随着信息化的快速发展与普及，业务运行已与信息化系统密不可分，由于业务需求的不断拓展，信息化系统的建设也在不断深入与增长，XXXX单位的业务系统变得日益复杂，信息化系统俨然已经成为了业务运行保障的重中之重，信息化系统的瘫痪会对业务带来的损失和影响不可估量，为防止信息化系统事故的发生，加强信息化系统的安全建设与管理已迫在眉睫。然而各种权威的网络安全调查结果均表明，在可统计的安全事件中，85%以上均与内部人员有关，这其中既包括恶意行为（越权访问、恶意破坏、数据窃取），也包括各种非主观故意引起的非恶意行为（误操作、权限滥用）。由此可见，规范内部人员的访问行为，特别是核心系统（主机、网络设备、安全设备、数据等）的维护行为势在必行。

传统的信息安全建设，往往侧重于对外部黑客攻击的防范，以及网络边界的访问控制，对信息系统安全威胁最大的内部人员行为却缺乏有效的管理。XXXX单位内部人员，特别是拥有信息系统较高访问权限的运维人员（如网管员、临时聘用人员、第三方代维人员、厂商工程师等），比外部入侵者更容易接触到信息系统的核心设备和敏感数据、内部人员恶意或非恶意的破坏行为更容易造成较大的破坏。然而，由于现有管理手段的不完善，账号共享情况普遍存在，以及加密、图形协议的广泛应用，使得这些运维管理人员的日常操作，存在操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操作事故无法定位等安全风险。内部人员的操作行为几乎处于完全失控的状态，一旦发生事故，其后果的严重性将是无法预估的。因此，放任内部风险的存在决不可行。

此外，随着《网络安全等级保护基本要求》的推广实施，对IT系统内部控制的要求越来越明确。从遵守国家及本行业各项法律法规的角度考虑，如等保基本要求中明确提出，要对“内部维护人员登录主机、数据库所进行的所有操作行为”、“第三方人员的维护行为”进行审计和控制。因此应满足用户对加强内部运维安全审计日益迫切的需要，实现对XXXX单位内部人员的维护行为进行全面的管理、审计，消除传统审计系统中的盲点，使XXXX单位对运维人员的操作过程，具备事前防范、事中控制、事后审计的能力.

1. 需求分析
   1. 法规标准要求
      1. 等级保护

公安部等四部委《网络安全等级保护基本要求》

 

 

 

1. 1. 1. 行业法规

财政部、审计署、证监会、银监会、保监会联合颁布的《企业内部控制基本规范》

该规范的关键点是如何把IT内控与企业内控管理统一起来，信息安全审计则成为企业IT内控、安全风险管理的不可或缺的技术手段。

萨班斯.奥克斯利法案（Sarbanes-Oxley）

该法案强调企业的信息技术策略和系统中的内部控制，以及对审计过程存档的要求，即企业的内控活动（不论是人还是机器）的操作流程都必须明白地定义并保存相关记录。

1. 2. 运维现状需求分析

随着互联网的飞速发展和信息技术的应用，金融行业，通常选择Unix/Linux主机及windows主机来运行关键业务，企业数据中心通常拥有数量众多的Unix/Linux主机及windows主机来运行电子商务、数据库应用、运维管理、ERP和协同工作群件等。企业内部甚至有数百台Unix/Linux主机及windows主机、大量的数据库系统应用、系统软件和复杂的网络系统。

面对系统和网络安全性、IT运维管理和IT内控外审，信息安全部门在运维管理网络设备和服务器时，面临如下问题：

1. 1. 1. 运维人员管理复杂

XXXX单位存在大量的网络设备，传统的登录方式很难满足迅速发展的业务需求，网络运维人员登录管理较为复杂。而且大量服务器和网络设备的用户名和密码记录在EXCEL表格里，存在泄密和诸多不安全因素。由于工作效率低、运维管理成本高等，急切要求集中登录、集中管理，实现一次登录多个资源的安全访问。

1. 1. 2. 系统密码安全问题

为了保证关键业务系统密码的安全性，安全管理员制定了严格的密码策略，比如密码要定期修改，密码要保证足够的长度和复杂度等，但是由于管理的机器数量和帐号数量太多，往往导致密码策略的实施流于形式。

