中图分类号:G64文献标识码:A 文章编号:1672-3791(2015)01 (b)-0000-00
1企业网络安全典型现状分析
随着信息技术的不断发展和信息化建设的不断进步,办公系统、商务平台的不断推出和投入运行,信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中企业和门户网站,更是使用数量较多的服务器主机来运行关键业务。
1.1 企业管理现状
随着网络安全威胁日益增多,单纯来自于外界的威胁变得有限,更多的、更严重的威胁来自于内部,或由内外勾结所产生的破坏。企业生产数据面临被内部人员篡改、删除、窃取,主机被关机、设备配置被修改,导致企业生产停顿、商业资料泄露,给企业造成巨大的损失。目前企业机构的运维管理总体上有以下三个特点:
1、关键的核心业务都部署于Unix和Windows服务器上。
2、应用的复杂度决定了多种角色交叉管理。
3、通过Telnet, SSH, FTP, RDP等方式进行远程管理。
1.2 企业管理中存在的问题分析
1、账号管理工作问题
由于共享帐号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员,带来了密码管理的复杂化。同时还造成密码策略无法有效执行;帐号授权不清晰;访问控制策略无法严格执行的问题。
2、审计工作问题
审计问题主要包括:缺乏帐号分配审计;缺乏用户使用相应帐号的授权审计;缺乏用户登录登出系统的审计;缺乏用户对系统访问行为审计这四个方面。而且,由于各系统的日志记录能力各不相同,例如对于Unix系统来说,日志记录就存在以下问题:
(1)Unix系统中,用户在服务器上的操作有一个历史命令记录的文件,但是用户可以随意更改和删除自己的记录;
(2)root用户不仅仅可以修改自己的历史记录,还可以修改他人的历史记录,系统本身的历史记录文件已经变的不可信;
(3)记录的命令数量有限制;
(4)无法记录操作人员、操作时间、操作结果等。
综上所述,企业现状迫切要求企业内部规范管理,通过内控堡垒主机实现企业内部网络的合理化,安全化,专业化,规范化,充分保障企业资源安全。
2堡垒主机的作用和功能发展
2.1 堡垒主机概述
堡垒主机是一种被强化的可以防御进攻的计算机,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。堡垒主机是网络中最容易受到侵害的主机,所以堡垒主机也必须是自身保护最完善的主机。
2.2 堡垒主机平台系统的发展及解决思路
2.1.1旁路审计
操作审计管理主要审计操作人员的帐号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后,操作审计能更好地对帐号的完整使用过程进行追踪。
所谓的旁路审计可以针对常见的明文协议,如TELNET/FTP/HTTP等,采用镜像监听技术从旁路对协议报文进行审计。
它主要存在的问题是无法对密文协议如:SSH/RDP进行旁路审计以及审计信息不可读(实名、信息量)等。解决思路就是采用审计双向备份及审计查询检索技术等。
2.1.2集中登录
集中登录是指先登录管理作业服务器,然后转换身份再对相关服务器进行维护。属于多用户单帐号管理方式,这种登录方式的主要问题是:
1.多用户共享root帐号,权限划分不明,所有人员都具有最高的ROOT权限。 2.无法跟踪某个管理员的确切操作。 3.依靠各自服务器的日志信息,审计信息不可读。
解决集中登录的问题可采用单点登录或者连续跳转登录技术。
2.1.3身份授权分离
以前管理员依赖各IT系统上的系统帐号实线两部分功能:身份认证和系统授权,但是因为共享帐号、弱口令帐号等问题存在,这两方面实现都存在漏洞,达不到预期的效果。
解决的思路是将身份和授权分离。在堡垒主机上建立主帐号体系,用于身份认证,原各IT系统上的系统帐号仅用于系统授权,这样可以有效增强身份认证和系统授权的可靠性,从本质上解决帐号管理混乱问题,为认证、授权、审计提供可靠的保障。
3基于堡垒主机的加固解决方案
3.1 极地银河内控堡垒主机概述
极地银河内控堡垒主机是一种被加固的可以防御进攻的计算机,能够具备很强安全防范功能。极地银河内控堡垒主机是在整个 Unix/Linux主机系统的扮演着看门者的工作,所有的请求都要从这扇大门走过,它拦截所有用户的非法访问,和恶意攻击,过滤掉所有对目标访问Unix/Linux设备的非法行为,对不合法命令进行命令阻断。
极地银河内控堡垒主机支持多信道通信,用户只需要在一点便可以登录到不同的 Unix/Linux设备上进行工作,无需在不同的机器上分别登录,大大的节约了系统管理员的时间,从而提高了工作效率。
3.2 系统总体技术功能
3.2.1统一的WEB方式管理 使用极地银河堡垒主机,无论管理员还是用户,都采用同意的WEB方式管理, 用户登录堡垒主机后可以看到所有授权资源列表,访问资源时不用再输入帐号和密码,做到真正的单点登录。系统内部提供认证服务器组件,所有对资源的访问都是认证服务器提供的临时会话号,即使会话号被截获,也无法通过此会话号再次访问资源,提高资源访问的安全性。
3.2.2 支持强认证和数字加密功能
系统可以方便的集成各种强认证方式,如证书认证、智能卡认证、短信认证甚至人体特征认证(指纹、视网膜等)方式。极地银河内控堡垒主机在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性。防止恶意用户截获和篡改数据。充分保护用户在操作过程中不被恶意破坏。
3.2.3审计双向备份技术
审计双向备份指的将用户的行为审计信息记录在本地和发送到指定的服务器,进行双向写入,使得重要的用户行为审计信息能够得到安全的管理,避免丢失数据无法查证,提高审计信息的安全性,管理员自身也可以通过某种技术手段将这些重要的审计信息保存或备份到其他的存储设备上。定期的归档和调阅。
3.3系统部署
极地银河内控堡垒主机能够架设在企业内部网络的 Unix/Linux主机之上,是一道安全屏障,因此企业内部 Unix/Linux主机不需要担心任何安全问题,可以全身心投入到业务处理中。
它在部署过程中不需要任何客户端代理或服务器端引擎;部署不影响现有企业网络拓扑结构,不影响业务数据流。同时,堡垒主机支持了双机热备、支持集中管理分级部署,完全可以实现快速上线使用。
4总结
通过对内控堡垒主机从而加固企业网络安全平台的测试,真正做到对于内部网络的严格管理,可以控制、限制和追踪用户的行为,判定用户的行为是否对企业内部网络的安全运行带来威胁。
