部署堡垒机保障运维安全

◆艾奇昆

部署堡垒机保障运维安全

◆艾奇昆

（辽宁省信息中心 辽宁 110002）

随着信息系统在政务信息化的建设中全面渗透。政府机关、事业单位的核心业务应用系统，使用数量众多的网络设备、服务器主机来提供网络服务、运行关键业务，提供电子政务、数据库应用、协同工作群件等服务。由于设备和服务器众多，越权访问、误操作、滥用、恶意破坏等情况时有发生，这严重影响了政府单位信息化工作的效率，并对单位的声誉造成了严重的影响。本文以作者单位运维保障工作中存在的安全隐患作为主要研究的对象，阐述了堡垒机的工作原理及其功能，并将堡垒机亲自部署到数据中心机房，解决了目前比较棘手的安全运维审计的问题，按照国家信息安全相关的规范，真正做到了事前授权、事中监控、事后审计的安全运维保障。

堡垒机；运维；旁路；拓朴；RDP

0 前言

随着信息技术的不断发展和信息化建设的不断进步[1]，业务应用、办公系统、商务平台不断推出和投入运行，信息系统在政务信息化的建设中全面渗透。政府机关、事业单位的核心业务应用系统，使用数量众多的网络设备、服务器主机来提供网络服务、运行关键业务，提供电子政务、数据库应用、协同工作群件等服务。由于设备和服务器众多，越权访问、误操作、滥用、恶意破坏等情况时有发生，这严重影响了政府单位信息化工作的效率，并对单位的声誉造成了严重的影响。如何提高政府信息化部门的运维管理水平，跟踪服务器上用户的操作行为，防止黑客的入侵和破坏，提供控制和审计依据，降低运维成本，满足相关规范要求，越来越成为政府信息化部门关注的大事。

伴随着信息安全的发展，防病毒软件、防火墙、IDS、IPS，漏扫等安全产品已经得到了广泛的应用，虽然使用这些产品可以解决一些安全问题，但是对于已得到授权的人员的违规操作或误操作却无能为力。根据资料统计，在对单位造成严重损害的案例中，有 70%是组织内部人员所为。

1 运维工作存在的问题

我们单位是全省电子政务外网运维服务的技术支撑单位，在我们单位的机房里，运行着很多的业务应用系统，一直以来对这些与业务应用系统相关的服务器、存储、网络设备、安全设备的维护工作都是分两部分去做的：一部分软件系统运维工作（主要是各处室独立分管的核心业务应用系统软件运维工作）由各处室负责维护；另一部分硬件系统运维工作（包括机房中各应用系统的服务器、存储、网络设备、安全设备等）都由我们运行保障处负责维护管理。一直以来，我们单位的信息应用系统的运维保障工作就存在很大的安全隐患，其主要表现如下：

1.1 账号共享及缺乏身份识别

在我们的机房中，存在着大量的网络设备、主机操作系统和应用系统，分别属于不同的部门。各应用系统都有一套独立的账号体系，用户为了方便登录，经常出现多人共用账号的情况。

多人同时使用一个系统帐号在带来方便性的同时[2]，导致用户身份唯一性无法确定。如果其中任何一个人离职或者将账号告诉其他无关人员，会使这个账号的安全性无法保证。

由于共享账号是多人共同使用，发生问题后，无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此账号的人员，带来了密码管理的复杂化。

账号的共享或一人使用多个账号会导致整个运维管理过程的复杂混乱。

因为整个运维过程的不确定因素太多，所以使得整个运维过程不可控。这不仅给运维人员带来了巨大的麻烦，而且让系统管理人员也无法准确定位故障责任人，如果长期在这种传统的运维模式下运维，将会给我们单位带来巨大的损失，甚至还无法追究相关当事人的责任。

1.2 授权不清晰引发的问题

领导者如何进行授权[3]，是企业管理的一个深刻命题。做过管理的人都应该知道，授权在企业管理中是非常重要的。但是，很多企业管理者在授权时，要么顾虑重重，对谁也不放心；要么授权不当，缺乏监督制度，造成企业管理混乱。

