基于内控堡垒主机加固企业网络安全平台.docVIP

基于内控堡垒主机加固企业网络安全平台 　　摘要： 企业网络安全需求日益提高，传统安全管理平台在单点登录、账号管理及审计中存在问题，本文利用堡垒主机进行集中登陆、身份授权等功能，实际测试采用极地银河内控堡垒主机加固后的企业完全平台，可实现统一的账号管理、双向可备份审计、审计查询检索等功能。系统部署便捷，极大地提高了企业内部网络安全性。 　　关键词：堡垒主机；身份授权；审计备份 　　中图分类号：G64文献标识码：A 文章编号：1672-3791（2015）01 （b）-0000-00 　　1企业网络安全典型现状分析 　　随着信息技术的不断发展和信息化建设的不断进步，办公系统、商务平台的不断推出和投入运行，信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中企业和门户网站，更是使用数量较多的服务器主机来运行关键业务。 　　1.1 企业管理现状 　　随着网络安全威胁日益增多，单纯来自于外界的威胁变得有限，更多的、更严重的威胁来自于内部，或由内外勾结所产生的破坏。企业生产数据面临被内部人员篡改、删除、窃取，主机被关机、设备配置被修改，导致企业生产停顿、商业资料泄露，给企业造成巨大的损失。目前企业机构的运维管理总体上有以下三个特点： 　　1、关键的核心业务都部署于Unix和Windows服务器上。 　　2、应用的复杂度决定了多种角色交叉管理。 　　3、通过Telnet， SSH， FTP， RDP等方式进行远程管理。 　　1.2 企业管理中存在的问题分析 　　1、账号管理工作问题 　　由于共享帐号是多人共同使用，发生问题后，无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员，带来了密码管理的复杂化。同时还造成密码策略无法有效执行；帐号授权不清晰；访问控制策略无法严格执行的问题。 　　2、审计工作问题 　　审计问题主要包括：缺乏帐号分配审计；缺乏用户使用相应帐号的授权审计；缺乏用户登录登出系统的审计；缺乏用户对系统访问行为审计这四个方面。而且，由于各系统的日志记录能力各不相同，例如对于Unix系统来说，日志记录就存在以下问题： 　　（1）Unix系统中，用户在服务器上的操作有一个历史命令记录的文件，但是用户可以随意更改和删除自己的记录； 　　（2）root用户不仅仅可以修改自己的历史记录，还可以修改他人的历史记录，系统本身的历史记录文件已经变的不可信； 　　（3）记录的命令数量有限制； 　　（4）无法记录操作人员、操作时间、操作结果等。 　　综上所述，企业现状迫切要求企业内部规范管理，通过内控堡垒主机实现企业内部网络的合理化，安全化，专业化，规范化，充分保障企业资源安全。 　　2堡垒主机的作用和功能发展 　　2.1 堡垒主机概述 　　堡垒主机是一种被强化的可以防御进攻的计算机，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。堡垒主机是网络中最容易受到侵害的主机，所以堡垒主机也必须是自身保护最完善的主机。 　　2.2 堡垒主机平台系统的发展及解决思路 　　2.1.1旁路审计 　　操作审计管理主要审计操作人员的帐号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。 　　所谓的旁路审计可以针对常见的明文协议，如TELNET/FTP/HTTP等，采用镜像监听技术从旁路对协议报文进行审计。 　　它主要存在的问题是无法对密文协议如：SSH/RDP进行旁路审计以及审计信息不可读（实名、信息量）等。解决思路就是采用审计双向备份及审计查询检索技术等。 　　2.1.2集中登录 　　集中登录是指先登录管理作业服务器，然后转换身份再对相关服务器进行维护。属于多用户单帐号管理方式，这种登录方式的主要问题是： 　　1.多用户共享root帐号，权限划分不明，所有人员都具有最高的ROOT权限。 2.无法跟踪某个管理员的确切操作。 3.依靠各自服务器的日志信息，审计信息不可读。 　　解决集中登录的问题可采用单点登录或者连续跳转登录技术。 　　2.1.3身份授权分离 　　以前管理员依赖各IT系统上的系统帐号实线两部分功能：身份认证和系统授权，但是因为共享帐号、弱口令帐号等问题存在，这两方面实现都存在漏洞，达不到预期的效果。 　　解决的思路是将身份和授权分离。在堡垒主机上建立主帐号体系，用于身份认证，原各IT系统上的系统帐号仅用于系统授权，这样可以有效增强身份认证和系统授权的可靠性，从本质上解决帐号管理混乱问题，为认证、授权、审计提供可靠的保障。 　　3基