运维审计型堡垒机

  堡垒主机，是目前信息化程度和信息安全需求较高的行业应用较为广泛的最新的安全防御技术平台。众所周知，随着各个重要行业大型企业信息化应用的迅速发展， 各类业务和经营支撑系统的不断增长，网络规模迅速扩大，原有的由各个系统分散管理用户和访问受权的管理方式，使账号和口令的安全性受到了极大影响，形成业 务管理和安全之间的失衡。所以原有的账号口令管理措施已不能知足企业目前及将来业务发展的要求。

　　做为国内多年从事内网信息安全研究，而且提供内部网络风险控制总体解决方案的专业信息安全高科 技企业，极地安全将先进的科研成果迅速应用到市场实践中，向用户提供包括内控堡垒主机在内的一系列先进、专业、高性价比的内控安全解决方案。帮助用户更好 地适应《信息安全等级保护管理办法》、《涉及国家秘密的信息系统分级保护管理规范》、《企业内部控制基本规范》、《2002年公众公司会计改革和投资者保 护法案》（简称萨班斯法案）等信息安全法规的要求。在银行、证券等金融业机构也普遍采用堡垒机来完成对财务、会计操做的审计。 在电力行业的双网改造项目后，采用堡垒机来完成双网隔离以后跨网访问的问题，可以很好的解决双网之间的访问的安全问题。

    运维审计型堡垒机的原理与网关型堡垒机相似，但其部署位置与应用场景不一样且更为复杂。运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前 面，对运维人员的操做权限进行控制和操做行为审计;运维审计型堡垒机即解决了运维人员权限难以控制混乱局面，又可对违规操做行为进行控制和审计，并且因为 运维操做自己不会产生大规模的流量，堡垒机不会成为性能的瓶颈，因此堡垒机做为运维操做审计的手段获得了快速发展。

  如何实现对运维人员的权限控制与审计呢？堡垒机必须可以截获运维人员的操做，并可以分析出其操做的内容。堡垒机的部署方式，确保它可以截获运维人员 的全部操做行为，分析出其中的操做内容以实现权限控制和行为审计的目的，同时堡垒机还采用了应用代理的技术。运维审计型堡垒机对于运维操做人员至关于一台代理服务器(Proxy Server)，其工做流程以下图所示：

　　图1. 堡垒机工做流程示意图

　　1) 运维人员在操做过程当中首先链接到堡垒机，而后向堡垒机提交操做请求;

　　2) 该请求经过堡垒机的权限检查后，堡垒机的应用代理模块将代替用户链接到目标设备完成该操做，以后目标设备将操做结果返回给堡垒机，最后堡垒机再将操做结果返回给运维操做人员。

　　经过这种方式，堡垒机逻辑上将运维人员与目标设备隔离开来，创建了从“运维人员->堡垒机用户帐号->受权->目标设备帐号 ->目标设备”的管理模式，解决操做权限控制和行为审计问题的同时，也解决了加密协议和图形协议等没法经过协议还原进行审计的问题。