内网安全-堡垒机

1/9内网安全威胁的“终结者”：堡垒机(上)在所有内部隐患中，一种由IT系统“权贵”人员及其操作引出的非传统的安全隐患日益凸显，内控堡垒主机(堡垒机)作为内网安全治理的一种有效技术手段应运而生。变成了直接影响到企业生死存亡的大问题。企业生死荣辱的“命门”。经过数十年的信息安全技术产业的高速发展，从防病毒、防火墙、IDS老三样，到身份认证、数据加密、应用安全、终端加固等各种新技术，企业内网各种信息安全问题，有了很中，这个安全“软肋”体现得越加明显。毫无疑问，这是内网安全最后，也是最根本致命的威胁，如何防X这个日益明显的威杂的后台系统设备管理，同时防X管理过程中可能出现的各种安全问题。机产品产业现状又是怎样？请看笔者的采访和调查。内网信息安全“权贵”人员和管理操作成短板随着全球信息技术的不断发展和信息化建设的不断进步，一些重要机构和大型企业信息化水平得到飞速提升，其办公系统、商务平台的不断推出和投入运行，信息系统在企业的运营中全面渗透。尤其是电信、财政、税务、公安、金融、电力、石油等重要行业的大型机构和企业内网中，更是使用数量较多的服务器主机来运行关键业务。这种情况下，企业对IT系统的依赖程度也越来越高，各类业务系统也变得日益复杂。，其最大的威胁和破坏来自企业内部。据国内领先的专注内网安全的极地安全公司技术团队对在所有内部隐患中，一种由IT系统“权贵”人员及其操作引出的非传统的安全隐患日2/9益凸显，是所有安全事件中最主要的安全威胁。所谓IT系统“权贵”人员，即拥有企业内网各种IT系统软硬件设备管理权限的人员，这些人员可能包括：系统管理员、系统运维人身所拥有的高权限账号和其在操作过程中的各种动作，都带来日益明显的安全隐患。这些隐患所产生的新问题，归结起来包括以下五个主要的问题。其一，共享账号带来的安全问题。在企业内网IT系统管理中，共享账号是很常见的管随着IT系统复杂性几何级提升，共享账号带来明显的隐患，这是因为等。这就是说，很多人共用一个账号，就使得XX不具有唯一性，而且密码难以有效管理，最关键的是一旦该账号出现安全问题，责任难以认定到人，这就不符合国家关于信息安全“谁使用，谁负责”其二，权限控制带来的安全隐患。大多数企事业单位的IT运维均采用设备、操作系统自身的授权系统，各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加。安全性无法得到充分保证。的访问控制列表，无法一目了然的看到什么用户能够以何种身份访问哪些关键设备，同时术支持人员、项目集成商等在对企业核心服务器、网络基础设施进行现场调试或远程技术其四，系统审计带来的安全隐患。企业内网各IT系统独立运行、维护和管理，所以各系统的审计也是相互独立的。审计的机制、格式和管理都不尽相同，就会带来各种问题。3/9但是往往日志找到了，也不能最终定位到行为人。其五，面临安全合规性法规遵从的压力。为加强信息系统风险管理，政府、金融、运营这些法规的要求和遵从，对于大型企业上市或者跨国经营，有着极大的影响。2002年SarbanesOxleyAct开始生效。其中要求企业的经营活动，企业管理、项目和投资等，都要有控制和审计手段。因此，管理人员需要有有效的技术手段和专业的技术工具和安全产品按照行业的标准来做细粒度的管理，真正做到对于内部的安全运行带来威胁。综上所述，随着信息化的发展，企事业单位IT系统不断发展，网络规模迅速扩大，设，建设重点逐步从网络平台转向深化应用、提升效益为特征的运维阶段；IT系统运维与安全管理正逐渐走向融合。面对日趋复杂的IT系统，不同背景的运维人员已经给企业信息系统安全运行带来较大的潜在风险，因此，内网信息系统安全治理在加大网络边人员的审计监控方面的管理，而内控堡垒主机(堡垒机)作为内网安全治理的一种有效技堡垒机现身企业内控运维安全“终结者”施瓦辛格一出现在电影镜头里就像终结者一样。那么，作为内网安全的“终结者”，堡垒机究竟是个什么摸样。所谓“堡垒主机”(简称“堡垒机”)，就是一种被强化的可以防御进攻的计算机，具备立应用的主机。(这有点类似单用户的单机操作)，它有极大的价值，可能蕴含着用户的敏络中。其所承担的服务大都极其重要，如银行、证券、政府单位用来实现业务、发布信息早期堡垒主机，通常是指这样一类提供特定网络或应用服务的计算机设备，其自身相外围网络(也称为DMZ、网络隔离区域或屏蔽子网)面向公众的一端。