在所有内部隐患中，一种由IT系统“权贵”人员及其操作引出的非传统的安全隐患日益凸显，是所有安全事件中最主要的安全威胁……内控堡垒主机（堡垒机）作为内网安全治理的一种有效技术手段应运而生。

　　内网安全威胁的“终结者”

　　当信息技术在企业中的地位，从一个仅在局部起支撑作用的工具，变成企业赖以日常运营的基础平台；毫无疑问，内网信息安全问题，也就从一个仅是影响企业运营效率的小问题，变成了直接影响到企业生死存亡的大问题。

　　甭管什么企业，概不例外。据相关调查数据显示，世界上每一分钟就有2个企业因为信息安全问题倒闭，有11个企业因为信息安全问题造成大约800多万美元的直接经济损失。在信息化的列车将人类带进信息科技为主要特征的时代，企业内网信息安全问题，已经成为企业生死荣辱的“命门”。

　　经过数十年的信息安全技术产业的高速发展，从防病毒、防火墙、IDS老三样，到身份认证、数据加密、应用安全、终端加固等各种新技术，企业内网各种信息安全问题，有了很多全面解决方案。然而，一个危害甚重的信息安全软肋，却一直不为人们所重视，这就是企业信息网络中的所谓“权贵”人员和操作，即拥有各系统设备的高级管理权限的人员及其日常对系统维护管理工作。他们可谓对内网系统和数据，拥有最高的权限，一旦这些人员和操作出现安全问题，其后果将不堪设想。尤其在信息化程度特别高的一些大型机构和企业内网中，这个安全“软肋”体现得越加明显。

　　毫无疑问，这是内网安全最后，也是最根本致命的威胁，如何防范这个日益明显的威胁，成为内网安全和企业内控的新课题。有人说，最新在全球流行的内控堡垒主机（简称“堡垒机”）将成为这个威胁的“终结者”，能够很好帮助系统管理人员高效率安全地进行内网复杂的后台系统设备管理，同时防范管理过程中可能出现的各种安全问题。

　　那么，堡垒机是否真如其名一样稳固可靠，它技术和原理又是如何呢？国内主流的堡垒机产品产业现状又是怎样？请看笔者的采访和调查。

　　内网信息安全

　　“权贵”人员和管理操作成短板

　　随着全球信息技术的不断发展和信息化建设的不断进步，一些重要机构和大型企业信息化水平得到飞速提升，其办公系统、 商务平台的不断推出和投入运行，信息系统在企业的运营中全面渗透。尤其是电信、财政、税务、公安、金融、电力、石油等重要行业的大型机构和企业内网中，更是使用数量较多的服务器主机来运行关键业务。

　　这种情况下，企业对IT系统的依赖程度也越来越高，各类业务系统也变得日益复杂。就一个信息化程度很高网络信息系统而言，其针对传统的信息安全问题防护，已经比较完善，其最大的威胁和破坏来自企业内部。据国内领先的专注内网安全的极地安全公司技术团队对用户调研数据显示，8.5%的安全问题导致网络数据破坏，11%的安全问题导致数据失密，23%的病毒程序感染问题导致系统短暂故障，而从恶意攻击的特点来看，70%的攻击来自组织内部。

　　内网安全威胁的“终结者”

　　在所有内部隐患中，一种由IT系统“权贵”人员及其操作引出的非传统的安全隐患日益凸显，是所有安全事件中最主要的安全威胁。所谓IT系统“权贵”人员，即拥有企业内网各种IT系统软硬件设备管理权限的人员，这些人员可能包括：系统管理员、系统运维人员、系统应用高权限用户、第三方厂商的维护人员以及其他临时高权限人员等。这些人员本身所拥有的高权限账号和其在操作过程中的各种动作，都带来日益明显的安全隐患。

　　这些隐患所产生的新问题，归结起来包括以下五个主要的问题。

　　这些隐患所产生的新问题，归结起来包括以下五个主要的问题。

　　其一，共享账号带来的安全问题。在企业内网IT系统管理中，共享账号是很常见的管理方法，其好处显而易见，既能节约了帐号管理成本，又降低了本地溢出的风险……但是，随着IT系统复杂性几何级提升，共享账号带来明显的隐患，这是因为等。这就是说，很多人共用一个账号，就使得帐号不具有唯一性，而且密码难以有效管理，最关键的是一旦该账号出现安全问题，责任难以认定到人，这就不符合国家关于信息安全“谁使用，谁负责”的原则。

