這些隱患所產生的新問題，歸結起來包括以下五個主要的問題。

其一，共享賬號帶來的安全問題。在企業(yè)內網IT系統(tǒng)管理中，共享賬號是很常見的管理方法，其好處顯而易見，既能節(jié)約了帳號管理成本，又降低了本地溢 出的風險……但是，隨著IT系統(tǒng)復雜性幾何級提升，共享賬號帶來明顯的隱患，這是因為等。這就是說，很多人共用一個賬號，就使得帳號不具有唯一性，而且密 碼難以有效管理，最關鍵的是一旦該賬號出現安全問題，責任難以認定到人，這就不符合國家關于信息安全“誰使用，誰負責”的原則。

其二，權限控制帶來的安全隱患。大多數企事業(yè)單位的IT運維均采用設備、操作系統(tǒng)自身的授權系統(tǒng)，各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配權限， 無法嚴格按照最小權限原則分配權限。另外，隨著用戶數量的增加，權限管理任務越來越重，當維護人員同時對多個系統(tǒng)進行維護時，工作復雜度會成倍增加。安全 性無法得到充分保證。

其三，訪問控制帶來的安全隱患。目前的常見對系統(tǒng)管理員賬號管理中，沒有一個清晰的訪問控制列表，無法一目了 然的看到什么用戶能夠以何種身份訪問哪些關鍵設備，同時缺少有效的技術手段來保證訪問控制策略有效地執(zhí)行。尤其是針對許多外包服務商、廠商技術支持人員、 項目集成商等在對企業(yè)核心服務器、網絡基礎設施進行現場調試或遠程技術維護時，無法有效的記錄其操作過程、維護內容，極容易泄露核心機密數據或遭到潛在的 惡意的破壞。

其四，系統(tǒng)審計帶來的安全隱患。企業(yè)內網各IT系統(tǒng)獨立運行、維護和管理，所以各系統(tǒng)的審計也是相互獨立的。審計的機 制、格式和管理都不盡相同，就會帶來各種問題。例如，每個網絡設備，每個主機系統(tǒng)分別進行審計，安全事故發(fā)生后需要排查各系統(tǒng)的日志，但是往往日志找到 了，也不能最終定位到行為人。

其五，面臨安全合規(guī)性法規(guī)遵從的壓力。為加強信息系統(tǒng)風險管理，政府、金融、運營商等陸續(xù)發(fā)布信息系統(tǒng)管理規(guī)范和要求，如“信息系統(tǒng)等級保護”、“商業(yè)銀行信息科技風險管理指引”、“企業(yè)內部控制基本規(guī)范”等均要求采取信息系統(tǒng)風險內控與審計。

這些法規(guī)的要求和遵從，對于大型企業(yè)上市或者跨國經營，有著極大的影響。2002年由美國總統(tǒng)布什簽發(fā)的薩班斯法案(Sarbanes- Oxley Act)開始生效。其中要求企業(yè)的經營活動，企業(yè)管理、項目和投資等，都要有控制和審計手段。因此，管理人員需要有有效的技術手段和專業(yè)的技術工具和安全 產品按照行業(yè)的標準來做細粒度的管理，真正做到對于內部網絡的嚴格管理，可以控制、限制和追蹤用戶的行為，判定用戶的行為是否對企業(yè)內部網絡的安全運行帶 來威脅。

綜上所述，隨著信息化的發(fā)展，企事業(yè)單位IT系統(tǒng)不斷發(fā)展，網絡規(guī)模迅速擴大，設備數量激增，建設重點逐步從網絡平臺轉向 深化應用、提升效益為特征的運維階段;IT系統(tǒng)運維與安全管理正逐漸走向融合。面對日趨復雜的IT系統(tǒng)，不同背景的運維人員已經給企業(yè)信息系統(tǒng)安全運行帶 來較大的潛在風險，因此，內網信息系統(tǒng)安全治理在加大網絡邊界防護、數據通信安全、防病毒等基礎上，不能忽略網絡后臺運維安全治理和對于系統(tǒng)操作人員的審 計監(jiān)控方面的管理，而內控堡壘主機(堡壘機)作為內網安全治理的一種有效技術手段應運而生。

