堡垒基于内控堡垒主机的运维审计实践[权威资料]

运维堡垒主机  时间:2021-01-10  阅读:()

基于内控堡垒主机的运维审计实践

摘要 为了解决信息系统存在的运维审计的难题同时为了满足国家信息安全等级保护三级的要求笔者所在部门实施了新一代内控堡垒主机系统的建设。本文从系统的概念和功能出发结合信息安全等级保护三级的相应要求展开介绍堡垒主机在运维审计方面为信息系统的内控管理提供的一个完整解决方案。而后通过在局域网中的实际部署经验整理了技术要点和实施细节。通过本文可以了解堡垒主机在运维审计当中的作用以及实施案例。

关键词堡垒主机 内控管理运维审计实践案例

TP393.08 A 1672-3791 2015 05 c -0000-00

近年来笔者所在民航系统内的信息化水平正在逐步从初级应用阶段发展至高级应用阶段而伴随着这个过程产生的信息化应用与信息安全管理的矛盾也愈发突出[1] 。笔者所在单位近年来在局域网内先后部署了多项网络安全和网络分析产品 已经形成了较为完善的信息安全防护体系主要技术人员也积累了运维经验。但信息系统故障等网络安全问题仍然时有发生。通过分析故障产生的原因发现大部分违规行为竟然来源于一些合法用户的例行操作。传统意义的安全防护系统可以从技术角度解决一些潜在的安全问题但对于内部人员操作的管理手段不完善带来的数据破坏和泄露可能比技术原因造成的损害更为严重。

国家公安部《信息系统安全等级保护基本要求》中明确规定了二级含以上的重要信息系统网络安全、主机安全、应用安全都需要具备安全审计功能[2] 所以根据等级保护要求以及本单位的实际情况我们迫切需要一种有效的手段来对内部人员的设备维护行为进行控制和审计解决信息安全管理中遇到的难题。难题具体体现在运维权限分配

复杂、系统密码管理不足、操作风险难以控制、共享账号安全隐患、系统资源授权不清晰、访问控制策略不严格、重要操作无法有效审计等。而以上这些信息安全问题通过引入内控堡垒主机并结合管理措施之后基本得到了有效解决。

1 内控堡垒主机介绍

1. 1什么是内控堡垒主机

最早的堡垒主机主要定位于防御外部进攻[3] 。通过将其部署在防火墙或路由器之外可以使那些需要面向外部的服务集中于堡垒主机上进行集中保护 以此来换取内部网络的安全。

而随着信息化应用的日趋复杂 由被动防御型的堡垒主机发展出来了更加偏重于对内部网络、应用和数据进行综合安全保护的管理控制平台也就是我们所说的内控堡垒主机。它从网络内部出发通过多种信息安全技术访问控制、身份认证、虚拟化、协议代理、操作审计等实现用户对内部网络资源的安全访问 同时对用户的操作过程形成完整的审计记录。这样的内控平台正可以有效地解决我们在日常运维和内控管理中遇到的难题。

1. 2功能特点

1. 2. 1设备的集中管控

内控堡垒主机可以将服务器和网络设备的信息 以及用户信息和访问权限提前配置在堡垒主机中这样便从传统的分布式管理模式转变成可控的集中式管理模式 以此为基础带来了设备管理效率和安全稳定性的提升。

1. 2. 2操作的集中审计

内控堡垒主机通过协议代理的方式将原来从某台内网终端直接通过远程连接对网络设备和服务器进行操作的不可控的分散管理方式转变成为了用户必须集中至堡垒主机的统一入口再对有授权的设备进行操作。而全部操作都通过协议录制得到记录实现了精细化的集中操作审计。

总之 内控堡垒主机结合了传统的4A理念 即账号管理、认证管理、授权管理、安全审计与应用发布技术形成了一个完善且可控的远程接入解决方案。一方面统一身份认证和统一访问授权使得远程接入用户需要通过多种身份认证手段以及基于角色的授权管理才可以接入设备满足了信息安全等级保护的要求 另一方面全面的审计功能让管理员不但可以完整录制会话过程还可以实时监视远程访问会话并及时终止非法操作。

2制定解决方案

2. 1信息安全等级保护要求

根据信息安全等级保护第三级[4]的相关要求制定内控堡垒主机的解决方案可以满足在要求中涉及到的网络安全、主机安全、应用安全、数据安全及备份恢复五项技术方面的要求 以及安全管理机构、人员安全管理、系统运维管理三项管理方面的要求。根据要求中的内容以及内控堡垒主机针对每一项提供的解决方案整理如下表1 。

