堡垒机 简介

堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、记录、分析、处理的一种技术手段。

其从功能上讲，它综合了核心系统运维和安全审计管控两大主干功能，从技术实现上讲，通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过运维安全审计的翻译。打一个比方，运维安全审计扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此运维安全审计能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为，并对内部人员误操作和非法操作进行审计监控，以便事后责任追踪。

安全审计作为企业信息安全建设不可缺少的组成部分，逐渐受到用户的关注，是企业安全体系中的重要环节。同时，安全审计是事前预防、事中预警的有效风险控制手段，也是事后追溯的可靠证据来源。

堡垒机产生的原因

随着企事业单位IT系统的不断发展，网络规模和设备数量迅速扩大，日趋复杂的IT系统与不同背景的运维人员的行为给信息系统安全带来较大风险，主要表现在：

1.多个用户使用同一个账号。这种情况主要出现在同一工作组中，由于工作需要，同时系统管理账号唯一，因此只能多用户共享同一账号。如果发生安全事故，不仅难以定位账号的实际使用者和责任人，而且无法对账号的使用范围进行有效控制，存在较大安全风险和隐患。

2.一个用户使用多个账号。目前，一个维护人员使用多个账号是较为普遍的情况，用户需要记忆多套口令同时在多套主机系统、网络设备之间切换，降低工作效率，增加工作复杂度。如下图所示：

3. 缺少统一的权限管理平台，权限管理日趋繁重和无序；而且维护人员的权限大多是粗放管理，无法基于最小权限分配原则的用户权限管理，难以实现更细粒度的命令级权限控制，系统安全性无法充分保证。

4. 无法制定统一的访问审计策略，审计粒度粗。各网络设备、主机系统、数据库是分别单独审计记录访问行为，由于没有统一审计策略，并且各系统自身审计日志内容深浅不一，难以及时通过系统自身审计发现违规操作行为和追查取证。

5. 传统的网络安全审计系统无法对维护人员经常使用的SSH、RDP等加密、图形操作协议进行内容审计。

堡垒机的核心功能

单点登录功能

支持对X11、linux、unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改，简化密码管理，让使用者无需记忆众多系统密码，即可实现自动登录目标设备，便捷安全。

账号管理

设备支持统一账户管理策略，能够实现对所有服务器、网络设备、安全设备等账号进行集中管理，完成对账号整个生命周期的监控，并且可以对设备进行特殊角色设置如：审计巡检员、运维操作员、设备管理员等自定义设置，以满足审计需求

身份认证

设备提供统一的认证接口，对用户进行认证，支持身份认证模式包括 动态口令、静态密码、硬件key 、生物特征等多种认证方式，设备具有灵活的定制接口，可以与其他第三方认证服务器之间结合；安全的认证模式，有效提高了认证的安全性和可靠性。

资源授权

设备提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权，最大限度保护用户资源的安全

访问控制

设备支持对不同用户进行不同策略的制定，细粒度的访问控制能够最大限度的保护用户资源的安全，严防非法、越权访问事件的发生。

操作审计

设备能够对字符串、图形、文件传输、数据库等全程操作行为审计；通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作，对违规行为进行事中控制。对终端指令信息能够进行精确搜索，进行录像精确定位。^[3]

编辑本段目标与价值

1、 目标

SSA的核心思路是逻辑上将人与目标设备分离，建立“人-〉主账号（堡垒机用户账号）-〉授权—>从账号（目标设备账号）的模式;在这种模式下，基于唯一身份标识，通过集中管控安全策略的账号管理、授权管理和审计，建立针对维护人员的“主账号-〉登录—〉访问操作-〉退出”的全过程完整审计管理，实现对各种运维加密/非加密、图形操作协议的命令级审计。

2、 系统价值

堡垒机的作用主要体现在下述几个方面：

企业角度

通过细粒度的安全管控策略，保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行，降低人为安全风险，避免安全损失，保障企业效益。