堡壘機現身　企業(yè)內控運維安全“終結者”

堡壘機，聽起來就是一個夠酷的名字，有用戶笑言，聽著名兒就覺著安全，就像大塊頭施瓦辛格一出現在電影鏡頭里就像終結者一樣。那么，作為內網安全的“終結者”，堡壘機究竟是個什么摸樣。

所謂“堡壘主機”(簡稱“堡壘機”)，就是一種被強化的可以防御進攻的計算機，具備很強安全防范能力?！氨局鳈C”這個詞是有專門含義的概念，最初由美國 Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一書中提出。他提出堡壘主機“是一個系統(tǒng)，作為網絡安全的一個關鍵點，它由防火墻管理員來標識”，“堡壘主機需要格外的注意自己的安全 性，需要定期的審核，并擁有經過修改的軟件”。通常，堡壘主機是一臺獨立應用的主機。(這有點類似單用戶的單機操作)，它有極大的價值，可能蘊含著用戶的 敏感信息，經常提供重要的網絡服務;大部分時候它被防火墻保護，有的則直接裸露在外部網絡中。其所承擔的服務大都極其重要，如銀行、證券、政府單位用來實 現業(yè)務、發(fā)布信息的平臺?！氨局鳈C”的工作特性要求達到高安全性。

早期堡壘主機，通常是指這樣一類提供特定網絡或應用服務的計 算機設備，其自身相對安全并可以防御一定程度的攻擊。作為安全但可公開訪問的計算機，堡壘主機通常部署于外圍網絡(也稱為 DMZ、網絡隔離區(qū)域或屏蔽子網)面向公眾的一端。這類堡壘主機不受防火墻或過濾路由器的保護，因此它們完全暴露在攻擊中。這類堡壘主機通常用作Web服 務器、域名系統(tǒng)(DNS)服務器或文件傳輸(FTP)服務器等。通過將這些將必須開放的服務部署在堡壘主機而不是內部網絡中，可以換取內部網絡的安全。因 為這些主機吸引了入侵者的注意力，也就相應地減少了內部網絡遭受安全攻擊的可能性和隨之帶來的風險。

堡壘主機自身安全性的強化通常是通過禁用或刪除不必要的服務、協議、程序和網絡接口來實現的。也就是說，堡壘主機往往僅提供極少的必要的服務，以期減少自身的安全漏洞。另外一些可以提 高自身安全性的手段則包括：采用安全操作系統(tǒng)、采取必要的身份認證和嚴格的權限控制技術等。

后來，堡壘主機被部署在外部網絡和企業(yè)內部網絡之間，提供對內部網絡特定資源的安全訪問。這類堡壘主機本身不提供網絡層的路由功能，因此可以過濾對內部網絡 的非授權訪問。對內部網絡特定資源的訪問則必須先登錄到堡壘主機上方可完成。SSL VPN可以視為這類堡壘主機的一個成功應用。這類堡壘主機是進入內部網絡的一個集中檢查點和控制點，因此很容易將整個網絡的安全問題集中在自身解決，為內 部網絡其他主機的安全提供了一道天然的安全屏障。

新一代堡壘主機，又被具體稱為“內控堡壘主機”，它綜合了運維管理和安全性的融合，切斷了終端 計算機對網絡和服務器資源的直接訪問，而是采用協議代理的方式，接管了終端計算機對網絡和服務器的訪問。形象地說，終端計算機對目標的訪問，均需要經過堡 壘主機的翻譯。極地安全專家王曉航打了一個比方，內控堡壘主機扮演著看門者的工作，所有對網絡設備和服務器的請求都要從這扇大門經過。因此堡壘機能夠攔截 非法訪問，和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標設備的非法訪問行為。

目前主流的內控堡壘主機，一般具有六大主要功能。

其一，單點登錄功能。

內控堡壘主機提供了基于B/S的單點登錄系統(tǒng)，用戶通過一次登錄系統(tǒng)后，就可以無需認證的訪問包括被授權的多種基于B/S和C/S的應用系統(tǒng)。單點登錄為具 有多帳號的用戶提供了方便快捷的訪問途經，使用戶無需記憶多種登錄用戶ID和口令。它通過向用戶和客戶提供對其個性化資源的快捷訪問提高生產效率。同時， 由于系統(tǒng)自身是采用強認證的系統(tǒng)，從而提高了用戶認證環(huán)節(jié)的安全性。 單點登錄可以實現與用戶授權管理的無縫連接，這樣可以通過對用戶、角色、行為和資源的授權，增加對資源的保護，和對用戶行為的監(jiān)控及審計。

