摘要：為了解決信息系統(tǒng)存在的運(yùn)維審計(jì)的難題，同時(shí)為了滿足國家信息安全等級(jí)保護(hù)三級(jí)的要求，筆者所在部門實(shí)施了新一代內(nèi)控堡壘主機(jī)系統(tǒng)的建設(shè)。本文從系統(tǒng)的概念和功能出發(fā)，結(jié)合信息安全等級(jí)保護(hù)三級(jí)的相應(yīng)要求，展開介紹堡壘主機(jī)在運(yùn)維審計(jì)方面為信息系統(tǒng)的內(nèi)控管理提供的一個(gè)完整解決方案。而后通過在局域網(wǎng)中的實(shí)際部署經(jīng)驗(yàn)整理了技術(shù)要點(diǎn)和實(shí)施細(xì)節(jié)。通過本文，可以了解堡壘主機(jī)在運(yùn)維審計(jì)當(dāng)中的作用以及實(shí)施案例。

關(guān)鍵詞：堡壘主機(jī)；內(nèi)控管理；運(yùn)維審計(jì)；實(shí)踐案例

中圖分類號(hào)： TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2015）05（c）-0000-00

近年來，筆者所在民航系統(tǒng)內(nèi)的信息化水平正在逐步從初級(jí)應(yīng)用階段發(fā)展至高級(jí)應(yīng)用階段，而伴隨著這個(gè)過程產(chǎn)生的信息化應(yīng)用與信息安全管理的矛盾也愈發(fā)突出[1]。筆者所在單位近年來在局域網(wǎng)內(nèi)先后部署了多項(xiàng)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)分析產(chǎn)品，已經(jīng)形成了較為完善的信息安全防護(hù)體系，主要技術(shù)人員也積累了運(yùn)維經(jīng)驗(yàn)。但信息系統(tǒng)故障等網(wǎng)絡(luò)安全問題仍然時(shí)有發(fā)生。通過分析故障產(chǎn)生的原因，發(fā)現(xiàn)大部分違規(guī)行為竟然來源于一些合法用戶的例行操作。傳統(tǒng)意義的安全防護(hù)系統(tǒng)可以從技術(shù)角度解決一些潛在的安全問題，但對(duì)于內(nèi)部人員操作的管理手段不完善帶來的數(shù)據(jù)破壞和泄露可能比技術(shù)原因造成的損害更為嚴(yán)重。

國家公安部《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中明確規(guī)定了二級(jí)（含）以上的重要信息系統(tǒng)網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全都需要具備安全審計(jì)功能[2]，所以，根據(jù)等級(jí)保護(hù)要求以及本單位的實(shí)際情況，我們迫切需要一種有效的手段來對(duì)內(nèi)部人員的設(shè)備維護(hù)行為進(jìn)行控制和審計(jì)，解決信息安全管理中遇到的難題。難題具體體現(xiàn)在：運(yùn)維權(quán)限分配復(fù)雜、系統(tǒng)密碼管理不足、操作風(fēng)險(xiǎn)難以控制、共享賬號(hào)安全隱患、系統(tǒng)資源授權(quán)不清晰、訪問控制策略不嚴(yán)格、重要操作無法有效審計(jì)等。而以上這些信息安全問題，通過引入內(nèi)控堡壘主機(jī)并結(jié)合管理措施之后基本得到了有效解決。

1 內(nèi)控堡壘主機(jī)介紹

1.1 什么是內(nèi)控堡壘主機(jī)？

最早的堡壘主機(jī)主要定位于防御外部進(jìn)攻[3]。通過將其部署在防火墻或路由器之外，可以使那些需要面向外部的服務(wù)集中于堡壘主機(jī)上進(jìn)行集中保護(hù)，以此來換取內(nèi)部網(wǎng)絡(luò)的安全。

