王雨川
云南电网有限责任公司楚雄供电局 云南楚雄675000
摘要:随着“互联网+”时代的到来,IT技术的迅猛发展,各种自动化、智能化技术被广泛应用到人们生产生活中,过去许多机械性的工作将交由系统去完成。这使得越来越多的业务系统被企业投入使用,而保障业务系统安全、稳定、高效的运行是企业运维部门的首要责任,因此,企业IT运维监管工作变得更加复杂重要。堡垒机作为企业运维监管工作的小助手,将在企业IT运维监管工作中发挥着巨大的作用,本文就堡垒机在企业IT运维监管工作中的应用进行简单的分析论述。
关键词:堡垒机;IT运维;安全;运用
一、企业IT运维背景
随着企业投入使用的业务系统数量的增加,作为支撑业务系统平台的服务器、网络及安全设备、存储设备、中间件、数据库等的数量和种类都在不断增加,任何设备出现故障都会影响业务系统的正常使用,将给企业带来严重的损失。系统数据的安全性更是重中之重,如果运维保障不得力导致数据丢失,将给企业带来不可估量的损失。
为缓解企业自身IT人员不足的压力,目前企业多数采用运维外包的方式,通过第三方技术人员来保障企业内部系统可靠、安全、高效的运行。而企业运维部门在整个运维工作中只负责对外包技术人员进行监督管理,由于运维工作的类型较多及企业的分包要求,企业只能将不同性质的运维工作打包分别分包给具有相应资质的第三方公司,这就存在着进入企业运维部门的代维单位及技术人员复杂且流动性大的问题,这让企业IT运维监管工作变得更具挑战性。
二、企业IT运维存在的问题
1、一个用户使用多个账号
由于企业在运的业务系统较多,相对应的服务器、网络、存储设备也比较多,而企业运维人员数量有限,就存在着一个运维人员要维护多套业务系统及设备的现象,运维人员很难将众多系统设备的账号密码都记住,只能借助记事本或其他方式将系统设备的账号及密码进行记录管理,当某个系统设备需要登录时就要花些时间去查找账号密码,这在一定程度上降低了运维的工作效率。此外运维人员可能需要同时在多个系统设备间进行来回切换操作,这难免会有操作失误的情况发生,这样的操作具有一定的风险性。
2、多用户使用同一个账号
为满足系统设备的安全要求,每台系统设备只能存在一个账户,不允许存在多用户账号,而由于各项目运维工作可能存在交叉的情况,业务系统维护、软硬件平台维护、安全及网络维护等运维人员在进行日常运维工作时都需要登录到系统设备上去,这就存在着多用户使用同一个账号的问题,如果系统设备出现因某运维人员操作失误而导致的故障时,就很难找出事故原因并进行定责。
3、权限分配缺乏细粒度
由于系统设备存在局限性,系统设备授权只能采用操作系统自身的授权系统,缺乏统一的运维操作授权机制,权限分配缺乏细粒度,无法做到对不同的人分配不同的权限范围,也就无法实现系统设备用户权限管理最小化,这就容易出现运维人员权限过大和权限滥用的问题,因此需要通过严格的权限控制机制来满足系统用户权限最小化的要求。
4、操作缺乏有效监控
企业在享受运维外包带来的便利时,由于涉及的代维单位众多,人员复杂,且流动性大,对各方运维人员操作缺乏有效的监控导致各种运维事故的频频发生,因此需要对运维人员的操作行为进行全程监控,确保运维人员操作行为的可追溯性。
三、堡垒机的功能作用
堡垒机又名运维安全审计系统,是用于防御攻击的一种主机系统,是辅助企业进行运维监管工作的系统工具。
它限定了所有系统设备的单一入口,不允许用户直接登录访问系统设备,需要统一通过堡垒机进行跳转,从而实现对所有用户的操作行为进行有效的监控记录,其次对用户的敏感危险操作进行审核阻止及用户权限的细粒度管理。堡垒机主要运用的是协议代理方式,因为对于系统设备来说协议对应的socket端口是唯一的,堡垒机是通过协议来控制系统设备权限的。堡垒机可实现以下功能:
