運維審計型堡壘機

  堡壘主機，是目前信息化程度和信息安全需求較高的行業應用較爲廣泛的最新的安全防禦技術平臺。衆所周知，隨着各個重要行業大型企業信息化應用的迅速發展， 各類業務和經營支撐系統的不斷增長，網絡規模迅速擴大，原有的由各個系統分散管理用戶和訪問受權的管理方式，使賬號和口令的安全性受到了極大影響，形成業 務管理和安全之間的失衡。所以原有的賬號口令管理措施已不能知足企業目前及將來業務發展的要求。

　　做爲國內多年從事內網信息安全研究，而且提供內部網絡風險控制總體解決方案的專業信息安全高科 技企業，極地安全將先進的科研成果迅速應用到市場實踐中，向用戶提供包括內控堡壘主機在內的一系列先進、專業、高性價比的內控安全解決方案。幫助用戶更好 地適應《信息安全等級保護管理辦法》、《涉及國家祕密的信息系統分級保護管理規範》、《企業內部控制基本規範》、《2002年公衆公司會計改革和投資者保 護法案》（簡稱薩班斯法案）等信息安全法規的要求。在銀行、證券等金融業機構也普遍採用堡壘機來完成對財務、會計操做的審計。 在電力行業的雙網改造項目後，採用堡壘機來完成雙網隔離以後跨網訪問的問題，可以很好的解決雙網之間的訪問的安全問題。

    運維審計型堡壘機的原理與網關型堡壘機相似，但其部署位置與應用場景不一樣且更爲複雜。運維審計型堡壘機被部署在內網中的服務器和網絡設備等核心資源的前 面，對運維人員的操做權限進行控制和操做行爲審計;運維審計型堡壘機即解決了運維人員權限難以控制混亂局面，又可對違規操做行爲進行控制和審計，並且因爲 運維操做自己不會產生大規模的流量，堡壘機不會成爲性能的瓶頸，因此堡壘機做爲運維操做審計的手段獲得了快速發展。

  如何實現對運維人員的權限控制與審計呢？堡壘機必須可以截獲運維人員的操做，並可以分析出其操做的內容。堡壘機的部署方式，確保它可以截獲運維人員 的全部操做行爲，分析出其中的操做內容以實現權限控制和行爲審計的目的，同時堡壘機還採用了應用代理的技術。運維審計型堡壘機對於運維操做人員至關於一臺代理服務器(Proxy Server)，其工做流程以下圖所示：

　　圖1. 堡壘機工做流程示意圖

　　1) 運維人員在操做過程當中首先鏈接到堡壘機，而後向堡壘機提交操做請求;

　　2) 該請求經過堡壘機的權限檢查後，堡壘機的應用代理模塊將代替用戶鏈接到目標設備完成該操做，以後目標設備將操做結果返回給堡壘機，最後堡壘機再將操做結果返回給運維操做人員。

　　經過這種方式，堡壘機邏輯上將運維人員與目標設備隔離開來，創建了從「運維人員->堡壘機用戶帳號->受權->目標設備帳號 ->目標設備」的管理模式，解決操做權限控制和行爲審計問題的同時，也解決了加密協議和圖形協議等沒法經過協議還原進行審計的問題。