反之，命令無(wú)法執(zhí)行。

3.2.10? 自動(dòng)運(yùn)維

自動(dòng)更改密碼以實(shí)現(xiàn)集中密碼管理。修改后的結(jié)果可以通過(guò)加密郵件發(fā)送給密碼管理員。這樣就實(shí)現(xiàn)了密碼的集中管理。Shterm可以實(shí)現(xiàn)密碼備份和手工改密，密碼管理員還可以在系統(tǒng)的Web界面中隨時(shí)將備份設(shè)備的密碼打包到本地，提高改密功能可用性。

3.2.11? 網(wǎng)絡(luò)設(shè)備配置自動(dòng)備份

Shterm具有用于網(wǎng)絡(luò)設(shè)備配置的自動(dòng)備份功能。管理員通過(guò)在Shterm上設(shè)置適當(dāng)?shù)牟呗裕梢栽O(shè)置間隔、自動(dòng)執(zhí)行的頻率）來(lái)自動(dòng)備份指定網(wǎng)絡(luò)設(shè)備上的配置文件，從而在指定時(shí)間配置shwart，執(zhí)行結(jié)果消息將發(fā)送給相關(guān)管理員。

3.2.12? 自動(dòng)發(fā)現(xiàn)目標(biāo)設(shè)備

Shterm具有自動(dòng)發(fā)現(xiàn)目標(biāo)設(shè)備的功能，可以根據(jù)指定的時(shí)間自動(dòng)掃描具有指定IP地址段的設(shè)備。并且設(shè)備的IP、類型、編碼和其他內(nèi)容都可供配置管理員修改導(dǎo)入。

3.2.13? 報(bào)表自動(dòng)化

Shterm具有報(bào)告自動(dòng)化功能，可根據(jù)管理員的默認(rèn)策略在特定時(shí)間生成相應(yīng)的每日、每周、每月或每年報(bào)告，將報(bào)告的內(nèi)容發(fā)送給相應(yīng)的管理員。

3.2.14? 會(huì)話共享

Shterm具有圖形操作會(huì)話共享功能，允許多個(gè)操作員共享同一會(huì)話。例如，用戶A需要用戶B在設(shè)備登錄過(guò)程中輸入后半部分的密碼時(shí)，用戶A可以直接在Web社區(qū)中申請(qǐng)。并不需要兩人同在一個(gè)地方。

3.2.15? 操作審計(jì)

（1）Shterm可以完全記錄普通用戶的圖形操作。Shterm可以完整記錄普通用戶的圖形操作，對(duì)于審計(jì)結(jié)果的查看，可以做到：1）拖拉定位回放：Shterm可以快速準(zhǔn)確地定位回放點(diǎn)，并且可以在沒(méi)有延遲的情況下在圖形設(shè)備上進(jìn)行視頻的拖放回放。2）靜止會(huì)話自動(dòng)過(guò)濾：Shterm錄制圖形會(huì)話以遞增方式記錄，因此靜止屏幕Shterm將被自動(dòng)過(guò)濾而無(wú)須任何操作，并且在播放期間將自動(dòng)跳過(guò)靜止圖像的時(shí)間段。3）縮略圖查看：對(duì)于大的會(huì)話，可以以縮略圖分段顯示。4）根據(jù)時(shí)間定位回放：可以根據(jù)指定的時(shí)間從該時(shí)間點(diǎn)播放圖形操作。5）回放抓屏：在回放的過(guò)程中，可以隨時(shí)進(jìn)行抓圖。

（2）鍵盤和鼠標(biāo)、剪貼板操作審核。為了進(jìn)一步維護(hù)和提高操作的完整性，Shterm具有用于Windows遠(yuǎn)程桌面操作的鼠標(biāo)點(diǎn)擊歷史記錄、查詢和審計(jì)功能，同樣，用戶鍵盤輸入和剪貼板的內(nèi)容，將被Shterm記錄為文本：1）鼠標(biāo)審計(jì)：查看審核記錄時(shí)，評(píng)論頁(yè)面上會(huì)有三個(gè)代表鼠標(biāo)按鈕的圖標(biāo)，分別代表鼠標(biāo)按鈕的左按鈕、中間按鈕和右按鈕。在播放過(guò)程中，根據(jù)用戶點(diǎn)擊鼠標(biāo)的不同按鈕，所代表的圖標(biāo)以不同的顏色顯示，并且變化的數(shù)量與鼠標(biāo)點(diǎn)擊的次數(shù)相對(duì)應(yīng)。2）鍵盤審計(jì)：可以完全記錄用戶的鍵盤輸入操作，并以文本模式保存輸入內(nèi)容。3）通過(guò)鍵盤和剪貼板搜索定位播放：支持鍵盤輸入和剪貼板內(nèi)容搜索，實(shí)現(xiàn)定位播放。4）并且為了降低鍵盤內(nèi)容泄露風(fēng)險(xiǎn)，Shterm還具有鍵盤內(nèi)容查看權(quán)限設(shè)置。