管理员角度

所有运维账号的管理在一个平台上进行管理，账号管理更加简单有序；

通过建立用户与账号的唯一对应关系，确保用户拥有的权限是完成任务所需的最小权限；

直观方便的监控各种访问行为，能够及时发现违规操作、权限滥用等。

普通用户角度

运维人员只需记忆一个账号和口令，一次登录，便可实现对其所维护的多台设备的访问，无须记忆多个账号和口令，提高了工作效率，降低工作复杂度。

编辑本段堡垒机的应用

一种用于单点登陆的主机应用系统，目前电信、移动、联通三个运营商广泛采用堡垒机来完成单点登陆和萨班斯要求的审计。

在银行、证券等金融业机构也广泛采用堡垒机来完成对财务、会计操作的审计。

在电力行业的双网改造项目后，采用堡垒机来完成双网隔离之后跨网访问的问题，能够很好的解决双网之间的访问的安全问题。^[1]

编辑本段相关厂商产品介绍

目前， 已经有相关多的厂商开始涉足这个领域，如：帕拉迪​​​、绿盟、^[4]科友、齐治、金万维、极地等，这些都是目前行业里做的专业且受到企业用户好评的厂商，但每家厂商的产品所关注的侧重又有所差别。

以金万维运维安全审计产品SSA为例，其产品更侧重于运维安全管理，它集单点登录、账号管理、身份认证、资源授权、访问控制和操作审计为一体的新一代运维安全审计产品，它能够对操作系统、网络设备、安全设备、数据库等操作过程进行有效的运维操作审计，使运维审计由事件审计提升为操作内容审计，通过系统平台的事前预防、事中控制和事后溯源来全面解决企业的运维安全问题，进而提高企业的IT运维管理水平。

SSA系统功能

1、身份认证及授权管理

健全的用户管理机制和灵活的认证方式

为解决企业IT系统中普遍存在的因交叉运维而存在的无法定责的问题,SSA系统平台提出了采用“集中账号管理“的解决办法；集中帐号管理可以完成对帐号整个生命周期的监控和管理，而且还降低了企业管理大量用户帐号的难度和工作量。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准的用户帐号安全策略。针对平台中创建的运维用户可以支持静态口令、动态口令、数字证书等多种认证方式；支持密码强度、密码有效期、口令尝试死锁、用户激活等安全管理功能；支持用户分组管理;支持用户信息导入导出，方便批量处理。

细粒度、灵活的授权

系统提供基于用户、运维协议、目标主机、运维时间段（年、月、日、周、时间）等组合的授权功能，实现细粒度授权功能，满足用户实际授权的需求。授权可基于：用户到资源、用户组到资源、用户到资源组、用户组到资源组。

单点登录功能是运维人员通过SSA认证和授权后，SSA根据配置策略实现后台资源的自动登录。保证运维人员到后台资源帐号的一种可控对应，同时实现了对后台资源帐号的口令统一保护与管理。系统提供运维用户自动登录后台资源的功能。SSA能够自动获取后台资源帐号信息并根据口令安全策略，定期自动修改后台资源帐号口令；根据管理员配置，实现运维用户与后台资源帐号相对应，限制帐号的越权使用；运维用户通过SSA认证和授权后，SSA根据分配的帐号实现自动登录后台资源。

2、运维事件事中控制

实时监控

监控正在运维的会话，信息包括运维用户、运维客户端地址、资源地址、协议、开始时间等：监控后台资源被访问情况，提供在线运维操作的实时监控功能。针对命令交互性协议，可以实时监控正在运维的各种操作，其信息与运维客户端所见完全一致。

违规操作实时告警与阻断

针对运维过程中可能存在的潜在操作风险，SSA根据用户配置的安全策略实施运维过程中的违规操作检测，对违规操作提供实时告警和阻断，从而达到降低操作风险及提高安全管理与控制的能力。对于非字符型协议的操作能够实时阻断；

字符型协议的操作可以通过用户配置的命令行规则进行规则匹配，实现告警与阻断。告警动作支持权限提升、会话阻断、邮件告警、短信告警等。

3、运维事件事后审计

对常见协议能够记录完整的会话过程

SSA系统平台能够对日常所见到的运维协议如SSH/FTP/Telnet/SFTP /Http/Https/RDP/X11/VNC等会话过程进行完整的记录，以满足日后审计的需求；审计结果可以录像和日志方式呈现，录像信息包括运维用户名称、目标资源名称、客户端IP、客户端计算机名称、协议名、运维开始时间、结束时间、运维时长等信息