其二，帳號管理功能。

集中帳號管理包含對所有服務器、網絡設備帳號的集中管理。帳號和資源的集中管理是集中授權、認證和審計的基礎。集中帳號管理可以完成對帳號整個生命周期的監(jiān) 控和管理，而且還降低了企業(yè)管理大量用戶帳號的難度和工作量。同時，通過統(tǒng)一的管理還能夠發(fā)現帳號中存在的安全隱患，并且制定統(tǒng)一的、標準的用戶帳號安全 策略。 通過建立集中帳號管理，企業(yè)可以實現將帳號與具體的自然人相關聯。通過這種關聯，可以實現多級的用戶管理和細粒度的用戶授權。而且，還可以實現針對自然人的行為審計，以滿足審計的需要。

其三，身份認證功能。

內控堡壘主機為用戶提供統(tǒng)一的認證接口。采用統(tǒng)一的認證接口不但便于對用戶認證的管理，而且能夠采用更加安全的認證模式，提高認證的安全性和可靠性。

集中身份認證提供靜態(tài)密碼、Windows NT域、Windows Kerberos、雙因素、一次性口令和生物特征等多種認證方式，而且系統(tǒng)具有靈活的定制接口，可以方便的與其它第三方認證服務器之間結合。

其四，資源授權功能。

內控堡壘主機系統(tǒng)提供統(tǒng)一的界面，對用戶、角色及行為和資源進行授權，以達到對權限的細粒度控制，最大限度保護用戶資源的安全。通過集中訪問授權和訪問控制 可以對用戶通過B/S、C/S對服務器主機、網絡設備的訪問進行審計和阻斷。在集中訪問授權里強調的“集中”是邏輯上的集中，而不是物理上的集中。即在各 網絡設備、服務器主機系統(tǒng)中可能擁有各自的權限管理功能，管理員也由各自的歸口管理部門委派，但是這些管理員在極地銀河內控堡壘主機系統(tǒng)上，可以對各自的 管理對象進行授權，而不需要進入每一個被管理對象才能授權。授權的對象包括用戶、用戶角色、資源和用戶行為。系統(tǒng)不但能夠授權用戶可以通過什么角色訪問資 源這樣基于應用邊界的粗粒度授權，對某些應用還可以限制用戶的操作，以及在什么時間進行操作這樣應用內部的細粒度授權。

其五，訪問控制功能。

內控堡壘主機系統(tǒng)能夠提供細粒度的訪問控制，最大限度保護用戶資源的安全。細粒度的命令策略是命令的集合，可以是一組可執(zhí)行命令，也可以是一組非可執(zhí)行的命 令，該命令集合用來分配給具體的用戶，來限制其系統(tǒng)行為，管理員會根據其自身的角色為其指定相應的控制策略來限定用戶。訪問控制策略是保護系統(tǒng)安全性的重 要環(huán)節(jié)，制定良好的訪問策略能夠更好的提高系統(tǒng)的安全性。

其六，操作審計功能。

操作審計管理主要審計人員的帳號使用(登錄、資源訪問)情況、資源使用情況等。在各服務器主機、網絡設備的訪問日志記錄都采用統(tǒng)一的帳號、資源進行標識后，操作審計能更好地對帳號的 完整使用過程進行追蹤。內控堡壘主機系統(tǒng)通過系統(tǒng)自身的用戶認證系統(tǒng)、用戶授權系統(tǒng)，以及訪問控制等詳細記錄整個會話過程中用戶的全部行為日志。還可以將產生的日志傳送給第三方產品。

在這些主干功能構筑的強大安全體系下，堡壘機漂亮地實現了對系統(tǒng)用戶管理、對內網操作審計、對網絡設備管理和對黑客行為防范四大功能，完美地演繹了內網安全“終結者”角色，成為大型企事業(yè)單位內網安全建設的未來戰(zhàn)士。