而隨著信息化應(yīng)用的日趨復(fù)雜，由被動(dòng)防御型的堡壘主機(jī)發(fā)展出來了更加偏重于對(duì)內(nèi)部網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)進(jìn)行綜合安全保護(hù)的管理控制平臺(tái)，也就是我們所說的內(nèi)控堡壘主機(jī)。它從網(wǎng)絡(luò)內(nèi)部出發(fā)，通過多種信息安全技術(shù)（訪問控制、身份認(rèn)證、虛擬化、協(xié)議代理、操作審計(jì)等）實(shí)現(xiàn)用戶對(duì)內(nèi)部網(wǎng)絡(luò)資源的安全訪問，同時(shí)對(duì)用戶的操作過程形成完整的審計(jì)記錄。這樣的內(nèi)控平臺(tái)正可以有效地解決我們在日常運(yùn)維和內(nèi)控管理中遇到的難題。

1.2 功能特點(diǎn)

1.2.1 設(shè)備的集中管控

內(nèi)控堡壘主機(jī)可以將服務(wù)器和網(wǎng)絡(luò)設(shè)備的信息，以及用戶信息和訪問權(quán)限提前配置在堡壘主機(jī)中，這樣便從傳統(tǒng)的分布式管理模式轉(zhuǎn)變成可控的集中式管理模式，以此為基礎(chǔ)帶來了設(shè)備管理效率和安全穩(wěn)定性的提升。

1.2.2 操作的集中審計(jì)

內(nèi)控堡壘主機(jī)通過協(xié)議代理的方式，將原來從某臺(tái)內(nèi)網(wǎng)終端直接通過遠(yuǎn)程連接對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行操作的不可控的分散管理方式，轉(zhuǎn)變成為了用戶必須集中至堡壘主機(jī)的統(tǒng)一入口再對(duì)有授權(quán)的設(shè)備進(jìn)行操作。而全部操作都通過協(xié)議錄制得到記錄，實(shí)現(xiàn)了精細(xì)化的集中操作審計(jì)。

總之，內(nèi)控堡壘主機(jī)結(jié)合了傳統(tǒng)的4A 理念，即賬號(hào)管理、認(rèn)證管理、授權(quán)管理、安全審計(jì)，與應(yīng)用發(fā)布技術(shù)，形成了一個(gè)完善且可控的遠(yuǎn)程接入解決方案。一方面，統(tǒng)一身份認(rèn)證和統(tǒng)一訪問授權(quán)使得遠(yuǎn)程接入用戶需要通過多種身份認(rèn)證手段以及基于角色的授權(quán)管理才可以接入設(shè)備，滿足了信息安全等級(jí)保護(hù)的要求；另一方面，全面的審計(jì)功能讓管理員不但可以完整錄制會(huì)話過程，還可以實(shí)時(shí)監(jiān)視遠(yuǎn)程訪問會(huì)話并及時(shí)終止非法操作。

2 制定解決方案

2.1 信息安全等級(jí)保護(hù)要求

根據(jù)信息安全等級(jí)保護(hù)第三級(jí)[4]的相關(guān)要求制定內(nèi)控堡壘主機(jī)的解決方案，可以滿足在要求中涉及到的網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)五項(xiàng)技術(shù)方面的要求，以及安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)運(yùn)維管理三項(xiàng)管理方面的要求。根據(jù)要求中的內(nèi)容以及內(nèi)控堡壘主機(jī)針對(duì)每一項(xiàng)提供的解決方案，整理如下表1。

2.2 設(shè)計(jì)原則

2.2.1 整體安全和全網(wǎng)統(tǒng)一的原則

資源訪問的安全設(shè)計(jì)需要綜合考慮信息網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)和全部實(shí)體，然后在不同層次上綜合使用多種安全手段，為內(nèi)部信息網(wǎng)絡(luò)和安全業(yè)務(wù)提供管理和服務(wù)。

2.2.2 標(biāo)準(zhǔn)化原則

項(xiàng)目的安全體系設(shè)計(jì)嚴(yán)格遵循了國家標(biāo)準(zhǔn)，如《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》。在達(dá)到標(biāo)準(zhǔn)要求的同時(shí)能夠使企業(yè)內(nèi)部的信息系統(tǒng)在可控范圍內(nèi)實(shí)現(xiàn)安全的互聯(lián)互通。

2.2.3 需求、風(fēng)險(xiǎn)、成本平衡原則

任何信息系統(tǒng)都無法做到絕對(duì)安全，所以設(shè)計(jì)時(shí)就需要明確性能要求以及側(cè)重點(diǎn)，然后從需求出發(fā)，在功能、風(fēng)險(xiǎn)和成本之間進(jìn)行平衡和折中[5]。

