1/9內(nèi)網(wǎng)安全威脅的“終結(jié)者”：堡壘機(jī)(上)在所有內(nèi)部隱患中，一種由IT系統(tǒng)“權(quán)貴”人員及其操作引出的非傳統(tǒng)的安全隱患日益凸顯，內(nèi)控堡壘主機(jī)(堡壘機(jī))作為內(nèi)網(wǎng)安全治理的一種有效技術(shù)手段應(yīng)運(yùn)而生。變成了直接影響到企業(yè)生死存亡的大問題。企業(yè)生死榮辱的“命門”。經(jīng)過數(shù)十年的信息安全技術(shù)產(chǎn)業(yè)的高速發(fā)展，從防病毒、防火墻、IDS老三樣，到身份認(rèn)證、數(shù)據(jù)加密、應(yīng)用安全、終端加固等各種新技術(shù)，企業(yè)內(nèi)網(wǎng)各種信息安全問題，有了很中，這個(gè)安全“軟肋”體現(xiàn)得越加明顯。毫無疑問，這是內(nèi)網(wǎng)安全最后，也是最根本致命的威脅，如何防X這個(gè)日益明顯的威雜的后臺(tái)系統(tǒng)設(shè)備管理，同時(shí)防X管理過程中可能出現(xiàn)的各種安全問題。機(jī)產(chǎn)品產(chǎn)業(yè)現(xiàn)狀又是怎樣？請(qǐng)看筆者的采訪和調(diào)查。內(nèi)網(wǎng)信息安全“權(quán)貴”人員和管理操作成短板隨著全球信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進(jìn)步，一些重要機(jī)構(gòu)和大型企業(yè)信息化水平得到飛速提升，其辦公系統(tǒng)、商務(wù)平臺(tái)的不斷推出和投入運(yùn)行，信息系統(tǒng)在企業(yè)的運(yùn)營中全面滲透。尤其是電信、財(cái)政、稅務(wù)、公安、金融、電力、石油等重要行業(yè)的大型機(jī)構(gòu)和企業(yè)內(nèi)網(wǎng)中，更是使用數(shù)量較多的服務(wù)器主機(jī)來運(yùn)行關(guān)鍵業(yè)務(wù)。這種情況下，企業(yè)對(duì)IT系統(tǒng)的依賴程度也越來越高，各類業(yè)務(wù)系統(tǒng)也變得日益復(fù)雜。，其最大的威脅和破壞來自企業(yè)內(nèi)部。據(jù)國內(nèi)領(lǐng)先的專注內(nèi)網(wǎng)安全的極地安全公司技術(shù)團(tuán)隊(duì)對(duì)在所有內(nèi)部隱患中，一種由IT系統(tǒng)“權(quán)貴”人員及其操作引出的非傳統(tǒng)的安全隱患日2/9益凸顯，是所有安全事件中最主要的安全威脅。所謂IT系統(tǒng)“權(quán)貴”人員，即擁有企業(yè)內(nèi)網(wǎng)各種IT系統(tǒng)軟硬件設(shè)備管理權(quán)限的人員，這些人員可能包括：系統(tǒng)管理員、系統(tǒng)運(yùn)維人身所擁有的高權(quán)限賬號(hào)和其在操作過程中的各種動(dòng)作，都帶來日益明顯的安全隱患。這些隱患所產(chǎn)生的新問題，歸結(jié)起來包括以下五個(gè)主要的問題。其一，共享賬號(hào)帶來的安全問題。在企業(yè)內(nèi)網(wǎng)IT系統(tǒng)管理中，共享賬號(hào)是很常見的管隨著IT系統(tǒng)復(fù)雜性幾何級(jí)提升，共享賬號(hào)帶來明顯的隱患，這是因?yàn)榈?。這就是說，很多人共用一個(gè)賬號(hào)，就使得XX不具有唯一性，而且密碼難以有效管理，最關(guān)鍵的是一旦該賬號(hào)出現(xiàn)安全問題，責(zé)任難以認(rèn)定到人，這就不符合國家關(guān)于信息安全“誰使用，誰負(fù)責(zé)”其二，權(quán)限控制帶來的安全隱患。