(1)账号管理
各系统设备的账号密码都是可以导入到堡垒机系统内进行集中管理的,以及可实现对密码的批量修改和SSH秘钥对的一键批量设置,用户登录自己的堡垒机账号后,就可直接登录其权限范围内系统设备,无需再单独输入系统设备的账号密码,运维人员也不用再去查找各种设备的登录账户密码,可节省大量的查找时间,大大降低了运维工作的复杂度,提高了运维效率。
(2)精细授权
堡垒机可支持服务器主机、局域网主机等多种形式的资源授权,运用堡垒机的角色访问控制机制通过系统设备的IP协议类型、行为等要素对用户、资源、功能进行精细化的授权管理,实现用户权限最小化,解决了企业运维人员复杂、资产众多、权限交叉等难题。
(3)访问控制
作为堡垒机的核心功能,企业通过堡垒机可实现资源访问的严格性控制,堡垒机可严格控制用户账号的使用期限及访问范围,用户只有在账号的有效期内及可操作范围内才能使用系统设备,这大大降低了运维操作风险,确保了运维操作的合法合规及安全可控,有效的杜绝非法访问和越权访问,最大限度的保护了系统设备资源的安全性。
(4)指令审核
堡垒机管理员可自定义各种敏感指令,系统会对用户指令进行触发性的审核,当发现敏感指令等非法操作时会触发系统审核机制,如果审核不通过将进行提示性警告和终止会话的操作,避免发生误操作及违规现象。
(5)全面审计
堡垒机不仅可对用户登录日志进行审计,还可对操作会话、图画等进行审计。将运维人员登录系统设备的记录及操作画面录制下来,以日志的形式记录,供事后审计查看,从而进行风险管控。
四、堡垒机在IT运维监管工作中的应用
1、安全管控
通过堡垒机的应用,对运维人员实行有效期、有权限、有章法的操作管控,从而实现安全管控的目的。由于传统的运维方式存在严重的安全隐患,在访问系统资源时往往会暴露端口信息而遭到恶意攻击,而堡垒机拥有内网访问专利技术,可避免通过互联网访问资源时暴露端口的安全风险。但堡垒机在方便企业进行安全管控的同时,系统设备的安全隐患被转移到了堡垒机上,因此,企业对堡垒机的安全性要求是非常严格的。
2、统一资源权限管理
堡垒机将系统设备的账号密码进行统一管理,运维人员只需总的完成一次堡垒机的身份认证,通过堡垒机提供的一个登录链接就可免密的对具有访问权限的系统设备进行访问,使用非常方便,不需要安装任何的软件应用,也无需再对每台系统设备进行单独的身份认证,后台程序会自动捕获已登录的用户信息从而进行识别,判断其的访问权限范围。方便了运维人员进行日常维护操作,并且面对同一个工作场景可自由切换控制而不会出现误操作的现象,使操作具有很高的安全性和可靠性。
3、全程审计
通过堡垒机的操作录像功能,将所有通过堡垒机对系统设备进行操作的全过程画面全部录制下来,一方面方便运维人员找出因操作失误带来的故障原因,从而进行操作回滚来恢复故障,另一方面为企业事后定则提供有力的证据支持。但是,由于堡垒机录制的操作画面视频大且多,在一定程度上加大了企业存储的压力。
五、结语
随着企业信息化建设的不断推进,未来投入使用的业务系统将会越来越多,企业信息运维部门的责任也将越来越重大,堡垒机在企业IT运维监管工作中发挥着不可替代的作用,可通过事前授权、事中监控、事后审计来实现对运维全过程的有效监管,解决了企业信息管理内控的风险,为企业信息化建设提供有力的保障。
参考文献:
[1]陈香芹.浅析堡垒机在医院中的应用 [J].中国新通信,2017(03).
[2]胡名坚,周春华,黄慧勇.堡垒机在医院信息安全领域的应用[J].信息化建设,2016(01).
[3]戴莹.浅谈如何运用堡垒机系统解决单位信息管理内控风险[J].网络安全技术与应用,2015(08).