堡壘機

其從功能上講，它綜合了核心繫統運維和安全審計管控兩大主幹功能，從技術實現上講，通過切斷終端計算機對網路和伺服器資源的直接訪問，而採用協定代理的方式，接管了終端計算機對網路和伺服器的訪問。形象地說，終端計算機對目標的訪問，均需要經過運維安全審計的翻譯。打一個比方，運維安全審計扮演著看門者的工作，所有對網路設備和伺服器的請求都要從這扇大門經過。因此運維安全審計能夠攔截非法訪問，和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標設備的非法訪問行為，並對內部人員誤操作和非法操作進行審計監控，以便事後責任追蹤。

安全審計作為企業信息安全建設不可缺少的組成部分，逐漸受到用戶的關注，是企業安全體系中的重要環節。同時，安全審計是事前預防、事中預警的有效風險控制手段，也是事後追溯的可靠證據來源。

隨著企事業單位IT系統的不斷發展，網路規模和設備數量迅速擴大，日趨複雜的IT系統與不同背景的運維人員的行為給信息系統安全帶來較大風險。

1.多個用戶使用同一個賬號。這種情況主要出現在同一工作組中，由於工作需要，同時系統管理賬號，因此只能多用戶共享同一賬號。如果發生安全事故，不僅難以定位賬號的實際使用者和責任人，而且無法對賬號的使用範圍進行有效控制，存在較大安全風險和隱患。

2.一個用戶使用多個賬號。一個維護人員使用多個賬號是較為普遍的情況，用戶需要記憶多套口令同時在多套主機系統、網路設備之間切換，降低工作效率，增加工作複雜度。如下圖所示：

3. 缺少統一的許可權管理平台，許可權管理日趨繁重和無序；而且維護人員的許可權大多是粗放管理，無法基於最小許可權分配原則的用戶許可權管理，難以實現更細粒度的命令級許可權控制，系統安全性無法充分保證。

4. 無法制定統一的訪問審計策略，審計粒度粗。各網路設備、主機系統、資料庫是分別單獨審計記錄訪問行為，由於沒有統一審計策略，並且各系統自身審計日誌內容深淺不一，難以及時通過系統自身審計發現違規操作行為和追查取證。

5. 傳統的網路安全審計系統無法對維護人員經常使用的SSH、RDP等加密、圖形操作協定進行內容審計。

支持對X11、linux、unix、資料庫、網路設備、安全設備等一系列授權賬號進行密碼的自動化周期更改，簡化密碼管理，讓使用者無需記憶眾多系統密碼，即可實現自動登錄目標設備，便捷安全。

設備支持統一賬戶管理策略，能夠實現對所有伺服器、網路設備、安全設備等賬號進行集中管理，完成對賬號整個生命周期的監控，並且可以對設備進行特殊角色設定如：審計巡檢員、運維操作員、設備管理員等自定義設定，以滿足審計需求

設備提供統一的認證接口，對用戶進行認證，支持身份認證模式包括 動態口令、靜態密碼、硬體key 、生物特徵等多種認證方式，設備具有靈活的定製接口，可以與其他第三方認證伺服器之間結合；安全的認證模式，有效提高了認證的安全性和可靠性。

設備提供基於用戶、目標設備、時間、協定類型IP、行為等要素實現細粒度的操作授權，最大限度保護用戶資源的安全

設備支持對不同用戶進行不同策略的制定，細粒度的訪問控制能夠最大限度的保護用戶資源的安全，嚴防非法、越權訪問事件的發生。

設備能夠對字元串、圖形、檔案傳輸、資料庫等全程操作行為審計；通過設備錄像方式實時監控運維人員對作業系統、安全設備、網路設備、資料庫等進行的各種操作，對違規行為進行事中控制。對終端指令信息能夠進行精確搜尋，進行錄像精確定位。

堡壘機的核心思路是邏輯上將人與目標設備分離，建立“人-〉主賬號（堡壘機用戶賬號）-〉授權—>從賬號（目標設備賬號）的模式;在這種模式下，基於身份標識，通過集中管控安全策略的賬號管理、授權管理和審計，建立針對維護人員的“主賬號-〉登錄—〉訪問操作-〉退出”的全過程完整審計管理，實現對各種運維加密/非加密、圖形操作協定的命令級審計。