大多數(shù)企事業(yè)單位的IT運(yùn)維均采用設(shè)備、操作系統(tǒng)自身的授權(quán)系統(tǒng)，各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配權(quán)限，無法嚴(yán)格按照最小權(quán)限原則分配權(quán)限。另外，隨著用戶數(shù)量的增加，權(quán)限管理任務(wù)越來越重，當(dāng)維護(hù)人員同時(shí)對(duì)多個(gè)系統(tǒng)進(jìn)行維護(hù)時(shí)，工作復(fù)雜度會(huì)成倍增加。安全性無法得到充分保證。的訪問控制列表，無法一目了然的看到什么用戶能夠以何種身份訪問哪些關(guān)鍵設(shè)備，同時(shí)術(shù)支持人員、項(xiàng)目集成商等在對(duì)企業(yè)核心服務(wù)器、網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行現(xiàn)場調(diào)試或遠(yuǎn)程技術(shù)其四，系統(tǒng)審計(jì)帶來的安全隱患。企業(yè)內(nèi)網(wǎng)各IT系統(tǒng)獨(dú)立運(yùn)行、維護(hù)和管理，所以各系統(tǒng)的審計(jì)也是相互獨(dú)立的。審計(jì)的機(jī)制、格式和管理都不盡相同，就會(huì)帶來各種問題。3/9但是往往日志找到了，也不能最終定位到行為人。其五，面臨安全合規(guī)性法規(guī)遵從的壓力。為加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)管理，政府、金融、運(yùn)營這些法規(guī)的要求和遵從，對(duì)于大型企業(yè)上市或者跨國經(jīng)營，有著極大的影響。2002年SarbanesOxleyAct開始生效。其中要求企業(yè)的經(jīng)營活動(dòng)，企業(yè)管理、項(xiàng)目和投資等，都要有控制和審計(jì)手段。因此，管理人員需要有有效的技術(shù)手段和專業(yè)的技術(shù)工具和安全產(chǎn)品按照行業(yè)的標(biāo)準(zhǔn)來做細(xì)粒度的管理，真正做到對(duì)于內(nèi)部的安全運(yùn)行帶來威脅。綜上所述，隨著信息化的發(fā)展，企事業(yè)單位IT系統(tǒng)不斷發(fā)展，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，設(shè)，建設(shè)重點(diǎn)逐步從網(wǎng)絡(luò)平臺(tái)轉(zhuǎn)向深化應(yīng)用、提升效益為特征的運(yùn)維階段；IT系統(tǒng)運(yùn)維與安全管理正逐漸走向融合。面對(duì)日趨復(fù)雜的IT系統(tǒng)，不同背景的運(yùn)維人員已經(jīng)給企業(yè)信息系統(tǒng)安全運(yùn)行帶來較大的潛在風(fēng)險(xiǎn)，因此，內(nèi)網(wǎng)信息系統(tǒng)安全治理在加大網(wǎng)絡(luò)邊人員的審計(jì)監(jiān)控方面的管理，而內(nèi)控堡壘主機(jī)(堡壘機(jī))作為內(nèi)網(wǎng)安全治理的一種有效技堡壘機(jī)現(xiàn)身企業(yè)內(nèi)控運(yùn)維安全“終結(jié)者”施瓦辛格一出現(xiàn)在電影鏡頭里就像終結(jié)者一樣。那么，作為內(nèi)網(wǎng)安全的“終結(jié)者”，堡壘機(jī)究竟是個(gè)什么摸樣。所謂“堡壘主機(jī)”(簡稱“堡壘機(jī)”)，就是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，具備立應(yīng)用的主機(jī)。(這有點(diǎn)類似單用戶的單機(jī)操作)，它有極大的價(jià)值，可能蘊(yùn)含著用戶的敏絡(luò)中。