隨著企業(yè)信息化進(jìn)程不斷深入，企業(yè)的業(yè)務(wù)系統(tǒng)變得日益復(fù)雜，由內(nèi)部員工違規(guī)操作導(dǎo)致的安全問題變得日益突出起來。防火墻、防病毒、入侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題，但對于內(nèi)部人員的違規(guī)操作卻無能為力。根據(jù)中國國家信息安全測評中心調(diào)查，信息安全的現(xiàn)實(shí)威脅主要為內(nèi)部信息泄露和內(nèi)部人員犯罪，而非病毒和外來黑客。

　　堡壘機(jī)完善IT系統(tǒng)內(nèi)控

　　啟明星辰天玥網(wǎng)絡(luò)安全審計系統(tǒng)-運(yùn)維安全管控系統(tǒng)(天玥OSM堡壘機(jī))，能夠?qū)ζ髽I(yè)運(yùn)維人員的維護(hù)過程進(jìn)行全面跟蹤、控制、記錄、回放;支持細(xì)粒度配置運(yùn)維人員的訪問權(quán)限，實(shí)時阻斷違規(guī)、越權(quán)的訪問行為，同時提供維護(hù)人員操作的全過程記錄與報告;系統(tǒng)支持對加密與圖形協(xié)議進(jìn)行審計，消除了傳統(tǒng)審計設(shè)備的審計盲點(diǎn)，成為企業(yè)IT系統(tǒng)內(nèi)部控制最有力的支撐平臺。

　　例如，在運(yùn)營商某省公司，很多設(shè)備和業(yè)務(wù)系統(tǒng)己經(jīng)通過外包公司代維，那么業(yè)務(wù)數(shù)據(jù)是否被非法訪問或產(chǎn)生信息泄露？由于缺乏在技術(shù)層面進(jìn)行高強(qiáng)度的監(jiān)管，業(yè)務(wù)系統(tǒng)安全狀況不得而知。為進(jìn)一步提升業(yè)務(wù)系統(tǒng)安全性及安全管理水平，省公司開始進(jìn)行運(yùn)維安全系統(tǒng)建設(shè)，通過啟明星辰天玥OSM堡壘機(jī)的實(shí)施和運(yùn)用，使得系統(tǒng)和安全管理人員可以對支撐系統(tǒng)的運(yùn)維用戶和各種資源進(jìn)行集中管理、集中權(quán)限分配和控制、集中審計，從技術(shù)層面上有效保證了支撐系統(tǒng)安全策略的實(shí)施。

　　天玥堡壘機(jī)互補(bǔ)技術(shù)方案

　　在常見的信息系統(tǒng)中，運(yùn)維人員對目標(biāo)設(shè)備的運(yùn)維協(xié)議或訪問方式主要包括字符協(xié)議、圖形協(xié)議、文件傳輸協(xié)議、HTTP(S)訪問、數(shù)據(jù)庫客戶端或其他私有客戶端。如何有效實(shí)現(xiàn)對運(yùn)維人員的操作權(quán)限進(jìn)行細(xì)粒度控制和合規(guī)審計呢？

　　天玥OSM堡壘機(jī)由WEB模塊、協(xié)議代理模塊、行為審計模塊、應(yīng)用發(fā)布模塊和存儲模塊組成。其中協(xié)議代理模塊可以實(shí)現(xiàn)對主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備維護(hù)過程中的協(xié)議數(shù)據(jù)包代理轉(zhuǎn)發(fā)、行為還原及記錄、高危/違規(guī)行為阻斷等功能，支持SSH、TELNET、FTP、SFTP、RDP、VNC、X11等運(yùn)維協(xié)議。應(yīng)用發(fā)布模塊用于發(fā)布非標(biāo)準(zhǔn)協(xié)議或應(yīng)用客戶端，可實(shí)現(xiàn)對應(yīng)用客戶端工具的自動調(diào)出、密碼代填和操作審計功能，主要包括HTTP IE應(yīng)用、數(shù)據(jù)庫客戶端、pcanywhere等工具，支持?jǐn)U展。

　　 圖1 協(xié)議代理模塊

　　如圖1所示，運(yùn)維用戶通過堡壘機(jī)WEB界面進(jìn)行對目標(biāo)資源的單點(diǎn)登錄(SSO)，堡壘機(jī)對指定的協(xié)議通過代理方式，實(shí)現(xiàn)對協(xié)議的審計等功能，具體如下：

