1、堡壘機概念及工作原理淺析關(guān)鍵詞：堡壘機、運維操作審計、工作原理1 前言當今的時代是一個信息化社會，信息系統(tǒng)已成為各企事業(yè)單位業(yè)務運營的基礎(chǔ),由于信息系統(tǒng)運維人員掌握著信息系統(tǒng)的最高權(quán)限，一旦運維操作出現(xiàn)安全問題將會給企業(yè)或單位帶來巨大的損失。因此,加強對運維人員操作行為的監(jiān)管與審計是信息安全發(fā)展的必然趨勢。在此背景之下,針對運維操作管理與審計的堡壘機應運而生。堡壘機提供了一套多維度的運維操作控管控與審計解決方案，使得管理人員可以全面對各種資源（如網(wǎng)絡設備、服務器、安全設備和數(shù)據(jù)庫等）進行集中賬號管理、細粒度的權(quán)限管理和訪問審計，幫助企業(yè)提升內(nèi)部風險控制水平。2 堡壘機的概念和種類“堡壘”一詞的

2、含義是指用于防守的堅固建筑物或比喻難于攻破的事物，因此從字面的意思來看“堡壘機”是指用于防御攻擊的計算機。在實際應用中堡壘機又被稱為“堡壘主機”，是一個主機系統(tǒng)，其自身通常經(jīng)過了一定的加固，具有較高的安全性，可抵御一定的攻擊，其作用主要是將需要保護的信息系統(tǒng)資源與安全威脅的來源進行隔離，從而在被保護的資源前面形成一個堅固的“堡壘”，并且在抵御威脅的同時又不影響普通用戶對資源的正常訪問。基于其應用場景，堡壘機可分為兩種類型：2.1 網(wǎng)關(guān)型堡壘機網(wǎng)關(guān)型的堡壘機被部署在外部網(wǎng)絡和內(nèi)部網(wǎng)絡之間，其本身不直接向外部提供服務而是作為進入內(nèi)部網(wǎng)絡的一個檢查點，用于提供對內(nèi)部網(wǎng)絡特定資源的安全訪問控制。這類堡

3、壘機不提供路由功能，將內(nèi)外網(wǎng)從網(wǎng)絡層隔離開來，因此除非授權(quán)訪問外還可以過濾掉一些針對內(nèi)網(wǎng)的來自應用層以下的攻擊，為內(nèi)部網(wǎng)絡資源提供了一道安全屏障。但由于此類堡壘機需要處理應用層的數(shù)據(jù)內(nèi)容，性能消耗很大，所以隨著網(wǎng)絡進出口處流量越來越大，部署在網(wǎng)關(guān)位置的堡壘機逐漸成為了性能瓶頸，因此網(wǎng)關(guān)型的堡壘機逐漸被日趨成熟的防火墻、utm、ips、網(wǎng)閘等安全產(chǎn)品所取代。2.2 運維審計型堡壘機第二種類型的堡壘機是審計型堡壘機，有時也被稱作“內(nèi)控堡壘機”，這種類型的堡壘機也是當前應用最為普遍的一種。運維審計型堡壘機的原理與網(wǎng)關(guān)型堡壘機類似，但其部署位置與應用場景不同且更為復雜。運維審計型堡壘機被部署在內(nèi)網(wǎng)中的

4、服務器和網(wǎng)絡設備等核心資源的前面，對運維人員的操作權(quán)限進行控制和操作行為審計；運維審計型堡壘機即解決了運維人員權(quán)限難以控制混亂局面，又可對違規(guī)操作行為進行控制和審計，而且由于運維操作本身不會產(chǎn)生大規(guī)模的流量，堡壘機不會成為性能的瓶頸，所以堡壘機作為運維操作審計的手段得到了快速發(fā)展。最早將堡壘機用于運維操作審計的是金融、運營商等高端行業(yè)的用戶，由于這些用戶的信息化水平相對較高發(fā)展也比較快，隨著信息系統(tǒng)安全建設發(fā)展其對運維操作審計的需求表現(xiàn)也更為突出，而且這些用戶更容易受到 “信息系統(tǒng)等級保護”、“薩班斯法案”等法規(guī)政策的約束，因此基于堡壘機作為運維操作審計手段的上述特點，這些高端行業(yè)用戶率先將堡

5、壘機應用于運維操作審計。3 堡壘機運維操作審計的工作原理作為運維操作審計手段的堡壘機的核心功能是用于實現(xiàn)對運維操作人員的權(quán)限控制與操作行為審計。3.1 主要技術(shù)思路如何實現(xiàn)對運維人員的權(quán)限控制與審計呢？堡壘機必須能夠截獲運維人員的操作，并能夠分析出其操作的內(nèi)容。堡壘機的部署方式，確保它能夠截獲運維人員的所有操作行為，分析出其中的操作內(nèi)容以實現(xiàn)權(quán)限控制和行為審計的目的，同時堡壘機還采用了應用代理的技術(shù)。運維審計型堡壘機對于運維操作人員相當于一臺代理服務器（proxy server），其工作流程如下圖所示：圖1. 堡壘機工作流程示意圖1） 運維人員在操作過程中首先連接到堡壘機，然后向堡壘機提交操作

