基本介紹
- 中文名:堡壘主機
- 外文名:Bastion Host
- 屬性:主機
- 特點:完全暴露
介紹,功能,趨勢內控,內控,套用,
介紹
堡壘主機是一台完全暴露給外網攻擊的主機。它沒有任何防火牆或者包過濾路由器設備保護。堡壘主機執行的任務對於整個網路安全系統至關重要。事實上,防火牆和包過濾路由器也可以被看作堡壘主機。由於堡壘主機完全暴露在外網安全威脅之下,需要做許多工作來設計和配置堡壘主機,使它遭到外網攻擊成功的風險性減至最低。其他類型的堡壘主機包括:Web,Mail,DNS,FTP伺服器。一些網路管理員會用堡壘主機做犧牲品來換取網路的安全。這些主機吸引入侵者的注意力,耗費攻擊真正網路主機的時間並且使追蹤入侵企圖變得更加容易。
堡壘主機構建防火牆系統
堡壘主機構建防火牆系統有效的堡壘主機配置與典型主機配置非常不同。在堡壘主機上,所有不是必需的服務、協定、程式和網路的連線埠都被刪除或者禁用。堡壘主機和區域網路信任主機之間並不共享認證服務,是為了如果堡壘主機被攻破,入侵者也無法利用堡壘主機攻擊區域網路。堡壘主機被加固用來阻止潛在可能的攻擊。對特定的堡壘主機進行加固的步驟取決於堡壘主機的工作和在其上運行的作業系統及其他軟體。加固工作將會更改服務控制列表;不需要的TCP和UDP連線埠將被禁用;並不重要的服務和守護程式也會被刪除。所有最新的補丁程式應該及時載入。記錄所有安全事件的安全日誌應該啟動,而且確保日誌檔案完整性的安全的工作要做好,用來保證入侵者不會抹掉自己入侵的記錄。所有用戶的帳號和密碼庫應該被加密保存。
最後需要做的工作是要保證網路應用程式的正常運行。由於應用程式開發商在開發程式時沒有考慮程式的安全風險,所以給網路管理員的安全保障工作帶來困難。網路管理員應隨時注意應用程式開發商發表的安全公告、安全補丁,來保證網路服務程式的正常運行。
2012年流行的產品為內控堡壘主機,內控堡壘主機不同於傳統意義上的堡壘主機,內控堡壘主機更貼切的名稱應該是運維堡壘主機。
功能
內部網路行為管理、命令控制技術、細粒度策略控制功能、準確日誌查詢檢索功能、選單類操作回放審計功能、帳號密碼的安全管理、FTP/SFTP檔案安全傳輸、支持標準SYSLOG日誌、即時操作“現場直播”的監控功能、程式重用與控制技術、邏輯命令自動識別技術、分散式處理技術、實時監控技術 、日誌二次備份技術、多進程/執行緒與同步技術、自動報表生成技術、連續跳轉登錄技術、多信道登錄技術、數據加密功能、審計查詢檢索功能、操作還原技術、審計雙向備份技術等。內部堡壘主機。
1.無路由雙重宿主主機
無路由雙重宿主主機有多個網路接口,但這些接口間沒有信息流,這種主機本身就可以作為一個防火牆,也可以作為一個更複雜的防火牆的一部分。無路由雙重宿主主機的大部分配置類同於其它堡壘主機,但是用戶必須確保它沒有路由。如果某台無路由雙重宿主主機就是一個防火牆,那么它可以運行堡壘主機的例行程式。
2.犧牲品主機
有些用戶可能想用一些無論使用代理服務還是包過濾都難以保障安全的網路服務或者一些對其安全性沒有把握的服務。針對這種情況,使用犧牲品主機就是非常有用的(也稱替罪羊主機)。犧牲品主機是一種上面沒有任何需要保護信息的主機,同時它又不與任何入侵者想要利用的主機相連。用戶只有在使用某種特殊服務時才需要用到它。
犧牲品主機除了可讓用戶隨意登錄外,其配置基本上與其它堡壘主機一樣。用戶總是希望在堡壘主機上存有儘可能多的服務與程式。但是犧牲品主機出於安全性的考慮,不可隨意滿足用戶的要求,否則會使用戶越來越信任犧牲品主機而違反設定犧牲品主機的初衷。犧牲品主機的主要特點是它易於被管理,即使被侵襲也無礙內部網的安全。
