堡壘機

1、 目標

堡壘機的核心思路是邏輯上將人與目標設(shè)備分離，建立"人-〉主賬號(堡壘機用戶賬號)-〉授權(quán)->從賬號(目標設(shè)備賬號)的模式;在這種模式下，基于唯一身份標識，通過集中管控安全策略的賬號管理、授權(quán)管理和審計，建立針對維護人員的"主賬號-〉登錄-〉訪問操作-〉退出"的全過程完整審計管理，實現(xiàn)對各種運維加密/非加密、圖形操作協(xié)議的命令級審計。

2、 系統(tǒng)價值

堡壘機的作用主要體現(xiàn)在下述幾個方面:

企業(yè)角度

通過細粒度的安全管控策略，保證企業(yè)的服務器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等安全可靠運行，降低人為安全風險，避免安全損失，保障企業(yè)效益。

管理員角度

所有運維賬號的管理在一個平臺上進行管理，賬號管理更加簡單有序;

通過建立用戶與賬號的唯一對應關(guān)系，確保用戶擁有的權(quán)限是完成任務所需的最小權(quán)限;

直觀方便的監(jiān)控各種訪問行為，能夠及時發(fā)現(xiàn)違規(guī)操作、權(quán)限濫用等。

鑒于多賬號同時使用超管進行的操作，便于實名制的認證和自然人的關(guān)聯(lián)。

普通用戶角度

運維人員只需記憶一個賬號和口令，一次登錄，便可實現(xiàn)對其所維護的多臺設(shè)備的訪問，無須記憶多個賬號和口令，提高了工作效率，降低工作復雜度。

一種用于單點登陸的主機應用系統(tǒng)，目前電信、移動、聯(lián)通三個運營商廣泛采用堡壘機來完成單點登陸和薩班斯要求的審計。

在銀行、證券等金融業(yè)機構(gòu)也廣泛采用堡壘機來完成對財務、會計操作的審計。

在電力行業(yè)的雙網(wǎng)改造項目后，采用堡壘機來完成雙網(wǎng)隔離之后跨網(wǎng)訪問的問題，能夠很好的解決雙網(wǎng)之間的訪問的安全問題。

隨著企事業(yè)單位IT系統(tǒng)的不斷發(fā)展，網(wǎng)絡(luò)規(guī)模和設(shè)備數(shù)量迅速擴大，日趨復雜的IT系統(tǒng)與不同背景的運維人員的行為給信息系統(tǒng)安全帶來較大風險，主要表現(xiàn)在:

1.多個用戶使用同一個賬號。這種情況主要出現(xiàn)在同一工作組中，由于工作需要，同時系統(tǒng)管理賬號唯一，因此只能多用戶共享同一賬號。如果發(fā)生安全事故，不僅難以定位賬號的實際使用者和責任人，而且無法對賬號的使用范圍進行有效控制，存在較大安全風險和隱患。

2.一個用戶使用多個賬號。目前，一個維護人員使用多個賬號是較為普遍的情況，用戶需要記憶多套口令同時在多套主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備之間切換，降低工作效率，增加工作復雜度。如下圖所示:

3. 缺少統(tǒng)一的權(quán)限管理平臺，權(quán)限管理日趨繁重和無序;而且維護人員的權(quán)限大多是粗放管理，無法基于最小權(quán)限分配原則的用戶權(quán)限管理，難以實現(xiàn)更細粒度的命令級權(quán)限控制，系統(tǒng)安全性無法充分保證。

4. 無法制定統(tǒng)一的訪問審計策略，審計粒度粗。各網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、數(shù)據(jù)庫是分別單獨審計記錄訪問行為，由于沒有統(tǒng)一審計策略，并且各系統(tǒng)自身審計日志內(nèi)容深淺不一，難以及時通過系統(tǒng)自身審計發(fā)現(xiàn)違規(guī)操作行為和追查取證。

5. 傳統(tǒng)的網(wǎng)絡(luò)安全審計系統(tǒng)無法對維護人員經(jīng)常使用的SSH、RDP等加密、圖形操作協(xié)議進行內(nèi)容審計。