　　其二，权限控制带来的安全隐患。大多数企事业单位的IT运维均采用设备、操作系统自身的授权系统，各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加。安全性无法得到充分保证。

　　其三，访问控制带来的安全隐患。目前的常见对系统管理员账号管理中，没有一个清晰的访问控制列表，无法一目了然的看到什么用户能够以何种身份访问哪些关键设备，同时缺少有效的技术手段来保证访问控制策略有效地执行。尤其是针对许多外包服务商、厂商技术支持人员、项目集成商等在对企业核心服务器、网络基础设施进行现场调试或远程技术维护时，无法有效的记录其操作过程、维护内容，极容易泄露核心机密数据或遭到潜在的恶意的破坏。

　　其四，系统审计带来的安全隐患。企业内网各IT系统独立运行、维护和管理，所以各系统的审计也是相互独立的。审计的机制、格式和管理都不尽相同，就会带来各种问题。例如，每个网络设备，每个主机系统分别进行审计，安全事故发生后需要排查各系统的日志，但是往往日志找到了，也不能最终定位到行为人。

　　其五，面临安全合规性法规遵从的压力。为加强信息系统风险管理，政府、金融、运营商等陆续发布信息系统管理规范和要求，如“信息系统等级保护”、“商业银行信息科技风险管理指引”、“企业内部控制基本规范”等均要求采取信息系统风险内控与审计。

　　这些法规的要求和遵从，对于大型企业上市或者跨国经营，有着极大的影响。2002年由美国总统布什签发的萨班斯法案(Sarbanes-Oxley Act)开始生效。其中要求企业的经营活动，企业管理、项目和投资等，都要有控制和审计手段。因此，管理人员需要有有效的技术手段和专业的技术工具和安全产品按照行业的标准来做细粒度的管理，真正做到对于内部网络的严格管理，可以控制、限制和追踪用户的行为，判定用户的行为是否对企业内部网络的安全运行带来威胁。

　　综上所述，随着信息化的发展，企事业单位IT系统不断发展，网络规模迅速扩大，设备数量激增，建设重点逐步从网络平台转向深化应用、提升效益为特征的运维阶段；IT系统运维与安全管理正逐渐走向融合。面对日趋复杂的IT系统，不同背景的运维人员已经给企业信息系统安全运行带来较大的潜在风险，因此，内网信息系统安全治理在加大网络边界防护、数据通信安全、防病毒等基础上，不能忽略网络后台运维安全治理和对于系统操作人员的审计监控方面的管理，而内控堡垒主机（堡垒机）作为内网安全治理的一种有效技术手段应运而生。

　　堡垒机现身

　　企业内控运维安全“终结者”

　　堡垒机，听起来就是一个够酷的名字，有用户笑言，听着名儿就觉着安全，就像大块头施瓦辛格一出现在电影镜头里就像终结者一样。那么，作为内网安全的“终结者”，堡垒机究竟是个什么摸样。

　　所谓“堡垒主机”（简称“堡垒机”），就是一种被强化的可以防御进攻的计算机，具备很强安全防范能力。“堡垒主机”这个词是有专门含义的概念，最初由美国Marcus J.Ranum在Thinking About Firewalls V2.0：Beyond Perimeter Security一书中提出。他提出堡垒主机“是一个系统，作为网络安全的一个关键点，它由防火墙管理员来标识”，“堡垒主机需要格外的注意自己的安全性，需要定期的审核，并拥有经过修改的软件”。通常，堡垒主机是一台独立应用的主机。（这有点类似单用户的单机操作），它有极大的价值，可能蕴含着用户的敏感信息，经常提供重要的网络服务；大部分时候它被防火墙保护，有的则直接裸露在外部网络中。其所承担的服务大都极其重要，如银行、证券、政府单位用来实现业务、发布信息的平台。“堡垒主机”的工作特性要求达到高安全性。