3.內部堡壘主機
在大多數配置中,堡壘主機可與某些內部主機有特殊的互動。例如,堡壘主機可傳送電子郵件給內部主機的郵件伺服器、傳送Usenet新聞給新聞伺服器、與內部域名伺服器協同工作等。這些內部主機其實是有效的次級堡壘主機,對它們就應象保護堡壘主機一樣加以保護。我們可以在它的上面多放一些服務,但對它們的配置必須遵循與堡壘主機一樣的過程。
趨勢內控
趨勢內控堡壘主機具備強大的輸入輸出審計功能,不僅能夠詳細記錄用戶操作的每一條指令,而且能夠將所有的輸出信息全部記錄下來,並且趨勢內控堡壘主機具備審計回放的功能,能夠模擬用戶的線上操作過程,大大豐富了內控審計的功能。趨勢內控堡壘主機能夠在自身記錄審計信息的同時在外部某台計算機上做存儲備份,可以在一定程度上增強審計信息的安全性,保證審計人員有據可查。
產品特色
執行單元功能:執行單元負責完成命令的採集、策略動作執行等功能。執行單元安裝在伺服器上,適套用戶的使用環境和使用習慣,完成對用戶行為的監視與控制功能。
日誌服務功能:強執行單元日誌服務負責記錄伺服器上發生過的命令,輸出螢幕和原始硬拷貝流,以供事後分析和調查取證。內控堡壘主機日誌服務將日誌記錄為文本檔案,同時可以向其他日誌伺服器傳送SYSLOG日誌。執行單元日誌服務記錄每個用戶登錄系統的用戶名,登入IP位址,登入時間以及在伺服器上操作的所有命令。執行單元日誌服務和管理單元配合,完成對日誌的記錄、分析和查詢等工作。
管理單元日誌查詢:內控堡壘主機日誌支持多種方式查詢,例如:伺服器,用戶名,登錄地址,登錄時間等。支持對日誌備份和刪除的操作。
執行單元實時監控功能:執行單元實時監視伺服器上正在發生的行為,可以實時察看用戶執行的命令、執行結果等。
系統功能
邏輯命令自動識別技術:內控堡壘主機自動識別當前操作終端,對當前終端的輸入輸出進行控制,組合輸入輸出流,自動識別邏輯語義命令。系統會根據輸入輸出上下文,確定邏輯命令編輯過程,進而自動捕獲出用戶使用的邏輯命令。該項技術解決了邏輯命令自動捕獲功能,在傳統鍵盤捕獲與控制領域取得新的突破,可以更加準確的控制用戶意圖。該技術能自動識別命令狀態和編輯狀態以及私有工作狀態,準確捕獲邏輯命令。
分散式處理技術:趨勢內控堡壘主機採用分散式處理架構進行處理,啟用命令捕獲引擎機制,通過策略伺服器完成策略審計,通過日誌伺服器存儲操作審計日誌,並通過實時監視中心,實時察看用戶在伺服器上行為。這種分體式設計有利於策略的正確執行和操作記錄日誌的安全。同時,各組件之間採用安全連線進行通信,防止策略和日誌被篡改。各組件可以獨立工作,可以分布於不同的伺服器上,亦可所有組件安裝於一台伺服器。
正則表達式匹配技術:趨勢內控堡壘主機採用正則表達式匹配技術,將正則表達式組合入樹型可遺傳策略結構,實現控制命令的自動匹配與控制。樹型可遺傳策略適合現代企業事業架構,對於伺服器的分層分級管理與控制,相當有用。
實時監控技術:趨勢內控堡壘主機實現遠程值班中心和實時監控中心,對伺服器運行狀態進行監控。實時監控中心直接和命令捕獲引擎通信,避免日誌伺服器和策略伺服器的運行負載,有利於系統實時性的提高。
多進程/執行緒與同步技術:趨勢內控堡壘主機主體採用多進程/執行緒技術實現,利用獨特的通信和數據同步技術,準確控制程式行為。多進程/執行緒方式邏輯處理準確,事務處理不會發生干擾,這有利於保證系統的穩定性、健壯性。