堡壘機的作用主要體現在下述幾個方面：

通過細粒度的安全管控策略，保證企業的伺服器、網路設備、資料庫、安全設備等安全可靠運行，降低人為安全風險，避免安全損失，保障企業效益。

所有運維賬號的管理在一個平台上進行管理，賬號管理更加簡單有序；

通過建立用戶與賬號的對應關係，確保用戶擁有的許可權是完成任務所需的最小許可權；

直觀方便的監控各種訪問行為，能夠及時發現違規操作、許可權濫用等。

鑒於多賬號同時使用超管進行的操作，便於實名制的認證和自然人的關聯。

運維人員只需記憶一個賬號和口令，一次登錄，便可實現對其所維護的多台設備的訪問，無須記憶多個賬號和口令，提高了工作效率，降低工作複雜度。

一種用於單點登入的主機套用系統，電信、移動、聯通三個運營商廣泛採用堡壘機來完成單點登入和薩班斯要求的審計。

在銀行、證券等金融業機構也廣泛採用堡壘機來完成對財務、會計操作的審計。

在電力行業的雙網改造項目後，採用堡壘機來完成雙網隔離之後跨網訪問的問題，能夠很好的解決雙網之間的訪問的安全問題。

已經有相當多的廠商開始涉足這個領域，但每家廠商的產品所關注的側重又有所差別。

以某運維安全審計產品為例，其產品更側重於運維安全管理，它集單點登錄、賬號管理、身份認證、資源授權、訪問控制和操作審計為一體的新一代運維安全審計產品，它能夠對作業系統、網路設備、安全設備、資料庫等操作過程進行有效的運維操作審計，使運維審計由事件審計提升為操作內容審計，通過系統平台的事前預防、事中控制和事後溯源來全面解決企業的運維安全問題，進而提高企業的IT運維管理水平。

為解決企業IT系統中普遍存在的因交叉運維而存在的無法定責的問題,堡壘機提出了採用“集中賬號管理“的解決辦法；集中帳號管理可以完成對帳號整個生命周期的監控和管理，而且還降低了企業管理大量用戶帳號的難度和工作量。同時，通過統一的管理還能夠發現帳號中存在的安全隱患，並且制定統一的、標準的用戶帳號安全策略。針對平台中創建的運維用戶可以支持靜態口令、動態口令、數字證書等多種認證方式；支持密碼強度、密碼有效期、口令嘗試死鎖、用戶激活等安全管理功能；支持用戶分組管理;支持用戶信息導入導出，方便批量處理。

系統提供基於用戶、運維協定、目標主機、運維時間段（年、月、日、周、時間）等組合的授權功能，實現細粒度授權功能，滿足用戶實際授權的需求。授權可基於：用戶到資源、用戶組到資源、用戶到資源組、用戶組到資源組。

單點登錄功能是運維人員通過堡壘機認證和授權後，堡壘機根據配置策略實現後台資源的自動登錄。保證運維人員到後台資源帳號的一種可控對應，同時實現了對後台資源帳號的口令統一保護與管理。系統提供運維用戶自動登錄後台資源的功能。堡壘機能夠自動獲取後台資源帳號信息並根據口令安全策略，定期自動修改後台資源帳號口令；根據管理員配置，實現運維用戶與後台資源帳號相對應，限制帳號的越權使用；運維用戶通過堡壘機認證和授權後，SSA根據分配的帳號實現自動登錄後台資源。

2、運維事件事中控制

監控正在運維的會話，信息包括運維用戶、運維客戶端地址、資源地址、協定、開始時間等：監控後台資源被訪問情況，提供線上運維操作的實時監控功能。針對命令互動性協定，可以實時監控正在運維的各種操作，其信息與運維客戶端所見完全一致。

針對運維過程中可能存在的潛在操作風險，SSA根據用戶配置的安全策略實施運維過程中的違規操作檢測，對違規操作提供實時告警和阻斷，從而達到降低操作風險及提高安全管理與控制的能力。對於非字元型協定的操作能夠實時阻斷；

字元型協定的操作可以通過用戶配置的命令行規則進行規則匹配，實現告警與阻斷。告警動作支持許可權提升、會話阻斷、郵件告警、簡訊告警等。

3、運維事件事後審計

堡壘機能夠對日常所見到的運維協定如SSH/FTP/Telnet/SFTP /Http/Https/RDP/X11/VNC等會話過程進行完整的記錄，以滿足日後審計的需求；審計結果可以錄像和日誌方式呈現，錄像信息包括運維用戶名稱、目標資源名稱、客戶端IP、客戶端計算機名稱、協定名、運維開始時間、結束時間、運維時長等信息