1. 1. 3. 操作风险难以控制

网络运维人员，技术水平不一，在操作关键网络设备及服务器时，有可能执行了危险命令，如：reboot、delete等命令，导致大量用户无法正常访问，严重影响正常业务。

操作风险除了执行危险命令外，还包括：内部运维人员建立木马账户或者“僵尸账户”，假如用户离职，通过网络途径登录管理服务器，窃取机密信息或者对网络设备和服务器执行破坏性操作，结果是难以估量的，问题也无法跟踪。

1. 1. 1. 共享帐号安全隐患

企业的支撑系统中有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系，用户为了方便登录，经常出现多人共用帐号的情况。

多人同时使用一个系统帐号在带来方便性的同时，导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员，会使这个帐号的安全无法保证。

由于共享帐号是多人共同使用，发生问题后，无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员，带来了密码管理的复杂化。

1. 1. 2. 系统资源授权不清晰

各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加，安全性无法得到充分保证。

1. 1. 3. 访问控制策略不严格

目前，在网络管理中没有一个清晰的访问控制列表，无法一目了然看到哪个用户能够以何种身份访问哪些关键设备，同时缺少有效的技术手段来保证访问控制策略被有效执行。

1. 1. 4. 用户操作无法有效审计

各系统独立运行、维护和管理，所以各系统的审计也是相互独立的。每个网络设备，每个主机系统分别进行审计，安全事故发生后需要排查各系统的日志，但是往往日志找到了，也不能最终定位到行为人。

另外各系统的日志记录能力各不相同，例如对于B/S、C/S应用以及Unix系统来说，日志记录就存在以下问题：

在B/S、C/S应用页面中，所有的操作都无法做到记录，并且系统日志也无法对WEB界面进行记录；

Unix系统中，用户在服务器上的操作有一个历史命令记录的文件，但是用户可以随意更改和删除自己的记录；

Root用户不仅仅可以修改自己的历史记录，还可以修改他人的历史记录，系统本身的历史记录文件已经变的不可信；

记录的命令数量有限制；

无法记录操作人员、操作时间、操作结果等。

1. 1. 5. 部署合理性需求

保证系统的可管理性和审计日志的有效性，避免绕开登陆门户与审计系统的现象发生；

 

全局部署：XXXX单位采用旁路部署，集中认证与审计。

1. 1. 1. 主机灾备冗余需求

旁路的部署从一定意义上讲，降低了网络安全风险，易于解决单点故障出现的问题。但要从根本上提高网络的安全运维，必须做好灾备、冗余，已达到故障的快速恢复。具体需求：

1. 登录门户的稳定运行是保证身份及访问管理系统运行正常的关键，要求认证系统可支持灾备、冗余；
2. 加强后台账号和口令的存储管理。紧急状态下能够保证管理员有效获得账号的口令，并获得登陆目标主机的授权；
3. 支持日志归档功能包括手工与自动两种方式。操作员可以设置归档范围（类型、时间）。
   2. 传统KVM及网络审计产品缺陷
      1. 多电脑切换器（KVM）

设计初衷：便捷地登录运维企业资产，简化机房运维线路布置，节省机房内输入输出设备，节省机柜空间。

虽然实现了统一便捷的运维登陆入口，但部署麻烦，无法实现单点登陆、设备账号维护（密码变更、账号增删）、审计关联到自然人，且维护成本较高。

1. 1. 2. 网络审计产品

传统网络审计产品可以实现简单日志审计，但不支持密文协议（SSH/RDP等），无法实现细粒度的授权与访问控制，只能做到账号、IP级别审计，无法实现实名审计。

2. 解决方案
   1. 设计目标

有效管理内网运维，有效避免运维安全事故，主要实现集中账号管理、身份认证、授权管理、审计运维等功能。

1. 2. 设计原则

整体安全和全网统一的原则

资源访问的安全设计从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节，综合使用不同层次的不同安全手段，为信息网络和安全业务提供全方位的管理和服务。

标准化、一致性原则

项目安全体系的设计遵循一系列国家标准，使整个系统安全地互联互通。

需求、风险、成本折中原则

任何网络和信息系统都不能做到绝对的安全，设计时在不影响原网络性能和设计要求的情况下，在安全需求、安全风险和安全成本之间进行平衡和折衷。

实用、高效、可扩展原则

安全保障系统所采用的产品便于操作、实用高效。同时随着技术发展，信息系统也将发生各种变化，在系统实施过程中，系统的结构、配置也会发生变化，系统的安全工程要有一定的灵活性来适应这种变化，做到层次性、体系性，既有利于系统的安全，又有利于系统的扩展。