这类堡垒主机不受防火墙或过滤路由器的保护，因此它们完全暴露在攻击中。这类堡垒主机通常用作Web服务器、域名系统(DNS)服务器或文件传输(FTP)服务器等。通过将这些将必须开放的服务部署在堡垒主机而不是内部网络中，可以换取内部网络的安全。因为这些主机吸引了入侵者4/9的注意力，也就相应地减少了内部网络遭受安全攻击的可能性和随之带来的风险。另外一些可以提高自身安全性的手段则包括：采用安全操作系统、采取必要的身份认证和严格的权限控制技术等。全访问。这类堡垒主机本身不提供网络层的路由功能，因此可以过滤对内部网络的非授权访问。对内部网络特定资源的访问则必须先登录到堡垒主机上方可完成。SSLVPN可以视为这类堡垒主机的一个成功应用。这类堡垒主机是进入内部网络的一个集中检查点和控制点，因此很容易将整个网络的安全问题集中在自身解决，为内部网络其他主机的安全提供了一道天然的安全屏障。切断了终端计算机对网络和服务器资源的直接访问，而是采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过堡垒对网络设备和服务器的请求都要从这扇大门经过。因此堡垒机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。目前主流的内控堡垒主机，一般具有六大主要功能。其一，单点登录功能。5/9提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高生产效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。单点登录可以实现与用户授权管理的无缝连接，集中XX管理包含对所有服务器、网络设备XX的集中管理。XX和资源的集中管理是而且还降低了企业管理大量用户XX的难度和工作量。同时，通过统一的管理还能够发现XX中存在的安全隐患，并且制定统一的、标准的用户XX安全策略。通过建立集中XX理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。其三，身份认证功能。内控堡垒主机为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。证服务器之间结合。其四，资源授权功能。限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中极地银河内控堡垒主机系统上，可以对各自的管理对象进行授权，而不需要进入每一个被管户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作这样应用内部的细粒度授权。其五，访问控制功能。的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命应的控制策略来限定用户。访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好的提高系统的安全性。6/9其六，操作审计功能。操作审计管理主要审计人员的XX使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的XX、资源进行标识后，操作审计能更好地对XX的完整使用过程进行追踪。内控堡垒主机系统通过系统自身的用户认证系统、生的日志传送给第三方产品。操作审计、对网络设备管理和对黑客行为防X四大功能，完美地演绎了内网安全“终结者”角色，成为大型企事业单位内网安全建设的未来战士。产业大格局为企业内网构筑堡垒成趋势从各大行业近年来对内控堡垒主机产品的采购力度不断加大的情况来看，在构筑企业内网安全体系的道路上，堡垒机成为重头主力军之一已是大势所趋。种法规遵从而必然需要采取的举措。从企业自身信息系统发展来看，随着企业ERP、OA、CRM等生产和办公系统的普及，单位的日程运转对内部信息网络的依赖程度越来越高，内网信息网络已经成了各个单位的生命线，对内网稳定性、可靠性和可控性提出高度的要求。