目前,很多企业纷纷部署了上网行为管理、防火墙、IPS、网络防病毒系统、漏洞扫描系统等安全产品,建立了较为完善的信息安全防护体系,取得了一定效果,但网络安全故障仍时有发生。令人惊奇的是,造成这些不合规、不合法的行为很多来源于内部“合法”的用户操作。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于内部人员的违规操作而导致数据误删除、数据破坏、数据泄密等致使企业利益、公众利益和国家利益受损的行为,却无能为力。
针对这一系统性风险,公安部在《信息系统安全等级保护基本要求》中明确要求,对于二级(含)以上的重要信息系统网络安全、主机安全、应用安全均要求具备安全审计功能。因此,对设备维护行为采取行之有效的控制和审计措施,弥补这一信息化安全管理的盲区,是当前很多企业信息安全建设的当务之急。
从堡垒主机到内控堡垒机
堡垒主机是一种被强化的可以防御进攻的计算机,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其他主机安全的目的。其目标是通过综合采用虚拟化技术、协议代理技术和身份认证、访问控制与操作审计等多种信息安全技术,实现员工和管理人员对内部网络特定资源的安全访问,同时对访问和操作的过程进行完备的审计记录。
目前,很多对安全要求较高的企业均已部署了一系列安全设备,但传统的防护手段中,防火墙只能进行网络层访问控制,无法对系统层访问进行控制,更谈不上操作内容管理;而IDS、IPS侧重于系统层、网络层攻击事件的检测,缺乏对操作的控制能力;传统安全审计类产品无法实现对加密协议SSH、图形访问协议的识别和管理。
信息系统的运行由一系列的人员行为和系统行为组成,信息系统安全审计就是采集、监控、分析信息系统各组成部分的系统行为(日志)和操作行为的过程。既然传统的安全设备都无法解决运维行为审计的问题,能否另辟蹊径,在维护人员(内部的、外部的)和信息系统(网络、主机、数据库等)之间搭建一个唯一的入口和统一的交互的界面?答案是肯定的。依托堡垒主机的理念,可以构造一种专门应用于信息系统运维行为控制和审计的堡垒主机。它作为一座桥梁,不但能够规范和控制所有维护人员的行为,而且具备强大的输入输出审计功能,能够详细记录用户操作的指令和操作过程,这就是内控堡垒主机,也可以称之为“运维审计系统”。