高校网络运维中的堡垒

    教育信息化的飞速发展，各高校校园网建设的日趋完善，如何建立一个简单、高效的网络运营管理体系，如何提升高校网络的安全等级，如何提高网络管理水平，提升网络价值，如何应对更复杂业务和更大规模网络应用等问题，已经成为教育主管部门和各地教育网络的建设者和管理者关心的重要课题。

高校的支撑系统中有大量的网络设备、主机系统和应用系统，分别属于不同部分和不同的业务系统。各应用系统都有一套独立的账号体系，但是用户为了方便登陆，经常出现多人共用账号的情况。这就导致了账号的安全无法保证，而且由于密码是多人共同使用的，发生问题后，无法准确定位恶意操作或误操作的负责人。更改密码更是要通知到每一个需要使用此账号的人员，带来了密码管理的复杂化。大量的网络设备和主机以及应用系统处于无人监管的状态，存在着IT管理的疏漏，出现故障后不能及时的找出问题根源，导致IT服务故障处理时间增长、故障重复处理等问题，直接影响到IT运营成本上升。

过去低效的、被动式的、面向网络系统为主的运维管理必须要跃迁到高效并可重复优化的、主动式的、面向服务为主的运维管理，只有这样才能满足数字化校园可持续发展的要求。

内控堡垒主机是一种被加固的可以防御进攻的计算机，具备坚强的安全防护能力。内控堡垒主机扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。

LanSecS（堡垒主机）内控管理平台具体有强大的输入输出审计功能，不仅能详细记录用户操作的每一条指令，而且能够通过回放的功能，将其动态的展现出来，大大丰富了内控审计的功能。LanSecS（堡垒主机）内控管理平台自身审计日志，可以极大增强审计信息的安全性，保证审计人员有据可查。

LanSecS（堡垒主机）内控管理平台还具备图形终端审计功能，能够对多平台的多种终端操作审计，例如windows 平台的RDP 形式图形终端操作。

为了给系统管理员查看审计信息提供方便性，LanSecS（堡垒主机）内控管理平台提供了审计查看检索功能。系统管理员可以通过多种查询条件查看审计信息。

总之，LanSecS（堡垒主机）内控管理平台能够极大的保护高校内部网络设备及服务器资源的安全性，使得高校内部网络管理合理化和专业化。

LanSecS（堡垒主机）内控管理平台提供了基于 B/S 的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于 B/S的应用系统。单点登录为具有多账号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户 ID 和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高生产效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。

单点登录可以实现和用户管理授权的无缝隙链接，通过对用户、角色、资源和行为的授权，增加对资源的保护，和对用户行为的监控及审计。

集中账号管理包含对所有服务器、网络设备账号的集中管理。账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对账号整个生 命周期的监控和管理，而且还降低了高校管理大量用户账号的难度和工作量。同时，通过统一的管理还能够发现账号中存在的安全隐患，并且制定统一的、标准的用户账号安全策略。

通过建立集中账号管理，高校可以实现将账号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。

LanSecS（堡垒主机）内控管理平台为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。

集中身份认证提供静态密码、Windows NT 域、Windows Kerberos、双因素、 一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口。

LanSecS（堡垒主机）内控管理平台系统提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S对服务器主机、网络设备的访问进行审计。

在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员在 LanSecS（堡垒主机）内控管理平台系统上，可以对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作等的细粒度授权。

LanSecS（堡垒主机）内控管理平台系统能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。

访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好的提高系统的安全性。

操作审计管理主要审计操作人员的账号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后，操作审计能更好地对账号的完整使用过程进行追踪。

系统支持对如下协议进行审计：Telnet、FTP、SSH、RDP（Windows Terminal）、X windows、VNC等。

LanSecS（堡垒主机）内控管理平台系统通过系统自身的用户认证系统、用户授权系统，以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方。

北京圣博润高新技术股份有限公司多年来专注于以自主知识产权为核心的产品、服务的研究、发展和推广。作为领先的信息安全产品和服务提供商，圣博润通过先进的技术、卓越的产品、完善的服务帮助合作伙伴优化IT应用环境，提高IT应用效率，降低IT应用及管理成本。

LanSecS（堡垒主机）作为公司自主研发的高新产品，有效契合的应对了高效网络运维中的需求，非常适合高校网络管理的运维体系，已经成为各个高校不可或缺的一部分。