技术和管理相结合原则

各种安全技术应该与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合，从社会工程学的角度综合考虑。

1. 1. 设计理念
      1. 集中管理模式

要解决核心资源的访问安全问题，我们首先从管理模式上进行分析。管理模式是首要因素，管理是从一个很高的高度，综合考虑整体的情况，然后制定出相应的解决策略，最后落实到技术实现上。管理解决的是面的问题，技术解决的是点的问题，管理的模式决定了管理的高度。我们认为随着应用的发展，设备越来越多，维护人员也越来越多，我们必须由分散的管理模式逐步转变为集中的管理模式。

只有集中才能够实现统一管理，也只有集中才能把复杂问题简单化，集中管理是运维管理思想发展的必然趋势，也是唯一的选择。集中管理包括：集中的资源访问入口、集中账号管理、集中授权管理、集中认证管理、集中审计管理等等。

 

 

 

图3.1 集中管理

 

 

 

 

1. 1. 1. 协议代理

为了对字符终端、图形终端操作行为进行审计和监控，堡垒机对各种字符终端和图形终端使用的协议进行代理，实现多平台的操作支持和审计，例如Telnet、SSH、FTP、SFTP、Windows文件共享、Windows平台的RDP远程桌面协议、Linux/Unix平台的XWindow图形终端访问协议等。

当运维机通过堡垒机访问服务器时，首先由堡垒机模拟成远程访问的服务端，接受运维机的连接和通讯，并对其进行协议的还原、解析、记录，最终获得运维机的操作行为，之后堡垒机模拟运维机与真正的目标服务器建立通讯并转发运维机发送的指令信息，从而实现对各种维护协议的代理转发过程。在通讯过程中，堡垒机会记录各种指令信息，并根据策略对通信过程进行控制，如发现违规操作，则不进行代理转发，并由堡垒机反馈禁止执行的回显提示。

1. 1. 2. 身份授权分离

以前管理员依赖各IT系统上的系统账号实现两部分功能：身份认证和系统授权，但是因为共享账号、弱口令账号等问题存在，这两方面实现都存在漏洞，达不到预期的效果。

解决的思路是将身份和授权分离。在堡垒机上建立主账号体系，用于身份认证，原各IT系统上的系统账号仅用于系统授权，这样可以有效增强身份认证和系统授权的可靠性，从本质上解决账号管理混乱问题，为认证、授权、审计提供可靠的保障。

 

 

 

图3.2 账号管理

 

 

 

 

1. 1. 遵循与参考的标准及规范
1. 国家保密标准BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》
2. 国家保密标准BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要求》
3. 国家保密标准《计算机信息系统保密管理暂行规定》（国保发[1998]1号）
4. 国家标准GB 17859-1999《计算机信息系统安全保护等级划分准则》
5. 国家标准GB/T 18336.2-2001《信息技术安全技术 信息技术安全性评估准则第2部分: 安全功能要求》
6. 《信息安全管理技术规范》
   2. 系统架构
      1. 逻辑构架

 

图3.3 逻辑架构

 

 

逻辑构架说明：

堡垒机物理上以旁路的方式部署在运维终端与被管理设备之间的交换机上，逻辑上以串行的方式部署在运维终端与被管理设备之间。用户在访问被管理设备时，要先登录堡垒机，通过堡垒机以协议代理的方式访问被管理设备。堡垒机根据登录用户的角色和权限，在Portal上显示用户可以访问的被管理设备列表，再通过单点登录功能登录到用户要访问的设备，用户的操作行为受到堡垒机的访问控制和审计。

1. 1. 1. 设计构架

深信服运维安全管理系统由展现层、核心服务层、接口管理层三层组成。

展现层集成多种强身份认证服务；分别对系统管理员、运维SSO用户两类用户提供不同的访问操作页面。

核心服务层用于完成账号管理、授权管理及策略设置等操作；其中的协议代理包含用户输入模块、命令捕获引擎、策略控制和日志服务。

接口管理层用于实现审计结合、账号同步、认证结合等方面的数据接口工作。另外也包含应用发布服务，应用发布服务可以实现对B/S、C/S、半B/S半C/S系统的单点登录及审计工作。