（3）字符命令操作（Telnet/SSH）的操作審計(jì)。Shterm可以完全記錄普通用戶的字符命令操作：1）輸入命令和輸出結(jié)果的智能分離：對(duì)于命令行操作的審計(jì)結(jié)果，Shterm可以智能地分離輸入和輸出;打開審計(jì)界面時(shí)，默認(rèn)情況下，只允許管理員查看用戶輸入的命令。2）定位回放：查看命令行播放時(shí)，用戶可以從任何命令點(diǎn)開始播放。只需單擊“P”，即可立即從該命令回放用戶的操作。3）操作會(huì)話統(tǒng)計(jì)：對(duì)執(zhí)行的命令總數(shù)以及拒絕、禁止命令的數(shù)量進(jìn)行統(tǒng)計(jì)。

（4）審計(jì)搜索。對(duì)于字符操作記錄，可以按時(shí)間、用戶賬號(hào)、目標(biāo)設(shè)備、系統(tǒng)賬號(hào)、命令關(guān)鍵字進(jìn)行搜索，并在最短時(shí)間內(nèi)查找相關(guān)日志內(nèi)容，實(shí)現(xiàn)快速定位;對(duì)于圖形操作記錄，可以根據(jù)鍵盤輸入、剪貼板操作、模糊識(shí)別的內(nèi)容和URL地址作為關(guān)鍵字來(lái)定位查詢;對(duì)于數(shù)據(jù)庫(kù)操作記錄，可以根據(jù)SQL語(yǔ)句的內(nèi)容定位查詢;可以與圖形操作過(guò)程相關(guān)聯(lián)地回放所有查詢的結(jié)果。

4? 結(jié)? 論

今天，隨著高校信息化技術(shù)的飛速發(fā)展，高校的信息安全不再只需要先進(jìn)的技術(shù)，學(xué)校更需要完善的制度和先進(jìn)審計(jì)手段技術(shù)，使得技術(shù)和管理相互促進(jìn)。通過(guò)我校堡壘機(jī)（Shterm-SC2）的部署使用，我校運(yùn)維安全管控系統(tǒng)的建設(shè)取得了很大的成果，進(jìn)一步完善了學(xué)校在信息操作和維護(hù)過(guò)程中的身份認(rèn)證、訪問(wèn)控制、權(quán)限控制、操作監(jiān)控和審計(jì)環(huán)節(jié)。幫助學(xué)校為用戶建立集中、有序、主動(dòng)的運(yùn)維管理控制平臺(tái)。做到集中式、精細(xì)化的操作。通過(guò)基于唯一標(biāo)識(shí)符的集中式賬戶和訪問(wèn)控制策略無(wú)縫連接到服務(wù)器和網(wǎng)絡(luò)設(shè)備，降低人身安全風(fēng)險(xiǎn)、避免安全損失、滿足合規(guī)要求、確保高校各種應(yīng)用系統(tǒng)的穩(wěn)定運(yùn)行。對(duì)DMZ和IDC區(qū)域的運(yùn)維和運(yùn)維人員對(duì)信息系統(tǒng)和業(yè)務(wù)數(shù)據(jù)的運(yùn)營(yíng)實(shí)施全面監(jiān)控和審計(jì)。通過(guò)堡壘機(jī)的部署，有效實(shí)施學(xué)校信息安全保障體系，將學(xué)校信息安全保護(hù)水平進(jìn)一步提高。

參考文獻(xiàn)：

[1] 趙瑞霞，王會(huì)平.構(gòu)建堡壘主機(jī)抵御網(wǎng)絡(luò)攻擊 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（8）：26-27.

[2] 閆文耀，王志曉.基于堡壘主機(jī)防火墻的安全模型研究 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008（6）：37-40.

[3] 孫思良.防火墻技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用 [J].電腦知識(shí)與技術(shù)，2005（12）：34-36.

[4] 周斌.如何構(gòu)建有效的IT運(yùn)維管理 [J].互聯(lián)網(wǎng)周刊，2013（2）：24-25.

[5] 張曄，趙呈東.信息安全動(dòng)態(tài)保障體系建設(shè)探討 [J].信息安全與通信保密，2012（7）：81-83.

作者簡(jiǎn)介：彭桂芬（1979.09-），女，漢族，云南大理人，講師，碩士研究生，研究方向：計(jì)算機(jī)應(yīng)用和現(xiàn)代教育技術(shù);通訊作者：者明偉（1983.09-），男，漢族，云南玉溪人，助理工程師，碩士研究生，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)安全。