2. 2设计原则

2. 2. 1整体安全和全网统一的原则

资源访问的安全设计需要综合考虑信息网络的各个环节和全部实体然后在不同层次上综合使用多种安全手段为内部信息网络和安全业务提供管理和服务。

2. 2. 2标准化原则

项目的安全体系设计严格遵循了国家标准如《信息系统安全等级保护基本要求》 。在达到标准要求的同时能够使企业内部的信息系统在可控范围内实现安全的互联互通。

2. 2. 3需求、风险、成本平衡原则

任何信息系统都无法做到绝对安全所以设计时就需要明确性能要求以及侧重点然后从需求出发在功能、风险和成本之间进行平衡和折中[5] 。

2. 2.4实用、高效、可扩展原则

无论现状如何 随着技术发展信息系统仍将不断变化哪怕在系统实施过程中系统的结构、配置也会发生变化。所以系统需要有一定的灵活性来适应这些变化使其符合“有层次、成体系”的标准既有利于系统安全又有利于扩展。

2. 2. 5技术、管理相结合原则

为了使内控堡垒主机可以发挥其应有的效果管理者必须首先根据系统的功能特点来重新梳理和完善现有的运行管理机制和安全规章制度 同时对技术人员进行思想教育和技术培训。通过合理的规定和具体培训才能完成系统的应用。

2. 3设计思路 2. 3. 1集中管理模式

管理模式决定了管理的高度所以明确管理模式应当是我们要确定首要因素。根据多年的运维实践发现我们对维护人员及其操作的管理手段并未伴随着信息化进程的推进而得到加强这样导致了人为因素造成的运行故障比例居高不下缺少有效的审计手段。因此迫使我们必须由分散的管理模式转变为集中的管理模式。集中管理是运维管理思想的必然发展趋势和唯一选择[6] 。通常集中管理包括集中的资源访问入口、集中的账号管理、集中的授权管理、集中的认证管理、集中的审计管理等等。

2. 3. 2访问协议代理

内控堡垒主机通过对各平台所使用的协议进行代理来实现对操作行为的审计和监控[7] 。 比如SSH、 TELNET、 FTP、RDP、 VNC等等Windows或Linux平台上的访问协议。

2. 3. 3身份授权分离

为避免传统方式的共享账号、弱口令账号等问题导致的安全漏洞我们的解决思路是将身份和授权分离。首先建立用于身份认证的独立账号体系然后保留各系统账号但使其由堡垒主机接管并定期更新密码使得被管理设备本身的

系统账号仅用于系统授权而剥离其身份认证功能有效增强了身份认证和系统授权的可靠性。

2.4系统构架

我们部署的内控堡垒主机由展现层、核心服务层、接口管理层三层结构组成。

展现层面向用户集成了多种包括匙扣令牌在内的强身份认证方式分别对系统管理员和运维用户提供不同的访问操作页面。

核心服务层面向授权和协议代理部署在服务器上。在核心服务层上完成账号管理、授权管理及策略设置等操作。其中的协议代理包含用户输入模块、命令捕获引擎、策略控制和日志服务所以具备对用户行为进行监视、控制和记录的功能。

接口管理层面向个信息系统用于实现审计结合、账号同步、认证结合等方面的数据接口工作。另外它还包含应用发布服务 以此来实现对B/S、 C/S、半B/S半C/S系统的单点登录及审计工作。

3 内控堡垒主机的实施

系统的实施过程中我们将堡垒主机及其应用发布服务器的部署位置单独剥离开划分为管理区把内部网络的其他设备如服务器、 网络设备、数据库等等划分为业务区。在内控堡垒主机部署上架后运维人员将集中通过内控堡垒主机对业务区的目标设备进行日常运维操作。

设备上架后我们需要通过防火墙策略配置解除客户端到堡垒主机及堡垒主机到目标服务器的端口限制。这样当用户访问设备时堡垒主机才可以完成对TELNET 端口

23 、 SSH 端口22 、 RDP 端口3389等协议的代理访问具体设备并在堡垒主机上完成对设备的单点登录及会话的完整审计。

4结语

在信息化水平快速发展的今天技术发展与管理模式相辅相成。信息安全不仅需要先进的设备和娴熟的技术更需要完善的制度和审计手段。 内控堡垒主机的实施切实有效地规范了内外部维护人员对IT基础设施的维护行为弥补了操作审计空白。它通过集中管理的模式借助于协议代理、身份授权分离等技术极大地减少了维护人员误操作或恶意操作的概率缩短了故障定位时间。这次内控堡垒主机的实施完善了笔者所在单位的信息安全保护体系将有助于提高信息系统运行的安全性和稳定性。

参考文献

[1]潘玉. 新一代堡垒主机[J] .信息安全与通信保密 2011 05 45.