系统整体架构图如下：

 

 

图3.4 整体架构

 

 

 

 

核心服务层负责完成命令的采集、策略动作执行等功能。核心服务层安装在服务器上，同用户使用环境和习惯相配合，完成对用户行为的监视与控制功能。

统一账号管理

管理员通过主账号信息管理界面维护主账号的整个生命周期，对主账号进行增加、修改、删除及锁定、解锁等操作，同时设置主账号的密码使用策略及用户的级别定义。

主账号用户可以通过个人信息维护功能来功能管理自身账号信息，对手机、邮件及密码等个人信息进行修改。

单点登录

用户登录到堡垒机后，直接选择目标资产及从账号，由堡垒机完成账号及密码的代填，实现自动登录。

自动捕获用户命令行输入，智能识别命令和编辑输入

核心服务层可以自动捕获用户命令行输入，如ls、ps、ifconfig等。

核心服务层支持多行长命令的捕获，多行命令的编辑操作（如回退，DEL，光标移位等）不影响命令捕获结果。核心服务层智能的支持历史操作，支持UP，DOWN功能键，支持对历史操作命令的抓取，支持对以“！”方式执行历史命令的控制和相关命令抓取。核心服务层智能识别编辑状态和命令状态，支持对所有shell下命令的抓取，支持mysql、telnet、ssh等客户端程序内部呈现命令的捕获功能。

支持TAB补齐等Readline功能

核心服务层支持命令的TAB补全，支持回退键、删除键、方向键等功能键。

支持组合命令的动作审计

核心服务层支持命令的组合使用，支持管道“|”，支持逻辑或“||”和与“&&”操作，支持分号命令“;”。核心服务层支持拒绝和允许两个策略动作。

对拒绝的命令，核心服务层能够保证该命令不被执行，忠实地履行安全策略执行动作。

1. 1. 系统功能

堡垒机采用系列先进技术，成功实现命令及图形的捕获与控制，为服务器的安全运行提供了强有力的系统工具。

1. 1. 1. 逻辑命令自动识别技术

控堡垒机自动识别当前操作终端对服务器的命令操作，对当前终端的输入输出进行控制，组合输入输出流，自动识别逻辑语义命令。系统会根据输入输出上下文，确定逻辑命令编辑过程，进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能，在传统键盘捕获与控制领域取得新的突破，可以更加准确的控制用户意图。

该技术能自动识别命令状态和编辑状态以及私有工作状态，准确捕获逻辑命令。

1. 1. 2. 分布式处理技术

堡垒机采用分布式处理架构进行处理，启用命令捕获引擎机制，通过策略服务组件完成策略审计，通过日志服务组件存储操作审计日志，并通过实时监视中心，实时察看用户在服务器上的行为。

这种分布式设计有利于策略的正确执行和操作记录日志的安全。同时，各组件之间采用安全连接进行通信，防止策略和日志被篡改。各组件可以独立工作，也可以分布于不同的服务器上，亦可将所有组件安装于一台服务器上。

1. 1. 3. 图形协议代理

为了对图形终端操作行为进行审计和监控，堡垒机对图形终端使用的协议进行代理，实现多平台的多种图形终端操作的审计，例如Windows平台的RDP方式图形终端操作，Linux/Unix平台的VNC方式图形终端操作。

1. 1. 4. 多进程/线程与同步技术

堡垒机主体采用多进程/线程技术实现，利用独特的通信和数据同步技术，准确控制程序行为。多进程/线程方式逻辑处理准确，事务处理不会发生干扰，这有利于保证系统的稳定性、健壮性。

1. 1. 5. 数据加密功能

堡垒机在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性，防止恶意用户截获和篡改数据，充分保护用户在操作过程中不被恶意破坏。

1. 1. 6. 审计查询检索功能

自从《萨班斯法案》的推出，企业内控得到了严格的审查，企业的内部审计显得非常重要。

堡垒机能够为企业内部网络提供完全的审计信息，这些审计信息能够为企业追踪用户行为，判定用户行为等，能够还原出用户的操作行为。

传统审计关联到IP，这本身是一个不确定的和不负责任的审计结果，因为IP信息不能够真实反应出真实的操作者是谁，从而企业内部网络出现问题不能追踪到操作者。堡垒机能够对这些用户行为进行关联审计，就是说真正能够把每一次审计出的用户操作行为绑定到自然人身上，便于企业内部网络管理追踪到个人。

1. 1. 7. 操作还原技术

操作还原技术是指将用户在系统中的操作行为在真实的环境中模拟显现出来，审计管理员可以根据操作还原技术还原出真实的操作，以判定问题出在哪里。

堡垒机采用操作还原技术能够将用户的操作流程自动地展现出来，能够监控用户的每一次行为，判定用户的行为是否对企业内部网络安全造成危害。

1. 部署实施
   1. 部署模式
2.  