其所承擔(dān)的服務(wù)大都極其重要，如銀行、證券、政府單位用來實(shí)現(xiàn)業(yè)務(wù)、發(fā)布信息早期堡壘主機(jī)，通常是指這樣一類提供特定網(wǎng)絡(luò)或應(yīng)用服務(wù)的計(jì)算機(jī)設(shè)備，其自身相外圍網(wǎng)絡(luò)(也稱為DMZ、網(wǎng)絡(luò)隔離區(qū)域或屏蔽子網(wǎng))面向公眾的一端。這類堡壘主機(jī)不受防火墻或過濾路由器的保護(hù)，因此它們完全暴露在攻擊中。這類堡壘主機(jī)通常用作Web服務(wù)器、域名系統(tǒng)(DNS)服務(wù)器或文件傳輸(FTP)服務(wù)器等。通過將這些將必須開放的服務(wù)部署在堡壘主機(jī)而不是內(nèi)部網(wǎng)絡(luò)中，可以換取內(nèi)部網(wǎng)絡(luò)的安全。因?yàn)檫@些主機(jī)吸引了入侵者4/9的注意力，也就相應(yīng)地減少了內(nèi)部網(wǎng)絡(luò)遭受安全攻擊的可能性和隨之帶來的風(fēng)險(xiǎn)。另外一些可以提高自身安全性的手段則包括：采用安全操作系統(tǒng)、采取必要的身份認(rèn)證和嚴(yán)格的權(quán)限控制技術(shù)等。全訪問。這類堡壘主機(jī)本身不提供網(wǎng)絡(luò)層的路由功能，因此可以過濾對(duì)內(nèi)部網(wǎng)絡(luò)的非授權(quán)訪問。對(duì)內(nèi)部網(wǎng)絡(luò)特定資源的訪問則必須先登錄到堡壘主機(jī)上方可完成。SSLVPN可以視為這類堡壘主機(jī)的一個(gè)成功應(yīng)用。這類堡壘主機(jī)是進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)集中檢查點(diǎn)和控制點(diǎn)，因此很容易將整個(gè)網(wǎng)絡(luò)的安全問題集中在自身解決，為內(nèi)部網(wǎng)絡(luò)其他主機(jī)的安全提供了一道天然的安全屏障。切斷了終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器資源的直接訪問，而是采用協(xié)議代理的方式，接管了終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器的訪問。形象地說，終端計(jì)算機(jī)對(duì)目標(biāo)的訪問，均需要經(jīng)過堡壘對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要從這扇大門經(jīng)過。因此堡壘機(jī)能夠攔截非法訪問，和惡意攻擊，對(duì)不合法命令進(jìn)行命令阻斷，過濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問行為。目前主流的內(nèi)控堡壘主機(jī)，一般具有六大主要功能。其一，單點(diǎn)登錄功能。5/9提供了方便快捷的訪問途經(jīng)，使用戶無需記憶多種登錄用戶ID和口令。它通過向用戶和客戶提供對(duì)其個(gè)性化資源的快捷訪問提高生產(chǎn)效率。同時(shí)，由于系統(tǒng)自身是采用強(qiáng)認(rèn)證的系統(tǒng)，從而提高了用戶認(rèn)證環(huán)節(jié)的安全性。單點(diǎn)登錄可以實(shí)現(xiàn)與用戶授權(quán)管理的無縫連接，集中XX管理包含對(duì)所有服務(wù)器、網(wǎng)絡(luò)設(shè)備XX的集中管理。XX和資源的集中管理是而且還降低了企業(yè)管理大量用戶XX的難度和工作量。同時(shí)，通過統(tǒng)一的管理還能夠發(fā)現(xiàn)XX中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶XX安全策略。通過建立集中XX理和細(xì)粒度的用戶授權(quán)。