　　1、運(yùn)維用戶通過HTTPS訪問堡壘機(jī)WEB界面;

　　2、堡壘機(jī)對運(yùn)維用戶的身份進(jìn)行認(rèn)證;

　　3、認(rèn)證成功后，運(yùn)維用戶即進(jìn)入堡壘機(jī)運(yùn)維主界面，同時對運(yùn)維用戶的權(quán)限進(jìn)行鑒別，展現(xiàn)運(yùn)維用戶權(quán)限范圍內(nèi)的資源列表;

　　4、運(yùn)維用戶選擇需要單點(diǎn)登錄的被管資源、相關(guān)資源賬號和運(yùn)維協(xié)議;

　　5、堡壘機(jī)實(shí)現(xiàn)對相應(yīng)協(xié)議的代理，并進(jìn)行密碼代填，實(shí)現(xiàn)對目標(biāo)資源的單點(diǎn)登錄。

　　運(yùn)維用戶在經(jīng)過堡壘機(jī)進(jìn)行運(yùn)維操作時，堡壘機(jī)相對于終端運(yùn)維用戶是運(yùn)維會話的服務(wù)端，接收用戶的運(yùn)維指令，相對于目標(biāo)被管資源是客戶端，向目標(biāo)資源輸送運(yùn)維指令，并接收返回結(jié)果，并將結(jié)果返回至終端運(yùn)維用戶操作界面。協(xié)議代理模塊在此過程中，將相應(yīng)的指令和結(jié)果發(fā)送至行為審計模塊，此外還可根據(jù)指令黑白名單進(jìn)行指令控制和二次審批。

　　 圖2 應(yīng)用發(fā)布模塊

　　如圖2所示，管理員用戶將客戶端工具安裝在應(yīng)用發(fā)布服務(wù)器上，而運(yùn)維用戶終端無需安裝，運(yùn)維用戶通過堡壘機(jī)WEB界面進(jìn)行對目標(biāo)資源的單點(diǎn)登錄，選擇相應(yīng)的客戶端工具，堡壘機(jī)實(shí)現(xiàn)對工具的遠(yuǎn)程自動調(diào)出、密碼代填和操作審計功能，具體如下：

　　1、運(yùn)維用戶通過HTTPS訪問堡壘機(jī)WEB界面;

　　2、堡壘機(jī)對運(yùn)維用戶的身份進(jìn)行認(rèn)證;

　　3、認(rèn)證成功后，運(yùn)維用戶即進(jìn)入堡壘機(jī)運(yùn)維主界面，同時對運(yùn)維用戶的權(quán)限進(jìn)行鑒別，展現(xiàn)運(yùn)維用戶權(quán)限范圍內(nèi)的資源列表;

　　4、運(yùn)維用戶選擇需要單點(diǎn)登錄的被管資源、相關(guān)資源賬號和運(yùn)維客戶端工具;

　　5、堡壘機(jī)實(shí)現(xiàn)對工具的遠(yuǎn)程自動調(diào)出、密碼代填，并在用戶運(yùn)維操作過程中進(jìn)行錄像審計。

　　堡壘機(jī)通過這兩種互補(bǔ)的技術(shù)方案，實(shí)現(xiàn)對自然人身份以及資源、資源賬號的集中管理，建立“自然人—資源—資源賬號”對應(yīng)關(guān)系，實(shí)現(xiàn)自然人對資源的統(tǒng)一授權(quán)，同時，對授權(quán)人員的運(yùn)維操作進(jìn)行記錄、分析、展現(xiàn)，以幫助內(nèi)控工作事前規(guī)劃預(yù)防、事中實(shí)時監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報告、事故追蹤回放，加強(qiáng)內(nèi)部業(yè)務(wù)操作行為監(jiān)管，避免核心資產(chǎn)(服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等)損失，保障業(yè)務(wù)系統(tǒng)的正常運(yùn)營。

　　作為國內(nèi)最早研發(fā)和業(yè)界領(lǐng)先的堡壘機(jī)廠商之一，啟明星辰堡壘機(jī)產(chǎn)品歷經(jīng)5年多的持續(xù)發(fā)展，已擁有目前國內(nèi)最多的客戶群，包括電信運(yùn)營商、金融、能源、政府、煙草、傳媒、公安和企事業(yè)單位等。