審計查詢檢索功能:自從<<薩班斯法案>>的推出,企業內控得到了嚴格的審查,企業的內部審計顯得非常重要。內控堡壘主機能夠為企業內部網路提供完全的審計信息,這些審計信息能夠為企業追蹤用戶行為,判定用戶行為等,能夠還原出用戶的一些操作性為。傳統審計關聯到IP,這本身是一個不確定的和不負責任的審計結果,因為IP信息不能夠真實反應出真實的操作者是誰,從而企業內部網路出現問題不能追蹤用戶。內控堡壘主機能夠對這些用戶關聯審計行為,就是說真正能夠把每一次審計出的用戶操作性為綁定到自然人身上,便於企業內部網路管理追蹤到個人。
操作還原技術:操作還原技術是指將用戶在系統中的操作行為以真實的環境模擬顯現出來,審計管理員可以根據操作還原技術還原出真實的操作,以判定問題出在哪裡。趨勢內控堡壘主機採用操作還原技術能夠將用戶的操作流程自動地展現出來,能夠監控用戶的每一次行為,判定用戶的行為是否對企業內部網路安全性造成危害。
內控
內控堡壘主機是一種被加固的可以防禦進攻的計算機,具備很強的安全防護能力。內控堡壘主機扮演著看門者的職責,所有對網路設備和伺服器的請求都要從這扇大門經過。因此內控堡壘主機能夠攔截非法訪問和惡意攻擊,對不合法命令進行阻斷、過濾掉所有對目標設備的非法訪問行為。
內控堡壘主機具體有強大的輸入輸出審計功能,不僅能詳細記錄用戶操作的每一條指令,而且能夠通過回放的功能,將其動態的展現出來,大大豐富了內控審計的功能。內控堡壘主機自身審計日誌,可以極大增強審計信息的安全性,保證審計人員有據可查。
內控堡壘主機還具備圖形終端審計功能,能夠對多平台的多種終端操作審計,例如windows 平台的RDP 形式圖形終端操作。
為了給系統管理員查看審計信息提供方便性,內控堡壘主機提供了審計查看檢索功能。系統管理員可以通過多種查詢條件查看審計信息。
總之,內控堡壘主機能夠極大的保護企業內部網路設備及伺服器資源的安全性,使得企業內部網路管理合理化和專業化。
套用
1 政府行業的信息化現狀
政務電子化是信息社會政府管理髮展的一種新趨勢,已成為世界各國政府關注的焦點。
隨著政務信息化的不斷推進,業務套用、辦公系統、商務平台的推出和投入運行,信息系統在企業的運營中全面滲透。使用數量較多的伺服器主機來運行關鍵業務,提供電子政務、資料庫套用、運維管理、ERP和協同工作群件等服務。由於伺服器眾多,系統管理員壓力太大等因素,人為誤操作的可能性時有發生,這會對部門或者企業聲譽造成重大影響,並嚴重影響其經濟運行效能。黑客和惡意訪問也有可能獲取系統許可權,闖入部門或企業內部網路,造成不可估量的損失。如何提高系統運維管理水平,滿足相關標準要求,防止黑客的入侵和惡意訪問,跟蹤伺服器上用戶行為,降低運維成本,提供控制和審計依據,成為企業越來越關心的問題。
2 政府行業的運維管理需求
2.1 滿足國家等級保護的政策性審核
1、用戶賬號許可權需要得到嚴格管理控制,用戶賬號口令安全與登錄安全需要得到加強監管;
2、信息系統的各種訪問操作日誌需要全面審計,包括網路、系統、數據、套用等幾個方面;
3、進行遠程信息系統操作時,能夠保障通信鏈路可信、及通訊數據加密。
2.2 符合企業內部控制基本規範的要求
2010年,財政部、證監會、審計署、銀監會、保監會印發的《企業內部控制套用指引第18號――信息系統》中第十二條明確要求“企業應當建立用戶管理制度,加強對重要業務系統的訪問許可權管理,定期審閱系統賬號,避免授權不當或存在非授權賬號,禁止不相容職務用戶賬號的交叉操作”。
2.3 管理複雜,工作效率不高
1、支撐企業業務運行的IT系統主要由大量的網路設備、主機系統和套用系統組成,這些設備和系統從套用角度來分又分別屬於不同的業務系統和部門,網路設備、主機系統等分別具備獨立的用戶管理、認證授權和審計系統。