支持對X11、linux、unix、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等一系列授權(quán)賬號進行密碼的自動化周期更改，簡化密碼管理，讓使用者無需記憶眾多系統(tǒng)密碼，即可實現(xiàn)自動登錄目標設(shè)備，便捷安全。

設(shè)備支持統(tǒng)一賬戶管理策略，能夠?qū)崿F(xiàn)對所有服務器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等賬號進行集中管理，完成對賬號整個生命周期的監(jiān)控，并且可以對設(shè)備進行特殊角色設(shè)置如:審計巡檢員、運維操作員、設(shè)備管理員等自定義設(shè)置，以滿足審計需求

設(shè)備提供統(tǒng)一的認證接口，對用戶進行認證，支持身份認證模式包括 動態(tài)口令、靜態(tài)密碼、硬件key 、生物特征等多種認證方式，設(shè)備具有靈活的定制接口，可以與其他第三方認證服務器之間結(jié)合;安全的認證模式，有效提高了認證的安全性和可靠性。

設(shè)備提供基于用戶、目標設(shè)備、時間、協(xié)議類型IP、行為等要素實現(xiàn)細粒度的操作授權(quán)，最大限度保護用戶資源的安全

設(shè)備支持對不同用戶進行不同策略的制定，細粒度的訪問控制能夠最大限度的保護用戶資源的安全，嚴防非法、越權(quán)訪問事件的發(fā)生。

設(shè)備能夠?qū)ψ址?、圖形、文件傳輸、數(shù)據(jù)庫等全程操作行為審計;通過設(shè)備錄像方式實時監(jiān)控運維人員對操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等進行的各種操作，對違規(guī)行為進行事中控制。對終端指令信息能夠進行精確搜索，進行錄像精確定位。

平臺采用協(xié)議分析、基于數(shù)據(jù)包還原虛擬化技術(shù)，實現(xiàn)操作界面模擬，將所有的操作轉(zhuǎn)換為圖形化界面予以展現(xiàn)，實現(xiàn)100%審計信息不丟失:針對運維操作圖形化審計功能的展現(xiàn)外，同時還能對字符進行分析，包括命令行操作的命令以及回顯信息和非字符型操作時鍵盤、鼠標的敲擊信息。

系統(tǒng)支持的審計協(xié)議以及工具包括:

字符串操作:SSH/Telnet(工具:SecureCRT/Putty/Xshell)

圖形操作: RDP/VNC/X11/pcAnywhere/DameWare等

其他協(xié)議: FTP/SFTP/Http/Https等

數(shù)據(jù)庫工具:Oracle/sqlserver/Mysql客戶端工具

字符串操作:SSH/Telnet (工具:SecureCRT/Putty/Xshell)

圖形操作: RDP/VNC/X11/pcAnywhere/DameWare等

其他協(xié)議:FTP/SFTP/Http/Https/SQLPLUS等

平臺具有豐富的報表統(tǒng)計功能，可以進行默認報表和自定義報表來進行運維數(shù)據(jù)的報表統(tǒng)計。

平臺提供多種報表格式，包括Word、Excel等。

平臺提供折線、餅狀、柱狀等多種圖表統(tǒng)計運維數(shù)據(jù)，方便后期的運維分析和管理。

平臺對用戶的管理權(quán)限嚴格分明，各司其職，分為系統(tǒng)管理員、審計管理員、運維管理員、口令管理員四種管理員角色，平臺也支持管理員角色的自定義創(chuàng)建，對管理權(quán)限進行細粒度設(shè)置，保障了平臺的用戶安全管理，以滿足審計需求

平臺集用戶管理、身份認證、資源授權(quán)、訪問控制、操作審計為一體，有效地實現(xiàn)了事前預防、事中控制和事后審計。

審計平臺能夠?qū)ΤＲ姷腟SH/Telnet/FTP/SFTP/HTTP/HTTPS /Windows Terminal/X11、VNC協(xié)議進行完整的透明轉(zhuǎn)發(fā)，針對如RDP/VNC/X11等圖形化協(xié)議的處理能力要比同類產(chǎn)品處理能力強。

