基于堡垒主机方案的信息安全系统

摘 要：互联网中的信息系统安全是企业生产中的重要部分，针对目前信息系统中存在的问题，选用堡垒主机解决方案加强现有系统系统安全。本文构建了一种基于软件的堡垒主机实施部署到现有网络中，具有实施容易，维护方便的特点。经过6个月的稳定运行，有效降低了非法操作和系统故障等安全问题，证明了系统的有效性。

关键词：堡垒主机；信息系统安全；集中授权；运营维护

0 引言

2008年中华人民共和国国家质量监督检验检疫总局了GB/T 22239-2008《信息安全技术-信息系统安全等级保护基本要求》后，信息安全等级保护制度已经成为我国信息安全保护工作的基本国策，实行信息安全等级保护具有重大的现实和战略意义。

根据公安部的相关文献，从近些年来年来等级保护安全测评的结果分析中可以看出，信息系统中容易出问题的部分主要是账号管理、权限管理和审计分析等几个方面。例如：多人共用一个账号；用户权限分配没有遵循最小化原则；未限制设备管理方式；未开启审计或未进行审计分析等。

为解决上述问题，可以通过修改服务器配置信息以及网络设备的配置可以进行防范，随着智能终端的出现，网络传播技术的不断提高，交换机、路由器等网络设备的管理将便捷许多，操作人员可以通过网络对网络设备进行远程操作。然而，由于复杂的网络环境存在着大量的潜在攻击行为，在方便快捷的同时，操作人员通过网络与网络设备通信存在着严重的安全隐患。针对这种情况，需要对现有服务器进行改造，涉及到大量信息系统的安全维护操作，其复杂性和环境的不确定性造成这种方式的实施起来极其困难。

1 企业应用中的安全问题

在企业应用中，目标设备之间通过互联网络进行通讯，操作人员也通过互联网远程访问目标设备。

目标设备需要对操作人员开放相应的接口，由于互联网的开放性，非法操作人员或潜在非法操作人员很容易通过相应的接口登入系统进行操作，给网络安全带来隐患。

通过对现有系统在应用中出现问题进行分析，目前系统中存在的安全隐患主要有：（1）存在潜在非法操作人员对网络终端进行非法操作；（2）目标设备与操作人员无法进行统一管理；（3）操作人员的误操作无法有效避免；（4）操作人员的操作记录历史追踪无法实现。

通过对现有信息系统以及网络安全需求分析，结合企业现状，选取部署相关安全产品到网络中，作为安全模块对整个网络进行安全保护，即堡垒主机。

2 堡垒主机

堡垒主机是一种运维管理系统，可以完成账户管理、授权管理和综合审计等功能，完成集中认证和运维审计的作用。该类产品对操作人员提供多种远程管理方式，并能够对操作人员以远程方式对服务器主机、网络设备、数据库的操作行为过程进行监控和审计管理，以及对违规操作行为进行实时报警、阻断。通过堡垒主机可以有效的提高操作人员与网络设备之间通信的安全性，并且可以对操作人员及远程操作进行集中管理，在确保通信安全的基础上，实现管理的统一。

本文所述的堡垒主机产品为软件堡垒主机，没有运输成本，部署简单，升级简便，性能及功能可定制。在部署前，仅需要找到一台信任主机即可。堡垒主机被部署到内网主机上，并且对要访问的目标设备进行绑定，设定仅堡垒主机才可以对目标设备进行访问。所有操作人员都要先登录到堡垒机上，然后才可以访问目标设备。堡垒主机自身具有认证及授权等功能，可以有效的屏蔽非法操作人员的访问。

3 主要功能

本文所述的堡垒主机的主要功能有账户管理、角色管理、设备管理、黑名单管理和操作记录查询等。

（1）账户管理。对于堡垒主机的账户，采用"一用户一账号"的原则，用户需要通过自己的账户才能登录堡垒主机。不存在用户共享同一个账户，有效避免出现事故时无法追述问题原因和责任人的问题。另外，在用户的身份认证时，对用户的账号及所在IP进行绑定，如果账户与登录的IP不匹配，将无法登录，加强了身份认证机制。实现集中身份认证和访问控制，避免冒名访问，提高访问安全性。

（2）角色管理。针对不同的操作人员进行角色管理。不同类别的角色具有不同的操作权限，操作人员需要根据自身账户的角色等级来访问可操作的目标主机及该目标主机的资源。在便于任务分工及责任划分的同时，有效的降低操作人员错误操作的可能。

（3）设备管理。管理目标设备信息，堡垒主机对管理目标设备的数量无限制，可以任意添加。

（4）黑名单管理。堡垒主机将对操作人员的操作进行实时监测，如果某些操作被管理员禁止，那么该操作将无法完成。如：关机、重启等操作，通过黑名单管理，指定人员将不具备该操作权限，提高操作的安全性。访问记录查询通过该功能可查询目标主机在某个时间段内，有哪人操作人员登录过。当目标主机因操作不当而引发障碍时，结合操作记录查询，可快速排查障碍原因，并找到责任人，解决问题，避免不必要的损失

（5）操作记录查询。对操作人员的所有操作进行记录，当因操作人员的错误操作而引发障碍时，通过该功能可快速找出该操作人员，避免责任划分不清问题。

4 结语

堡垒主机能够解决集中账号管理、细粒度的权限管理和访问审计的问题，有效加强现有系统的网络安全性，具有改造成本小，维护容易等特点。本文所述堡垒主机产品在吉林联通通信网络中成功应用，有效降低了操作人员的误操作和网络信息故障发生的几率，证明了堡垒主机在加强网络安全方面的有效性。

参考文献：

[1]张笑笑，邹春明，顾健.堡垒机在信息系统中的应用[C].第二届全国信息安全等级保护技术大会会议论文集[A].2013.