　　早期堡垒主机，通常是指这样一类提供特定网络或应用服务的计算机设备，其自身相对安全并可以防御一定程度的攻击。作为安全但可公开访问的计算机，堡垒主机通常部署于外围网络（也称为 DMZ、网络隔离区域或屏蔽子网）面向公众的一端。这类堡垒主机不受防火墙或过滤路由器的保护，因此它们完全暴露在攻击中。这类堡垒主机通常用作Web服务器、域名系统(DNS)服务器或文件传输(FTP)服务器等。通过将这些将必须开放的服务部署在堡垒主机而不是内部网络中，可以换取内部网络的安全。因为这些主机吸引了入侵者的注意力，也就相应地减少了内部网络遭受安全攻击的可能性和随之带来的风险。

　　堡垒主机自身安全性的强化通常是通过禁用或删除不必要的服务、协议、程序和网络接口来实现的。也就是说，堡垒主机往往仅提供极少的必要的服务，以期减少自身的安全漏洞。另外一些可以提高自身安全性的手段则包括：采用安全操作系统、采取必要的身份认证和严格的权限控制技术等。

　　内网安全威胁的“终结者”

　　后来，堡垒主机被部署在外部网络和企业内部网络之间，提供对内部网络特定资源的安全访问。这类堡垒主机本身不提供网络层的路由功能，因此可以过滤对内部网络的非授权访问。对内部网络特定资源的访问则必须先登录到堡垒主机上方可完成。SSL VPN可以视为这类堡垒主机的一个成功应用。这类堡垒主机是进入内部网络的一个集中检查点和控制点，因此很容易将整个网络的安全问题集中在自身解决，为内部网络其他主机的安全提供了一道天然的安全屏障。

　　新一代堡垒主机，又被具体称为“内控堡垒主机”，它综合了运维管理和安全性的融合，切断了终端计算机对网络和服务器资源的直接访问，而是采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过堡垒主机的翻译。极地安全专家王晓航打了一个比方，内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此堡垒机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。

　　目前主流的内控堡垒主机，一般具有六大主要功能。

　　其一，单点登录功能。

　　内控堡垒主机提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高生产效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。 单点登录可以实现与用户授权管理的无缝连接，这样可以通过对用户、角色、行为和资源的授权，增加对资源的保护，和对用户行为的监控及审计。

　　其二，帐号管理功能。

　　集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理，而且还降低了企业管理大量用户帐号的难度和工作量。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准的用户帐号安全策略。 通过建立集中帐号管理，企业可以实现将帐号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。

　　其三，身份认证功能。

　　内控堡垒主机为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。

　　集中身份认证提供静态密码、Windows NT域、Windows Kerberos、双因素、一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口，可以方便的与其它第三方认证服务器之间结合。

　　其四，资源授权功能。

　　内控堡垒主机系统提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员在极地银河内控堡垒主机系统上，可以对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作这样应用内部的细粒度授权。

　　其五，访问控制功能。

　　内控堡垒主机系统能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好的提高系统的安全性。

　　其六，操作审计功能。

　　操作审计管理主要审计人员的帐号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。内控堡垒主机系统通过系统自身的用户认证系统、用户授权系统，以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方产品。

　　在这些主干功能构筑的强大安全体系下，堡垒机漂亮地实现了对系统用户管理、对内网操作审计、对网络设备管理和对黑客行为防范四大功能，完美地演绎了内网安全“终结者”角色，成为大型企事业单位内网安全建设的未来战士。

　　产业大格局

　　为企业内网构筑堡垒成趋势

　　从各大行业近年来对内控堡垒主机产品的采购力度不断加大的情况来看，在构筑企业内网安全体系的道路上，堡垒机成为重头主力军之一已是大势所趋。

　　这样的趋势日益成为业界共识，而这个大趋势的最根本的源泉，就在于企业内网在信息化应用水平提升的同时，其自身所必然出现的信息系统漏洞和桎梏，以及为满足信息社会各种法规遵从而必然需要采取的举措。

　　从企业自身信息系统发展来看，随着企业ERP、OA、CRM等生产和办公系统的普及，单位的日程运转对内部信息网络的依赖程度越来越高，内网信息网络已经成了各个单位的生命线，对内网稳定性、可靠性和可控性提出高度的要求。内部信息网络由大量的终端、服务器和网络设备组成，形成了统一有机的整体，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪，对内网各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。