產業(yè)大格局　為企業(yè)內網構筑堡壘成趨勢

從各大行業(yè)近年來對內控堡壘主機產品的采購力度不斷加大的情況來看，在構筑企業(yè)內網安全體系的道路上，堡壘機成為重頭主力軍之一已是大勢所趨。

這樣的趨勢日益成為業(yè)界共識，而這個大趨勢的最根本的源泉，就在于企業(yè)內網在信息化應用水平提升的同時，其自身所必然出現的信息系統(tǒng)漏洞和桎梏，以及為滿足信息社會各種法規(guī)遵從而必然需要采取的舉措。

從企業(yè)自身信息系統(tǒng)發(fā)展來看，隨著企業(yè)ERP、OA、CRM等生產和辦公系統(tǒng)的普及，單位的日程運轉對內部信息網絡的依賴程度越來越高，內網信息網絡已經成 了各個單位的生命線，對內網穩(wěn)定性、可靠性和可控性提出高度的要求。內部信息網絡由大量的終端、服務器和網絡設備組成，形成了統(tǒng)一有機的整體，任何一個部 分的安全漏洞或者問題，都可能引發(fā)整個網絡的癱瘓，對內網各個具體部分尤其是數量巨大的終端可控性和可靠性提出前所未有的要求。

由龐大的 網絡信息系統(tǒng)所組成的企業(yè)IT平臺，將在企業(yè)的運營中全面滲透，企業(yè)的各種內部事務和外部業(yè)務，都將全面架構于企業(yè)內網信息系統(tǒng)之上。尤其是電信、財政、 稅務、公安、金融、電力、石油等重要行業(yè)單位，更是使用數量較多的服務器主機來運行關鍵業(yè)務，提供電子商務、數據庫應用、運維管理、ERP和協同工作群件 等服務。由于服務器眾多，系統(tǒng)管理員壓力太大等因素，人為誤操作的可能性時有發(fā)生，這會對部門或者企業(yè)聲譽造成重大影響，并嚴重影響其經濟運行效能。黑客 /惡意訪問也有可能獲取系統(tǒng)權限，闖入部門或企業(yè)內部網絡，造成不可估量的損失。如何提高系統(tǒng)運維管理水平，滿足相關標準要求，防止黑客的入侵和惡意訪 問，跟蹤服務器上用戶行為，降低運維成本，提供控制和審計依據，越來越成為企業(yè)關心的問題。

從法律法規(guī)對于信息系統(tǒng)審計的要求上來看， 從20世紀六十年代，伴隨著計算機信息技術的誕生發(fā)展，各國法律都對IT信息系統(tǒng)的審計不斷提出更新更高的要求。70年代中期至80年代，美國、日本等先 后成立計算機審計相關組織;國際開始興起一系列信息安全管理標準的制定。1983年，日本通產省發(fā)布《系統(tǒng)審計標準》，開始培訓信息系統(tǒng)審計人員。 1984年美國EDPAA協會(執(zhí)業(yè)會計師協會)發(fā)布一套EDP控制標準——《EDP控制目的》。1996年，ISACA協會發(fā)布了 COBIT(Control Objectives for Information and related Technology)標準，是國際上公認的安全與信息技術管理和控制的權威標準，也是國際通用的信息系統(tǒng)審計標準，已在100多個國家的重要組織和企業(yè) 中應用。1999年-至今，信息系統(tǒng)審計普及和行業(yè)應用階段。

2001年至今，美國安然事件及由此引發(fā)的一系列美國著名大公司在公 司治理和財務管理力方面的問題，促使美國陸續(xù)出臺了多個具有較強影響力的行業(yè)法案，如：2002年美國出臺Sarbanes-Oxley法案(塞班斯—奧 克斯利法案)，其中第404條款要求企業(yè)在財務報告方面加強內控，企業(yè)的CEO和CFO必須對本企業(yè)的內控系統(tǒng)的有效性發(fā)表誠信聲明。因此，IT信息系統(tǒng) 同樣需要加強控制以達到SOX法案的合規(guī)要求; 2005年針對IT信息系統(tǒng)的SOX合規(guī)審計成為全球CIO最關注的事。目前，西方發(fā)達國家的信息系統(tǒng)審計應用已較為普遍，并發(fā)展到了較高的水平。