2.2.4 實(shí)用、高效、可擴(kuò)展原則

無論現(xiàn)狀如何，隨著技術(shù)發(fā)展信息系統(tǒng)仍將不斷變化，哪怕在系統(tǒng)實(shí)施過程中，系統(tǒng)的結(jié)構(gòu)、配置也會(huì)發(fā)生變化。所以系統(tǒng)需要有一定的靈活性來適應(yīng)這些變化，使其符合“有層次、成體系”的標(biāo)準(zhǔn)，既有利于系統(tǒng)安全，又有利于擴(kuò)展。

2.2.5 技術(shù)、管理相結(jié)合原則

為了使內(nèi)控堡壘主機(jī)可以發(fā)揮其應(yīng)有的效果，管理者必須首先根據(jù)系統(tǒng)的功能特點(diǎn)來重新梳理和完善現(xiàn)有的運(yùn)行管理機(jī)制和安全規(guī)章制度，同時(shí)對(duì)技術(shù)人員進(jìn)行思想教育和技術(shù)培訓(xùn)。通過合理的規(guī)定和具體培訓(xùn)，才能完成系統(tǒng)的應(yīng)用。

2.3 設(shè)計(jì)思路

2.3.1 集中管理模式

管理模式?jīng)Q定了管理的高度，所以明確管理模式應(yīng)當(dāng)是我們要確定首要因素。根據(jù)多年的運(yùn)維實(shí)踐發(fā)現(xiàn)，我們對(duì)維護(hù)人員及其操作的管理手段并未伴隨著信息化進(jìn)程的推進(jìn)而得到加強(qiáng)，這樣導(dǎo)致了人為因素造成的運(yùn)行故障比例居高不下，缺少有效的審計(jì)手段。因此迫使我們必須由分散的管理模式轉(zhuǎn)變?yōu)榧械墓芾砟Ｊ健＜泄芾硎沁\(yùn)維管理思想的必然發(fā)展趨勢和唯一選擇[6]。通常，集中管理包括：集中的資源訪問入口、集中的賬號(hào)管理、集中的授權(quán)管理、集中的認(rèn)證管理、集中的審計(jì)管理等等。

2.3.2 訪問協(xié)議代理

內(nèi)控堡壘主機(jī)通過對(duì)各平臺(tái)所使用的協(xié)議進(jìn)行代理來實(shí)現(xiàn)對(duì)操作行為的審計(jì)和監(jiān)控[7]。比如SSH、TELNET、FTP、RDP、VNC等等Windows或Linux平臺(tái)上的訪問協(xié)議。

2.3.3 身份授權(quán)分離

為避免傳統(tǒng)方式的共享賬號(hào)、弱口令賬號(hào)等問題導(dǎo)致的安全漏洞，我們的解決思路是將身份和授權(quán)分離。首先建立用于身份認(rèn)證的獨(dú)立賬號(hào)體系，然后保留各系統(tǒng)賬號(hào)但使其由堡壘主機(jī)接管并定期更新密碼，使得被管理設(shè)備本身的系統(tǒng)賬號(hào)僅用于系統(tǒng)授權(quán)而剝離其身份認(rèn)證功能，有效增強(qiáng)了身份認(rèn)證和系統(tǒng)授權(quán)的可靠性。

2.4 系統(tǒng)構(gòu)架

我們部署的內(nèi)控堡壘主機(jī)由展現(xiàn)層、核心服務(wù)層、接口管理層三層結(jié)構(gòu)組成。

展現(xiàn)層面向用戶，集成了多種包括匙扣令牌在內(nèi)的強(qiáng)身份認(rèn)證方式，分別對(duì)系統(tǒng)管理員和運(yùn)維用戶提供不同的訪問操作頁面。

核心服務(wù)層面向授權(quán)和協(xié)議代理，部署在服務(wù)器上。在核心服務(wù)層上完成賬號(hào)管理、授權(quán)管理及策略設(shè)置等操作。其中的協(xié)議代理包含用戶輸入模塊、命令捕獲引擎、策略控制和日志服務(wù)，所以具備對(duì)用戶行為進(jìn)行監(jiān)視、控制和記錄的功能。

