堡垒主机信息安全系统的探究论文.doc

堡垒主机信息安全系统的探究论文 互联网中的信息系统安全是企业生产中的重要部分针对目前信息系统中存在的问题选用堡垒主机解决方案加强现有系统系统安全本文构建了一种基于软件的堡垒主机实施部署到现有网络中具有实施容易、维护方便的特点有效降低了非法操作和系统故障等安全问题证明了系统的有效性 0引言 年中华人民共和国国家质量监督检验检疫总局发布了GB/T22239信息安全技术信息系统安全等级保护基本要求后信息安全等级保护制度已经成为我国信息安全保护工作的基本国策实行信息安全等级保护具有重大的现实和战略意义 根据公安部发布的相关文献从近些年来年来等级保护安全测评的结果分析中可以看出信息系统中容易出问题的部分主要是账号管理、权限管理和审计分析等几个方面例如：多人共用一个账号;用户权限分配没有遵循最小化原则;未限制设备管理方式;未开启审计或未进行审计分析等 为解决上述问题可以通过修改服务器配置信息以及网络设备的配置可以进行防范随着智能终端的出现网络传播技术的不断提高交换机、路由器等网络设备的管理将便捷许多操作人员可以通过网络对网络设备进行远程操作然而由于复杂的网络环境存在着大量的潜在攻击行为在方便快捷的同时操作人员通过网络与网络设备通信存在着严重的安全隐患针对这种情况需要对现有服务器进行改造涉及到大量信息系统的安全维护操作其复杂性和环境的不确定性造成这种方式的实施起来极其困难 1企业应用中的安全问题 在企业应用中目标设备之间通过互联网络进行通讯操作人员也通过互联网远程访问目标设备目标设备需要对操作人员开放相应的接口由于互联网的开放性非法操作人员或潜在非法操作人员很容易通过相应的接口登入系统进行操作给网络安全带来隐患 通过对现有系统在应用中出现问题进行分析目前系统中存在的安全隐患主要有： (1)存在潜在非法操作人员对网络终端进行非法操作;(2)目标设备与操作人员无法进行统一管理;(3)操作人员的误操作无法有效避免;(4)操作人员的操作记录历史追踪无法实现 通过对现有信息系统以及网络安全需求分析结合企业现状选取部署相关安全产品到网络中作为安全模块对整个网络进行安全保护即堡垒主机 2堡垒主机 堡垒主机是一种运维管理系统可以完成账户管理、授权管理和综合审计等功能完成集中认证和运维审计的作用该类产品对操作人员提供多种远程管理方式并能够对操作人员以远程方式对服务器主机、网络设备、数据库的操作行为过程进行监控和审计管理以及对违规操作行为进行实时报警、阻断 通过堡垒主机可以有效的提高操作人员与网络设备之间通信的安全性并且可以对操作人员及远程操作进行集中管理在确保通信安全的基础上实现管理的统一本文所述的堡垒主机产品为软件堡垒主机没有运输成本部署简单升级简便性能及功能可定制在部署前仅需要找到一台信任主机即可堡垒主机被部署到内网主机上并且对要访问的目标设备进行绑定设定仅堡垒主机才可以对目标设备进行访问所有操作人员都要先登录到堡垒机上然后才可以访问目标设备堡垒主机自身具有认证及授权等功能可以有效的屏蔽非法操作人员的访问 3主要功能 本文所述的堡垒主机的主要功能有账户管理、角色管理、设备管理、黑名单管理和操作记录查询等主要功能 (1)账户管理对于堡垒主机的账户采用一用户一账号的原则用户需要通过自己的账户才能登录堡垒主机不存在用户共享同一个账户有效避免出现事故时无法追述问题原因和责任人的问题另外在用户的身份认证时对用户的账号及所在IP进行绑定如果账户与登录的IP不匹配将无法登录加强了身份认证机制实现集中身份认证和访问控制避免冒名访问提高访问安全性 (2)角色管理针对不同的操作人员进行角色管理不同类别的角色具有不同的操作权限操作人员需要根据自身账户的角色等级来访问可操作的目标主机及该目标主机的资源在便于任务分工及责任划分的同时有效的降低操作人员错误操作的可能 (3)设备管理管理目标设备信息堡垒主机对管理目标设备的数量无限制可以任意添加 (4)黑名单管理堡垒主机将对操作人员的操作进行实时监测如果某些操作被管理员禁止那么该操作将无法完成如：关机、重启等操作通过黑名单管理指定人员将不具备该操作权限提高操作的安全性访问记录查询通过该功能可查询目标主机在某个时间段内有人操作人员登录过当目标主机因操作不当而引发障碍时结合操作记录查询可快速排查障碍原因并找到责任人解决问题避免不必要的损失 (5)操作记录查询对操作人员的所有操作进行记录当因操作人员的错误操作而引发障碍时通过该功能可快速找出该操作人员避免责任划分不清问题 4结语 堡垒主机能够解决集中账号管理、细粒度的权限管理和访问审计的问