隨著企業(yè)信息化進程不斷深入，企業(yè)的業(yè)務(wù)系統(tǒng)變得日益復雜，由內(nèi)部員工違規(guī)操作導致的安全問題變得日益突出起來。防火墻、防病毒、入侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題，但對于內(nèi)部人員的違規(guī)操作卻無能為力。根據(jù)中國國家信息安全測評中心調(diào)查，信息安全的現(xiàn)實威脅主要為內(nèi)部信息泄露和內(nèi)部人員犯罪，而非病毒和外來黑客。

　　堡壘機完善IT系統(tǒng)內(nèi)控

　　啟明星辰天玥網(wǎng)絡(luò)安全審計系統(tǒng)-運維安全管控系統(tǒng)(天玥OSM堡壘機)，能夠?qū)ζ髽I(yè)運維人員的維護過程進行全面跟蹤、控制、記錄、回放;支持細粒度配置運維人員的訪問權(quán)限，實時阻斷違規(guī)、越權(quán)的訪問行為，同時提供維護人員操作的全過程記錄與報告;系統(tǒng)支持對加密與圖形協(xié)議進行審計，消除了傳統(tǒng)審計設(shè)備的審計盲點，成為企業(yè)IT系統(tǒng)內(nèi)部控制最有力的支撐平臺。

　　例如，在運營商某省公司，很多設(shè)備和業(yè)務(wù)系統(tǒng)己經(jīng)通過外包公司代維，那么業(yè)務(wù)數(shù)據(jù)是否被非法訪問或產(chǎn)生信息泄露？由于缺乏在技術(shù)層面進行高強度的監(jiān)管，業(yè)務(wù)系統(tǒng)安全狀況不得而知。為進一步提升業(yè)務(wù)系統(tǒng)安全性及安全管理水平，省公司開始進行運維安全系統(tǒng)建設(shè)，通過啟明星辰天玥OSM堡壘機的實施和運用，使得系統(tǒng)和安全管理人員可以對支撐系統(tǒng)的運維用戶和各種資源進行集中管理、集中權(quán)限分配和控制、集中審計，從技術(shù)層面上有效保證了支撐系統(tǒng)安全策略的實施。

　　天玥堡壘機互補技術(shù)方案

　　在常見的信息系統(tǒng)中，運維人員對目標設(shè)備的運維協(xié)議或訪問方式主要包括字符協(xié)議、圖形協(xié)議、文件傳輸協(xié)議、HTTP(S)訪問、數(shù)據(jù)庫客戶端或其他私有客戶端。如何有效實現(xiàn)對運維人員的操作權(quán)限進行細粒度控制和合規(guī)審計呢？

　　天玥OSM堡壘機由WEB模塊、協(xié)議代理模塊、行為審計模塊、應用發(fā)布模塊和存儲模塊組成。其中協(xié)議代理模塊可以實現(xiàn)對主機、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備維護過程中的協(xié)議數(shù)據(jù)包代理轉(zhuǎn)發(fā)、行為還原及記錄、高危/違規(guī)行為阻斷等功能，支持SSH、TELNET、FTP、SFTP、RDP、VNC、X11等運維協(xié)議。應用發(fā)布模塊用于發(fā)布非標準協(xié)議或應用客戶端，可實現(xiàn)對應用客戶端工具的自動調(diào)出、密碼代填和操作審計功能，主要包括HTTP IE應用、數(shù)據(jù)庫客戶端、pcanywhere等工具，支持擴展。

　　 圖1 協(xié)議代理模塊

　　如圖1所示，運維用戶通過堡壘機WEB界面進行對目標資源的單點登錄(SSO)，堡壘機對指定的協(xié)議通過代理方式，實現(xiàn)對協(xié)議的審計等功能，具體如下：

　　1、運維用戶通過HTTPS訪問堡壘機WEB界面;

　　2、堡壘機對運維用戶的身份進行認證;

　　3、認證成功后，運維用戶即進入堡壘機運維主界面，同時對運維用戶的權(quán)限進行鑒別，展現(xiàn)運維用戶權(quán)限范圍內(nèi)的資源列表;

　　4、運維用戶選擇需要單點登錄的被管資源、相關(guān)資源賬號和運維協(xié)議;

　　5、堡壘機實現(xiàn)對相應協(xié)議的代理，并進行密碼代填，實現(xiàn)對目標資源的單點登錄。

　　運維用戶在經(jīng)過堡壘機進行運維操作時，堡壘機相對于終端運維用戶是運維會話的服務(wù)端，接收用戶的運維指令，相對于目標被管資源是客戶端，向目標資源輸送運維指令，并接收返回結(jié)果，并將結(jié)果返回至終端運維用戶操作界面。協(xié)議代理模塊在此過程中，將相應的指令和結(jié)果發(fā)送至行為審計模塊，此外還可根據(jù)指令黑白名單進行指令控制和二次審批。

　　 圖2 應用發(fā)布模塊

　　如圖2所示，管理員用戶將客戶端工具安裝在應用發(fā)布服務(wù)器上，而運維用戶終端無需安裝，運維用戶通過堡壘機WEB界面進行對目標資源的單點登錄，選擇相應的客戶端工具，堡壘機實現(xiàn)對工具的遠程自動調(diào)出、密碼代填和操作審計功能，具體如下：

　　1、運維用戶通過HTTPS訪問堡壘機WEB界面;

　　2、堡壘機對運維用戶的身份進行認證;

　　3、認證成功后，運維用戶即進入堡壘機運維主界面，同時對運維用戶的權(quán)限進行鑒別，展現(xiàn)運維用戶權(quán)限范圍內(nèi)的資源列表;

　　4、運維用戶選擇需要單點登錄的被管資源、相關(guān)資源賬號和運維客戶端工具;

　　5、堡壘機實現(xiàn)對工具的遠程自動調(diào)出、密碼代填，并在用戶運維操作過程中進行錄像審計。

　　堡壘機通過這兩種互補的技術(shù)方案，實現(xiàn)對自然人身份以及資源、資源賬號的集中管理，建立“自然人—資源—資源賬號”對應關(guān)系，實現(xiàn)自然人對資源的統(tǒng)一授權(quán)，同時，對授權(quán)人員的運維操作進行記錄、分析、展現(xiàn)，以幫助內(nèi)控工作事前規(guī)劃預防、事中實時監(jiān)控、違規(guī)行為響應、事后合規(guī)報告、事故追蹤回放，加強內(nèi)部業(yè)務(wù)操作行為監(jiān)管，避免核心資產(chǎn)(服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等)損失，保障業(yè)務(wù)系統(tǒng)的正常運營。

　　作為國內(nèi)最早研發(fā)和業(yè)界領(lǐng)先的堡壘機廠商之一，啟明星辰堡壘機產(chǎn)品歷經(jīng)5年多的持續(xù)發(fā)展，已擁有目前國內(nèi)最多的客戶群，包括電信運營商、金融、能源、政府、煙草、傳媒、公安和企事業(yè)單位等。