從我國的發(fā)展趨勢來看，同樣如此。隨著互聯網在國內的迅速普及應用，推動國內信息系統(tǒng)安全審計進入快速發(fā)展階段。國家相關部門、金融行業(yè)、能源行業(yè)、運營商 均陸續(xù)推出多項針對信息系統(tǒng)風險管理政策法規(guī)，推動國內信息系統(tǒng)安全審計快速發(fā)展。2005年12月，公安部頒布82號令《互聯網安全保護技術措施規(guī)定》 即對系統(tǒng)信息安全審計提出明確要求。

2006年，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯合制定并發(fā)布了 《信息安全等級保護管理辦法(試行)》，該辦法明確要求信息系統(tǒng)運營使用單位在開展等級保護工作中要按照或者參照國家、行業(yè)技術標準進行系統(tǒng)定級、建設、 整改、測評等工作?！缎畔⑾到y(tǒng)安全等級保護基本要求》是信息安全等級保護標準體系中重要的基礎性標準之一。該要求針對不同安全保護等級信息系統(tǒng)的基本安全 審計能力均有明確要求，如：需要對用戶行為、安全事件等進行記錄，對形成的記錄能夠統(tǒng)計、分析、并生成報表。

2006年，國家保密局發(fā)布BMB17-2006號文件《涉密信息系統(tǒng)分級保護技術要求》，文件要求相關涉密單位信息系統(tǒng)，根據不同涉密級別，采取相關審計措施。

2006年-2009年，安全審計被列入多個行業(yè)信息系統(tǒng)安全建設要求。

隨著政府、金融、電信、能源等行業(yè)信息化的發(fā)展，信息科技的作用已經從業(yè)務支持逐步走向與業(yè)務的融合，成為各行業(yè)穩(wěn)健運營和發(fā)展的支柱，為加強信息系統(tǒng)風險管理，各行業(yè)陸續(xù)發(fā)布了行業(yè)性信息系統(tǒng)管理規(guī)范和要求。

2008年6月，財政部、證監(jiān)會、銀監(jiān)會、保監(jiān)會及審計署委聯合發(fā)布了《企業(yè)內部控制基本規(guī)范》，該規(guī)范被稱為中國的“SOX法案”，是我國在審計領域的重大改革 舉措，該規(guī)范將首先在上市企業(yè)中實行。如何把IT內控與企業(yè)內控管理統(tǒng)一起來，是《企業(yè)內部控制基本規(guī)范》的一個關鍵點，信息安全審計則將成為企業(yè)IT內 控、安全風險管理的不可或缺的技術手段。該規(guī)范將促使國內企業(yè)加強IT內控建設，從而推動安全審計市場的發(fā)展，但其中非常關鍵的一點就是安全審計技術如何 有效地與規(guī)范結合，滿足企業(yè)合規(guī)審計要求。

2009年3月，銀監(jiān)會為加強商業(yè)銀行信息科技風險管理，發(fā)布了《商業(yè)銀行信息科技風險管理指引》，該 指引中重點闡述了信息系統(tǒng)風險管理和內外部審計要求，特別是要求審計貫穿信息科技活動的整個過程之中。另外，在《國家電網SG186工程防護總體方案》、 《中國移動集團內控手冊》、《中國電信集團內控手冊》等行業(yè)要求中也均明確要求采取信息系統(tǒng)風險內控和審計技術手段。

目前，隨著信息安全建設的深入，安全審計已成為國內信息安全建設的重要技術手段?？傮w來看，由于信息系統(tǒng)發(fā)展水平和業(yè)務需求的不同，各行業(yè)對安全審計的具體關注點存在 一定差異，但均是基于政策合規(guī)、自身安全建設要求，如：政府主要關注如何滿足“信息系統(tǒng)安全等級保護”等政策要求的合規(guī)安全審計;電信運營商則基于自身信 息系統(tǒng)風險內控需求進行安全審計建設。

綜上所述，在企業(yè)信息系統(tǒng)自身安全管理需要和國家行業(yè)的審計不斷提升的要求下，各行業(yè)單位對于堡壘機的需求，必將在近三年內達到一個井噴的市場高潮。

那么，目前國內堡壘機技術和產品提供廠商究竟是什么布局呢?