 

图4.1 部署图片

 

 

 

如图4.1所示，堡垒机旁路部署在用户网络，并通过防火墙策略实现，客户端到堡垒机及堡垒机到目标服务器的端口限制。

从客户端到堡垒机，需要开放的堡垒机端口如下表所示。

 

 

端口号	说明	确认
22	ssh
443	https
444	数字证书认证	可选
12021	ftp（OSM到客户端跟进FTP Server回包端口动态协商）
12024	ssh/sftp客户端工具
12025	Rdp客户端工具

从堡垒机到目标服务器，需要开放目标服务器上的端口如下表所示。

端口号	说明	确认
20	ftp/sftp(主动模式)
21	ftp/sftp(主动/被动模式)
22	ssh
23	telnet
25	邮件告警端口
80	http
389	AD  ldap
443	https
1812	radius(udp)
3389	rdp
8080	useragent
1433	sqlserver
1521	oracle
3306	mysql
8000	sybase

注：xwindow，vnc，数据库或者应用类的端口，我们无法提供标准文档，请视实际情况而定。ftp连接，如果是被动模式，还会动态协商出一个端口，这里无法具体给定。

1. 1. 工作原理
2.  

图4.2 工作原理

 

 

 

 

说明：由于堡垒机访问模式为单臂模式（不需要串行于网络）只需将堡垒机A部署在于1区服务器相同的拓扑位置。

当用户访问设备时，堡垒机完成对telnet（23）、ssh（22）、RDP（3389）等协议的协议代理，依照（1）、（2）、（3）、（4）的顺序访问具体设备，在堡垒机上完成对设备的单点登录及完整的会话审计。

 

 

冗余部署简图：

下图为单组堡垒机及应用发布的冗余部署方案：

 

 

 

 

图4.3 堡垒机冗余部署图

 

 

 

设备管理员访问Web负载机M1和Web负载机M2：

1. M1，M2共同虚拟出虚拟IP10.100.80.200供设备管理员访问；
2. M1，M2通过直连线实现业务数据的同步复制，保证主备机业务数据的实时同步；
3. A区中共部署两台应用发布机（windows2003 SP2）供用户单点登录使用。在堡垒机资源录入阶段将资源绑定在两台应用发布机中，这两台应用发布机（A1，A2）均为在线状态。

数据复制说明：

1. M1,M2通过直连线实现业务数据同步，业务数据同步方向为双向；
2. 冗余方案不同步行为审计信息，若主机出现宕机，在备机上产生的行为审计信息不实时同步到主堡垒机，方案提供文件导入方式从备机到主机的行为审计导入（非实时）。
   1. 实施过程
      1. 实施前调研

系统部署实施前，由我司本项目全体人员和用户参与该项目的相关人员共同组成项目组对用户方的设备的情况、具体管理要求等进行详细调研，共同制定产品实施方案。

我司项目组将根据调研的结果做出书面的产品实施方案。项目组将反复讨论方案的实际符合性和可行性，在其过程中可以根据XXXX单位的要求进行产品方案的调整，使其更加符合XXXX单位的实际功能需求。最后确定最终的实施方案和时间安排，根据确定的方案和时间安排进行本项目的产品部署实施。

1. 1. 2. 设备上线与网络调试

根据前期调研形成的设备上线方案，将堡垒机产品接入网络并调整好网络配置，配合部署，调整访问控制设备或其他设备上的网络访问策略。

1. 1. 3. 拆箱检查

在打开包装之后，请您先检查随机附带的电源线，网线，随机附件等是否齐全。所有部件请对照装箱单检查，如有缺损请及时与销售人员联系。

注意：取出设备后，不要将外包装丢弃，在需要搬运时，需要使用原包装，它是为您的审计设备专门设计的包装，具有良好的防震功能。每当您需要维修服务时也最好用原包装将审计设备返回到公司维修服务部门。