　　由庞大的网络信息系统所组成的企业IT平台，将在企业的运营中全面渗透，企业的各种内部事务和外部业务，都将全面架构于企业内网信息系统之上。尤其是电信、财政、税务、公安、金融、电力、石油等重要行业单位，更是使用数量较多的服务器主机来运行关键业务，提供电子商务、数据库应用、运维管理、ERP和协同工作群件等服务。由于服务器众多，系统管理员压力太大等因素，人为误操作的可能性时有发生，这会对部门或者企业声誉造成重大影响，并严重影响其经济运行效能。黑客/恶意访问也有可能获取系统权限，闯入部门或企业内部网络，造成不可估量的损失。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，越来越成为企业关心的问题。

　　从法律法规对于信息系统审计的要求上来看， 从20世纪六十年代，伴随着计算机信息技术的诞生发展，各国法律都对IT信息系统的审计不断提出更新更高的要求。70年代中期至80年代，美国、日本等先后成立计算机审计相关组织；国际开始兴起一系列信息安全管理标准的制定。1983年，日本通产省发布《系统审计标准》，开始培训信息系统审计人员。1984年美国EDPAA协会(执业会计师协会)发布一套EDP控制标准-《EDP控制目的》。1996年，ISACA协会发布了COBIT(Control Objectives for Information and related Technology)标准，是国际上公认的安全与信息技术管理和控制的权威标准，也是国际通用的信息系统审计标准，已在100多个国家的重要组织和企业中应用。1999年-至今，信息系统审计普及和行业应用阶段

　　2001年至今，美国安然事件及由此引发的一系列美国着名大公司在公司治理和财务管理力方面的问题，促使美国陆续出台了多个具有较强影响力的行业法案，如：2002年美国出台Sarbanes-Oxley法案(塞班斯-奥克斯利法案)，其中第404条款要求企业在财务报告方面加强内控，企业的CEO和CFO必须对本企业的内控系统的有效性发表诚信声明。因此，IT信息系统同样需要加强控制以达到SOX法案的合规要求； 2005年针对IT信息系统的SOX合规审计成为全球CIO最关注的事。目前，西方发达国家的信息系统审计应用已较为普遍，并发展到了较高的水平。

　　从我国的发展趋势来看，同样如此。随着互联网在国内的迅速普及应用，推动国内信息系统安全审计进入快速发展阶段。国家相关部门、金融行业、能源行业、运营商均陆续推出多项针对信息系统风险管理政策法规，推动国内信息系统安全审计快速发展。2005年12月，公安部颁布82号令《互联网安全保护技术措施规定》即对系统信息安全审计提出明确要求。

　　2006年，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定并发布了《信息安全等级保护管理办法(试行)》，该办法明确要求信息系统运营使用单位在开展等级保护工作中要按照或者参照国家、行业技术标准进行系统定级、建设、整改、测评等工作。《信息系统安全等级保护基本要求》是信息安全等级保护标准体系中重要的基础性标准之一。该要求针对不同安全保护等级信息系统的基本安全审计能力均有明确要求，如：需要对用户行为、安全事件等进行记录，对形成的记录能够统计、分析、并生成报表。

　　2006年，国家保密局发布BMB17-2006号文件《涉密信息系统分级保护技术要求》，文件要求相关涉密单位信息系统，根据不同涉密级别，采取相关审计措施。

　　2006年-2009年，安全审计被列入多个行业信息系统安全建设要求

　　随着政府、金融、电信、能源等行业信息化的发展，信息科技的作用已经从业务支持逐步走向与业务的融合，成为各行业稳健运营和发展的支柱，为加强信息系统风险管理，各行业陆续发布了行业性信息系统管理规范和要求。

　　2008年6月，财政部、证监会、银监会、保监会及审计署委联合发布了《企业内部控制基本规范》，该规范被称为中国的“SOX法案”，是我国在审计领域的重大改革举措，该规范将首先在上市企业中实行。如何把IT内控与企业内控管理统一起来，是《企业内部控制基本规范》的一个关键点，信息安全审计则将成为企业IT内控、安全风险管理的不可或缺的技术手段。该规范将促使国内企业加强IT内控建设，从而推动安全审计市场的发展，但其中非常关键的一点就是安全审计技术如何有效地与规范结合，满足企业合规审计要求。

