摘要：为了解决信息系统存在的运维审计的难题，同时为了满足国家信息安全等级保护三级的要求，笔者所在部门实施了新一代内控堡垒主机系统的建设。本文从系统的概念和功能出发，结合信息安全等级保护三级的相应要求，展开介绍堡垒主机在运维审计方面为信息系统的内控管理提供的一个完整解决方案。而后通过在局域网中的实际部署经验整理了技术要点和实施细节。通过本文，可以了解堡垒主机在运维审计当中的作用以及实施案例。

关键词：堡垒主机；内控管理；运维审计；实践案例

中图分类号： TP393.08 文献标识码：A 文章编号：1672-3791（2015）05（c）-0000-00

近年来，笔者所在民航系统内的信息化水平正在逐步从初级应用阶段发展至高级应用阶段，而伴随着这个过程产生的信息化应用与信息安全管理的矛盾也愈发突出[1]。笔者所在单位近年来在局域网内先后部署了多项网络安全和网络分析产品，已经形成了较为完善的信息安全防护体系，主要技术人员也积累了运维经验。但信息系统故障等网络安全问题仍然时有发生。通过分析故障产生的原因，发现大部分违规行为竟然来源于一些合法用户的例行操作。传统意义的安全防护系统可以从技术角度解决一些潜在的安全问题，但对于内部人员操作的管理手段不完善带来的数据破坏和泄露可能比技术原因造成的损害更为严重。

国家公安部《信息系统安全等级保护基本要求》中明确规定了二级（含）以上的重要信息系统网络安全、主机安全、应用安全都需要具备安全审计功能[2]，所以，根据等级保护要求以及本单位的实际情况，我们迫切需要一种有效的手段来对内部人员的设备维护行为进行控制和审计，解决信息安全管理中遇到的难题。难题具体体现在：运维权限分配复杂、系统密码管理不足、操作风险难以控制、共享账号安全隐患、系统资源授权不清晰、访问控制策略不严格、重要操作无法有效审计等。而以上这些信息安全问题，通过引入内控堡垒主机并结合管理措施之后基本得到了有效解决。

1 内控堡垒主机介绍

1.1 什么是内控堡垒主机？

最早的堡垒主机主要定位于防御外部进攻[3]。通过将其部署在防火墙或路由器之外，可以使那些需要面向外部的服务集中于堡垒主机上进行集中保护，以此来换取内部网络的安全。

而随着信息化应用的日趋复杂，由被动防御型的堡垒主机发展出来了更加偏重于对内部网络、应用和数据进行综合安全保护的管理控制平台，也就是我们所说的内控堡垒主机。它从网络内部出发，通过多种信息安全技术（访问控制、身份认证、虚拟化、协议代理、操作审计等）实现用户对内部网络资源的安全访问，同时对用户的操作过程形成完整的审计记录。这样的内控平台正可以有效地解决我们在日常运维和内控管理中遇到的难题。

1.2 功能特点

1.2.1 设备的集中管控

内控堡垒主机可以将服务器和网络设备的信息，以及用户信息和访问权限提前配置在堡垒主机中，这样便从传统的分布式管理模式转变成可控的集中式管理模式，以此为基础带来了设备管理效率和安全稳定性的提升。

1.2.2 操作的集中审计

内控堡垒主机通过协议代理的方式，将原来从某台内网终端直接通过远程连接对网络设备和服务器进行操作的不可控的分散管理方式，转变成为了用户必须集中至堡垒主机的统一入口再对有授权的设备进行操作。而全部操作都通过协议录制得到记录，实现了精细化的集中操作审计。

总之，内控堡垒主机结合了传统的4A 理念，即账号管理、认证管理、授权管理、安全审计，与应用发布技术，形成了一个完善且可控的远程接入解决方案。一方面，统一身份认证和统一访问授权使得远程接入用户需要通过多种身份认证手段以及基于角色的授权管理才可以接入设备，满足了信息安全等级保护的要求；另一方面，全面的审计功能让管理员不但可以完整录制会话过程，还可以实时监视远程访问会话并及时终止非法操作。

2 制定解决方案

2.1 信息安全等级保护要求

根据信息安全等级保护第三级[4]的相关要求制定内控堡垒主机的解决方案，可以满足在要求中涉及到的网络安全、主机安全、应用安全、数据安全及备份恢复五项技术方面的要求，以及安全管理机构、人员安全管理、系统运维管理三项管理方面的要求。根据要求中的内容以及内控堡垒主机针对每一项提供的解决方案，整理如下表1。

2.2 设计原则

2.2.1 整体安全和全网统一的原则

资源访问的安全设计需要综合考虑信息网络的各个环节和全部实体，然后在不同层次上综合使用多种安全手段，为内部信息网络和安全业务提供管理和服务。

2.2.2 标准化原则

项目的安全体系设计严格遵循了国家标准，如《信息系统安全等级保护基本要求》。在达到标准要求的同时能够使企业内部的信息系统在可控范围内实现安全的互联互通。

2.2.3 需求、风险、成本平衡原则

任何信息系统都无法做到绝对安全，所以设计时就需要明确性能要求以及侧重点，然后从需求出发，在功能、风险和成本之间进行平衡和折中[5]。

2.2.4 实用、高效、可扩展原则

无论现状如何，随着技术发展信息系统仍将不断变化，哪怕在系统实施过程中，系统的结构、配置也会发生变化。所以系统需要有一定的灵活性来适应这些变化，使其符合“有层次、成体系”的标准，既有利于系统安全，又有利于扩展。

