通信世界网讯(CWW) 随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作却无能为力。根据中国国家信息安全测评中心调查，信息安全的现实威胁主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客。

堡垒机完善IT系统内控

启明星辰天玥网络安全审计系统-运维安全管控系统（天玥OSM堡垒机），能够对企业运维人员的维护过程进行全面跟踪、控制、记录、回放；支持细粒度配置运维人员的访问权限，实时阻断违规、越权的访问行为，同时提供维护人员操作的全过程记录与报告；系统支持对加密与图形协议进行审计，消除了传统审计设备的审计盲点，成为企业IT系统内部控制最有力的支撑平台。

例如，在运营商某省公司，很多设备和业务系统己经通过外包公司代维，那么业务数据是否被非法访问或产生信息泄露？由于缺乏在技术层面进行高强度的监管，业务系统安全状况不得而知。为进一步提升业务系统安全性及安全管理水平，省公司开始进行运维安全系统建设，通过启明星辰天玥OSM堡垒机的实施和运用，使得系统和安全管理人员可以对支撑系统的运维用户和各种资源进行集中管理、集中权限分配和控制、集中审计，从技术层面上有效保证了支撑系统安全策略的实施。

天玥堡垒机互补技术方案

在常见的信息系统中，运维人员对目标设备的运维协议或访问方式主要包括字符协议、图形协议、文件传输协议、HTTP(S)访问、数据库客户端或其他私有客户端。如何有效实现对运维人员的操作权限进行细粒度控制和合规审计呢？

天玥OSM堡垒机由WEB模块、协议代理模块、行为审计模块、应用发布模块和存储模块组成。其中协议代理模块可以实现对主机、数据库、网络设备维护过程中的协议数据包代理转发、行为还原及记录、高危/违规行为阻断等功能，支持SSH、TELNET、FTP、SFTP、RDP、VNC、X11等运维协议。应用发布模块用于发布非标准协议或应用客户端，可实现对应用客户端工具的自动调出、密码代填和操作审计功能，主要包括HTTP IE应用、数据库客户端、pcanywhere等工具，支持扩展。

图1 协议代理模块

如图1所示，运维用户通过堡垒机WEB界面进行对目标资源的单点登录（SSO），堡垒机对指定的协议通过代理方式，实现对协议的审计等功能，具体如下：

1、运维用户通过HTTPS访问堡垒机WEB界面；

2、堡垒机对运维用户的身份进行认证；

3、认证成功后，运维用户即进入堡垒机运维主界面，同时对运维用户的权限进行鉴别，展现运维用户权限范围内的资源列表；

4、运维用户选择需要单点登录的被管资源、相关资源账号和运维协议；

5、堡垒机实现对相应协议的代理，并进行密码代填，实现对目标资源的单点登录。