運維人員操作錄像以會話為單位，能夠對用戶名、日期和內容進行單項查詢和組合式查詢定位。組合式查詢則按運維用戶、運維地址、後台資源地址、協定、起始時間、結束時間和操作內容中關鍵字等組合方式進行；針對命令字元串方式的協定，提供逐條命令及相關操作結果的顯示：提供圖像形式的回放，真實、直觀、可視地重現當時的操作過程；回放提供快放、慢放、拖拉等方式，針對檢索的鍵盤輸入的關鍵字能夠直接定位定位回放；針對RDP、X11、VNC協定，提供按時間進行定位回放的功能。

堡壘機系統平台能夠對運維人員的日常操作、會話以及管理員對審計平台進行的操作配置或者是報警次數等做各種報表統計分析。報表包括：日常報表、會話報表、自審計操作報表、告警報表、綜合統計報表,並可根據個性需求設計和展現自定義報表。以上報表可以EXCEL格式輸出，並且可以以折線、柱狀、圓餅圖等圖形方式展現出來。

針對用戶獨特的運維需求，堡壘機推出了業界虛擬桌面主機安全作業系統設備，通過其配合堡壘機進行審計能夠完全達到審計、控制、授權的要求，配合此產品,可實現對資料庫維護工具、pcAnywhere、DameWare等不同工具的運維操作進行監控和審計。

平台採用協定分析、基於數據包還原虛擬化技術，實現操作界面模擬，將所有的操作轉換為圖形化界面予以展現，實現100%審計信息不丟失：針對運維操作圖形化審計功能的展現外，同時還能對字元進行分析，包括命令行操作的命令以及回顯信息和非字元型操作時鍵盤、滑鼠的敲擊信息。

字元串操作：SSH/Telnet（工具：SecureCRT/Putty/Xshell）

圖形操作： RDP/VNC/X11/pcAnywhere/DameWare等

其他協定： FTP/SFTP/Http/Https等

資料庫工具:Oracle/sqlserver/Mysql客戶端工具

字元串操作：SSH/Telnet （工具：SecureCRT/Putty/Xshell）

圖形操作： RDP/VNC/X11/pcAnywhere/DameWare等

其他協定：FTP/SFTP/Http/Https/SQLPLUS等

平台具有豐富的報表統計功能，可以進行默認報表和自定義報表來進行運維數據的報表統計。

平台提供多種報表格式，包括Word、Excel等。

平台提供折線、餅狀、柱狀等多種圖表統計運維數據，方便後期的運維分析和管理。

平台對用戶的管理許可權嚴格分明，各司其職，分為系統管理員、審計管理員、運維管理員、口令管理員四種管理員角色，平台也支持管理員角色的自定義創建，對管理許可權進行細粒度設定，保障了平台的用戶安全管理，以滿足審計需求

平台集用戶管理、身份認證、資源授權、訪問控制、操作審計為一體，有效地實現了事前預防、事中控制和事後審計。

審計平台能夠對常見的SSH/Telnet/FTP/SFTP/HTTP/HTTPS /Windows Terminal/X11、VNC協定進行完整的透明轉發，針對如RDP/VNC/X11等圖形化協定的處理能力要比同類產品處理能力強。

