隨著信息安全等級(jí)保護(hù)制度的開(kāi)展和普及，越來(lái)越多的政府部門(mén)和企事業(yè)單位開(kāi)始參與并落實(shí)制度的執(zhí)行。國(guó)務(wù)院法規(guī)和中央文件明確規(guī)定，要實(shí)行信息安全等級(jí)保護(hù)，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度。

有人提出了疑問(wèn)，具體是哪些標(biāo)準(zhǔn)、哪些條款成為推動(dòng)堡壘主機(jī)落地的驅(qū)動(dòng)力？那接下來(lái)將針對(duì)標(biāo)準(zhǔn)的解讀以及等級(jí)保護(hù)要求來(lái)給大家撥開(kāi)疑云，看清方向。我們來(lái)看等級(jí)保護(hù)制度的主要標(biāo)準(zhǔn)，在這里列舉2個(gè)：

1、《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求（GBT 25070—2010）》

2、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GBT 22239-2008）》

首先看《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求（GBT 25070—2010）》，我們以三級(jí)系統(tǒng)為標(biāo)準(zhǔn)來(lái)探討。三級(jí)系統(tǒng)安全計(jì)算環(huán)境應(yīng)從以下方面進(jìn)行安全設(shè)計(jì)：

1、 用戶身份鑒別

需要采用兩種或兩種以上組合方式進(jìn)行身份驗(yàn)證。堡壘機(jī)擁有本地認(rèn)證、AD域認(rèn)證、Radius認(rèn)證、數(shù)字證書(shū)認(rèn)證，提供外部接口可供指紋識(shí)別認(rèn)證、UKEY（移動(dòng)數(shù)據(jù)證書(shū)）認(rèn)證，滿足三級(jí)系統(tǒng)的設(shè)計(jì)要求。

2、 自主訪問(wèn)控制

應(yīng)在安全策略控制范圍內(nèi)，使用戶對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問(wèn)操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶。自主訪問(wèn)控制主體的粒度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí)和（或）記錄或字段級(jí)。

堡壘機(jī)通過(guò)主從賬號(hào)一一對(duì)應(yīng)的授權(quán)方式，賦予用戶完成操作的最小權(quán)限。其中命令訪問(wèn)控制策略，能對(duì)高危命令進(jìn)行告警或阻斷；圖形控制策略能對(duì)RDP文件傳輸進(jìn)行控制，達(dá)到允許或阻斷的能力。訪問(wèn)控制粒度達(dá)到文件或命令級(jí)別，滿足三級(jí)系統(tǒng)的設(shè)計(jì)要求。

3、 標(biāo)記和強(qiáng)制訪問(wèn)控制

在對(duì)安全管理員進(jìn)行身份鑒別和權(quán)限控制的基礎(chǔ)上，應(yīng)由安全管理員通過(guò)特定操作界面對(duì)主、客體進(jìn)行安全標(biāo)記；應(yīng)按安全標(biāo)記和強(qiáng)制訪問(wèn)控制規(guī)則，對(duì)確定主體訪問(wèn)客體的操作進(jìn)行控制。

堡壘機(jī)通過(guò)旁路部署，邏輯網(wǎng)關(guān)的形式接入用戶網(wǎng)絡(luò)，不改變用戶現(xiàn)有的網(wǎng)絡(luò)構(gòu)架；為用戶提供C/S、B/S兩種登錄方式，不改變用戶現(xiàn)有的運(yùn)維習(xí)慣。登錄統(tǒng)一安全管理與綜合審計(jì)系統(tǒng)平臺(tái)，由超級(jí)管理員進(jìn)行標(biāo)記分配來(lái)控制操作管理。滿足三級(jí)系統(tǒng)的設(shè)計(jì)要求。

4、 系統(tǒng)安全審計(jì)

應(yīng)記錄系統(tǒng)的相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類(lèi)型和結(jié)果等內(nèi)容。應(yīng)提供審計(jì)記錄查詢(xún)、分類(lèi)、分析和存儲(chǔ)保護(hù)；確保對(duì)特定安全事件進(jìn)行報(bào)警；確保審計(jì)記錄不被破壞或非授權(quán)訪問(wèn)。應(yīng)為安全管理中心提供接口。

