基于應用代理的運維堡壘機研究m

吳耀芳，來學嘉

0 引言

堡壘最容易從內部攻破。IT運維人員的操作審計普遍被金融、電力、安全等行業采用。從最開始針對屏幕和鍵盤的硬件錄像，到現在普遍使用的軟件錄像，錄像精度越來越高。

國內專業從事“堡壘機”軟件開發的企業近幾年如雨后春筍般多了起來。但截至目前，除了字符界面的操作能以文字形式記錄外，圖形界面的操作都是以錄像形式記錄。錄像審計不僅費時費力，而且運維操作錄像通常只能作為事后的證據，僅起到威懾作用。盡管計算機圖像識別技術已日漸成熟，但用在海量的錄像識別和安全審計上，技術難度和實現成本仍然太高。

如果將圖形界面的操作通過堡壘機的應用代理，在代理操作時記錄下詳細的文字日志，不僅能大大提高審計效率，還可以使圖形操作授權精細化，起到很好的事前預防效果。本文以Windows系統為例，將Windows 服務器上常用的系統維護轉移到堡壘機，這樣變審計錄像為審計操作日志。出于總成本考慮，不常用的圖形操作仍通過Windows 遠程桌面來完成，少量的錄像審計不僅可以接受，在應用代理系統故障時還能起到災備作用。

1 設計原理

1.1 概念：

由于本文是在現有堡壘機方案上的改進，先介紹下現有堡壘機系統的基本概念。此處堡壘機特指用于內控的堡壘機，也叫運維審計型堡壘機，它是核心系統運維和安全審計管控兩大系統的雜交產物。物理上，堡壘機借助防火墻的隔離，切斷運維終端對核心IT資產的直接訪問；邏輯上，必須通過堡壘機的協議代理、網絡代理等才能訪問核心IT資產。堡壘機是進出核心系統的“大門”和“翻譯”，它不僅能夠攔截非法訪問和惡意攻擊，還能對運維人員的操作進行審計監控。通過細粒度的授權，可避免運維人員權力過于集中，降低運維安全風險。

1.2 構成：

整個系統主要由以下4部分構成：

A、 運維終端，通常是運行 Windows系統的 PC，運維人員在上面對核心 IT資產發出維護和操作指令；

B、 運維人員操作區的網絡設備，如用于連接核心 IT資產和運維終端的光端機、路由器、防火墻、交換機等；

C、 堡壘主機，一般是運行在Windows和Linux上的多套應用系統，硬件上封裝為1臺獨立盒子。

D、 被運維的核心IT資產，如數據中心的服務器、存儲、交換機、防火墻、路由器等；

B和D之間一般采用光纖連接，如租用電信運營商SDH專線(通常是兩家運營商互備)，這樣通信安全在物理上有很高級別的保障。物理上，A、B、D是串聯關系，C一般和B并聯，主要原因是這樣堡壘機上線不改變傳統的組網方式。邏輯上，A只能通過C來訪問D，這是通過B的防火墻策略實現的。

1.3 整個系統的網絡拓撲圖，如圖1所示：

圖1 系統的網絡拓撲示意圖

1.4 主要功能：

1) 單點登錄：通過代填密碼方式，運維人員無需記住也不能知道核心資產的各種密碼，只需要記住堡壘機的身份認證密碼即可訪問核心資產，既便捷又安全。

2) 授權與控制：可以根據用戶、角色、核心資產、時間、應用協議等各種維度進行授權，最細粒度的訪問控制可以最大限度地保護安全。

3) 操作審計：能全程對運維人員的所有操作進行精確錄像；對于字符終端，能全程記錄所有輸入的命令；對于數據庫，能全程記錄所有輸入的SQL語句。

1.5 重要改進：

現有堡壘機系統，主要采用錄像來記錄運維操作,不方便審計。本文以 Windows系統為例，將核心系統上常用的文件管理、進程管理、IIS管理、計劃任務管理、系統服務管理等系統應用代理到堡壘機，當運維人員操作堡壘機上的上述應用代理軟件時，外觀上除了多一層服務器選擇外，其它和本地操作基本相似，但任何操作都可以記錄下精確的日志，如某個運維人員在某個時間點瀏覽了某服務器的某個目錄結構。

在對運維人員授權控制時，可精細到某個非常細微的子功能，如僅允許某個運維角色只能讀取某服務器上某個子目錄下的日志文件，或僅能啟動、停止指定的某些系統服務，或臨時允許某人在指定的時間段維護某個功能。

另外，當運維人員對核心系統做修改性操作時可自動做備份或提醒。如配置文件在修改保存前自動備份到事先設定的位置，可隨時查看歷史版本或回退到某個版本；對于某些配置文件，修改后可能需要提示運維人員重啟某個服務后才能立即生效；有些服務進程在指定時間段，如證券交易時間，不能輕易重啟，如果運維人員重啟服務會給予提醒，甚至要求運維人員雙人確認后才能重啟。