2、各種系統由不同的系統管理員負責維護和管理,維護人員面對這些系統時,工作複雜程度成倍增加,並且需要頻繁的登錄註銷,影響了工作效率。
2.4 賬號共享、密碼簡單等網路安全隱患不可避免
1、 為了降低管理複雜度和難度,有些帳號被多人共用,這些帳號的擴散不容易控制,賬號和密碼信息容易外泄,安全事故也多由於這種帳號共用發生;
2、 對於維護人員來講,頻繁的切換系統,需要輸入不同系統的用戶名和口令進行登錄,為了便於記憶,常有維護人員會採用比較簡單的口令或多個系統使用同樣的口令,緊急情況下還可能將自己的用戶名和口令共享給他人使用,這些都對整個系統的安全性產生極大威脅。
2.5 對系統和網路設備的審計不集中、不全面
1、由於各個系統獨立運行,對於系統運行日誌、維護人員操作審計也只能分系統獨立進行,系統發生故障時,必須逐個系統去排查問題,無法進行統一集中的問題排查,極大的降低工作效率,也造成了損失擴大的可能性;
2、並且不能做到實名審計,只能審計到賬號,不能關聯到自然人。
3 政府行業堡壘主機產品技術解決方案
基於天融信堡壘主機(TA-SAG)政府行業技術解決方案是出於4A統一網路安全管理平台的理念,通過賬號的集中管理、認證機制、授權機制、以及用戶的操作行為審計等策略來對企業中的伺服器、資料庫、交換機、路由器(防火牆)等網路設備進行有效的控制和統一的管理以及全程的操作審計。
根據政府行業的現狀和需求,天融信公司使用TA-SAG平台提出針對性的解決方案。該方案主要從以下六點著重考慮。
3.1 遵循與參考的標準和規範
1、國家保密標準BMZ2-2001《涉及國家秘密的計算機信息系統安全保密方案設計指南》
2、國家保密標準BMZ1-2000,《涉及國家秘密的計算機信息系統保密技術要求
3、國家保密標準《計算機信息系統保密管理暫行規定》(國保發{1998}1號)
4、國家標準GB17859-1999,《計算機信息系統安全保護等級劃分準則》
5、國家標準GB/T18336.2-2001,《信息技術 安全技術 信息技術安全性 評估準則 第2部分: 安全功能要求》
6、ISO27001/ISO17799:2005/BS7799,《信息安全管理技術規範》。
3.2 統一的帳號管理
1、管理員通過主帳號信息管理界面維護主帳號的整個生命周期,對主帳號進行增加、修改、刪除及鎖定、解鎖等操作,同時設定主帳號的密碼使用策略及用戶的級別定義。
2、主帳號用戶可以通過自服務功能管理自身帳號信息,對手機、郵件及密碼等個人信息進行修改。
3、通過主賬號與資源賬號進行關聯,同時也滿足了實名審計的需要。
3.3 多種認證方式進行統一部署
1、用戶通過用戶名密碼方式登錄到天融信TA-SAG(堡壘主機)管理平台,選擇資產從帳號,直接登錄目標資產。
2、用戶通過數字證書、動態令牌等方式登錄到管理單元,由管理單元向執行單元發放一次性口令登錄目標資產。
3.4 SSO單點登錄
1、用戶登錄到天融信TA-SAG(堡壘主機)管理平台後,能夠看到已授權的資源列表,直接選擇目標資產及從帳號,由堡壘主機完成帳號及密碼的代填,實現自動登錄。
2、 同時減少了對伺服器頻繁登錄註銷的繁瑣性,提高了工作效率。
3.5 更全面、更集中的日誌審計
1、堡壘主機將每個自然人賬號對其資源的操作進行全面的日誌審計。
2、 日誌審計支持通過伺服器查詢、自然人查詢、登錄地址等自定義條件的查詢。
3.6 支持雙機熱備、可安全穩定的運行
堡壘主機支持雙機熱備,擁有完善的高可用性,可以保證系統長期、可靠的運行。