详尽的会话审计与回放

运维人员操作录像以会话为单位，能够对用户名、日期和内容进行单项查询和组合式查询定位。组合式查询则按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间和操作内容中关键字等组合方式进行；针对命令字符串方式的协议，提供逐条命令及相关操作结果的显示：提供图像形式的回放，真实、直观、可视地重现当时的操作过程；回放提供快放、慢放、拖拉等方式，针对检索的键盘输入的关键字能够直接定位定位回放；针对RDP、X11、VNC协议，提供按时间进行定位回放的功能。

丰富的审计报表功能

SSA系统平台能够对运维人员的日常操作、会话已经管理员对审计平台进行的操作配置或者是报警次数等做各种报表统计分析。报表包括：日常报表、会话报表、自审计操作报表、告警报表、综合统计报表,并可根据个性需求设计和展现自定义报表。以上报表可以EXCEL格式输出，并且可以以折线、柱状、圆饼图等图形方式展现出来。

应用发布

针对用户独特的运维需求，SSA推出了业界首创的虚拟桌面主机安全操作系统设备(ESL，E-SoonLink)，通过ESL配合SSA进行审计能够完全达到审计、控制、授权的要求，配合TSA产品,可实现对数据库维护工具、pcAnywhere、DameWare等不同工具的运维操作进行监控和审计。

编辑本段SSA系统特点

超全的审计协议范围

平台采用协议分析、基于数据包还原虚拟化技术，实现操作界面模拟，将所有的操作转换为图形化界面予以展现，实现100%审计信息不丢失：针对运维操作图形化审计功能的展现外，同时还能对字符进行分析，包括命令行操作的命令以及回显信息和非字符型操作时键盘、鼠标的敲击信息。

系统支持的审计协议以及工具包括：

字符串操作：SSH/Telnet（工具：SecureCRT/Putty/Xshell）

图形操作： RDP/VNC/X11/pcAnywhere/DameWare等

其他协议： FTP/SFTP/Http/Https等

数据库工具:Oracle/sqlserver/Mysql客户端工具

协议以及工具包括：

字符串操作：SSH/Telnet （工具：SecureCRT/Putty/Xshell）

图形操作： RDP/VNC/X11/pcAnywhere/DameWare等

其他协议：FTP/SFTP/Http/Https/SQLPLUS等

报表管理

平台具有丰富的报表统计功能，可以进行默认报表和自定义报表来进行运维数据的报表统计。

平台提供多种报表格式，包括Word、Excel等。

平台提供折线、饼状、柱状等多种图表统计运维数据，方便后期的运维分析和管理。

机制完善用户管理权限

平台对用户的管理权限严格分明，各司其职，分为系统管理员、审计管理员、运维管理员、口令管理员四种管理员角色，平台也支持管理员角色的自定义创建，对管理权限进行细粒度设置，保障了平台的用户安全管理，以满足审计需求

平台集用户管理、身份认证、资源授权、访问控制、操作审计为一体，有效地实现了事前预防、事中控制和事后审计。

高效的处理能力

审计平台能够对常见的SSH/Telnet/FTP/SFTP/HTTP/HTTPS /Windows Terminal/X11、VNC协议进行完整的透明转发，针对如RDP/VNC/X11等图形化协议的处理能力要比同类产品处理能力强。

可扩展性与兼容性

平台采用模块化设计，单模块故障不影响其他模块使用，从而提高了平台的健壮性、稳定性

运维人员登陆可支持Portal统一登录，并兼容终端C/S客户端连接设备；

审计平台的认证方式可以与第三方的认证设备进行定制兼容

金万维科技具有强大研发实力，不但能为客户提供长期的产品更新，还能按照客户的实际需求进行定制开发。

灵活的部署方式

SSA提供了功能完善、操作灵活、使用方便、界面友好、符合习惯的审计管理功能；

B/S方式实现了对后台的各项管理配置

平台简单易部署，通过配置导航，可在短时间内完成配置要求，实现上线要求。

完善的系统安全设计

基于HTTPS/SSL的自身安全管理与审计；

严格的安全访问控制和管理员身份认证支持强认证；

审计信息加密存储；

完善的审计信息备份机制；

完整全面的自审计功能。^[2]

