梁浩偉

一、引言

近幾年來，企業(yè)在編制信息安全規(guī)劃的時候，選擇堡壘機系統(tǒng)實現(xiàn)運維安全管理的已經(jīng)越來越多。但大部分企業(yè)更注重于堡壘機“雁過留影”式的屏幕錄像功能，對堡壘機在企業(yè)運維人員管理和運維流程優(yōu)化方面能夠發(fā)揮的作用不夠重視。業(yè)內(nèi)人士常說：“網(wǎng)絡(luò)安全的最后一道防線是人！”也就是說，在現(xiàn)有的條件下，任何信息安全技術(shù)的使用都離不開人的參與和控制。如果對人的安全管理出了問題，企業(yè)的任何網(wǎng)絡(luò)安全設(shè)施都會形同虛設(shè)。而相對于傳統(tǒng)的攻防型網(wǎng)絡(luò)安全設(shè)備，堡壘機正是從對IT運維人員安全管理方面入手的信息安全設(shè)備。

二、基于堡壘機的運維人員管理

（一）運維人員管理現(xiàn)狀

傳統(tǒng)的信息安全建設(shè)，往往側(cè)重于對外部黑客攻擊的防范，以及網(wǎng)絡(luò)邊界的訪問控制，對信息系統(tǒng)安全威脅最大的內(nèi)部人員行為卻缺乏有效的管理。企業(yè)內(nèi)部人員，特別是擁有信息系統(tǒng)較高訪問權(quán)限的運維人員（如網(wǎng)管員、臨時聘用人員、第三方代維人員、廠商工程師等），比外部入侵者更容易接觸到信息系統(tǒng)的核心設(shè)備和敏感數(shù)據(jù)、內(nèi)部人員惡意或非惡意的破壞行為更容易造成較大的破壞。

然而，由于現(xiàn)有管理手段的不完善，賬號共享情況普遍存在，以及加密、圖形協(xié)議的廣泛應(yīng)用，使得這些運維管理人員的日常操作，存在操作身份不明確、操作過程不透明、操作內(nèi)容不可知、操作行為不可控、操作事故無法定位等安全風(fēng)險。內(nèi)部人員的操作行為幾乎處于完全失控的狀態(tài)，一旦發(fā)生事故，其后果的嚴重性將是無法預(yù)估的。歸納為以下幾個問題：

同一賬號多用戶共用：各企業(yè)信息部門從硬件設(shè)備到系統(tǒng)軟件，所管理負責業(yè)務(wù)系統(tǒng)種類繁多。信息化系統(tǒng)建設(shè)的便利性和內(nèi)控管理經(jīng)驗的欠缺，一般信息系統(tǒng)都缺乏嚴格的身份認證和權(quán)限劃分，權(quán)限關(guān)系混亂，通常各類系統(tǒng)開發(fā)和維護人員都共用一個系統(tǒng)賬號，不僅在發(fā)生安全事故時難以定位賬號的實際使用者和責任人，而且無法對賬號的使用范圍進行有效控制，存在較大安全隱患。

同一用戶使用多個賬戶：一個維護人員使用多個賬號是較為普遍的情況，用戶需要記憶多套口令同時在多套主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備之間切換。如果設(shè)備數(shù)量達到幾十甚至上百臺時，維護人員進行一項簡單的配置需要分別逐一登錄相關(guān)設(shè)備，其工作量和復(fù)雜度成倍增加，直接導(dǎo)致的后果是工作效率低下、管理繁瑣甚至出現(xiàn)誤操作，影響系統(tǒng)正常運行。

授權(quán)劃分不夠清晰：困擾企業(yè)信息部門的另一個問題是，管理對象的各級帳號權(quán)限劃分粒度不夠細，維護人員的權(quán)限大多是粗放式管理，由于缺少統(tǒng)一的運維操作授權(quán)策略，授權(quán)粒度粗，無法基于最小權(quán)限分配原則管理用戶權(quán)限，難以與業(yè)務(wù)管理要求相協(xié)調(diào)。因此，出現(xiàn)運維人員權(quán)限過大、內(nèi)部操作權(quán)限濫用等諸多問題，如果不及時解決，信息系統(tǒng)的安全性難以充分保證。如圖1所示。