而且，還可以實(shí)現(xiàn)針對(duì)自然人的行為審計(jì)，以滿足審計(jì)的需要。其三，身份認(rèn)證功能。內(nèi)控堡壘主機(jī)為用戶提供統(tǒng)一的認(rèn)證接口。采用統(tǒng)一的認(rèn)證接口不但便于對(duì)用戶認(rèn)證的管理，而且能夠采用更加安全的認(rèn)證模式，提高認(rèn)證的安全性和可靠性。證服務(wù)器之間結(jié)合。其四，資源授權(quán)功能。限的細(xì)粒度控制，最大限度保護(hù)用戶資源的安全。通過集中訪問授權(quán)和訪問控制可以對(duì)用戶通過B/S、C/S對(duì)服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問進(jìn)行審計(jì)和阻斷。在集中訪問授權(quán)里強(qiáng)調(diào)的“集中”是邏輯上的集中，而不是物理上的集中。即在各網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)系統(tǒng)中極地銀河內(nèi)控堡壘主機(jī)系統(tǒng)上，可以對(duì)各自的管理對(duì)象進(jìn)行授權(quán)，而不需要進(jìn)入每一個(gè)被管戶可以通過什么角色訪問資源這樣基于應(yīng)用邊界的粗粒度授權(quán)，對(duì)某些應(yīng)用還可以限制用戶的操作，以及在什么時(shí)間進(jìn)行操作這樣應(yīng)用內(nèi)部的細(xì)粒度授權(quán)。其五，訪問控制功能。的命令策略是命令的集合，可以是一組可執(zhí)行命令，也可以是一組非可執(zhí)行的命令，該命應(yīng)的控制策略來限定用戶。訪問控制策略是保護(hù)系統(tǒng)安全性的重要環(huán)節(jié)，制定良好的訪問策略能夠更好的提高系統(tǒng)的安全性。6/9其六，操作審計(jì)功能。操作審計(jì)管理主要審計(jì)人員的XX使用(登錄、資源訪問)情況、資源使用情況等。在各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問日志記錄都采用統(tǒng)一的XX、資源進(jìn)行標(biāo)識(shí)后，操作審計(jì)能更好地對(duì)XX的完整使用過程進(jìn)行追蹤。內(nèi)控堡壘主機(jī)系統(tǒng)通過系統(tǒng)自身的用戶認(rèn)證系統(tǒng)、生的日志傳送給第三方產(chǎn)品。操作審計(jì)、對(duì)網(wǎng)絡(luò)設(shè)備管理和對(duì)黑客行為防X四大功能，完美地演繹了內(nèi)網(wǎng)安全“終結(jié)者”角色，成為大型企事業(yè)單位內(nèi)網(wǎng)安全建設(shè)的未來戰(zhàn)士。產(chǎn)業(yè)大格局為企業(yè)內(nèi)網(wǎng)構(gòu)筑堡壘成趨勢(shì)從各大行業(yè)近年來對(duì)內(nèi)控堡壘主機(jī)產(chǎn)品的采購力度不斷加大的情況來看，在構(gòu)筑企業(yè)內(nèi)網(wǎng)安全體系的道路上，堡壘機(jī)成為重頭主力軍之一已是大勢(shì)所趨。種法規(guī)遵從而必然需要采取的舉措。從企業(yè)自身信息系統(tǒng)發(fā)展來看，隨著企業(yè)ERP、OA、CRM等生產(chǎn)和辦公系統(tǒng)的普及，單位的日程運(yùn)轉(zhuǎn)對(duì)內(nèi)部信息網(wǎng)絡(luò)的依賴程度越來越高，內(nèi)網(wǎng)信息網(wǎng)絡(luò)已經(jīng)成了各個(gè)單位的生命線，對(duì)內(nèi)網(wǎng)穩(wěn)定性、可靠性和可控性提出高度的要求。