平台採用模組化設計，單模組故障不影響其他模組使用，從而提高了平台的健壯性、穩定性

運維人員登入可支持Portal統一登錄，併兼容終端C/S客戶端連線設備；

審計平台的認證方式可以與第三方的認證設備進行定製兼容

具有強大研發實力，不但能為客戶提供長期的產品更新，還能按照客戶的實際需求進行定製開發。

堡壘機提供了功能完善、操作靈活、使用方便、界面友好、符合習慣的審計管理功能；

B/S方式實現了對後台的各項管理配置

平台簡單易部署，通過配置導航，可在短時間內完成配置要求，實現上線要求。

基於HTTPS/SSL的自身安全管理與審計；

嚴格的安全訪問控制和管理員身份認證支持強認證；

審計信息加密存儲；

完善的審計信息備份機制；

完整全面的自審計功能。

IT系統分散在總部以及全國各地的分支連鎖酒店，每個酒店所在的地區都有相應的技術人員進行系統運維；總部也有運維人員，對全國IT系統的總的運維質量負最終責任。

酒店實體越來越多,總部的IT運維工作日益複雜，運維問題日益突出。一個最基礎的場景是：當某酒店的IT系統出現問題，當地的IT運維人員無法解決時，就會向總部發起求助。而此時，總部的技術工程師根本無法獲悉最原始的問題，因為原來的問題在經過分部的運維工程師的操作後，已經面目全非，還可能引入了新的問題，整個過程沒有記錄，沒有管控，找不到解決問題的線索。所以總部工程師迫切希望知道，從一開始問題的表象，到分支機構的運維人員的運維操作，都是怎么一回事。除此之外，還有另外的一些運維問題列表如下：

1、運維人員管理手段落後時無法定責，也無法對各方的運維工作本身的質量和數量進行有效考核和評估。

2、設備賬戶管理缺失，該連鎖酒店的每一名運維人員都要負責多套信息系統的運維管理工作，同時，大多數情況下，某套信息系統往往要多個運維人員聯合管理。在這種情況下，口令丟失、登錄失敗、密碼被隨便修改等情況就時有發生。並且對第三方代維人員來說，也沒有更強的針對設備賬號的監測機制和有效的生命周期管理機制；

來進行統一認證，認證成功後對其具有許可權的IT設備進行運維操作。整個運維過程全程錄像，並有危險操作的告警及阻斷功能。

通過這種“跳板機”的解決方案，運維人員只需要記住一個口令就可以運維到被授權的設備，運維過程全程錄像，且可以對應到運維人員。使用運維審計集中管理客戶端軟體，分散在全國各地的酒店IT系統的運維錄像可以被總部的運維人員隨時查詢，還可以通過播放器進行遠程的錄像流暢播放。

運維安全審計堡壘平台之後，所有的運維人員都以統一的用戶身份登入系統；所有的運維操作都被記錄；操作對應到實際的自然人而不是設備賬戶。在出現問題後，可以迅速的調出運維操作錄像進行查看，根據錄像進行問題的追本溯源，直接定位問題根源所在，為解決IT系統的故障提供了寶貴的第一手資料。

在部署安全審計堡壘平台之後，問題的解決時間平均縮短到一到兩個小時，數量級的提高了運維工作質量。另外，由於有錄像可以學習，交流和借鑑，從一定程度上，提高了所有運維人員的運維經驗。

對內部的運維管理安全而言，原有的手工管理措施已不能滿足業務發展的要求。因此該銀行方面，依照國家相關的法規要求，遵照銀行業務系統自身的安全等級保護條例要求，提出建設伺服器和設備訪問安全管理系統，使得系統和安全管理人員可以對信息系統的用戶和各種資源進行集中管理、集中許可權分配、集中審計，從技術上保證信息系統安全策略的實施。具體而言，需要實現如下的功能需求：

1、賬戶的集中管理，並且對用戶能夠進行一定的許可權劃分管理；

2、許可權控制，能夠對用戶進行細粒度的許可權控制，針對欲運維的目標設備進行用戶與設備關聯；

3、能夠在運維過程中，對違規信息提出告警、許可權提升、阻斷等操作，及實現事中的實時審計管理；

4、對事後的審計錄像能夠做到回放、複式檢索、定位播放等便捷式操作；

該行選擇了某品牌堡壘機作為其安全審計項目的承建方。

RBAC角色授權機制打造，在設備管理中進行用戶的集中管理和用戶許可權的有效劃分，如“三權”劃分（系統管理員許可權、運維管理員許可權、審計管理員許可權），通過用戶和設備的關聯管理實現對用戶的運維許可權細分；然後通過一些安全策略的設定來降低違規操作對資源的破壞，即使出現問題能夠通過錄像查詢進行“事發現場”回放，從而實現防範、控制、審計一條龍；具體的說，在該行的運維管理項目中,實現了如下幾點：