平臺采用模塊化設(shè)計，單模塊故障不影響其他模塊使用，從而提高了平臺的健壯性、穩(wěn)定性

運維人員登陸可支持Portal統(tǒng)一登錄，并兼容終端C/S客戶端連接設(shè)備;

審計平臺的認證方式可以與第三方的認證設(shè)備進行定制兼容

具有強大研發(fā)實力，不但能為客戶提供長期的產(chǎn)品更新，還能按照客戶的實際需求進行定制開發(fā)。

堡壘機提供了功能完善、操作靈活、使用方便、界面友好、符合習慣的審計管理功能;

B/S方式實現(xiàn)了對后臺的各項管理配置

平臺簡單易部署，通過配置導航，可在短時間內(nèi)完成配置要求，實現(xiàn)上線要求。

基于HTTPS/SSL的自身安全管理與審計;

嚴格的安全訪問控制和管理員身份認證支持強認證;

審計信息加密存儲;

完善的審計信息備份機制;

完整全面的自審計功能。

客戶現(xiàn)狀及需求:

IT系統(tǒng)分散在總部以及全國各地的分支連鎖酒店，每個酒店所在的地區(qū)都有相應的技術(shù)人員進行系統(tǒng)運維;總部也有運維人員，對全國IT系統(tǒng)的總的運維質(zhì)量負最終責任。

酒店實體越來越多,總部的IT運維工作日益復雜，運維問題日益突出。一個最基礎(chǔ)的場景是:當某酒店的IT系統(tǒng)出現(xiàn)問題，當?shù)氐腎T運維人員無法解決時，就會向總部發(fā)起求助。而此時，總部的技術(shù)工程師根本無法獲悉最原始的問題，因為原來的問題在經(jīng)過分部的運維工程師的操作后，已經(jīng)面目全非，還可能引入了新的問題，整個過程沒有記錄，沒有管控，找不到解決問題的線索。所以總部工程師迫切希望知道，從一開始問題的表象，到分支機構(gòu)的運維人員的運維操作，都是怎么一回事。除此之外，還有另外的一些運維問題列表如下:

1、運維人員管理手段落后，時無法定責，也無法對各方的運維工作本身的質(zhì)量和數(shù)量進行有效考核和評估。

2、設(shè)備賬戶管理缺失，該連鎖酒店的每一名運維人員都要負責多套信息系統(tǒng)的運維管理工作，同時，大多數(shù)情況下，某套信息系統(tǒng)往往要多個運維人員聯(lián)合管理。在這種情況下，口令丟失、登錄失敗、密碼被隨便修改等情況就時有發(fā)生。并且對第三方代維人員來說，也沒有更強的針對設(shè)備賬號的監(jiān)測機制和有效的生命周期管理機制;

解決之道:

來進行統(tǒng)一認證，認證成功后對其具有權(quán)限的IT設(shè)備進行運維操作。整個運維過程全程錄像，并有危險操作的告警及阻斷功能。

通過這種"跳板機"的解決方案，運維人員只需要記住一個口令就可以運維到被授權(quán)的設(shè)備，運維過程全程錄像，且可以對應到運維人員。使用運維審計集中管理客戶端軟件，分散在全國各地的酒店IT系統(tǒng)的運維錄像可以被總部的運維人員隨時查詢，還可以通過播放器進行遠程的錄像流暢播放。

客戶收益:

運維安全審計堡壘平臺之后，所有的運維人員都以統(tǒng)一的用戶身份登入系統(tǒng);所有的運維操作都被記錄;操作對應到實際的自然人而不是設(shè)備賬戶。在出現(xiàn)問題后，可以迅速的調(diào)出運維操作錄像進行查看，根據(jù)錄像進行問題的追本溯源，直接定位問題根源所在，為解決IT系統(tǒng)的故障提供了寶貴的第一手資料。

在部署安全審計堡壘平臺之后，問題的解決時間平均縮短到一到兩個小時，數(shù)量級的提高了運維工作質(zhì)量。另外，由于有錄像可以學習，交流和借鑒，從一定程度上，提高了所有運維人員的運維經(jīng)驗。

