基于內控堡壘主機加固企業網絡安全平臺

李瀾濤　趙娜　魏旭璐

摘要： 企業網絡安全需求日益提高，傳統安全管理平臺在單點登錄、賬號管理及審計中存在問題，本文利用堡壘主機進行集中登陸、身份授權等功能，實際測試采用極地銀河內控堡壘主機加固后的企業完全平臺，可實現統一的賬號管理、雙向可備份審計、審計查詢檢索等功能。系統部署便捷，極大地提高了企業內部網絡安全性。

關鍵詞：堡壘主機；身份授權；審計備份

中圖分類號：G64文獻標識碼：A 文章編號：1672-3791（2015）01 （b）-0000-00

1企業網絡安全典型現狀分析

隨著信息技術的不斷發展和信息化建設的不斷進步，辦公系統、商務平臺的不斷推出和投入運行，信息系統在企業的運營中全面滲透。電信行業、財政、稅務、公安、金融、電力、石油、大中企業和門戶網站，更是使用數量較多的服務器主機來運行關鍵業務。

1.1 企業管理現狀

隨著網絡安全威脅日益增多，單純來自于外界的威脅變得有限，更多的、更嚴重的威脅來自于內部，或由內外勾結所產生的破壞。企業生產數據面臨被內部人員篡改、刪除、竊取，主機被關機、設備配置被修改，導致企業生產停頓、商業資料泄露，給企業造成巨大的損失。目前企業機構的運維管理總體上有以下三個特點：

1、關鍵的核心業務都部署于Unix和Windows服務器上。

2、應用的復雜度決定了多種角色交叉管理。

3、通過Telnet， SSH， FTP， RDP等方式進行遠程管理。

1.2 企業管理中存在的問題分析

1、賬號管理工作問題

由于共享帳號是多人共同使用，發生問題后，無法準確定位惡意操作或誤操作的責任人。更改密碼需要通知到每一個需要使用此帳號的人員，帶來了密碼管理的復雜化。同時還造成密碼策略無法有效執行；帳號授權不清晰；訪問控制策略無法嚴格執行的問題。

2、審計工作問題

審計問題主要包括：缺乏帳號分配審計；缺乏用戶使用相應帳號的授權審計；缺乏用戶登錄登出系統的審計；缺乏用戶對系統訪問行為審計這四個方面。而且，由于各系統的日志記錄能力各不相同，例如對于Unix系統來說，日志記錄就存在以下問題：

（1）Unix系統中，用戶在服務器上的操作有一個歷史命令記錄的文件，但是用戶可以隨意更改和刪除自己的記錄；

（2）root用戶不僅僅可以修改自己的歷史記錄，還可以修改他人的歷史記錄，系統本身的歷史記錄文件已經變的不可信；

（3）記錄的命令數量有限制；

（4）無法記錄操作人員、操作時間、操作結果等。

綜上所述，企業現狀迫切要求企業內部規范管理，通過內控堡壘主機實現企業內部網絡的合理化，安全化，專業化，規范化，充分保障企業資源安全。

2堡壘主機的作用和功能發展

2.1 堡壘主機概述

堡壘主機是一種被強化的可以防御進攻的計算機，作為進入內部網絡的一個檢查點，以達到把整個網絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。堡壘主機是網絡中最容易受到侵害的主機，所以堡壘主機也必須是自身保護最完善的主機。

2.2 堡壘主機平臺系統的發展及解決思路

2.1.1旁路審計

操作審計管理主要審計操作人員的帳號使用（登錄、資源訪問）情況、資源使用情況等。在各服務器主機、網絡設備的訪問日志記錄都采用統一的帳號、資源進行標識后，操作審計能更好地對帳號的完整使用過程進行追蹤。