内部信息网络由大量的终端、服务器和网络设备组成，形成了统一有机的整体，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪，对内网各个具体部分尤其是数量巨大的终端可控性和可靠性提出前种内部事务和外部业务，都将全面架构于企业内网信息系统之上。尤其是电信、财政、税务、公安、金融、电力、石油等重要行业单位，更是使用数量较多的服务器主机来运行关键ERP于服务器誉造成重大影响，并严重影响其经济运行效能。黑客/恶意访问也有可能获取系统权限，闯要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，越来越成为企业关心的问题。息技术的诞生发展，各国法律都对IT信息系统的审计不断提出更新更高的要求。70年代中期至80年代，美国、日本等先后成立计算机审计相关组织;国际开始兴起一系列信息安全7/9企业中应用。1999年-至今，信息系统审计普及。理力方面的问题，促使美国陆续出台了多个具有较强影响力的行业法案，如：2002年美国xleyIT信息系统同样需要加强控制以达到SOX法案的合规要求;2005年针对IT信息系统的SOX合规审计成为全球CIO最关注的事。目前，西方发达国家的信息系统审计应用已较为普遍，并发展到了较高的水平。系统安全审计进入快速发展阶段。国家相关部门、金融行业、能源行业、运营商均陆续推22006年，公安部、国家XX局、国家密码管理局、国务院信息化工作办公室联合制定并发布了《信息安全等级保护管理办法(试行)》，该办法明确要求信息系统运营使用单位在开展等级保护工作中要按照或者参照国家、行业技术标准进行系统定级、建设、整改、测性标准之一。该要求针对不同安全保护等级信息系统的基本安全审计能力均有明确要求，如：需要对用户行为、安全事件等进行记录，对形成的记录能够统计、分析、并生成报表。件要求相关涉密单位信息系统，根据不同涉密级别，采取相关审计措施。个行业信息系统安全建设要求。续发布了行业性信息系统管理规X和要求。2008年6月，财政部、证监会、银监会、保监会及审计署委联合发布了《企业内部控规X将首先在上市企业中实行。如何把IT内控与企业内控管理统一起来，是《企业内部控缺的技术手段。该规X将促使国内企业加强IT内控建设，从而推动安全审计市场的发展，但其中非常关键的一点就是安全审计技术如何有效地与规X结合，满足企业合规审计要求。2009年3月，银监会为加强商业银行信息科技风险管理，发布了《商业银行信息科技8/9风险内控和审计技术手段。目前，随着信息安全建设的深入，安全审计已成为国内信息安全建设的重要技术手段。一定差异，但均是基于政策合规、自身安全建设要求，如：政府主要关注如何满足“信息系统安全等级保护”等政策要求的合规安全审计;电信运营商则基于自身信息系统风险内控需求进行安全审计建设。行业单位对于堡垒机的需求，必将在近三年内达到一个井喷的市场高潮。那么，目前国内堡垒机技术和产品提供厂商究竟是什么布局呢？由于堡垒机是近年内出现的新技术和产品，并且国内行业用户大多还处于信息化应用建设的高潮，还没有到堡垒机需求期，因此，堡垒机市场需求规模和产品提供商都有限。国内很大一部分信息安全综合厂商都陆续推出许多有着与堡垒机部分功能相近的产品，例如单点登录产品，内网准入产品、系统审计产品等，但是真正能够提供完整独立堡垒机技术和产品的并不是很多，国内堡垒机技术和市场规模较为知名的包括以下五家：网御神州 技术、分布式处理技术、图形协议代理、多进程/线程与同步技术、数据加密技术等。控制，组合输入输出流，自动识别逻辑语义命令。系统会根据输入输出上下文，确定逻辑能，在传统键盘捕获与控制领域取得新的突破，可以更加准确的控制用户意图。该技术能自动识别命令状态和编辑状态以及私有工作状态，准确捕获逻辑命令。分布式处理技术是指内控堡垒主机采用分布式处理架构进行处理，启用命令捕获引擎中心，实时察看用户在服务器上行为。这种分体式设计有利于策略的正确执行和操作记录以独立工作，可以分布于不同的服务器上，亦可所有组件安装于一台服务器。正则表达式匹配技术是指内控堡垒主机采用正则表达式匹配技术，将正则表达式组合入架构，对于服务器的分层分级管理与控制，相当有用。图形协议代理是指为了对图形终端操作行为进行审计和监控，内控堡垒主机对图形终端使用的协议进行代理，实现多平台的多种图形终端操作的审计，例如Windows平台的RDP9/9多进程/线程与同步技术