6、請求；2） 該請求通過堡壘機的權(quán)限檢查后，堡壘機的應用代理模塊將代替用戶連接到目標設備完成該操作，之后目標設備將操作結(jié)果返回給堡壘機，最后堡壘機再將操作結(jié)果返回給運維操作人員。通過這種方式，堡壘機邏輯上將運維人員與目標設備隔離開來，建立了從“運維人員-堡壘機用戶賬號-授權(quán)-目標設備賬號-目標設備”的管理模式，解決操作權(quán)限控制和行為審計問題的同時，也解決了加密協(xié)議和圖形協(xié)議等無法通過協(xié)議還原進行審計的問題。3.2 工作原理簡介下面就簡單介紹一下堡壘機運維操作審計的工作原理，其工作原理示意圖如下：圖2. 堡壘機工作原理示意圖在實際使用場景中堡壘機的使用人員通常可分為管理人員、運維操作人員、審計人員

7、三類用戶。管理員最重要的職責是根據(jù)相應的安全策略和運維人員應有的操作權(quán)限來配置堡壘機的安全策略。堡壘機管理員登錄堡壘機后，在堡壘機內(nèi)部，“策略管理”組件負責與管理員進行交互，并將管理員輸入的安全策略存儲到堡壘機內(nèi)部的策略配置庫中。“應用代理”組件是堡壘機的核心，負責中轉(zhuǎn)運維操作用戶的操作并與堡壘機內(nèi)部其他組件進行交互。“應用代理”組件收到運維人員的操作請求后調(diào)用“策略管理”組件對該操作行為進行核查，核查依據(jù)便是管理員已經(jīng)配置好的策略配置庫，如此次操作不符合安全策略“應用代理”組件將拒絕該操作行為的執(zhí)行。運維人員的操作行為通過“策略管理”組件的核查之后“應用代理”組件則代替運維人員連接目標設備完

8、成相應操作，并將操作返回結(jié)果返回給對應的運維操作人員；同時此次操作過程被提交給堡壘機內(nèi)部的“審計模塊”，然后此次操作過程被記錄到審計日志數(shù)據(jù)庫中。最后當需要調(diào)查運維人員的歷史操作記錄時，由審計員登錄堡壘機進行查詢，然后“審計模塊”從審計日志數(shù)據(jù)庫中讀取相應日志記錄并展示在審計員交互界面上。4 如何選擇一款好的堡壘機產(chǎn)品對于信息系統(tǒng)的管理者來說除了工作原理以外可能更關(guān)心如何選擇一款好的運維審計堡壘機產(chǎn)品。一個好的運維審計堡壘機產(chǎn)品應實現(xiàn)對服務器、網(wǎng)絡設備、安全設備等核心資產(chǎn)的運維管理賬號的集中賬號管理、集中認證和授權(quán)，通過單點登錄，提供對操作行為的精細化管理和審計，達到運維管理簡單、方便、可靠的

9、目的。4.1 管理方便應提供一套簡單直觀的賬號管理、授權(quán)管理策略，管理員可快速方便地查找某個用戶，查詢修改訪問權(quán)限；同時用戶能夠方便的通過登錄堡壘機對自己的基本信息進行管理，包括賬號、口令等進行修改更新。4.2 可擴展性當進行新系統(tǒng)建設或擴容時，需要增加新的設備到堡壘機時，系統(tǒng)應能方便的增加設備數(shù)量和設備種類。4.3 精細審計針對傳統(tǒng)網(wǎng)絡安全審計產(chǎn)品無法對通過加密、圖形運維操作協(xié)議進行為審計的缺陷，系統(tǒng)應能實現(xiàn)對rdp、vnc、x-window、ssh、sftp、https等協(xié)議進行集中審計，提供對各種操作的精細授權(quán)管理和實時監(jiān)控審計。4.4 審計可查可實時監(jiān)控和完整審計記錄所有維護人員的操作行為；并能根據(jù)需求，方便快速的查找到用戶的操作行為日志，以便追查取證。4.5 安全性堡壘機自身需具備較高的安全性，須有冗余、備份措施，如日志自動備份等。4.6 部署方便系統(tǒng)采用物理旁路，邏輯串聯(lián)的模式，不需要改變網(wǎng)絡拓撲結(jié)構(gòu)，不需要在終端安裝客戶端軟件，不改變管理員、運維人員的操作習慣，也不影響正常業(yè)務運行。5 結(jié)束語本文簡要分析了堡壘機的概念以及其運維操作審計的主要工作原理。隨著信息安全的快速發(fā)展，來自內(nèi)部的安全威脅日益增多，綜合防護、內(nèi)部威脅防護等思想越來越受到重視，