 

 

物品名称	数量
堡垒机设备	1
电源线	1
随机光盘	1
小托架	1
装单箱	1

 

 

每台设备有固定的序列号，且唯一。

1. 1. 4. 自然人、资源、策略配置、组建立

项目组工程师根据调研与梳理阶段形成的相关报告，结合本项目中用户的实际管理需求，在系统中配置自然人、资源、策略，创建相应角色及管理员，进行分组配置、自然人与资源关联映射配置及策略配置。

1. 1. 1. 1. 用户组的建立

对于用户组的建立一般遵从用户的行政划分如：系统组、应用组等。

1. 1. 1. 2. 资源组的建立

依照业务类型进行建立：

对于资源组的建立也可以参考具体资产所承载的业务类型如：邮件

系统等。

1. 1. 1. 3. 主机接入
1. 依照资产调研中获取的调研表格创建各种类型的堡垒机资源；
2. 资源对象创建后对可进行账号收集的设备进行账号收集，对于难以完成账号收集的设备可以采用手工录入的模式；
3. 对需要访问（可根据人员授权调查表进行统计）的从账号进行密码的设置（无法通过技术实现获取用户密码）。
   1. 1. 4. 授权关系建立

1. 依照普通访问用户调研中获取的调研表格建立普通访问用户；
2. 依照普通访问用户的授权列表，建立普通访问用户与具体从账号的授权关系。
   1. 5. 系统培训与初运行

 

经过调研、梳理与上线部署配置，基本完成了实施阶段安装工作，在上线部署的同时，需对项目相关IT管理员做初步的系统培训，以掌握必要的知识参与到系统初运行中。

1. 1. 1. 系统初验、试运行与终验

系统初运行是系统上线后的运维过渡期，经过这个阶段的调整，系统基本满足用户运行要求，并进行了项目初步交接，可进行系统初验；初验完成后，系统将试运行50个工作日左右，之后无故障后进行系统终验。

在基础信息及整体方案形成后，就可以进入试运行阶段。在试运行阶段，用户可以将正常运维的内容转移到堡垒机中来完成，从而熟悉堡垒机的基本功能。在此阶段可以不用增加限制策略，当充分熟悉系统运行流程后再进行限制。此阶段可兼顾正常业务的访问（不要切断正常业务的访问路径），以免出现问题不易解决。

本阶段的步骤包含：

运维用户使用（正常办公使用）；

管理员使用（审批、审计、基本信息创建等）。

1. 1. 2. 堡垒机运行管理阶段

在运行管理阶段，是在用户已经熟悉整个堡垒机功能的基础上的限制阶段。管理员可以按照相应的管理办法或条例增加访问控制策略和防火墙策略。此阶段可兼顾正常业务的访问（不要切断正常业务的访问路径），以免出现问题不易解决的情况，用户可以等到稳定阶段再关闭此路径。

在此阶段包含以下步骤：

1. 地址策略配置（可选）；
2. 时间策略配置（可选）；
3. 命令策略配置（可选）；
4. 密码策略配置（可选）；
5. 防火墙端口限制，访问限制（可选）。

用户在运行稳定阶段可以将之前的部分业务路径关闭，可以只通过堡垒机正常运维，从而充利用本系统来为用户服务。

关闭其他访问路径（可选），以以下策略为例：

序号	规则	规则意义
1	Deny 23	关闭telnet
2	Deny 22	关闭ssh
3	Deny 3389	关闭终端服务
4	Deny 7100	关闭X-windows

 

1. 1. 3. 变更管理

当项目在实施过程中有需要进行变更的情况下，实施组需要提交书面文档《项目变更报告》给项目管理组，项目变更说明要说明变更的具体原因、变更的解决方案等，由项目管理组召开项目会议进行讨论，重新研究变更后的方案，并且对变更后的方案进行验证。

1. 1. 4. 管理职能的划分

用户管理归属XXXX单位相关部门负责人。

策略制定归属：XXXX单位相关部门系统管理人员。

监控职能归属：XXXX单位相关部门系统审计人员。

1. 1. 5. 管理权限的划分

系统管理权限分为三类：系统管理员、系统操作员、审计员；系统管理员主要负责对设备和系统用户的管理、系统的日常维护等工作；系统操作员负责对全县范围内的设备进行管理等工作；审计员负责对系统管理员员、系统操作员的预警和审计。三类用户之间权限互不干扰，完全独立各自负责各自权限完成自身的工作。