堡壘機(jī)能夠?qū)ψ址?、圖形、數(shù)據(jù)庫(kù)操作、WEB應(yīng)用、應(yīng)用發(fā)布、KVM等各類(lèi)操作進(jìn)行審計(jì)；字符類(lèi)審計(jì)能不僅可以命令識(shí)別，而且還可以對(duì)FTP/SFTP的文件傳輸進(jìn)行審計(jì)并記錄；圖形類(lèi)審計(jì)能夠?qū)崿F(xiàn)實(shí)時(shí)的文字識(shí)別功能，完成標(biāo)題欄的識(shí)別，傳統(tǒng)的審計(jì)視頻流可被搜索、精準(zhǔn)定位；數(shù)據(jù)庫(kù)操作能夠?qū)崿F(xiàn)協(xié)議解析，完整無(wú)死角進(jìn)行操作審計(jì)；WEB應(yīng)用、應(yīng)用發(fā)布以及KVM的安全審計(jì)，讓整個(gè)信息系統(tǒng)的任何操作都逃避不了堡壘機(jī)的“法眼”，并能根據(jù)客戶需求輸出各類(lèi)可查詢(xún)的審計(jì)記錄；堡壘機(jī)作為獨(dú)立的第三方審計(jì)系統(tǒng)，可以有效避免數(shù)據(jù)遭到破壞或非授權(quán)的訪問(wèn)刪除、增加、篡改；對(duì)于審計(jì)記錄只有超級(jí)管理員和審計(jì)員可以查看，并實(shí)現(xiàn)三權(quán)分立的原則；系統(tǒng)為安全管理中心提供接口，輸出日志等相關(guān)信息。滿足三級(jí)系統(tǒng)的設(shè)計(jì)要求。

5、 用戶數(shù)據(jù)完整性保護(hù)、用戶數(shù)據(jù)保密性保護(hù)、客體安全重用、程序可信執(zhí)行保護(hù)堡壘主機(jī)在信息安全等級(jí)保護(hù)制度中的探究與應(yīng)用。

堡壘機(jī)通過(guò)HTTPS加密協(xié)議進(jìn)行通信鏈路的傳輸，采用加密技術(shù)對(duì)數(shù)據(jù)的存儲(chǔ)進(jìn)行保密性保護(hù)；各模塊相互傳數(shù)據(jù)及配置和控制信息都采用加密傳輸方式，提高了信息的保密性。傳輸?shù)臄?shù)據(jù)不被泄漏或篡改，在傳輸錯(cuò)誤或異常中斷的情況下能重發(fā)數(shù)據(jù)。數(shù)據(jù)保護(hù)機(jī)制采用HASH值對(duì)數(shù)據(jù)進(jìn)行驗(yàn)證，保證數(shù)據(jù)不會(huì)篡改，保持?jǐn)?shù)據(jù)的完整性。滿足三級(jí)系統(tǒng)的設(shè)計(jì)要求。

綜上所述，堡壘機(jī)從設(shè)計(jì)到功能完全符合等級(jí)保護(hù)安全設(shè)計(jì)三級(jí)要求，對(duì)于目前定級(jí)的二、三級(jí)系統(tǒng)完全適用，成為通過(guò)信息安全等級(jí)保護(hù)設(shè)計(jì)和測(cè)評(píng)不可或缺的重要安全審計(jì)系統(tǒng)。

作為等級(jí)保護(hù)制度的基本標(biāo)準(zhǔn)，也是測(cè)評(píng)機(jī)構(gòu)或相關(guān)監(jiān)管部門(mén)重要的審計(jì)依據(jù)——《信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GBT 22239-2008）》的地位不可小覷。它從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全以及管理安全六個(gè)方面對(duì)信息系統(tǒng)的安全性分等級(jí)進(jìn)行規(guī)定。

堡壘機(jī)從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全到數(shù)據(jù)安全中的身份鑒別、訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)安全均滿足標(biāo)準(zhǔn)要求。成為各單位部門(mén)想通過(guò)信息安全等級(jí)測(cè)評(píng)后成功的關(guān)鍵設(shè)備。