1、用戶進行集中管理的同時，也進行了相應的許可權劃分，許可權獨立分明；

2、能夠進行事前的防範，針對該行有大量第三方代維人員的情況,對其採取定製化的角色類型和訪問策略；

3、對設備資源的違規操作實現許可權的提升、告警，發現嚴重違規操作，直接阻斷操作；（許可權提升是指：某些指令需要更高級別角色的臨時授權才能執行。）

4、實現事後審計的方便快捷性，通過組合式錄像查詢定位，直接找到問題點；

對內部運維人員的工作流程進行了相應的梳理，對其運維的IT系統和設備進行了責任的明確。事實上，這些約束和流程通過運維審計系統的約束，而變得更加明晰，業務數據的安全，以及IT系統的運維，有了一個明顯的提升。

而且，由於堡壘機產品遵照國際上流行的RBAC角色授權機制，以及P2DR安全模型，4A身份認證等安全防範體系建設，使得該行的信息系統安全保護等級有了一個質的飛躍。

無法客觀的支付報酬；不但如此更嚴重的是在軟體開發的過程中，某軟體外包商的開發人員的誤操作導致證券機構的某些系統模組突然沒有辦法正常使用，時間長達10分鐘之久，結果10分鐘的時間損失上百萬，而且造成了很嚴重的負面影響，因為沒有證據證明是軟體外包商所為，所以，後果只能自己承擔；同時機構內部的運維管理也有一定的問題，如越權運維、誤操作、賬戶共享等運維問題也頻頻出現，所以如何做到運維能審計的同時也做到運維能管理是該機構信息中心主管迫切要解決的問題？

在以後的證券機構開發的過程中，所有的運維、開發人員都必須經過一道“門”，這個“門”就是金萬維運維安全審計系統，所有的人首先登錄運維審計平台中，然後根據設定的許可權進行對目標設備的運維，且運維過程全程錄像；而且每個運維人員的每天、每周、每月的運維情況都可以通過報表、圖表進行統計，審計的同時做到了運維的管理；

通過部署運維安全審計系統，使證券機構的運維人員和第三方機構的外包開發人員都做了統一賬號管理，針對第三方開發人員的運維賬號，進行“生命周期”自動管理，設定使用時間，過了使用時間之後第三方開發人員就無權再用此運維賬戶登錄，不但如此針對危險操作行為證券機構也能夠設定安全策略，儘量把已知危險降到最低；在以後的開發過程中證券機構可以通過運維報表中的統計數據進行薪酬支付，對“矛盾”問題進行錄像回放，查找問題源；真正實現了運維審計的同時做到了運維管理，為證券機構信息化的建設做出了重大貢獻；

北京某知名網際網路IT企業一直致力於為客戶提供數字媒體行銷領域的尖端科技和卓越服務，如SEM/SEO/移動網際網路廣告、軟體定製開發服務等隨著業務的增長規模的擴大，除了北京研發中心外，在上海和廣州也相繼成立了對內和對外研發團隊，公司運維的伺服器有近百台之多。

隨著研發人員的增多和伺服器規模的增大，逐漸暴露了一些嚴峻的問題如賬號管理分散、越權運維、對外進行軟體定製開發過程無記錄、出現問題找不到責任人、對研發人員的每天、周的工作效率無從考核等問題正在逐步影響到整個研發團隊的工作進度和計畫的安排；

北京某知名網際網路IT企業找到我們之後，進行了現場交流分析，發現主要“癥結”在於研發人員除了在公司外，還經常在家，在外地登錄IT系統進行系統升級和維護，同時，登錄賬號管理混亂、運維許可權劃分不明、認證方式過於簡單、對運維過程沒有監控措施、對研發人員的運維次數沒有合理的運維統計方式；“對症下藥”通過部署運維安全審計系統平台後所有的研發人員都必須通過審計平台進行“過濾”，合規人員才能進行有效的開發維護工作，對主要研發人員通過配置如身份認證加密卡等方式進行身份強認證，用戶操作在“過濾”的同時，都進行錄像審計，錄像內容一方面可以作為“糾錯”來用，另一方面可以用來作為“教材”來使；通過部署運維審計系統使其癥結問題迎刃而解，解決了研發人員不能解決的管理審計難題；

運維審計系統的部署著實提高了研發隊伍的合規性，為有效研發、安全研發提供了堅實保障；審計錄像作為教材錄像、運維報表作為考核依據，為研發團隊增加了新的培訓和KPI管理方法。無論從合規性出發還是整體信息化運維正規化建設都能有效的提高管理和工作效率。