50. 各组管理员账号

系统上线初期由堡垒机初始化用户建立各组管理员账号。组管理员账号归各机构专人所有。

50. 安全审计员账号

安全审计员账号归专人负责。安全审计员只有日志查看的权限，无法进行主账号的建立及授权。

1. 1. 6. 组织结构策略规划

可以按照单位部门的划分方式进行划分，根据不同的业务进行不同的区域划分制定相应的管理策略。

可以根据网段进行划分，根据网络日常维护习惯进行网段划分。

1. 1. 7. 测试区域的规划

对于系统的测试非常必要，对于设备种类、数量多的用户来说，使用堡垒机必须要进行区域性的测试，通过测试可以熟悉产品、发掘更多的符合实际情况的运维需求。

通过在某一区域进行产品的部署，完成对产品功能的实现测试，通过试运行等工作检验产品在实际网络中的运行状况和实用性。

1. 1. 8. 系统测试

工作目标：对堡垒机进行全面的技术测评，保证系统能够符合合同规定要求。

工作内容：测试堡垒机工作是否正常、安全策略是否有效，及其是否存在其他安全隐患。

项目组分工：XXXX单位用户协调相关测评部门，厂商技术人员积极配合做好这项工作。

实施周期：产品部署结束，试运行一周时间后开始测试测评。

1. 1. 9. 系统验收

工作目标：通过项目验收。

工作内容：对堡垒机进行最终的验收工作，评定项目，形成项目文档。

项目组分工：根据合同条款进行项目的验收工作，项目经理和实施组的人员积极配合做好这项工作。

验收流程：按技术规范书的要求对其产品的性能和配置进行测试检查，并做出《测试报告》。

验收标准：在技术规范书规定的地点和环境下,实现正常运行,并达到技术规范书要求的性能和产品技术规格中的性能。

验收条件: 软件产品测试中出现性能指标或功能上完全符合规范书和合同时，项目单位才予以验收。

验收时间：视项目最终完成时间组织验收。

1. 方案优势
   1. 技术成熟性

堡垒机在开发研制中，我们尽量采用了成熟的先进技术，对系统的关键技术在前期的工作中进行了大量实验和攻关及原型建立，在已开发并经广泛测试的产品中，上述的关键技术问题已解决。而且，堡垒机所选取的硬件平台和软件平台，是具有良好的技术支持和发展前途的成熟产品。

50. 完善的高可用性

支持双机热备方案、双网卡冗余，可以避免服务的中断保证系统长期、可靠的运行。

50. 严格的访问控制

实现基于命令级的黑白名单控制；支持时间，地址等访问控制策略的自定义，并可以针对主从账号及授权关系进行策略控制；支持主账号的MAC地址绑定；支持以FTP策略的形式对FTP/SFTP方式文件传输进行限制。

50. 更贴近企业的人性化设计

所有业务数据以树形结构展现，很好的模拟企业的组织结构，支持工作岗位自定义；支持堡垒机管理角色自定义（控制堡垒机功能管理及审计）；支持自然人及资源的流程管理；支持双人共管账号及主副岗的工作方式；支持主从账号，资源及授权关系的批量操作，使得运维管理工作大大简化。

50. 强大的资源及帐号管理功能

支持以任务计划的形式对Windows/Windows AD，Linux/Unix类资源的账号收集及口令变更。

50. 丰富定制开发经验

支持B/S结构系统的单点登陆、支持C/S的第三方软件客户端的单点登陆的定制开发、IPV6支持定制等。

50. 贴合实际的使用功能

SSH协议代理支持SecureCRT软件的Session Clone及Send To All等复杂的功能。

50. 强大的查询统计

业务数据支持实时同步，可以灵活的按照各种查询条件进行查询统计，查询用户的行为。

1. 2. 业务需求可靠性

我们进行了详细的需求调研和业务建模，使业务管理模式和业务内容（包括岗位设置、工作程序及其要求等）均符合我国现行法律、法规的规定和要求；并且，有机地融合了集中和分布两种模式的模块化、平台化的应用软件，不仅可以满足网络安全管理的各种需求，而且，还能够较好地解决业务需求可能面临的扩充及变动，具有较好的通用性与灵活的扩展及升级能力。