由于堡壘機是近年內出現的新技術和產品，并且國內行業(yè)用戶大多還處于信息化應用建設的高潮，還沒有到堡壘機需求期，因此，堡壘機市場需求規(guī)模和產品提供商都 有限。國內很大一部分信息安全綜合廠商都陸續(xù)推出許多有著與堡壘機部分功能相近的產品，例如單點登錄產品，內網準入產品、系統(tǒng)審計產品等，但是真正能夠提 供完整獨立堡壘機技術和產品的并不是很多，國內堡壘機技術和市場規(guī)模較為知名的包括以下五家：網御神州(www.legendsec.com)、綠盟科技 (www.nsfocus.com)、極地安全(www.jidisec.com)、方正安全(www.foundersec.com)和捷成世紀 (www.jetsen.cn)。

而從技術的角度看，目前主流的內控堡壘機所應用的主要技術包括：邏輯命令自動識別技術、分布式處理技術、圖形協議代理、多進程/線程與同步技術、數據加密技術等。

其中，邏輯命令自動識別技術是指自動識別當前操作終端，對當前終端的輸入輸出進行控制，組合輸入輸出流，自動識別邏輯語義命令。系統(tǒng)會根據輸入輸出上下文， 確定邏輯命令編輯過程，進而自動捕獲出用戶使用的邏輯命令。該項技術解決了邏輯命令自動捕獲功能，在傳統(tǒng)鍵盤捕獲與控制領域取得新的突破，可以更加準確的 控制用戶意圖。該技術能自動識別命令狀態(tài)和編輯狀態(tài)以及私有工作狀態(tài)，準確捕獲邏輯命令。

分布式處理技術是指內控堡壘主機采用分布 式處理架構進行處理，啟用命令捕獲引擎機制，通過策略服務器完成策略審計，通過日志服務器存儲操作審計日志，并通過實時監(jiān)視中心，實時察看用戶在服務器上 行為。這種分體式設計有利于策略的正確執(zhí)行和操作記錄日志的安全。同時，各組件之間采用安全連接進行通信，防止策略和日志被篡改。各組件可以獨立工作，可 以分布于不同的服務器上，亦可所有組件安裝于一臺服務器。

正則表達式匹配技術是指內控堡壘主機采用正則表達式匹配技術，將正則表達式組合入樹型可遺傳策略結構，實現控制命令的自動匹配與控制。樹型可遺傳策略適合現代企業(yè)事業(yè)架構，對于服務器的分層分級管理與控制，相當有用。

圖形協議代理是指為了對圖形終端操作行為進行審計和監(jiān)控，內控堡壘主機對圖形終端使用的協議進行代理，實現多平臺的多種圖形終端操作的審計，例如Windows平臺的RDP方式圖形終端操作，Linux/Unix平臺的XWindow方式圖形終端操作。

多進程/線程與同步技術是指內控堡壘主機主體采用多進程/線程技術實現，利用獨特的通信和數據同步技術，準確控制程序行為。多進程/線程方式邏輯處理準確，事務處理不會發(fā)生干擾，這有利于保證系統(tǒng)的穩(wěn)定性、健壯性。

數據加密功能是指內控堡壘主機在處理用戶數據時都采用相應的數據加密技術來保護用戶通信的安全性和數據的完整性。防止惡意用戶截獲和篡改數據。充分保護用戶在操作過程中不被惡意破壞。

操作還原技術是指將用戶在系統(tǒng)中的操作行為以真實的環(huán)境模擬顯現出來，審計管理員可以根據操作還原技術還原出真實的操作，以判定問題出在哪里。目前，綠盟科 技、極地安全、方正安全等國內主流內控堡壘主機采用操作還原技術能夠將用戶的操作流程自動地展現出來，能夠監(jiān)控用戶的每一次行為，判定用戶的行為是否對企業(yè)內部網絡安全性造成危害。

huanghui