堡垒机解决方案

背景需求分析：

随着网络信息技术的迅速发展，企事业单位网络规模和设备数量迅速扩大，建设重点逐步从网络信息化到网络信息安全、提升效益为特征的运行维护阶段； IT系统运维与安全管理正逐渐走向融合。信息系统的安全运行直接关系企业效益，如何构建一个强健的运维安全管理体系对企业信息化的发展至关重要，同时对运维的安全性提出更高要求。

目前，面对日趋复杂的IT系统，不同背景的运维人员已给企业信息系统安全运行带来较大潜在风险，主要表现在：

◆账号管理无序，暗藏巨大风险

◆粗放式权限管理,安全性难以保证

◆第三方代维人员带来安全隐患

◆传统网络安全审计系统无法审计运维加密协议、远程桌面内容

◆设备自身日志粒度粗，难以有效定位安全事件

上述风险带来的运维安全风险和审计问题，已经成为企业信息系统安全运行的严重隐患，将制约业务发展，影响企业效益。企业的网络运维安全管理已经刻不容缓!

解决方案：

◆晟为运维安全管理系统（简称堡垒机）采用的深度的Linux内核，raid保障存储，日

志采用防删除防篡改设计，业界独有的双机冗余采用网络镜像方式，达到主备数据完全同步。

◆堡垒机用户权限的管理，可分为运维用户、管理员和日志管理员，三权分立。运维用户

主要是给第三方运维人员的账号，只能进行运维操作，账号不属于堡垒机本身。管理员用户建立账号，给每个账号划分权限和制定策略等操作，如添加的用户量特别多是可以批量导入，而且每个账号都可以跟radius、ldap、ad域或USBkey进行认证。而日志管理员主要查看堡垒机上的所有日志和统计报表，还能进行实时监控和观看操作回放，有效定位责任点。

◆堡垒机登录支持web和客户端，设备独特的sso功能，登陆一次即可访问所有的授权对

象，在堡垒机界面用户可以调用电脑中所有的第三方软件进行登录如Securecrt、Putty、Sqlplus等，同时还能对SSH、RDP等加密或图形协议进行审计。堡垒机能够规范所有运维人员的操作（指令级操作），实时监控运维用户的操作同时可以控制操作中

出现的误操作、滥操作以及对重要核心业务或数据的越权访问，有效避免了不规范操作带来的危害和数据丢失、泄露带来的经济损失。为了避免第三方人员能够直接接触企业核心机密，可以对重要网络设备或者数据设立二次审批功能，任何原因想访问必须使用二次审批，待管理员确认后才能进行访问。堡垒机对所有操作进行录像和记录日志，日志管理员可通过日志和录像进行查看，一旦出现问题可以据此来发现故障点并及时进行补救。管理员在监控和看录像的同时可以学习操作，出现类似问题自己就可以解决，减少第三方人员接触网络的机会。强大的报表功能将所有数据进行分析形成报表，设备支持多种报表模版和自定义报表，方便日至管理员查看，了解近期运维操作信息，报表可通过邮件发送给管理员。

◆堡垒机可以网络设备、安全设备和主机设备的基本属性、分组、系统和应用的帐号密码

进行管理，支持设备的批量导入、Oracle RAC\、AD域主机和账号+协议绑定提高授权精确性。

◆堡垒机可对所有设备进行自动改密，管理员可以设置密码的复杂程度、改密周期同时支

持多个改密计划。改密结果可通过邮件发送给管理员并进行密码审核，管理看到改密结果之后回复确定，堡垒机得到确定之后通过改密结果审核然后进行下一次改密。改密结果文件是经过加密的，防止密码被篡改。