1. 3. 可扩展性

在保证系统接口统一性和系统结构完整性的前提下，本系统提倡在总体设计的前提下，分步实施系统的每一个环节，保证了接口统一和系统结构完整性的设计，避免重复建设、重复投资、系统接口不吻合、业务关联脱节等等弊端。

1. 4. 安全性

堡垒机运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段，建立健全的系统安全机制，保证了用户的合法性和数据不被非法盗取，从而保证产品的安全性。

1. 5. 宿主操作系统安全
1. 堡垒机操作系统经过裁剪,不含无用功能 ,从而减少漏洞；
2. 在生产部署模式中会关闭堡垒机外联网口的直接访问功能,若对本机管理只能在机房通过直连并且正确认证才能管理,从而做到无安全死角；
3. 堡垒机采用 HTTPS访问协议并使用安全证书认证(可与第三方CA结合) ,从而保证了认证安全及通讯的数据安全。
   1. 1. 安全漏洞

本系统经过严格的漏洞扫描流程

下图为报告漏扫报告：

 

图5.1 漏洞扫描结果图

 

 

图5.2 端口列表

 

 

1. 1. 1. 产品安全保障

由于堡垒机处于用户访问管理的核心位置，必须保证其自身系统的安全性。所以我们设计产品时主要考虑如下几个方面的要求：

50. 系统安全

堡垒机在设计过程中的内部流程、开发规范、接口规范符合业界相关的安全规范和安全要求；

堡垒机在设计中，需要避免了不必要的信任关系，要求高安全级别的系统访问低安全级别系统，避免存在一定安全隐患的系统将风险转移到堡垒机。

50. 数据安全

堡垒机中的敏感性数据，如用户信息、密码信息、审计信息等支持加密方式存储。加密算法的类型兼顾与本系统内其它模块之间的配合通信。

50. 通讯安全

堡垒机内部模块之间通讯连接采用加密方式；堡垒机同其它系统间互通在性能允许情况下支持安全的加密通讯连接。

1. 1. 2. 组件间通讯安全

 

 

图5.3 堡垒机组件通讯示意图

 

 

图5.3是系统各关键组件之间通讯的方式/协议汇总：

1. 用户访问堡垒机可选择采用HTTP或HTTPS协议；
2. 用户登录数据库设备采用呼起数据库访问客户端的方式；
3. 用户访问字符型堡垒机采用telnet或SSH协议进行访问传递的认证信息为一次性的认证口令；
4. 字符堡垒机到设备访问采用telnet或SSH协议进行访问；
5. 用户访问图形堡垒机采用RDP协议进行访问；
6. 认证服务器通过raidus实现网络设备的认证；
7. 目录之间的同步可以通过LDAP或LDAPS加密协议完成。
   1. 应急处理

部署堡垒机后用户对设备的运维操作均需通过堡垒机进行，以确保访问行为安全、可审计。

而堡垒机应急处理方式主要取决于实施过程所采用的访问控制方式。

堡垒机在推广使用过程中一般有两种访问控制方式分别是口令修改方式和网络ACL方式。

下面就对以上两种方式的应急处理进行简单的说明。

1. 1. 1. 采用口令修改访问控制方式时的应急

为确保所有设备维护人员必须通过堡垒机访问设备，通用做法之一就是将相应的设备账号口令进行修改，正确设备口令均存储在堡垒机中，堡垒机会定期的将所有设备或部分设备的账号名/口令进行备份并以邮件或其他方式发送加密信封给少数高权限管理员。

应急方法:当堡垒机出现短期无法恢复的宕机情况时，高权限管理员可直接将响应设备账号/口令发送至普通访问人员手中以确保能够正常登陆设备完成业务。

1. 1. 2. 采用网络ACL访问控制方式时的应急
   2.  

 

图5.4 交换机ACL示意图

 

 

为确保所有设备维护人员必须通过堡垒机访问设备，另外一种常用做法为网络ACL方式。

如图5.4，在部署堡垒机后在办公域与生产设备安全域两个区域之间的防火墙ACL（或交换机ACL）限制用户到具体生产设备域的几个标准运维端口的访问，如：telnet(23)、SSH(22)、RDP（3389），并将堡垒机访问端口例外。具体防火墙策略可参看下表：