所謂的旁路審計可以針對常見的明文協議，如TELNET/FTP/HTTP等，采用鏡像監聽技術從旁路對協議報文進行審計。

它主要存在的問題是無法對密文協議如：SSH/RDP進行旁路審計以及審計信息不可讀（實名、信息量）等。解決思路就是采用審計雙向備份及審計查詢檢索技術等。

2.1.2集中登錄

集中登錄是指先登錄管理作業服務器，然后轉換身份再對相關服務器進行維護。屬于多用戶單帳號管理方式，這種登錄方式的主要問題是：

1.多用戶共享root帳號，權限劃分不明，所有人員都具有最高的ROOT權限。 2.無法跟蹤某個管理員的確切操作。 3.依靠各自服務器的日志信息，審計信息不可讀。

解決集中登錄的問題可采用單點登錄或者連續跳轉登錄技術。

2.1.3身份授權分離

以前管理員依賴各IT系統上的系統帳號實線兩部分功能：身份認證和系統授權，但是因為共享帳號、弱口令帳號等問題存在，這兩方面實現都存在漏洞，達不到預期的效果。

解決的思路是將身份和授權分離。在堡壘主機上建立主帳號體系，用于身份認證，原各IT系統上的系統帳號僅用于系統授權，這樣可以有效增強身份認證和系統授權的可靠性，從本質上解決帳號管理混亂問題，為認證、授權、審計提供可靠的保障。

3基于堡壘主機的加固解決方案

3.1 極地銀河內控堡壘主機概述

極地銀河內控堡壘主機是一種被加固的可以防御進攻的計算機，能夠具備很強安全防范功能。極地銀河內控堡壘主機是在整個 Unix/Linux主機系統的扮演著看門者的工作，所有的請求都要從這扇大門走過，它攔截所有用戶的非法訪問，和惡意攻擊，過濾掉所有對目標訪問Unix/Linux設備的非法行為，對不合法命令進行命令阻斷。

極地銀河內控堡壘主機支持多信道通信，用戶只需要在一點便可以登錄到不同的 Unix/Linux設備上進行工作，無需在不同的機器上分別登錄，大大的節約了系統管理員的時間，從而提高了工作效率。

3.2 系統總體技術功能

3.2.1統一的WEB方式管理

使用極地銀河堡壘主機，無論管理員還是用戶，都采用同意的WEB方式管理， 用戶登錄堡壘主機后可以看到所有授權資源列表，訪問資源時不用再輸入帳號和密碼，做到真正的單點登錄。系統內部提供認證服務器組件，所有對資源的訪問都是認證服務器提供的臨時會話號，即使會話號被截獲，也無法通過此會話號再次訪問資源，提高資源訪問的安全性。

3.2.2 支持強認證和數字加密功能

系統可以方便的集成各種強認證方式，如證書認證、智能卡認證、短信認證甚至人體特征認證（指紋、視網膜等）方式。極地銀河內控堡壘主機在處理用戶數據時都采用相應的數據加密技術來保護用戶通信的安全性和數據的完整性。防止惡意用戶截獲和篡改數據。充分保護用戶在操作過程中不被惡意破壞。

3.2.3審計雙向備份技術

審計雙向備份指的將用戶的行為審計信息記錄在本地和發送到指定的服務器，進行雙向寫入，使得重要的用戶行為審計信息能夠得到安全的管理，避免丟失數據無法查證，提高審計信息的安全性，管理員自身也可以通過某種技術手段將這些重要的審計信息保存或備份到其他的存儲設備上。定期的歸檔和調閱。

3.3系統部署

極地銀河內控堡壘主機能夠架設在企業內部網絡的 Unix/Linux主機之上，是一道安全屏障，因此企業內部 Unix/Linux主機不需要擔心任何安全問題，可以全身心投入到業務處理中。

它在部署過程中不需要任何客戶端代理或服務器端引擎；部署不影響現有企業網絡拓撲結構，不影響業務數據流。同時，堡壘主機支持了雙機熱備、支持集中管理分級部署，完全可以實現快速上線使用。

4總結

通過對內控堡壘主機從而加固企業網絡安全平臺的測試，真正做到對于內部網絡的嚴格管理，可以控制、限制和追蹤用戶的行為，判定用戶的行為是否對企業內部網絡的安全運行帶來威脅。

參考文獻：

[1] 閆文耀，王志曉. 基于堡壘主機防火墻的安全模型研究[J]. 網絡安全技術與應用. 2008（06）

[2] 教育行業內控解決方案. BeiJing Jidi Information Tech Co.，Ltd. http：//www.jidisec.com/news/83_491.html online 2013/07

[3] 周春楠. 綜合審計與責任分析系統關鍵技術與設計原理[J]. 電信科學，2013，11：152-158.