客戶現(xiàn)狀及需求:

對內(nèi)部的運維管理安全而言，原有的手工管理措施已不能滿足目前及未來業(yè)務發(fā)展的要求。因此該銀行方面，依照國家相關(guān)的法規(guī)要求，遵照銀行業(yè)務系統(tǒng)自身的安全等級保護條例要求，提出建設(shè)服務器和設(shè)備訪問安全管理系統(tǒng)，使得系統(tǒng)和安全管理人員可以對信息系統(tǒng)的用戶和各種資源進行集中管理、集中權(quán)限分配、集中審計，從技術(shù)上保證信息系統(tǒng)安全策略的實施。具體而言，需要實現(xiàn)如下的功能需求:

1、賬戶的集中管理，并且對用戶能夠進行一定的權(quán)限劃分管理;

2、權(quán)限控制，能夠?qū)τ脩暨M行細粒度的權(quán)限控制，針對欲運維的目標設(shè)備進行用戶與設(shè)備關(guān)聯(lián);

3、能夠在運維過程中，對違規(guī)信息提出告警、權(quán)限提升、阻斷等操作，及實現(xiàn)事中的實時審計管理;

4、對事后的審計錄像能夠做到回放、復式檢索、定位播放等便捷式操作;

解決之道:

該行選擇了某品牌堡壘機作為其安全審計項目的承建方。

RBAC角色授權(quán)機制打造，在設(shè)備管理中進行用戶的集中管理和用戶權(quán)限的有效劃分，如"三權(quán)"劃分(系統(tǒng)管理員權(quán)限、運維管理員權(quán)限、審計管理員權(quán)限)，通過用戶和設(shè)備的關(guān)聯(lián)管理實現(xiàn)對用戶的運維權(quán)限細分;然后通過一些安全策略的設(shè)置來降低違規(guī)操作對資源的破壞，即使出現(xiàn)問題能夠通過錄像查詢進行"事發(fā)現(xiàn)場"回放，從而實現(xiàn)防范、控制、審計一條龍;具體的說，在該行的運維管理項目中,實現(xiàn)了如下幾點:

1、用戶進行集中管理的同時，也進行了相應的權(quán)限劃分，權(quán)限獨立分明;

2、能夠進行事前的防范，針對該行有大量第三方代維人員的情況,對其采取定制化的角色類型和訪問策略;

3、對設(shè)備資源的違規(guī)操作實現(xiàn)權(quán)限的提升、告警，發(fā)現(xiàn)嚴重違規(guī)操作，直接阻斷操作;(權(quán)限提升是指:某些指令需要更高級別角色的臨時授權(quán)才能執(zhí)行。)

4、實現(xiàn)事后審計的方便快捷性，通過組合式錄像查詢定位，直接找到問題點;

客戶收益:

對內(nèi)部運維人員的工作流程進行了相應的梳理，對其運維的IT系統(tǒng)和設(shè)備進行了責任的明確。事實上，這些約束和流程通過運維審計系統(tǒng)的約束，而變得更加明晰，業(yè)務數(shù)據(jù)的安全，以及IT系統(tǒng)的運維，有了一個明顯的提升。

而且，由于堡壘機產(chǎn)品遵照國際上流行的RBAC角色授權(quán)機制，以及P2DR安全模型，4A身份認證等安全防范體系建設(shè)，使得該行的信息系統(tǒng)安全保護等級有了一個質(zhì)的飛躍。

問題描述:

無法客觀的支付報酬;不但如此更嚴重的是在軟件開發(fā)的過程中，某軟件外包商的開發(fā)人員的誤操作導致證券機構(gòu)的某些系統(tǒng)模塊突然沒有辦法正常使用，時間長達10分鐘之久，結(jié)果10分鐘的時間損失上百萬，而且造成了很嚴重的負面影響，因為沒有證據(jù)證明是軟件外包商所為，所以，后果只能自己承擔;同時機構(gòu)內(nèi)部的運維管理也有一定的問題，如越權(quán)運維、誤操作、賬戶共享等運維問題也頻頻出現(xiàn)，所以如何做到運維能審計的同時也做到運維能管理是該機構(gòu)信息中心主管迫切要解決的問題?

