【IT168 案例】随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作却无能为力。根据中国国家信息安全测评中心调查，信息安全的现实威胁主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客。

　　堡垒机完善IT系统内控

　　启明星辰天玥网络安全审计系统-运维安全管控系统(天玥OSM堡垒机)，能够对企业运维人员的维护过程进行全面跟踪、控制、记录、回放;支持细粒度配置运维人员的访问权限，实时阻断违规、越权的访问行为，同时提供维护人员操作的全过程记录与报告;系统支持对加密与图形协议进行审计，消除了传统审计设备的审计盲点，成为企业IT系统内部控制最有力的支撑平台。

　　例如，在运营商某省公司，很多设备和业务系统己经通过外包公司代维，那么业务数据是否被非法访问或产生信息泄露?由于缺乏在技术层面进行高强度的监管，业务系统安全状况不得而知。为进一步提升业务系统安全性及安全管理水平，省公司开始进行运维安全系统建设，通过启明星辰天玥OSM堡垒机的实施和运用，使得系统和安全管理人员可以对支撑系统的运维用户和各种资源进行集中管理、集中权限分配和控制、集中审计，从技术层面上有效保证了支撑系统安全策略的实施。

　　天玥堡垒机互补技术方案

　　在常见的信息系统中，运维人员对目标设备的运维协议或访问方式主要包括字符协议、图形协议、文件传输协议、HTTP(S)访问、数据库客户端或其他私有客户端。如何有效实现对运维人员的操作权限进行细粒度控制和合规审计呢?

　　天玥OSM堡垒机由WEB模块、协议代理模块、行为审计模块、应用发布模块和存储模块组成。其中协议代理模块可以实现对主机、数据库、网络设备维护过程中的协议数据包代理转发、行为还原及记录、高危/违规行为阻断等功能，支持SSH、TELNET、FTP、SFTP、RDP、VNC、X11等运维协议。应用发布模块用于发布非标准协议或应用客户端，可实现对应用客户端工具的自动调出、密码代填和操作审计功能，主要包括HTTP IE应用、数据库客户端、pcanywhere等工具，支持扩展。

图1 协议代理模块

　　如图1所示，运维用户通过堡垒机WEB界面进行对目标资源的单点登录(SSO)，堡垒机对指定的协议通过代理方式，实现对协议的审计等功能，具体如下：

　　1、运维用户通过HTTPS访问堡垒机WEB界面;

　　2、堡垒机对运维用户的身份进行认证;

　　3、认证成功后，运维用户即进入堡垒机运维主界面，同时对运维用户的权限进行鉴别，展现运维用户权限范围内的资源列表;

　　4、运维用户选择需要单点登录的被管资源、相关资源账号和运维协议;

　　5、堡垒机实现对相应协议的代理，并进行密码代填，实现对目标资源的单点登录。

　　运维用户在经过堡垒机进行运维操作时，堡垒机相对于终端运维用户是运维会话的服务端，接收用户的运维指令，相对于目标被管资源是客户端，向目标资源输送运维指令，并接收返回结果，并将结果返回至终端运维用户操作界面。协议代理模块在此过程中，将相应的指令和结果发送至行为审计模块，此外还可根据指令黑白名单进行指令控制和二次审批。

图2 应用发布模块

　　如图2所示，管理员用户将客户端工具安装在应用发布服务器上，而运维用户终端无需安装，运维用户通过堡垒机WEB界面进行对目标资源的单点登录，选择相应的客户端工具，堡垒机实现对工具的远程自动调出、密码代填和操作审计功能，具体如下：

　　1、运维用户通过HTTPS访问堡垒机WEB界面;

　　2、堡垒机对运维用户的身份进行认证;

　　3、认证成功后，运维用户即进入堡垒机运维主界面，同时对运维用户的权限进行鉴别，展现运维用户权限范围内的资源列表;

　　4、运维用户选择需要单点登录的被管资源、相关资源账号和运维客户端工具;

　　5、堡垒机实现对工具的远程自动调出、密码代填，并在用户运维操作过程中进行录像审计。

　　堡垒机通过这两种互补的技术方案，实现对自然人身份以及资源、资源账号的集中管理，建立“自然人—资源—资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管，避免核心资产(服务器、网络设备、安全设备等)损失，保障业务系统的正常运营。

　　作为国内最早研发和业界领先的堡垒机厂商之一，启明星辰堡垒机产品历经5年多的持续发展，已拥有目前国内最多的客户群，包括电信运营商、金融、能源、政府、烟草、传媒、公安和企事业单位等。