（二）運維人員管理優(yōu)化

事前合理分配帳號和授權(quán)，是一切安全設(shè)計的基礎(chǔ)。基于堡壘機的運維，即可對訪問人員做到清晰授權(quán)，又可明確運維人員職責。

優(yōu)化人員帳號管理機制：堡壘機具備運維設(shè)備賬號托管功能，可實現(xiàn)運維操作單點登錄到主機系統(tǒng)。因此，通過非常簡單的操作，給每位運維人員只需分配獨立的堡壘機帳號即可實現(xiàn)對運維事件的人員區(qū)分。而無需在每臺主機系統(tǒng)上去做帳號劃分。針對臨時運維人員，也可以非常靈活方便的為其添加定時過期的臨時堡壘機帳號。如果發(fā)生運維人員調(diào)崗，也僅需在堡壘機上刪除其帳號即可。

優(yōu)化人員授權(quán)管理機制：堡壘機具有的黑白指令名單的功能，可以有效管理服務(wù)器、交換機賬號體系，解決劃分粒度不夠合理的問題。可以有效限制低權(quán)限用戶，越權(quán)運行高危指令的風(fēng)險。同時，在系統(tǒng)正式上線時，可以通過ACL方式限制除堡壘機外，其他設(shè)備之間的運維端口互訪。基于堡壘機的授權(quán)機制，可以實現(xiàn)用戶授權(quán)允許其運維的設(shè)備，而使其無法操作或連接到其他設(shè)備的運維權(quán)限。從而降低越權(quán)訪問的風(fēng)險。如圖2所示。

三、基于堡壘機的運維流程優(yōu)化

（一）運維流程管理現(xiàn)狀

目前，即使采用了ITIL管理規(guī)范的企業(yè)，在整個IT運維流程方面，也會存在規(guī)范無法解決的問題。主要有以下幾種情況：

運維行為隨意：運維人員工作自主性太大，在運維地點、運維頻次、運維時間方面，無監(jiān)管無審批，運維內(nèi)容無報備。這些都存在極大內(nèi)控風(fēng)險。可能會導(dǎo)致對設(shè)備的惡意操作或破環(huán)無法及時發(fā)現(xiàn)等后果。而且對工作任務(wù)的工作量缺乏有效的確認途徑。

異常機制缺失：運維中的異常操作，無預(yù)警機制，異常事件無法及時發(fā)現(xiàn)。已發(fā)現(xiàn)的異常事件，在處理進展、處理時效等方面也無法做到有效控制。

（二）運維流程管理優(yōu)化

要解決核心資源的訪問安全問題，我們首先從流程管理上進行分析。綜合考慮整體的情況，然后制定出相應(yīng)的解決策略，最后落實到技術(shù)實現(xiàn)上。對運維流程從制度和技術(shù)層面多方進行規(guī)范，可以有效降低運維風(fēng)險，保障系統(tǒng)運行的安全性和穩(wěn)定性。并且可以有更明確的責任劃分。

優(yōu)化運維操作流程：通過堡壘機的策略配置，可以完全實現(xiàn)對運維頻次、運維時間、運維地點、運維內(nèi)容的管理和審批。對于關(guān)鍵操作，還可進行二次審批確認。通過工單審批方式，可以對工作任務(wù)流程進行優(yōu)化：

1. 任務(wù)發(fā)起人通過系統(tǒng)下發(fā)工作任務(wù)；

2. 任務(wù)接收人在個人消息中心實時接收工作任務(wù)信息；

3. 任務(wù)接收人完成工作，在WEB界面中進行任務(wù)回復(fù)；

4. 任務(wù)發(fā)起人接收到回復(fù)信息后，對任務(wù)執(zhí)行情況進行確認，結(jié)束工作任務(wù)流程；

優(yōu)化異常處理流程：通過堡壘機的審計流程和異常告警策略，可以解決異常事件及時發(fā)現(xiàn)，異常事件及時處理的問題。審計人員可以查看相關(guān)異常事件并添加相應(yīng)的審計意見，否則該事件會一直處于未處理狀態(tài)，以提醒審計人員對重點事件進行關(guān)注并審計。如圖3所示：

四、綜述

以上問題，如果完全依靠管理制度約束人為操作，會導(dǎo)致整個IT部門工作效率低下，制度臃腫。因此既要有制度的建設(shè)，又要有技術(shù)的運用，管理解決的是面的問題，技術(shù)解決的是點的問題，通過制度和技術(shù)雙管齊下的方法提高IT運維管理水平。

堡壘機在企業(yè)運維環(huán)境中扮演的角色越來越重，如果只關(guān)注于過程的記錄和事后追責，這無助于企業(yè)規(guī)避風(fēng)險和損失。如果能投入更多精力做好前期的運維人員管理優(yōu)化和事中的運維流程優(yōu)化，相信能避免很多IT事故，讓企業(yè)的IT系統(tǒng)具有更高的穩(wěn)定性和安全性。

作者單位：中國電建集團西北勘測設(shè)計研究院有限公司 信息中心