現(xiàn)階段，各行各業(yè)無不在信息資產(chǎn)方面增加投入，以確?；A(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)資產(chǎn)和信息安全方面的需要。與此同時，信息化建設(shè)的重點已經(jīng)由原來的基礎(chǔ)建設(shè)向深化應(yīng)用、安全運維方面發(fā)生轉(zhuǎn)變。

　　隨著防火墻、入侵防御系統(tǒng)等安全產(chǎn)品的廣泛使用，網(wǎng)絡(luò)已經(jīng)具備了抵抗外部入侵的能力，但堡壘往往是在內(nèi)部被攻破的。由于設(shè)備和服務(wù)器眾多，賬號管理混亂，授權(quán)不清、各種越權(quán)訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生。在對網(wǎng)絡(luò)造成嚴(yán)重?fù)p害的案例中，大多數(shù)是企業(yè)內(nèi)部人員所為。

　　現(xiàn)今運維安全管理面臨的困境：

　　信息系統(tǒng)維護(hù)人員構(gòu)成復(fù)雜，身份認(rèn)證不充分;

　　運維人員權(quán)限劃分粗粒度，與職能不符;

　　資產(chǎn)賬號信息管理存在巨大的安全隱患;

　　高危操作無法及時進(jìn)行發(fā)現(xiàn)和阻斷;

　　圖片協(xié)議、加密協(xié)議無法審計，造成操作審計不完全;

　　重要信息系統(tǒng)的合規(guī)要求逐漸增加。

　　面臨以上困境，可部署堡壘機(jī)來進(jìn)行有效防御。

　　1.什么是堡壘機(jī)?

　　簡單點來說，堡壘機(jī)是一個審計設(shè)備，所謂審計，就是記錄日志的意思。它審計和記錄的就是IT運維人員對服務(wù)器、網(wǎng)絡(luò)設(shè)備等IT資產(chǎn)的運維操作，即運用各種技術(shù)手段監(jiān)控和記錄運維人員對網(wǎng)絡(luò)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等設(shè)備的操作行為，以便集中報警、及時處理及審計定責(zé)。

　　2.堡壘機(jī)的價值

　　(1)集中賬號管理

　　基于唯一身份標(biāo)識的全局管理，實現(xiàn)了單點登錄，任何運維人員都無法繞過堡壘機(jī)。統(tǒng)一賬號管理策略，實現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無縫連接。

　　(2)集中授權(quán)管理

　　細(xì)粒度的命令級授權(quán)策略，針對運維人員、服務(wù)器、服務(wù)器賬號、服務(wù)器應(yīng)用、訪問時間等多個因素設(shè)定細(xì)粒度的授權(quán)策略，使得運維人員的權(quán)限得到很細(xì)的劃分，從而杜絕了運維人員權(quán)限不明晰的問題。

　　(3)集中認(rèn)證管理

　　堡壘機(jī)審計系統(tǒng)提供了多種認(rèn)證方式，包括：本地認(rèn)證、證書認(rèn)證、RADIUS認(rèn)證。集中認(rèn)證有效地將非法用戶或非授權(quán)用戶拒之門外，就像一座堡壘堅不可破。

　　(4)集中操作審計

　　基于唯一身份標(biāo)識，全程審計用戶對從登錄到退出的操作行為，使得事后的審計和責(zé)任的定位有了可靠有力的根據(jù)。

　　3.管控對象

　　4.堡壘機(jī)主要功能

　　(1)單點登錄

　　堡壘機(jī)提供了基于B/S的單點登錄系統(tǒng)，運維人員通過一次登錄系統(tǒng)后，就可直接對多種基于B/S和C/S的應(yīng)用系統(tǒng)，而無需再次認(rèn)證過程。

　　(2)集中賬號管理

　　集中賬號管理包含對所有服務(wù)器、網(wǎng)絡(luò)設(shè)備賬號的集中管理。通過統(tǒng)一的管理還能夠發(fā)現(xiàn)賬號中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶賬號安全策略。

　　(3)身份認(rèn)證

　　采用統(tǒng)一的認(rèn)證接口不但便于對用戶認(rèn)證的管理，而且能夠采用更加安全的認(rèn)證模式，提高認(rèn)證的安全性和可靠性。

　　(4)資源授權(quán)

　　堡壘機(jī)提供統(tǒng)一的界面，對用戶、角色及行為和資源進(jìn)行授權(quán)，以達(dá)到對權(quán)限的細(xì)粒度控制，最大限度保護(hù)用戶資源的安全。

　　系統(tǒng)不但能夠授權(quán)用戶可以通過什么角色訪問資源這樣基于應(yīng)用邊界的粗粒度授權(quán)，對某些應(yīng)用還可以限制用戶的操作，以及在什么時間進(jìn)行操作等的細(xì)粒度授權(quán)。

　　(5)訪問控制

　　訪問控制策略是保護(hù)系統(tǒng)安全性的重要環(huán)節(jié)，制定良好的訪問策略能夠更好地提高系統(tǒng)的安全性。

　　(6)操作審計

　　在各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問日志記錄都采用統(tǒng)一的賬號、資源進(jìn)行標(biāo)識后，操作審計能更好地對賬號的完整使用過程進(jìn)行追蹤。