编辑本段案例

某连锁酒店企业

客户现状及需求：

IT系统分散在总部以及全国各地的分支连锁酒店，每个酒店所在的地区都有相应的技术人员进行系统运维；总部也有运维人员，对全国IT系统的总的运维质量负最终责任。

酒店实体越来越多,总部的IT运维工作日益复杂，运维问题日益突出。一个最基础的场景是：当某酒店的IT系统出现问题，当地的IT运维人员无法解决时，就会向总部发起求助。而此时，总部的技术工程师根本无法获悉最原始的问题，因为原来的问题在经过分部的运维工程师的操作后，已经面目全非，还可能引入了新的问题，整个过程没有记录，没有管控，找不到解决问题的线索。所以总部工程师迫切希望知道，从一开始问题的表象，到分支机构的运维人员的运维操作，都是怎么一回事。除此之外，还有另外的一些运维问题列表如下：

1、运维人员管理手段落后，时无法定责，也无法对各方的运维工作本身的质量和数量进行有效考核和评估。

2、设备账户管理缺失，该连锁酒店的每一名运维人员都要负责多套信息系统的运维管理工作，同时，大多数情况下，某套信息系统往往要多个运维人员联合管理。在这种情况下，口令丢失、登录失败、密码被随便修改等情况就时有发生。并且对第三方代维人员来说，也没有更强的针对设备账号的监测机制和有效的生命周期管理机制；

解决之道：

来进行统一认证，认证成功后对其具有权限的IT设备进行运维操作。整个运维过程全程录像，并有危险操作的告警及阻断功能。

通过这种“跳板机”的解决方案，运维人员只需要记住一个口令就可以运维到被授权的设备，运维过程全程录像，且可以对应到运维人员。使用GnWay运维审计集中管理客户端软件，分散在全国各地的酒店IT系统的运维录像可以被总部的运维人员随时查询，还可以通过GnWayPlayer进行远程的录像流畅播放。

客户收益:

金万维运维安全审计堡垒平台之后，所有的运维人员都以统一的用户身份登入系统；所有的运维操作都被记录；操作对应到实际的自然人而不是设备账户。在出现问题后，可以迅速的调出运维操作录像进行查看，根据录像进行问题的追本溯源，直接定位问题根源所在，为解决IT系统的故障提供了宝贵的第一手资料。

在部署金万维安全审计堡垒平台之后，问题的解决时间平均缩短到一到两个小时，数量级的提高了运维工作质量。另外，由于有录像可以学习，交流和借鉴，从一定程度上，提高了所有运维人员的运维经验。

中国某商业银行

客户现状及需求：

对内部的运维管理安全而言，原有的手工管理措施已不能满足目前及未来业务发展的要求。因此该银行方面，依照国家相关的法规要求，遵照银行业务系统自身的安全等级保护条例要求，提出建设服务器和设备访问安全管理系统，使得系统和安全管理人员可以对信息系统的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证信息系统安全策略的实施。具体而言，需要实现如下的功能需求：

1、账户的集中管理，并且对用户能够进行一定的权限划分管理；

2、权限控制，能够对用户进行细粒度的权限控制，针对欲运维的目标设备进行用户与设备关联；

3、能够在运维过程中，对违规信息提出告警、权限提升、阻断等操作，及实现事中的实时审计管理；

4、对事后的审计录像能够做到回放、复式检索、定位播放等便捷式操作；

解决之道：

该行选择了金万维作为其安全审计项目的承建方。

RBAC角色授权机制打造，在设备管理中进行用户的集中管理和用户权限的有效划分，如“三权”划分（系统管理员权限、运维管理员权限、审计管理员权限），通过用户和设备的关联管理实现对用户的运维权限细分；然后通过一些安全策略的设置来降低违规操作对资源的破坏，即使出现问题能够通过录像查询进行“事发现场”回放，从而实现防范、控制、审计一条龙；具体的说，在该行的运维管理项目中,实现了如下几点：