[2]韩荣杰于晓谊.基于堡垒主机概念的运维审计系统[J] .信息化建设 2012 01 56-59.

[3]赵瑞霞王会平. 构建堡垒主机抵御网络攻击[J] .网络安全技术与应用 2010 08 26-27.

[4]公安部信息安全等级保护评估中心. GB/T 22239-

2008 信息安全技术信息系统安全等级保护基本要求[S] .北京 中国标准出版社 2008.

[5]韩海航王久辉. 大型交通网络系统安全保障体系研究[J] .计算机安全 2007 10 77-80.

[6]吴国良.面向NGB的网络与信息管控建设[J] .广播与电视技术 2013 10 28+30-33.

[7]陈旭. IT运维操作管理有效降低企业风险[J] . 高科技与产业化 2010 05 116-119.

作者简介

庞博1985-  男软件工程学士助理工程师主要研究方向为平面网络及网络安全。

文档资料基于内控堡垒主机的运维审计实践 完整下载完整阅读全文下载全文阅读 免费阅读及下载

感谢你的阅读和下载

*资源、信息来源于网络。本文若侵犯了您的权益请留言或者发站内信息。我将尽快删除。 *

2021年全新Vultr VPS主机开通云服务器和选择机房教程(附IP不通问题)

昨天有分享到"2021年Vultr新用户福利注册账户赠送50美元"文章,居然还有网友曾经没有注册过他家的账户,薅过他们家的羊毛。通过一阵折腾居然能注册到账户,但是对于如何开通云服务器稍微有点不对劲,对于新人来说确实有点疑惑。因为Vultr采用的是预付费充值方式,会在每月的一号扣费,当然我们账户需要存留余额或者我们采用自动扣费支付模式。把笔记中以前的文章推送给网友查看,他居然告诉我界面不同,看的不对...

阿里云香港 16核32G 20M 999元/月

阿里云香港配置图提速啦是成立于2012年的十分老牌的一个商家这次给大家评测的是 阿里云香港 16核32G 20M 这款产品,单单说价格上就是十分的离谱原价8631元/月的现价只要 999元 而且还有个8折循环优惠。废话不多说直接进入正题。优惠时间 2021年8月20日-2021年9月20日 优惠码 wn789 8折优惠阿里云香港BGP专线 16核32G 10M带宽 优惠购买 399元购买链接阿里云...

€4.99/月Contabo云服务器,美国高性价比VPS/4核8G内存200G SSD存储

Contabo是一家运营了20多年的欧洲老牌主机商,之前主要是运营德国数据中心,Contabo在今年4月份增设新加坡数据中心,近期同时新增了美国纽约和西雅图数据中心。全球布局基本完成,目前可选的数据中心包括:德国本土、美国东部(纽约)、美国西部(西雅图)、美国中部(圣路易斯)和亚洲的新加坡数据中心。Contabo的之前国外主机测评网站有多次介绍,他们家的特点就是性价比高,而且这个高不是一般的高,是...

运维堡垒主机为你推荐
美国主机租用在哪里可以租用美国服务器?独立ip主机独立ip主机的好处?vpsvps什么意思虚拟主机代理谁给推荐个好的虚拟主机无限级代理免费国外空间哪些免费的国外空间最好?速度快.功能大?域名注册查询如何查域名有没有被注册查询ip怎么查询IP地址台湾主机台湾版本的主机好不好?深圳网站空间怎么样建立网站北京网站空间求永久免费的网站服务器!
美国vps评测 a5域名交易 la域名 卡巴斯基永久免费版 免费网站申请 anylink 百兆独享 softbank邮箱 200g硬盘 网站木马检测工具 phpmyadmin配置 网络空间租赁 免费申请网站 中国电信宽带测速网 昆明蜗牛家 四核服务器 彩虹云 百度云空间 免费网络 杭州电信宽带优惠 更多