堡垒机将内网安全进行究竟.docVIP

“堡垒机”将内网安全进行到底 当信息技术在企业中的地位，从一个仅在局部起支撑作用的工具，变成企业赖以日常运营的基础平台；毫无疑问，内网信息安全问题，也就从一个仅是影响企业运营效率的小问题，变成了直接影响到企业生死存亡的大问题。 甭管什么企业，概不例外。据相关调查数据显示，世界上每分钟就有2个企业因为信息安全问题倒闭，有11个企业因为信息安全问题造成大约800多万美元的直接经济损失。信息安全问题，随信息技术的不断发展和信息化建设的不断进步，办公系统、 商务平台的不断推出和投入运行，信息系统在企业的运营中全面渗透。电信、财政、税务、公安、金融、电力、石油更是使用数量较多的服务器主机来运行关键业务 在所有内部隐患中，一种由IT系统“权贵”人员及其操作引出的非传统的安全隐患日益凸显，是所有安全事件中最主要的安全威胁。所谓IT系统“权贵”人员，即拥有企业内网各种IT系统软硬件设备管理权限的人员，这些人员可能包括：系统管理员、系统运维人员、系统应用高权限用户、第三方厂商的维护人员以及其他临时高权限人员等。这些人员本身所拥有的高权限账号和其在操作过程中的各种动作，都带来日益明显的安全隐患。 这些隐患所产生的新问题，归结起来包括以下五个主要的问题。 其一，共享账号带来的安全问题。在企业内网IT系统管理中，共享账号是很常见的管理方法，其好处显而易见，既能节约了帐号管理成本，又降低了本地溢出的风险……但是，随着IT系统复杂性几何级提升，共享账号带来明显的隐患，这是因为等。这就是说，很多人共用一个账号，就使得帐号不具有唯一性，而且密码难以有效管理，最关键的是一旦该账号出现安全问题，责任难以认定到人，这就不符合国家关于信息安全“谁使用，谁负责”的原则。 其二，权限控制带来的安全隐患。大多数企事业单位的IT运维均采用设备、操作系统自身的授权系统，各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加。安全性无法得到充分保证。 其三，访问控制带来的安全隐患。目前的常见对系统管理员账号管理中，没有一个清晰的访问控制列表，无法一目了然的看到什么用户能够以何种身份访问哪些关键设备，同时缺少有效的技术手段来保证访问控制策略有效地执行。尤其是针对许多外包服务商、厂商技术支持人员、项目集成商等在对企业核心服务器、网络基础设施进行现场调试或远程技术维护时，无法有效的记录其操作过程、维护内容，极容易泄露核心机密数据或遭到潜在的恶意的破坏。 其四，系统审计带来的安全隐患。企业内网各IT系统独立运行、维护和管理，所以各系统的审计也是相互独立的。审计的机制、格式和管理都不尽相同，就会带来各种问题。例如，每个网络设备，每个主机系统分别进行审计，安全事故发生后需要排查各系统的日志，但是往往日志找到了，也不能最终定位到行为人。 其五，面临安全合规性法规遵从的压力。为加强信息系统风险管理，政府、金融、运营商等陆续发布信息系统管理规范和要求，如“信息系统等级保护”、“商业银行信息科技风险管理指引”、“企业内部控制基本规范”等均要求采取信息系统风险内控与审计。 这些法规的要求和遵从，对于大型企业上市或者跨国经营，有着极大的影响。2002年由美国总统布什签发的萨班斯法案(Sarbanes-Oxley Act)是一种被强化的可以防御进攻的计算机，“堡垒主机”这个词是有专门含义的概念，最初由美国Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一书中提出。他提出堡垒主机“是一个系统，作为网络安全的一个关键点，它由防火墙管理员来标识”，“堡垒主机需要格外的注意自己的安全性，需要定期的审核，并拥有经过修改的软件”。通常，堡垒主机是一台独立应用的主机。（这有点类似单用户的单机操作），它有极大的价值，可能蕴含着用户的敏感信息，经常提供重要的网络服务；大部分时候它被防火墙保护，有的则直接裸露在外部网络中。其所承担的服务大都极其重要，如银行、证券、政府单位用来实现业务、发布信息的平台。“堡垒主机”的工作特性要求达到高安全性。?早堡垒主机，通常是指这样一类提供特定网络或应用服务的计算机设备，其自身相对安全并可以防御一定程度的攻击。作为安全但可公开访问的计算机，堡垒主机通常部署于外围网络（也称为 DMZ、网络隔离区域或屏蔽子网）面向公众的一端。这类堡垒主机不受防火墙或过滤路由器的保护，因此它们完全暴露在攻击中。这类堡垒主机通常用作Web服务器、域名系统(DNS)服务器或文件传输(FTP)服务器等。通过将这些将必须开放的服务部署在堡垒主机而不是内部网络中，可以换取内部网络的安全。因为