2.2.5 技术、管理相结合原则

为了使内控堡垒主机可以发挥其应有的效果，管理者必须首先根据系统的功能特点来重新梳理和完善现有的运行管理机制和安全规章制度，同时对技术人员进行思想教育和技术培训。通过合理的规定和具体培训，才能完成系统的应用。

2.3 设计思路

2.3.1 集中管理模式

管理模式决定了管理的高度，所以明确管理模式应当是我们要确定首要因素。根据多年的运维实践发现，我们对维护人员及其操作的管理手段并未伴随着信息化进程的推进而得到加强，这样导致了人为因素造成的运行故障比例居高不下，缺少有效的审计手段。因此迫使我们必须由分散的管理模式转变为集中的管理模式。集中管理是运维管理思想的必然发展趋势和唯一选择[6]。通常，集中管理包括：集中的资源访问入口、集中的账号管理、集中的授权管理、集中的认证管理、集中的审计管理等等。

2.3.2 访问协议代理

内控堡垒主机通过对各平台所使用的协议进行代理来实现对操作行为的审计和监控[7]。比如SSH、TELNET、FTP、RDP、VNC等等Windows或Linux平台上的访问协议。

2.3.3 身份授权分离

为避免传统方式的共享账号、弱口令账号等问题导致的安全漏洞，我们的解决思路是将身份和授权分离。首先建立用于身份认证的独立账号体系，然后保留各系统账号但使其由堡垒主机接管并定期更新密码，使得被管理设备本身的系统账号仅用于系统授权而剥离其身份认证功能，有效增强了身份认证和系统授权的可靠性。

2.4 系统构架

我们部署的内控堡垒主机由展现层、核心服务层、接口管理层三层结构组成。

展现层面向用户，集成了多种包括匙扣令牌在内的强身份认证方式，分别对系统管理员和运维用户提供不同的访问操作页面。

核心服务层面向授权和协议代理，部署在服务器上。在核心服务层上完成账号管理、授权管理及策略设置等操作。其中的协议代理包含用户输入模块、命令捕获引擎、策略控制和日志服务，所以具备对用户行为进行监视、控制和记录的功能。

接口管理层面向个信息系统，用于实现审计结合、账号同步、认证结合等方面的数据接口工作。另外它还包含应用发布服务，以此来实现对B/S、C/S、半B/S半C/S系统的单点登录及审计工作。

3 内控堡垒主机的实施

系统的实施过程中，我们将堡垒主机及其应用发布服务器的部署位置单独剥离开划分为管理区，把内部网络的其他设备如服务器、网络设备、数据库等等划分为业务区。在内控堡垒主机部署上架后，运维人员将集中通过内控堡垒主机对业务区的目标设备进行日常运维操作。

设备上架后，我们需要通过防火墙策略配置解除客户端到堡垒主机及堡垒主机到目标服务器的端口限制。这样当用户访问设备时，堡垒主机才可以完成对TELNET（端口23）、SSH（端口22）、RDP（端口3389）等协议的代理访问具体设备，并在堡垒主机上完成对设备的单点登录及会话的完整审计。

4 结语

在信息化水平快速发展的今天，技术发展与管理模式相辅相成。信息安全不仅需要先进的设备和娴熟的技术，更需要完善的制度和审计手段。内控堡垒主机的实施切实有效地规范了内外部维护人员对IT基础设施的维护行为，弥补了操作审计空白。它通过集中管理的模式，借助于协议代理、身份授权分离等技术，极大地减少了维护人员误操作或恶意操作的概率，缩短了故障定位时间。这次内控堡垒主机的实施完善了笔者所在单位的信息安全保护体系，将有助于提高信息系统运行的安全性和稳定性。

参考文献：

[1]潘玉珣. 新一代堡垒主机[J]. 信息安全与通信保密，2011，05：45.

[2]韩荣杰，于晓谊. 基于堡垒主机概念的运维审计系统[J]. 信息化建设，2012，01：56-59.

[3]赵瑞霞，王会平. 构建堡垒主机抵御网络攻击[J]. 网络安全技术与应用，2010，08：26-27.

[4] 公安部信息安全等级保护评估中心. GB/T 22239-2008， 信息安全技术信息系统安全等级保护基本要求[S]. 北京：中国标准出版社，2008.

[5]韩海航，王久辉. 大型交通网络系统安全保障体系研究[J]. 计算机安全，2007，10：77-80.

[6]吴国良. 面向NGB的网络与信息管控建设[J]. 广播与电视技术，2013，10：28+30-33.

[7]陈旭. IT运维操作管理有效降低企业风险[J]. 高科技与产业化，2010，05：116-119.

作者简介：

庞博（1985-），男，软件工程学士，助理工程师，主要研究方向为平面网络及网络安全。