堡垒机技术

转自：http://tech.163.com/digi/12/0625/15/84RTC66200163HE0.html

    有一句名言：堡垒往往从内部攻破。在信息化社会，信息安全发展的进程，已经清晰地印证了这个道理。
　　如何加固组织机构内部网络的“内防体系”，有效防范打击“内鬼”，杜绝因为内部隐患而导致的信息遭窃密、数据被篡改、系统被破坏等严重后果，成为近年内国际信息安全业界在内网安全领域的新课题。
　　数据内控，也自然成为整个行业市场发展的大趋势之一。随着信息化程度的一日千里，信息数据日益成为各企事业组织机构的核心资产，利益的驱使下，各种信息数据失窃密、重要系统服务器运行遭破坏等事件飞速增长。在这样日益严峻的情况下，如何保护好存储了企业全部核心机密的系统后台设备，尤其是如何更好地防范与审计内部管理人员对这些设备的访问和操作，成为眼下内部网络信息安全和数据内控最根本的环节。
　　近年来，就是在这样的时代呼唤下，堡垒机（也称堡垒主机）技术，成为国际内网安全研究前沿迅速崛起的“新星”，相关系列产品更成为大型机构组织用户内网安全“标配”采购产品，据不完全统计，截至当前，全球500强企业，有近95%已经采购了相应堡垒机技术和设备，对内网安全进行加固。可以想见，在随着信息化的深入，中小型企业内网安全用户对堡垒机技术和产品的需求，也必将是大势所趋。
　　鉴于此，本刊记者特地摘选编译相关国外资料，并采访国内知名企业的技术专家，从技术原理、功能透视的角度，为国内读者概要介绍堡垒机技术内涵全貌和发展趋势，为不熟悉的读者一揭堡垒机技术那层神秘的面纱。
　　
　　概述：六大功能构筑内网堡垒

　　　从国际信息安全业界通行称谓上看，所谓堡垒机，其全称为“内控堡垒主机”，其从功能上讲，它综合了核心系统运维和安全审计管控两大主干功能，从技术实现上讲，堡垒机通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过堡垒主机的翻译。打了一个比方，内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此堡垒机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。
　　堡垒机技术主要帮助内网信息系统管理者，实现六大方面智能化支撑和高安全性防护，这六方面的功能，也成为国际通行的堡垒机“标配”功能。其包括：单点登录、帐号管理、身份认证、资源授权、访问控制、操作审计。
　　第一基本功能——单点登录。
　　内控堡垒主机提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高生产效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。 单点登录可以实现与用户授权管理的无缝连接，这样可以通过对用户、角色、行为和资源的授权，增加对资源的保护，和对用户行为的监控及审计。
　　第二基本功能——帐号管理。
　　集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理，而且还降低了企业管理大量用户帐号的难度和工作量。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准的用户帐号安全策略。 通过建立集中帐号管理，企业可以实现将帐号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。 
　　第三基本功能——身份认证。
　　内控堡垒主机为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。
　　集中身份认证提供静态密码、Windows NT域、Windows Kerberos、双因素、一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口，可以方便的与其它第三方认证服务器之间结合。
　　第四基本功能——资源授权。
　　内控堡垒主机系统提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员在极地银河内控堡垒主机系统上，可以对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作这样应用内部的细粒度授权。
　　第五基本功能——访问控制。
　　内控堡垒主机系统能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好的提高系统的安全性。
　　第六基本功能——操作审计。
　　操作审计管理主要审计人员的帐号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。内控堡垒主机系统通过系统自身的用户认证系统、用户授权系统，以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方产品。
　　在这些主干功能构筑的强大安全体系下，堡垒机技术比较完美地实现了对系统用户管理、对内网操作审计、对网络设备管理和对黑客行为防范等大型内网用户的迫切信息安全需求，逐步成为当前重要内网信息化管理部门的高效助手和钢铁卫士。