1、用户进行集中管理的同时，也进行了相应的权限划分，权限独立分明；

2、能够进行事前的防范，针对该行有大量第三方代维人员的情况,对其采取定制化的角色类型和访问策略；

3、对设备资源的违规操作实现权限的提升、告警，发现严重违规操作，直接阻断操作；（权限提升是指：某些指令需要更高级别角色的临时授权才能执行。）

4、实现事后审计的方便快捷性，通过组合式录像查询定位，直接找到问题点；

客户收益：

对内部运维人员的工作流程进行了相应的梳理，对其运维的IT系统和设备进行了责任的明确。事实上，这些约束和流程通过运维审计系统的约束，而变得更加明晰，业务数据的安全，以及IT系统的运维，有了一个明显的提升。

而且，由于金万维产品遵照国际上流行的RBAC角色授权机制，以及P2DR安全模型，4A身份认证等安全防范体系建设，使得该行的信息系统安全保护等级有了一个质的飞跃。

某证券机构

问题描述：

无法客观的支付报酬；不但如此更严重的是在软件开发的过程中，某软件外包商的开发人员的误操作导致证券机构的某些系统模块突然没有办法正常使用，时间长达10分钟之久，结果10分钟的时间损失上百万，而且照成了很严重的负面影响，因为没有证据证明是软件外包商所为，所以，后果只能自己承担；同时机构内部的运维管理也有一定的问题，如越权运维、误操作、账户共享等运维问题也频频出现，所以如何做到运维能审计的同时也做到运维能管理是该机构信息中心主管迫切要解决的问题？

解决之道：

在以后的证券机构开发的过程中，所有的运维、开发人员都必须经过一道“门”，这个“门”就是金万维运维安全审计系统，所有的人首先登录运维审计平台中，然后根据设置的权限进行对目标设备的运维，且运维过程全程录像；而且每个运维人员的每天、每周、每月的运维情况都可以通过报表、图表进行统计，审计的同时做到了运维的管理；

客户收益：

通过部署金万维运维安全审计系统，使证券机构的运维人员和第三方机构的外包开发人员都做了统一账号管理，针对第三方开发人员的运维账号，进行“生命周期”自动管理，设定使用时间，过了使用时间之后第三方开发人员就无权再用此运维账户登录，不但如此针对危险操作行为证券机构也能够设置安全策略，尽量把已知危险降到最低；在以后的开发过程中证券机构可以通过运维报表中的统计数据进行薪酬支付，对“矛盾”问题进行录像回放，查找问题源；真正实现了运维审计的同时做到了运维管理，为证券机构信息化的建设做出了重大贡献；

某互联网IT企业

问题描述：

北京某知名互联网IT企业一直致力于为客户提供数字媒体营销领域的尖端科技和卓越服务，如SEM/SEO/移动互联网广告、软件定制开发服务等随着业务的增长规模的扩大，除了北京研发中心外，在上海和广州也相继成立了对内和对外研发团队，公司运维的服务器有近百台之多。

随着研发人员的增多和服务器规模的增大，逐渐暴露了一些严峻的问题如账号管理分散、越权运维、对外进行软件定制开发过程无记录、出现问题找不到责任人、对研发人员的每天、周的工作效率无从考核等问题正在逐步影响到整个研发团队的工作进度和计划的安排；

解决之道：

北京某知名互联网IT企业找到我们之后，进行了现场交流分析，发现主要“症结”在于研发人员除了在公司外，还经常在家，在外地登录IT系统进行系统升级和维护，同时，登录账号管理混乱、运维权限划分不明、认证方式过于简单、对运维过程没有监控措施、对研发人员的运维次数没有合理的运维统计方式；“对症下药”通过部署金万维运维安全审计系统平台后所有的研发人员都必须通过审计平台进行“过滤”，合规人员才能进行有效的开发维护工作，对主要研发人员通过配置如身份认证加密卡等方式进行身份强认证，用户操作在“过滤”的同时，都进行录像审计，录像内容一方面可以作为“纠错”来用，另一方面可以用来作为“教材”来使；通过部署金万维运维审计系统使其症结问题迎刃而解，解决了研发人员不能解决的管理审计难题；

客户收益：

金万维运维审计系统的部署着实提高了研发队伍的合规性，为有效研发、安全研发提供了坚实保障；审计录像作为教材录像、运维报表作为考核依据，为研发团队增加了新的培训和KPI管理方法。

^[5]