　　2009年3月，银监会为加强商业银行信息科技风险管理，发布了《商业银行信息科技风险管理指引》，该指引中重点阐述了信息系统风险管理和内外部审计要求，特别是要求审计贯穿信息科技活动的整个过程之中。另外，在《国家电网SG186工程防护总体方案》、《中国移动集团内控手册》、《中国电信集团内控手册》等行业要求中也均明确要求采取信息系统风险内控和审计技术手段。

　　目前，随着信息安全建设的深入，安全审计已成为国内信息安全建设的重要技术手段。总体来看，由于信息系统发展水平和业务需求的不同，各行业对安全审计的具体关注点存在一定差异，但均是基于政策合规、自身安全建设要求，如：政府主要关注如何满足“信息系统安全等级保护”等政策要求的合规安全审计；电信运营商则基于自身信息系统风险内控需求进行安全审计建设。

　　综上所述，在企业信息系统自身安全管理需要和国家行业的审计不断提升的要求下，各行业单位对于堡垒机的需求，必将在近三年内达到一个井喷的市场高潮。

　　那么，目前国内堡垒机技术和产品提供厂商究竟是什么布局呢？

　　由于堡垒机是近年内出现的新技术和产品，并且国内行业用户大多还处于信息化应用建设的高潮，还没有到堡垒机需求期，因此，堡垒机市场需求规模和产品提供商都有限。国内很大一部分信息安全综合厂商都陆续推出许多有着与堡垒机部分功能相近的产品，例如单点登录产品，内网准入产品、系统审计产品等，但是真正能够提供完整独立堡垒机技术和产品的并不是很多，国内堡垒机技术和市场规模较为知名的包括以下五家：网御神州（www.legendsec.com）、绿盟科技（www.nsfocus.com）、极地安全（www.jidisec.com）、方正安全（www.foundersec.com）和捷成世纪（www.jetsen.cn） 。

　　而从技术的角度看，目前主流的内控堡垒机所应用的主要技术包括：逻辑命令自动识别技术、分布式处理技术、图形协议代理、多进程/线程与同步技术、数据加密技术等。

　　其中，逻辑命令自动识别技术是指自动识别当前操作终端，对当前终端的输入输出进行控制，组合输入输出流，自动识别逻辑语义命令。系统会根据输入输出上下文，确定逻辑命令编辑过程，进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能，在传统键盘捕获与控制领域取得新的突破，可以更加准确的控制用户意图。该技术能自动识别命令状态和编辑状态以及私有工作状态，准确捕获逻辑命令。

　　分布式处理技术是指内控堡垒主机采用分布式处理架构进行处理，启用命令捕获引擎机制，通过策略服务器完成策略审计，通过日志服务器存储操作审计日志，并通过实时监视中心，实时察看用户在服务器上行为。这种分体式设计有利于策略的正确执行和操作记录日志的安全。同时，各组件之间采用安全连接进行通信，防止策略和日志被篡改。各组件可以独立工作，可以分布于不同的服务器上，亦可所有组件安装于一台服务器。

　　正则表达式匹配技术是指内控堡垒主机采用正则表达式匹配技术，将正则表达式组合入树型可遗传策略结构，实现控制命令的自动匹配与控制。树型可遗传策略适合现代企业事业架构，对于服务器的分层分级管理与控制，相当有用。

　　图形协议代理是指为了对图形终端操作行为进行审计和监控，内控堡垒主机对图形终端使用的协议进行代理，实现多平台的多种图形终端操作的审计，例如Windows平台的RDP方式图形终端操作，Linux/Unix平台的XWindow方式图形终端操作。

　　多进程/线程与同步技术是指内控堡垒主机主体采用多进程/线程技术实现，利用独特的通信和数据同步技术，准确控制程序行为。多进程/线程方式逻辑处理准确，事务处理不会发生干扰，这有利于保证系统的稳定性、健壮性。

　　数据加密功能是指内控堡垒主机在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性。防止恶意用户截获和篡改数据。充分保护用户在操作过程中不被恶意破坏。

　　操作还原技术是指将用户在系统中的操作行为以真实的环境模拟显现出来，审计管理员可以根据操作还原技术还原出真实的操作，以判定问题出在哪里。目前，绿盟科技、极地安全、方正安全等国内主流内控堡垒主机采用操作还原技术能够将用户的操作流程自动地展现出来，能够监控用户的每一次行为，判定用户的行为是否对企业内部网络安全性造成危害。