我们单位的信息化运维工作也存在着类似的问题，让每个运维人员在自己责任范围内正确安全的使用自己的每一个权限十分重要。在我单位的运维模式中，授权是不清晰的，例如:运维人员登录某台服务器或核心交换机等关键性设备时，拥有很高的或者是超越自己权限范围的权限，一旦执行了非法操作或是误操作，都会导致严重的后果。

面对上述运维模式中存在授权不清晰的问题，也引起了我们的足够重视。我们一直在寻找一个理想的运维模式，在这个模式下，可以对我们运维人员的访问操作权限进行精确的划分。

1.3 运维人员操作过程无审计

因为各部门独立运维和管理自己的业务应用信息系统，所以各系统的审计也是相互独立的。每个网络设备，每个主机系统都分别进行审计，安全事故发生后需要排查各系统的日志，但是系统本身记录的日志，不能最终定位到具体的操作人员。

另外各系统的日志记录能力各不相同，例如对于 Linux 系统来说[4]，日志记录就存在以下问题：

（1）Linux系统中，用户在服务器上的操作有一个历史命令记录的文件，但是root用户不仅仅可以修改自己的历史记录，还可以修改他人的历史记录,系统本身的历史记录文件已经变的不可信。

（2）无法记录操作人员、操作时间、操作结果等。

1.4 第三方人员管理隐患

目前，我单位各部门已经将一些业务应用系统外包给代维公司，在享受便利的同时，也带来了很大的安全问题：代维人员流动性大、缺少操作行为监控、代维人员的权限过大等等，这些问题带来的安全风险日益凸现。因此，我们需要通过严格的权限控制和操作行为审计，加强对代维人员的行为管理，从而达到消除隐患、规避风险的目的。

2 解决方案

如何解决我们单位在运维管理过程中存在的上述问题呢？经过与多位信息安全专家和厂商工程师沟通后，最终我们决定采取部署堡垒机解决上述问题。在这里，我首先介绍一下堡垒机的历史及其主要功能：

2.1 堡垒机的历史

堡垒机[5]，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责的设备。

其从功能上讲，它综合了核心系统运维和安全审计管控两大主干功能，从技术实现上讲，通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过堡垒机的翻译。打一个比方，堡垒机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此堡垒机能够拦截非法访问和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为，并对内部人员误操作和非法操作进行审计监控，以便事后责任追踪。

堡垒机的概念起源于跳板机。高端行业用户为了对运维人员的远程登录进行集中管理，会在机房里部署跳板机。跳板机就是一台服务器，维护人员在维护过程中，首先要统一登录到这台服务器上，然后从这台服务器再登录到目标设备进行维护。

跳板机并没有实现对运维人员操作行为的控制和审计，使用跳板机过程中还是会有误操作、违规操作导致的操作事故，一旦出现操作事故很难快速定位原因和责任人。

运维专家认识到跳板机的不足，提出了以下运维操作管理理念：

理念一：唯有控制才能真正解决问题；

理念二：系统账号无法确认用户身份；

理念三：人为操作难免会出问题。

在这些理念的指引下，2005年左右，业界研发出了世界上第一台运维堡垒机，自此运维堡垒机以一个独立的产品形态被广泛部署，有效地降低了运维操作风险，使运维操作管理变得更简单、更安全！同时，首台运维堡垒机的访问代理模式，对运维人员的身份认证、运维操作的访问控制和审计等功能，都被运维堡垒机产品一直沿用至今。

2.2 堡垒机的主要功能

堡垒机可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计，对策略配置、系统维护、内部访问等进行详细的记录，提供细粒度的审计，并支持操作过程的全程回放[6]。它弥补了传统审计系统的不足，将运维审计由事件审计提升为内容审计，并将身份认证、授权、管理、审计有机地结合，保证只有合法用户才能使用其拥有运维权限的关键资源，为组织在运维操作风险控制、内控安全和合规性等方面提供一套完善、有效的审计手段。

