現階段，各行各業無不在信息資產方面增加投入，以確保基礎網絡、業務系統、數據資產和信息安全方面的需要。與此同時，信息化建設的重點已經由原來的基礎建設向深化應用、安全運維方面發生轉變。

隨著防火墻、入侵防御系統等安全產品的廣泛使用，網絡已經具備了抵抗外部入侵的能力，但堡壘往往是在內部被攻破的。由于設備和服務器眾多，賬號管理混亂，授權不清、各種越權訪問、誤操作、濫用、惡意破壞等情況時有發生。在對網絡造成嚴重損害的案例中，大多數是企業內部人員所為。

[[421401]]

現今運維安全管理面臨的困境：

• 信息系統維護人員構成復雜，身份認證不充分;
• 運維人員權限劃分粗粒度，與職能不符;
• 資產賬號信息管理存在巨大的安全隱患;
• 高危操作無法及時進行發現和阻斷;
• 圖片協議、加密協議無法審計，造成操作審計不完全;
• 重要信息系統的合規要求逐漸增加。

面臨以上困境，可部署堡壘機來進行有效防御。

1. 什么是堡壘機?

簡單點來說，堡壘機是一個審計設備，所謂審計，就是記錄日志的意思。它審計和記錄的就是IT運維人員對服務器、網絡設備等IT資產的運維操作，即運用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為，以便集中報警、及時處理及審計定責。

2. 堡壘機的價值

(1) 集中賬號管理

基于唯一身份標識的全局管理 ，實現了單點登錄，任何運維人員都無法繞過堡壘機。統一賬號管理策略，實現與各服務器、網絡設備等無縫連接。

(2) 集中授權管理

細粒度的命令級授權策略，針對運維人員、服務器、服務器賬號、服務器應用、訪問時間等多個因素設定細粒度的授權策略，使得運維人員的權限得到很細的劃分，從而杜絕了運維人員權限不明晰的問題。

(3) 集中認證管理

堡壘機審計系統提供了多種認證方式，包括：本地認證、證書認證、RADIUS認證。集中認證有效地將非法用戶或非授權用戶拒之門外，就像一座堡壘堅不可破。

(4)集中操作審計

基于唯一身份標識，全程審計用戶對從登錄到退出的操作行為，使得事后的審計和責任的定位有了可靠有力的根據。

3. 管控對象

4. 堡壘機主要功能

(1) 單點登錄

堡壘機提供了基于 B/S 的單點登錄系統，運維人員通過一次登錄系統后，就可直接對多種基于 B/S 和 C/S 的應用系統，而無需再次認證過程。

(2) 集中賬號管理

集中賬號管理包含對所有服務器、網絡設備賬號的集中管理。通過統一的管理還能夠發現賬號中存在的安全隱患，并且制定統一的、標準的用戶賬號安全策略。

(3) 身份認證

采用統一的認證接口不但便于對用戶認證的管理，而且能夠采用更加安全的認證模式，提高認證的安全性和可靠性。

(4) 資源授權

堡壘機提供統一的界面，對用戶、角色及行為和資源進行授權，以達到對權限的細粒度控制，最大限度保護用戶資源的安全。

系統不但能夠授權用戶可以通過什么角色訪問資源這樣基于應用邊界的粗粒度授權，對某些應用還可以限制用戶的操作，以及在什么時間進行操作等的細粒度授權。

(5) 訪問控制

訪問控制策略是保護系統安全性的重要環節，制定良好的訪問策略能夠更好地提高系統的安全性。

(6) 操作審計

在各服務器主機、網絡設備的訪問日志記錄都采用統一的賬號、資源進行標識后，操作審計能更好地對賬號的完整使用過程進行追蹤。