《堡垒机:加固企业内网堡垒的内防》由会员分享,可在线阅读,更多相关《堡垒机:加固企业内网堡垒的内防(2页珍藏版)》请在金锄头文库上搜索。
1、堡垒机:加固企业内网堡垒的内防随着信息化程度的一日千里,信息数据日益成为各企事业单位的核心资产,利益的驱使下, 各种泄密事件呈几何级增长。在这样日益严峻的情况下,如何保护好存储了企业全部核心机密 的系统后台设备,尤其是如何更好地防范与审计内部管理人员对这些设备的访问和操作,成为 眼下内网信息安全最根本的环节。一方面,企业的核心服务器、数据库、交换机、OA系统等设备资源,本身是企业最重要的 信息资产集散地,一旦遭到攻击、窃取,其后果不堪设想;然而,从目前情况来看,一般企业 内网除了统一的整体安全保护体系,例如防火墙、IDS、防病毒、数据库审计、口令密码等,基 本没有专门的技术智能化保护措施,针对
2、这些核心资源进行有效保护。另一方面,虽然日常以高权限访问这些设备资源的人,不想一般业务系统那么多,但其访 问人群也并不简单,这些人员可能包括:系统管理员、系统运维人员、系统应用高权限用户、 第三方厂商的维护人员以及其他临时高权限人员等。最关键的是,这些人员本身所拥有最高权 限账号,一旦访问,如果其有某种主观的不良意图,或者因为其某些无意不规范的操作,则都 会带来不可挽回的损失,或者给未来埋下巨大的隐患。如何加固企业内网堡垒的“内防”,有效防范打击“内鬼”,成为近年内国际信息安全业 界在内网安全领域的新课题。堡垒机技术,就是在这样的时代呼唤下,成为内网安全舞台新星。 所谓堡垒机,其全称为“内控堡
3、垒主机”,它综合了运维管理和安全性的融合,切断了终端计 算机对网络和服务器资源的直接访问,而是采用协议代理的方式,接管了终端计算机对网络和 服务器的访问。形象地说,终端计算机对目标的访问,均需要经过堡垒主机的翻译。打了一个 比方,内控堡垒主机扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经 过。因此堡垒机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对 目标设备的非法访问行为。堡垒机技术主要帮助内网信息系统管理者,实现六大方面智能化支 撑和高安全性防护,包括:单点登录、帐号管理、身份认证、资源授权、访问控制、操作审计。堡垒,往往从内部攻破。这句偈语也许是上天
4、给人类的一个规律,因为人的根本因素存在, 堡垒机技术也许不能打破这个规律,但却能够为企业内网最核心、最重要、最薄弱的系统设备 环节,在“内鬼”攻击前以严格的阻挡,攻击中以坚强的防御,攻击后以痕迹的审计,从而在 堡垒内部树立一道顽强的保障体系。目前,随着信息安全建设的深入,安全审计已成为国内信息安全建设的重要技术手段。总 体来看,由于信息系统发展水平和业务需求的不同,各行业对安全审计的具体关注点存在一定 差异,但均是基于政策合规、自身安全建设要求,如:政府主要关注如何满足“信息系统安全 等级保护”等政策要求的合规安全审计;电信运营商则基于自身信息系统风险内控需求进行安 全审计建设。那么,目前国内
5、堡垒机技术和产品提供厂商究竟是什么布局呢?由于堡垒机是近年内出现的新技术和产品,并且国内行业用户大多还处于信息化应用建设 的高潮,还没有到堡垒机需求期,因此,堡垒机市场需求规模和产品提供商都有限。国内很大 一部分信息安全综合厂商都陆续推出许多有着与堡垒机部分功能相近的产品,例如单点登录产 品,内网准入产品、系统审计产品等,但是真正能够提供完整独立堡垒机技术和产品的并不是 很多,国内堡垒机技术和市场规模较为知名的包括以下五家:网御神州() 绿盟科技()、极地安全()、方正安全() 和捷成世纪()。综上所述,在企业信息系统自身安全管理需要和国家行业的审计不断提升的要求下,在构 筑企业内网安全体系的
6、道路上,堡垒机成为重头主力军之一已是大势所趋。随着各国政府对于 信息安全的高度重视,这样的趋势日益成为业界共识,而这个大趋势的最根本的源泉,就在于 企业内网在信息化应用水平提升的同时,其自身所必然出现的信息系统漏洞和桎梏,以及为满 足信息社会各种法规遵从而必然需要采取的举措。相关链接1.电信行业JD-FORT内控堡垒主机应用案例国内某省级通信公司,由于业务和自身信息化水平的发展,已建成覆盖范围广、业务品种 多、通信质量高的综合通信网络,成为经营移动通信业务、IP电话及互联网服务的专业化移动 通信运营公司。据该省公司信息中心主管内部信息安全的工程师小王介绍,其于一年前采购了一款国内主 流的堡垒机
7、产品JD-FORT内控堡垒主机系统,除了内网安全防护和操作审计的需要,更为迫 切的一个需求,是希望用技术手段满足SOX法案的相关规范要求。要求主要包括两方面,一是 在对SOX相关控制点进行修补的过程中,虽然通过管理措施(替代措施)可以达到对相关控制 点的修补目标,但由于技术手段的缺乏,需要付出更多人力成本的代价,加重了维护人员的工 作负担;二是采用非技术手段实施管理,往往出于管理认知角度的不同,检查者对相关控制点 执行是否有效总是抱有疑虑。2010年初,该通信公司信息系统管理部门,在全省重要数据中心节点部署了 JD-FORT内控 堡垒主机系统,来管理网络设备、企业信息化系统及其他重要系统的运行维护操作。SOX法案中 涉及对口令、密码、权限和审计管理的控制点有30多项,涵盖的系统包括:智能网、彩铃、MISC、 交换局、企业信息化系统的重要主机和网络设备。部署JD-FORT内控堡垒主机系统后,实现集 中统一的运维操作管理,使得运维人员可以对支撑系统进行集中操作、集中权限分配、集中审 计,通过有效的技术手段满足了 SOX法案的合规要求。
