基于堡垒机技术的运维安全管控系统设计与应用

石宏宇

[摘 要]随着电力企业信息化的不断深入，业务系统变得日益复杂，系统维护人员潜在违规操作导致的安全风险问题日益突出。本文在不改变信息系统原有结构的条件下，利用堡垒机技术构建了运维安全管控系统，实现了电力企业信息运维的全周期监控、管理和审计，有效地防范来自企业内部的安全威胁及风险。

[关键词]运维审计；安全管控；堡垒机

doi：10.3969/j.issn.1673 - 0194.2016.24.027

[中图分类号]TP393 [文献标识码]B [文章编号]1673-0194（2016）24-00-02

0 引 言

随着电力企业信息化水平不断深入，企业级应用系统的运维量持续增加，需要内部运维人员及第三方技术人员协同维护各应用系统，系统维护人员潜在违规操作导致的安全问题变得日益突出。防火墙、防病毒、入侵检测系统等常规的安全产品可以防范来自外部的安全问题，但对于内部人员的违规操作却无能为力。如何有效地监控设备厂商、内部运维人员的操作行为，并进行严格的审计是电力企业面临的一个关键问题。

1 传统运维模式风险分析

传统运维模式下，大量的运维人员通过KVM或直连信息设备开展变更、配置、备份与维护等操作，面临的风险主要有以下几个方面。

1.1 账号及授权管理不清晰

系统管理员、运维人员、第三方厂商的账号和权限不清晰，没有统一的账号管理，存在多人共用一个账号或一人使用多个账号的情况，对操作人员的权限没有严格的界定，存在权限级别要求不高的用户拥有较高级别权限账号的现象，导致运维过程中无法准确定位到人，事后责任不清，存在较大的安全隐患。

1.2 缺乏身份认证

采用人工手段核对运维人员身份信息，随着信息系统复杂度的大幅增加，同时开展运维的人员数量日益增多，无法实现全过程运维人员的身份认证及实名管理。

1.3 运维操作无全过程审计

各类运维人员的操作行为无专属的审计记录，审计力度不够。各网络设备、主机系统、数据库分别单独记录日志，没有统一的审计策略，并且各系统自身日志记录深浅不一，难以及时通过系统自身日志发现违规操作行为和追查取证，无法对维护人员经常使用的SSH、RDP等加密、图形操作协议进行内容审计。

传统的运维模式面临事前身份不明确、授权不清晰，事中操作不可见、过程不可控，事后操作无法审计、问责追溯难等问题，通过严格的规章制度只能约束一部分人的行为，只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行，因此，建设运维安全管控系统是十分必要的。

2 运维安全管控系统架构设计与应用

2.1 堡垒机技术的介绍

堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用多种技术手段实时收集和监控网络中每一个组成部分的系统状态、安全事件等以便集中报警、及时处理及审计定责。运维安全管控系统是利用堡垒机技术，通过访问控制、账号管理、身份认证、行为审计、单点登录与协议代理等多种信息安全技术，实现运维人员对信息系统的安全访问，同时对运维人员的操作过程形成完整的审计记录。

2.2 设计依据

国家公安部《信息安全等级保护基本要求》中对二级（含）以上的信息系统提出明确的安全审计要求：“审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用、账号的分配、创建与变更、审计策略的调整及审计系统功能的关闭与启动等系统内重要的安全相关事件等”。本次运维安全管控系统设计严格按照等级保护要求，范围覆盖DMZ区、等级保护二级及以上信息系统。

2.3 系统架构设计

2.3.1 风险控制流程

为确保运维安全管控系统满足电力企业运维实际需求，要制定完善的风险控制流程，实现事前实行统一的账号管理、权限访问策略、审计策略，事中身份认证、授权及监控，事后统一综合审计的风险控制流程，如图1所示。

2.3.2 架构设计

运维安全管控系统架构设计由展示层、功能层、存储层与资源层4层组成。

展示层面向用户，采用静态口令、动态口令、数字证书等多种身份认证方式，具备密码强度、密码有效期、口令尝试死锁、用户激活等安全管理功能，实现用户分组管理，分别对系统管理员、审计员、运维人员提供不同的访问页面。

功能层实现账号管理、认证管理、授权管理、综合审计与系统管理等功能，采用协议分析、基于数据包还原技术，实现操作界面模拟，将所有的操作转换为图形化界面，实现审计信息不丢失。除了实现运维操作图形化审计功能的展现外，还能对字符进行分析，包括命令行操作的命令及回显信息和非字符型操作时键盘、鼠标的敲击信息。

存储层实现对运维安全管控系统账号及各信息系统账号的存储及审计信息的存储，实现账号及审计信息的灵活调用。

资源层面向各信息系统，用于实现账号同步、认证结合、审计结合等方面的数据接口工作，支持字符串操作SSH/Telnet、图形操作RDP/VNC/X11/pcAnywhere/DameWare等。

2.4 系统部署与应用

在等级保护二级区域和DMZ区域各部署两台堡垒机，堡垒机做双机主备，实现对等保二级区域和DMZ区域的网络设备及服务器的运维审计，由于堡垒机采用旁路部署，实施过程中对现有网络业务不会造成任何影响。双机热备与主备之间通过业务管理端口线进行主备状态监测和配置同步，主机节点一旦断开，备机节点会立刻启动，无需人工干预，从而实现运维安全管控业务的不间断运行。系统部署后实现了以下应用。

（1）通过集中化管理，实现单点登录。通过系统的部署，对资源账号的统一管理，把复杂问题简单化。

（2）通过账号管理，实现用户实名制及统一身份认证。为每个用户分配了独一无二的用户账号，设备上的系统账号不变，通过把多个用户账号和单个系统账号做关联，让用户的身份和具体的操作一一对应起来，从而实现用户实名制管理。

（3）有效地执行访问控制，防止非授权访问。通过系统设置详细的访问控制规则，用户只能按照规则设置来访问相应资源，彻底杜绝了非授权访问所带来的问题。

（4）精准溯源操作审计。基于安全运维审计系统的实时监控及字符会话审计技术，完整地记录用户的所有操作行为，使运维操作透明化。

（5）实现独立审计与三权分立，完善IT内控机制。通过应用实现独立的审计与三权分立，在三权分立的基础上实施内控与审计，有效地控制操作风险，完善IT内控机制。

3 结 语

在电力企业信息化水平快速发展的今天，技术发展与管理模式相辅相成，信息安全不仅需要先进的技术，更需要完善的制度和审计手段。通过运维安全运维管控系统的建设，进一步完善了电力企业在信息运维过程中的身份认证、访问控制、权限控制、操作监控和审计等措施。实现了全面监控和审计运维人员对DMZ区域和IDC区域内的信息系统和业务数据的操作，使笔者所在单位的信息安全防护体系有效的落地，进一步提高电力企业信息安全防护水平。

主要参考文献

[1]袁慧萍，董贞良.银行数据中心运维安全审计实践探析[J].信息安全与通信保密，2015（4）.

[2]余铮，廖荣涛，陈磊.基于旁路的全周期信息运维审计系统研究与应用[J].湖北电力，2013（2）.

[3]庞博.基于内控堡垒主机的运维审计实践[J].科技资讯，2015（15）..