解決之道:

在以后的證券機構(gòu)開發(fā)的過程中，所有的運維、開發(fā)人員都必須經(jīng)過一道"門"，這個"門"就是金萬維運維安全審計系統(tǒng)，所有的人首先登錄運維審計平臺中，然后根據(jù)設(shè)置的權(quán)限進行對目標設(shè)備的運維，且運維過程全程錄像;而且每個運維人員的每天、每周、每月的運維情況都可以通過報表、圖表進行統(tǒng)計，審計的同時做到了運維的管理;

客戶收益:

通過部署運維安全審計系統(tǒng)，使證券機構(gòu)的運維人員和第三方機構(gòu)的外包開發(fā)人員都做了統(tǒng)一賬號管理，針對第三方開發(fā)人員的運維賬號，進行"生命周期"自動管理，設(shè)定使用時間，過了使用時間之后第三方開發(fā)人員就無權(quán)再用此運維賬戶登錄，不但如此針對危險操作行為證券機構(gòu)也能夠設(shè)置安全策略，盡量把已知危險降到最低;在以后的開發(fā)過程中證券機構(gòu)可以通過運維報表中的統(tǒng)計數(shù)據(jù)進行薪酬支付，對"矛盾"問題進行錄像回放，查找問題源;真正實現(xiàn)了運維審計的同時做到了運維管理，為證券機構(gòu)信息化的建設(shè)做出了重大貢獻;

問題描述:

北京某知名互聯(lián)網(wǎng)IT企業(yè)一直致力于為客戶提供數(shù)字媒體營銷領(lǐng)域的尖端科技和卓越服務，如SEM/SEO/移動互聯(lián)網(wǎng)廣告、軟件定制開發(fā)服務等隨著業(yè)務的增長規(guī)模的擴大，除了北京研發(fā)中心外，在上海和廣州也相繼成立了對內(nèi)和對外研發(fā)團隊，公司運維的服務器有近百臺之多。

隨著研發(fā)人員的增多和服務器規(guī)模的增大，逐漸暴露了一些嚴峻的問題如賬號管理分散、越權(quán)運維、對外進行軟件定制開發(fā)過程無記錄、出現(xiàn)問題找不到責任人、對研發(fā)人員的每天、周的工作效率無從考核等問題正在逐步影響到整個研發(fā)團隊的工作進度和計劃的安排;

解決之道:

北京某知名互聯(lián)網(wǎng)IT企業(yè)找到我們之后，進行了現(xiàn)場交流分析，發(fā)現(xiàn)主要"癥結(jié)"在于研發(fā)人員除了在公司外，還經(jīng)常在家，在外地登錄IT系統(tǒng)進行系統(tǒng)升級和維護，同時，登錄賬號管理混亂、運維權(quán)限劃分不明、認證方式過于簡單、對運維過程沒有監(jiān)控措施、對研發(fā)人員的運維次數(shù)沒有合理的運維統(tǒng)計方式;"對癥下藥"通過部署運維安全審計系統(tǒng)平臺后所有的研發(fā)人員都必須通過審計平臺進行"過濾"，合規(guī)人員才能進行有效的開發(fā)維護工作，對主要研發(fā)人員通過配置如身份認證加密卡等方式進行身份強認證，用戶操作在"過濾"的同時，都進行錄像審計，錄像內(nèi)容一方面可以作為"糾錯"來用，另一方面可以用來作為"教材"來使;通過部署運維審計系統(tǒng)使其癥結(jié)問題迎刃而解，解決了研發(fā)人員不能解決的管理審計難題;

客戶收益:

運維審計系統(tǒng)的部署著實提高了研發(fā)隊伍的合規(guī)性，為有效研發(fā)、安全研發(fā)提供了堅實保障;審計錄像作為教材錄像、運維報表作為考核依據(jù)，為研發(fā)團隊增加了新的培訓和KPI管理方法。無論從合規(guī)性出發(fā)還是整體信息化運維正規(guī)化建設(shè)都能有效的提高管理和工作效率。