堡垒机可以针对数据中心机房的重要资产进行运维操作，再现关键行为轨迹，探索操作意图，集全局实时监控与敏感过程回放等功能特点，有效解决了我们平时信息化监管中的一个关键问题[7]:即以操作为核心，从操作层入手，实现对人、设备、操作的统一管理，做到事前防范、事中控制、事后监督和纠正的组合，从而帮助用户最小化人为操作风险。

堡垒机根据“4W要素”要审计运维人员的操作过程，即[8]“谁（who）在什么时间（when）登录哪台设备（where）、做了什么操作（what）”，全面记录“运维人员从登录到退出”的整个过程，帮助管理人员及时发现权限滥用、违规操作，准确定位身份，以便追查取证。

堡垒机普遍采取旁路部署方式，只需要将其接入网络，不会改变原有网络拓朴结构，旁路部署模式需要给堡垒机分配一个IP地址，并且此地址需要与目标访问服务器和维护终端直接路由可达。

安全审计作为信息安全建设不可缺少的组成部分[9]，逐渐受到用户的关注，是信息安全体系中的重要环节。同时，安全审计是事前预防、事中预警的有效风险控制手段，也是事后追溯的可靠证据来源。堡垒机具有事前授权、事中监控、事后审计的功能。

2.3 堡垒机部署实施

针对我们单位在运维过程中存在的上述安全隐患，我们决定在数据中心机房部署一台堡垒机，通过部署这台堡垒机，我们解决了在运维工作中一些比较棘手的问题，取得了一定的成效。

因为考虑到堡垒机一般采取旁路方式，所以我们决定采取旁路部署。以下是我们单位增加堡垒机后的网络拓朴图:

图1 堡垒机部署拓朴图

将堡垒机部署到安全接入区，为什么要采取这样的部署方式呢？主要是针对我单位运维操作中，最迫切需要解决的安全隐患即:各部门运维人员或第三方代维公司服务人员频繁通过RDP（远程桌面）方式访问各自业务应用系统的服务器（主要是windows系统服务器），进行远程维护操作。我们最先需要保障这方面运维服务的安全。经过与厂家工程师沟通，并将堡垒机亲自安装到数据中心机房现场测试其功能后，我们决定按照以下方案先期部署堡垒机:首先将堡垒机以旁路方式安装部署到安全接入区，并在边界防火墙的“访问控制”策略上，配置为只允许从外到内访问这台唯一堡垒机本身IP地址的RDP（远程桌面）协议和端口，禁用除了堡垒机本身IP地址以外的其他任何地址从外到内访问的RDP（远程桌面）协议及端口。

按照上述方式部署完成后，我们就可以登录堡垒机了，堡垒机是通过 WEB界面登录进行管理的，我们还要在堡垒机上进行设置，主要是按照业务类别添加不同的组别和用户，

组别建立完成后，还要添加设备，以上操作完成后，我们还要按照各部门不同用户的角色权限添加不同的用户，在堡垒机上，用户按照角色主要分成管理员、运维用户、审计员等。管理员具有最高的权限，运维用户可以登录堡垒机对业务应用服务器进行RDP（远程桌面）维护，审计员可以查看统计报表，进行操作审计。

运维用户（运维用户角色）登录堡垒机后可以对需要管理的应用服务器进行RDP远程桌面操作，审计员登陆堡垒机后，可以查看到审计事件的统计报表，同时审计员还可以查看到的终端用户登录服务器的录像回放。

2.4 取得的成果

通过部署堡垒机，我们单位对于各部门运维人员或第三方代维公司服务人员频繁通过RDP（远程桌面）方式访问各自业务应用系统服务器进行远程维护的方式，进行了有效的管理。现在，如果各部门人员需要登录各自的业务应用服务器，那么都必须先登录这台堡垒机，然后通过这台堡垒机再登录各自的应用服务器进行运维操作。这样彻底的规避了一些潜在的安全风险，真正做到了事前授权、事中监控、事后审计。

下一步，我们准备将一些网络设备（例如路由器、交换机）、安全设备（例如防火墙、IDS）、Linux服务器等，也统一纳入堡垒机的安全运维管理。利用这台堡垒机，我们可以对终端用户通过telnet、SSH、VNC、X11等协议远程登录设备的方式，进行有效的安全运维审计管理。