2 一期需求簡表

2.1 安全和管理需求：

a. 破壞性操作前能給出警告、自動備份；

b. 授權分允許、禁止 2類，禁止優先，沒有允許授權不能操作；

c. 可按角色、用戶、時間段、服務器、應用、功能授權；

d. 堡壘機用戶能與現有AD域控環境集成；

e. 除系統角色(管理員、審計員、運維人員)外可自定義角色；

f. 按層級授權時，支持“禁止遞歸”和“允許二次授權”兩個選項。在默認情況下，如果授權了某個父層結構的權限，相應的子孫層也自動被授權，如果勾選了“禁止遞歸”，則被授權人只能訪問父層，不能訪問子孫層。在默認情況下，不允許運維人員二次授權，如果勾選了“允許二次授權”，則被授權人可以再授權給其他運維人員。允許二次授權不僅和授權層級相關，還和用戶角色相關。

g. g.增加、刪除、修改服務器。

2.2 審計需求：

a. 運維操作日志能記錄下時間、人員、目標設備、功能、參數等；

b. 能根據上述日志要素做篩選和瀏覽；

2.3 應用代理需求：

a. 文件管理，界面類似于FTP圖形客戶端。可按服務器、磁盤、目錄、文件逐層授權。支持以下目錄操作：創建、刪除、改名、瀏覽、打包下載；支持以下文件操作：上傳、解壓縮、上傳并解壓縮、下載、打包下載、下載并本地打開、刪除、屬性查看。

b. IIS管理：按服務器、站點、應用池、虛擬目錄逐層授權。支持以下常用IIS操作：站點、應用池、虛擬目錄的屬性查看、新建、屬性修改、刪除4種操作。

c. 系統服務管理：按服務器、服務逐層授權。支持以下操作：列表瀏覽、服務屬性查看、停止服務、啟動服務、重啟服務、安裝服務、卸載服務、代填密碼(如果需要指定用戶帳戶運行)。

d. 計劃任務管理：按服務器、計劃任務逐層授權。支持以下操作：列表瀏覽、Task屬性查看、結束運行、啟動運行、新建、禁用、啟用、其它屬性修改、代填密碼(運維人員不能知道核心資產賬戶的密碼)。

e. 進程管理：按服務器授權。支持以下操作：列表瀏覽、進程屬性查看、結束進程。

f. 遠程桌面管理：按服務器、目標系統帳號授權，自動代填密碼，支持選項選擇：是否允許使用剪貼板，是否允許使用本地驅動器。

3 技術實現方法

為節省成本,通過集成現有 Windows系統接口來實現后臺管理，前端模仿 Windows系統提供常用的操作界面即可。用戶和角色管理和現有的Active Directory集成，創建和角色對應的組，將授權管理集中到域控服務器上。因需求2.1和2.2相對簡單，下面重點說明如何實現需求2.3：

a. 文件管理：前端提供樹視圖逐級展開，后臺使用管理共享(如c$)方式來訪問目標服務器上的目錄和文件。

b. IIS管理：前端模仿 IIS樹實現最常用的操作，后端使用IIS自帶的命令行工具。對于IIS6，可用iisweb.vbs來管理站點，用iisvdir.vbs來管理虛擬目錄，詳細方法可用關鍵字“使用腳本管理 IIS”搜索MSDN；對于IIS7，則可用appcmd.exe命令行程序來管理。

c. 系統服務管理：后端可用sc.exe命令行查詢、修改服務器上的系統服務。

d. 計劃任務管理：后端可使用schtasks.exe命令行工具。

e. 進程管理：后端可用tasklist.exe命令行查看進程列表和進程詳細信息，用taskkill.exe命令行結束進程。

f. 遠程桌面管理：前端提供服務器選擇視圖，選擇服務器

后使用系統自帶的RDP OCX控件嵌入程序中即可支持

代填密碼等。

應用代理系統由前端界面和后端服務組成，前端運行在運維終端上，后端服務運行在堡壘機上。為提高系統自身安全系數，不采用流行的BS架構，前端采用WinForm，以更好地采集運維終端身份信息，前端和后端服務通信時采用PKI機制加密通信，避免被網絡嗅探工具攻擊和破解。

4 數據比較

以10臺運維終端為例，給出兩種堡壘機的比較數據，如表1所示：

表1 堡壘機的數據比較

5 結束語

本文通過說明現有運維堡壘機的局限性,針對圖形操作錄像審計效率低問題,另辟蹊徑,通過應用代理形式,變錄像審計為文字日志審計,而且可以事前預防。通過將 Windows系統上常見的系統管理做界面上兩次包裝，本文將其稱之為應用代理，不僅解決了審計難題，而且解決了授權難題。最后給出兩種堡壘機的比較數據。

[1]王棟,來風剛,李靜,數據中心IT 運維審計體系研究. [J]ELECTRIC POWER IT,2012,10(1):20-23.

[2]杜寧寧,趙慶亮, 淺談信息安全審計在金融行業的實踐.[J]中國內部審計,2012-4：66-68.

[3]韓榮杰,于曉誼,基于堡壘主機概念的運維審計系統. [J]安全視窗，2012-13：56-58.

[4]林秀,IT安全管理與綜合審計系統應用探討. [J]電信技術, 2011-6:66-68.