內(nèi)部信息網(wǎng)絡(luò)由大量的終端、服務(wù)器和網(wǎng)絡(luò)設(shè)備組成，形成了統(tǒng)一有機(jī)的整體，任何一個(gè)部分的安全漏洞或者問題，都可能引發(fā)整個(gè)網(wǎng)絡(luò)的癱瘓，對(duì)內(nèi)網(wǎng)各個(gè)具體部分尤其是數(shù)量巨大的終端可控性和可靠性提出前種內(nèi)部事務(wù)和外部業(yè)務(wù)，都將全面架構(gòu)于企業(yè)內(nèi)網(wǎng)信息系統(tǒng)之上。尤其是電信、財(cái)政、稅務(wù)、公安、金融、電力、石油等重要行業(yè)單位，更是使用數(shù)量較多的服務(wù)器主機(jī)來運(yùn)行關(guān)鍵ERP于服務(wù)器譽(yù)造成重大影響，并嚴(yán)重影響其經(jīng)濟(jì)運(yùn)行效能。黑客/惡意訪問也有可能獲取系統(tǒng)權(quán)限，闖要求，防止黑客的入侵和惡意訪問，跟蹤服務(wù)器上用戶行為，降低運(yùn)維成本，提供控制和審計(jì)依據(jù)，越來越成為企業(yè)關(guān)心的問題。息技術(shù)的誕生發(fā)展，各國法律都對(duì)IT信息系統(tǒng)的審計(jì)不斷提出更新更高的要求。70年代中期至80年代，美國、日本等先后成立計(jì)算機(jī)審計(jì)相關(guān)組織;國際開始興起一系列信息安全7/9企業(yè)中應(yīng)用。1999年-至今，信息系統(tǒng)審計(jì)普及。理力方面的問題，促使美國陸續(xù)出臺(tái)了多個(gè)具有較強(qiáng)影響力的行業(yè)法案，如：2002年美國xleyIT信息系統(tǒng)同樣需要加強(qiáng)控制以達(dá)到SOX法案的合規(guī)要求;2005年針對(duì)IT信息系統(tǒng)的SOX合規(guī)審計(jì)成為全球CIO最關(guān)注的事。目前，西方發(fā)達(dá)國家的信息系統(tǒng)審計(jì)應(yīng)用已較為普遍，并發(fā)展到了較高的水平。系統(tǒng)安全審計(jì)進(jìn)入快速發(fā)展階段。國家相關(guān)部門、金融行業(yè)、能源行業(yè)、運(yùn)營商均陸續(xù)推22006年，公安部、國家XX局、國家密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合制定并發(fā)布了《信息安全等級(jí)保護(hù)管理辦法(試行)》，該辦法明確要求信息系統(tǒng)運(yùn)營使用單位在開展等級(jí)保護(hù)工作中要按照或者參照國家、行業(yè)技術(shù)標(biāo)準(zhǔn)進(jìn)行系統(tǒng)定級(jí)、建設(shè)、整改、測(cè)性標(biāo)準(zhǔn)之一。該要求針對(duì)不同安全保護(hù)等級(jí)信息系統(tǒng)的基本安全審計(jì)能力均有明確要求，如：需要對(duì)用戶行為、安全事件等進(jìn)行記錄，對(duì)形成的記錄能夠統(tǒng)計(jì)、分析、并生成報(bào)表。件要求相關(guān)涉密單位信息系統(tǒng)，根據(jù)不同涉密級(jí)別，采取相關(guān)審計(jì)措施。個(gè)行業(yè)信息系統(tǒng)安全建設(shè)要求。續(xù)發(fā)布了行業(yè)性信息系統(tǒng)管理規(guī)X和要求。2008年6月，財(cái)政部、證監(jiān)會(huì)、銀監(jiān)會(huì)、保監(jiān)會(huì)及審計(jì)署委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控規(guī)X將首先在上市企業(yè)中實(shí)行。如何把IT內(nèi)控與企業(yè)內(nèi)控管理統(tǒng)一起來，是《企業(yè)內(nèi)部控缺的技術(shù)手段。