2.5 信息安全加固

信息安全从来都是一把双刃剑[10]，我们在部署堡垒机保证运维系统安全审计的同时，也带来了一定的安全隐患，比如，如果一旦堡垒机被黑客攻破，那么堡垒机将形同虚设，带来的后果将是灾难性的；另外如果堡垒机出现自身硬件故障（例如宕机），那么就会形成单点故障，将会影响整个远程运维的操作。

对于以上的问题，我们将从两个方面去解决：

一是加强管理，重新制定适合本单位数据中心设备运行维护的规范，前些年[11]有“一流设备，三流管理”的说法，目前信息系统安全运维工作越来越受重视，这种状况正在改变。我们将根据实际情况详细制定机房（数据中心）信息安全运行维护规范，加强设备巡检制度建设，加强机房（数据中心）信息安全系统应急措施规范的制定。

二是增加安全设备，进一步保障在现有网络拓朴架构下，各运维系统设备安全稳定的运行。虽然堡垒机系统的内核是基于Linux架构的，但是为了安全起见，我们准备再购置一台IPS（入侵防御系统）设备和一台抗DDOS攻击的设备，并将其部署在安全接入区，安装在边界防火墙的后面，以起到及时的中断、调整或隔离一些不正常或是具有危害性网络数据包传输的行为。

另外，为了避免堡垒机宕机带给我们的单点故障，我们准备再购置一台相同型号，相同版本的堡垒机，并将其也部署到安全接入区，与之前的堡垒机设置为在双机热备方式下工作，保持这两台堡垒机的配置策略一致，并为这两台堡垒机分配一个浮动的IP地址，设置好主、从关系。

3 结束语

通过以上堡垒机部署方案的实施，我们单位各业务应用系统的运维审计安全监管的工作得到了很大的改善。各部门人员对于各自业务应用系统安全运维的意识得到了提高，信息安全运维审计监管工作本身就是持续改进的过程[12]，我们只有紧跟信息安全新技术发展的形式，才能与时俱进，在保证信息安全的前提下，更好的为单位运维服务做好保障工作。

[1]郝永清.堡垒主机搭建全攻略与流行黑客攻击技术深度分析[M].北京:科学出版社，2010.

[2]罗守山等编著.密码学与信息安全技术[M].北京:北京邮电大学出版社，2009.

[3]龚伟华.银行数据中心基础设施建设与运维管理[M].北京:机械工业出版社发行室，2016.

[4]（美）麦克克鲁尔，（美）斯坎布雷，（美）克茨 著，赵军 等译.黑客大曝光:网络安全机密与解决方案（第7版）[M].北京:清华大学出版社，2013.

[5]百度http://baike.baidu.com/link?url=3mNBTpDpds2l00 Ee9xANQ9niWZprm2jeInvZZ5 HgM6r65CIW8un2eGRih04 8tQuHCwSLtOieCcEzdG7qSZ8SyVQJg1rLUw8pqirolyRlWg-yj LvLMzFrwV 4wzZH9qfiz 2012.

[6]陈小兵.安全之路——Web渗透技术及实战案例解析（第2版）[M].北京:电子工业出版社，2015.

[7][美]彼得·基姆（Peter Kim）著，徐文博，成明遥等译.黑客秘笈渗透测试实用指南 [M].北京:人民邮电出版社，2015.

[8][美]Daniel Regalado，Shon Harris等著，李枫译.灰帽黑客（第4版）[M].北京:清华大学出版社，2016.

[9]GB/T 20945-2007 信息安全技术 信息系统安全审计产品技术要求和测试评价方法[S].北京:人民出版社，2007.

[10]恒盛杰资讯，黑客攻防从入门到精通.[M]北京:机械工业出版社，2013.

[11]符长青，符晓勤，符晓兰著.信息系统运维服务管理[M].北京:清华大学出版社，2015.

[12]王东红，魏广朝著.信息系统运维基础[M].北京:北京理工大学出版社，2012.