接口管理層面向個(gè)信息系統(tǒng)，用于實(shí)現(xiàn)審計(jì)結(jié)合、賬號(hào)同步、認(rèn)證結(jié)合等方面的數(shù)據(jù)接口工作。另外它還包含應(yīng)用發(fā)布服務(wù)，以此來實(shí)現(xiàn)對(duì)B/S、C/S、半B/S半C/S系統(tǒng)的單點(diǎn)登錄及審計(jì)工作。

3 內(nèi)控堡壘主機(jī)的實(shí)施

系統(tǒng)的實(shí)施過程中，我們將堡壘主機(jī)及其應(yīng)用發(fā)布服務(wù)器的部署位置單獨(dú)剝離開劃分為管理區(qū)，把內(nèi)部網(wǎng)絡(luò)的其他設(shè)備如服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等等劃分為業(yè)務(wù)區(qū)。在內(nèi)控堡壘主機(jī)部署上架后，運(yùn)維人員將集中通過內(nèi)控堡壘主機(jī)對(duì)業(yè)務(wù)區(qū)的目標(biāo)設(shè)備進(jìn)行日常運(yùn)維操作。

設(shè)備上架后，我們需要通過防火墻策略配置解除客戶端到堡壘主機(jī)及堡壘主機(jī)到目標(biāo)服務(wù)器的端口限制。這樣當(dāng)用戶訪問設(shè)備時(shí)，堡壘主機(jī)才可以完成對(duì)TELNET（端口23）、SSH（端口22）、RDP（端口3389）等協(xié)議的代理訪問具體設(shè)備，并在堡壘主機(jī)上完成對(duì)設(shè)備的單點(diǎn)登錄及會(huì)話的完整審計(jì)。

4 結(jié)語

在信息化水平快速發(fā)展的今天，技術(shù)發(fā)展與管理模式相輔相成。信息安全不僅需要先進(jìn)的設(shè)備和嫻熟的技術(shù)，更需要完善的制度和審計(jì)手段。內(nèi)控堡壘主機(jī)的實(shí)施切實(shí)有效地規(guī)范了內(nèi)外部維護(hù)人員對(duì)IT基礎(chǔ)設(shè)施的維護(hù)行為，彌補(bǔ)了操作審計(jì)空白。它通過集中管理的模式，借助于協(xié)議代理、身份授權(quán)分離等技術(shù)，極大地減少了維護(hù)人員誤操作或惡意操作的概率，縮短了故障定位時(shí)間。這次內(nèi)控堡壘主機(jī)的實(shí)施完善了筆者所在單位的信息安全保護(hù)體系，將有助于提高信息系統(tǒng)運(yùn)行的安全性和穩(wěn)定性。

參考文獻(xiàn)：

[1]潘玉珣. 新一代堡壘主機(jī)[J]. 信息安全與通信保密，2011，05：45.

[2]韓榮杰，于曉誼. 基于堡壘主機(jī)概念的運(yùn)維審計(jì)系統(tǒng)[J]. 信息化建設(shè)，2012，01：56-59.

[3]趙瑞霞，王會(huì)平. 構(gòu)建堡壘主機(jī)抵御網(wǎng)絡(luò)攻擊[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010，08：26-27.

[4] 公安部信息安全等級(jí)保護(hù)評(píng)估中心. GB/T 22239-2008， 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S]. 北京：中國標(biāo)準(zhǔn)出版社，2008.

[5]韓海航，王久輝. 大型交通網(wǎng)絡(luò)系統(tǒng)安全保障體系研究[J]. 計(jì)算機(jī)安全，2007，10：77-80.

[6]吳國良. 面向NGB的網(wǎng)絡(luò)與信息管控建設(shè)[J]. 廣播與電視技術(shù)，2013，10：28+30-33.

[7]陳旭. IT運(yùn)維操作管理有效降低企業(yè)風(fēng)險(xiǎn)[J]. 高科技與產(chǎn)業(yè)化，2010，05：116-119.

作者簡介：

龐博（1985-），男，軟件工程學(xué)士，助理工程師，主要研究方向?yàn)槠矫婢W(wǎng)絡(luò)及網(wǎng)絡(luò)安全。