該規(guī)X將促使國內(nèi)企業(yè)加強(qiáng)IT內(nèi)控建設(shè)，從而推動(dòng)安全審計(jì)市場的發(fā)展，但其中非常關(guān)鍵的一點(diǎn)就是安全審計(jì)技術(shù)如何有效地與規(guī)X結(jié)合，滿足企業(yè)合規(guī)審計(jì)要求。2009年3月，銀監(jiān)會(huì)為加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，發(fā)布了《商業(yè)銀行信息科技8/9風(fēng)險(xiǎn)內(nèi)控和審計(jì)技術(shù)手段。目前，隨著信息安全建設(shè)的深入，安全審計(jì)已成為國內(nèi)信息安全建設(shè)的重要技術(shù)手段。一定差異，但均是基于政策合規(guī)、自身安全建設(shè)要求，如：政府主要關(guān)注如何滿足“信息系統(tǒng)安全等級(jí)保護(hù)”等政策要求的合規(guī)安全審計(jì);電信運(yùn)營商則基于自身信息系統(tǒng)風(fēng)險(xiǎn)內(nèi)控需求進(jìn)行安全審計(jì)建設(shè)。行業(yè)單位對(duì)于堡壘機(jī)的需求，必將在近三年內(nèi)達(dá)到一個(gè)井噴的市場高潮。那么，目前國內(nèi)堡壘機(jī)技術(shù)和產(chǎn)品提供廠商究竟是什么布局呢？由于堡壘機(jī)是近年內(nèi)出現(xiàn)的新技術(shù)和產(chǎn)品，并且國內(nèi)行業(yè)用戶大多還處于信息化應(yīng)用建設(shè)的高潮，還沒有到堡壘機(jī)需求期，因此，堡壘機(jī)市場需求規(guī)模和產(chǎn)品提供商都有限。國內(nèi)很大一部分信息安全綜合廠商都陸續(xù)推出許多有著與堡壘機(jī)部分功能相近的產(chǎn)品，例如單點(diǎn)登錄產(chǎn)品，內(nèi)網(wǎng)準(zhǔn)入產(chǎn)品、系統(tǒng)審計(jì)產(chǎn)品等，但是真正能夠提供完整獨(dú)立堡壘機(jī)技術(shù)和產(chǎn)品的并不是很多，國內(nèi)堡壘機(jī)技術(shù)和市場規(guī)模較為知名的包括以下五家：網(wǎng)御神州 技術(shù)、分布式處理技術(shù)、圖形協(xié)議代理、多進(jìn)程/線程與同步技術(shù)、數(shù)據(jù)加密技術(shù)等。控制，組合輸入輸出流，自動(dòng)識(shí)別邏輯語義命令。系統(tǒng)會(huì)根據(jù)輸入輸出上下文，確定邏輯能，在傳統(tǒng)鍵盤捕獲與控制領(lǐng)域取得新的突破，可以更加準(zhǔn)確的控制用戶意圖。該技術(shù)能自動(dòng)識(shí)別命令狀態(tài)和編輯狀態(tài)以及私有工作狀態(tài)，準(zhǔn)確捕獲邏輯命令。分布式處理技術(shù)是指內(nèi)控堡壘主機(jī)采用分布式處理架構(gòu)進(jìn)行處理，啟用命令捕獲引擎中心，實(shí)時(shí)察看用戶在服務(wù)器上行為。這種分體式設(shè)計(jì)有利于策略的正確執(zhí)行和操作記錄以獨(dú)立工作，可以分布于不同的服務(wù)器上，亦可所有組件安裝于一臺(tái)服務(wù)器。正則表達(dá)式匹配技術(shù)是指內(nèi)控堡壘主機(jī)采用正則表達(dá)式匹配技術(shù)，將正則表達(dá)式組合入架構(gòu)，對(duì)于服務(wù)器的分層分級(jí)管理與控制，相當(dāng)有用。圖形協(xié)議代理是指為了對(duì)圖形終端操作行為進(jìn)行審計(jì)和監(jiān)控，內(nèi)控堡壘主機(jī)對(duì)圖形終端使用的協(xié)議進(jìn)行代理，實(shí)現(xiàn)多平臺(tái)的多種圖形終端操作的審計(jì)，例如Windows平臺(tái)的RDP9/9多進(jìn)程/線程與同步技術(shù)