现阶段,各行各业都加大了对信息资产的投入,以保障基础网络、业务系统、数据资产和信息安全的需求。同时,信息化建设的重点也从原来的基础设施建设转向深化应用和安全运维。随着防火墙、入侵防御系统等安全产品的广泛应用,网络具备抵御外部入侵的能力,但内部堡垒却屡屡被攻破。由于设备和服务器数量众多,账户管理混乱,授权不清,各种未授权访问、误用、滥用、恶意破坏等情况时有发生。大多数严重破坏网络的案例都是内部人员所为。当今运维安全管理面临的难点:信息系统维护人员构成复杂,身份认证不足;运维人员权限划分粗粒度,与职能不匹配;资产账户信息管理存在巨大安全隐患;高危操作不能及时发现和解决阻塞;无法审计图像协议和加密协议,导致运行审计不完整;重要信息系统的合规要求逐渐提高。面对以上困难,可以部署堡垒机进行有效防御。1、什么是堡垒机?简单来说,堡垒机就是一个审计设备。所谓审计,就是记录日志。它审计记录的是IT运维人员对服务器、网络设备等IT资产的运维情况。操作行为集中告警、及时处理、审计追责。2.堡垒机的价值(1)账户集中管理基于唯一身份的全局管理,实现单点登录,任何运维人员都无法绕过堡垒机。统一的账户管理策略,实现与各种服务器和网络设备的无缝连接。(2)集中授权管理细粒度命令级授权策略,针对运维人员、服务器、服务器账号、服务器应用、访问时间等多因素设置细粒度的授权策略,使权限可以对运维人员进行细粒度划分,从而消除运维人员权限不明确的问题。(3)集中认证管理堡垒机审计系统提供多种认证方式,包括:本地认证、证书认证、RADIUS认证。集中认证有效地将非法或未经授权的用户拒之门外,就像一座坚不可摧的堡垒。(4)集中操作审计基于唯一身份,对用户从登录到注销的操作行为进行全程审计,为后续审计和责任定位提供了可靠有力的依据。3、控制对象4、堡垒机的主要功能(1)单点登录堡垒机提供基于B/S的单点登录系统。C/S应用系统,无需重新认证过程。(2)集中账户管理集中账户管理包括对所有服务器和网络设备账户的集中管理。通过统一管理,还可以发现账户中存在的安全隐患,制定统一规范的用户账户安全策略。(3)身份认证采用统一的认证接口,不仅方便了用户认证的管理,而且采用了更加安全的认证方式,提高了认证的安全性和可靠性。(4)资源授权堡垒机提供统一的接口对用户、角色、行为、资源进行授权,实现权限的细粒度控制,最大程度地保障用户资源的安全。系统不仅可以授权用户通过什么角色访问资源,这是基于应用边界的粗粒度授权,而且在对某些应用进行操作时限制用户操作和细粒度授权。(5)访问控制访问控制策略是保护系统安全的重要环节,制定好的访问策略可以更好地提高系统安全性。(6)操作审计每个服务器主机和网络设备的访问日志记录通过统一的账号和资源标识后,操作审计可以更好的跟踪账号的完整使用过程。
