基于堡垒机技术的运维安全管控系统设计与应用.docVIP

基于堡垒机技术的运维安全管控系统设计与应用 　　[摘 要]随着电力企业信息化的不断深入，业务系统变得日益复杂，系统维护人员潜在违规操作导致的安全风险问题日益突出。本文在不改变信息系统原有结构的条件下，利用堡垒机技术构建了运维安全管控系统，实现了电力企业信息运维的全周期监控、管理和审计，有效地防范来自企业内部的安全威胁及风险。 　　[关键词]运维审计；安全管控；堡垒机 　　doi：10.3969/j.issn.1673 - 0194.2016.24.027 　　[中图分类号]TP393 [文献标识码]B [文章编号]1673-0194（2016）24-00-02 　　0 引 言 　　随着电力企业信息化水平不断深入，企业级应用系统的运维量持续增加，需要内部运维人员及第三方技术人员协同维护各应用系统，系统维护人员潜在违规操作导致的安全问题变得日益突出。防火墙、防病毒、入侵检测系统等常规的安全产品可以防范来自外部的安全问题，但对于内部人员的违规操作却无能为力。如何有效地监控设备厂商、内部运维人员的操作行为，并进行严格的审计是电力企业面临的一个关键问题。 　　1 传统运维模式风险分析 　　传统运维模式下，大量的运维人员通过KVM或直连信息设备开展变更、配置、备份与维护等操作，面临的风险主要有以下几个方面。 　　1.1 账号及授权管理不清晰 　　系统管理员、运维人员、第三方厂商的账号和权限不清晰，没有统一的账号管理，存在多人共用一个账号或一人使用多个账号的情况，对操作人员的权限没有严格的界定，存在权限级别要求不高的用户拥有较高级别权限账号的现象，导致运维过程中无法准确定位到人，事后责任不清，存在较大的安全隐患。 　　1.2 缺乏身份认证 　　采用人工手段核对运维人员身份信息，随着信息系统复杂度的大幅增加，同时开展运维的人员数量日益增多，无法实现全过程运维人员的身份认证及实名管理。 　　1.3 运维操作无全过程审计 　　各类运维人员的操作行为无专属的审计记录，审计力度不够。各网络设备、主机系统、数据库分别单独记录日志，没有统一的审计策略，并且各系统自身日志记录深浅不一，难以及时通过系统自身日志发现违规操作行为和追查取证，无法对维护人员经常使用的SSH、RDP等加密、图形操作协议进行内容审计。 　　传统的运维模式面临事前身份不明确、授权不清晰，事中操作不可见、过程不可控，事后操作无法审计、问责追溯难等问题，通过严格的规章制度只能约束一部分人的行为，只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行，因此，建设运维安全管控系统是十分必要的。 　　2 运维安全管控系统架构设计与应用 　　2.1 堡垒机技术的介绍 　　堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用多种技术手段实时收集和监控网络中每一个组成部分的系统状态、安全事件等以便集中报警、及时处理及审计定责。运维安全管控系统是利用堡垒机技术，通过访问控制、账号管理、身份认证、行为审计、单点登录与协议代理等多种信息安全技术，实现运维人员对信息系统的安全访问，同时对运维人员的操作过程形成完整的审计记录。 　　2.2 设计依据 　　国家公安部《信息安全等级保护基本要求》中对二级（含）以上的信息系统提出明确的安全审计要求：“审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用、账号的分配、创建与变更、审计策略的调整及审计系统功能的关闭与启动等系统内重要的安全相关事件等”。本次运维安全管控系统设计严格按照等级保护要求，范围覆盖DMZ区、等级保护二级及以上信息系统。 　　2.3 系统架构设计 　　2.3.1 风险控制流程 　　为确保运维安全管控系统满足电力企业运维实际需求，要制定完善的风险控制流程，实现事前实行统一的账号管理、权限访问策略、审计策略，事中身份认证、授权及监控，事后统一综合审计的风险控制流程，如图1所示。 　　2.3.2 架构设计 　　运维安全管控系统架构设计由展示层、功能层、存储层与资源层4层组成。 　　展示层面向用户，采用静态口令、动态口令、数字证书等多种身份认证方式，具备密码强度、密码有效期、口令尝试死锁、用户激活等安全管理功能，实现用户分组管理，分别对系统管理员、审计员、运维人员提供不同的访问页面。 　　功能层实现账号管理、认证管理、授权管理、综合审计与系统管理等功能，采用协议分析、基于数据包还原技术，实现操作界面模拟，将所有的操作转换为图形化界面，实现审计信息不丢失。除了实现运维操作图形化审计功能的展现外，还能对字符进行分析，包括命令行操作的命令及回显信息和非字符型操作时键盘、鼠标的敲击信