1. 威客安全首页
  2. 安全资讯

信息管理运维记录仪– “堡垒机”

       在我们的感觉里,一般觉得搞信息安全,都是些高人“黑客”之类的人搞的事情,他们诡计多端、深不可测、潜伏在每一个“黑暗”的角落里,随时都可以把你的账号密码拿到,然后盗走你的信息。

因为没有攻破不了的防御,只有值不值得攻击。

但根据我们多年的工作经验,单位系统被沦陷,查究下来,一般是单位管理本身出问题,管理制度问题和人员的能力素质占主要成分。

比如内部人员误操作

根据调查,70%的信息泄露或信息被攻破是源自于组织内部的操作失误。在所有内部隐患中,一种由IT系统“高级管理”人员及其操作引出安全隐患日益突出,是所有安全隐患中最主要的威胁之一。IT系统“高级管理”人员,即拥有用户各种IT系统软硬件设备管理权限,又清楚整个网络架构和各环节设备上的用户密码的人(参与过建设并且具有验收文档资料等,默认密码不修改、或不进行“三员”管理机制的话他都可知或查询)。高权限账号及其在操作过程中的各种动作,一旦进行无意或有意的非法操作,往往会造成某些隐患,甚至是很严重的后果。可这些,又没有一定技术进行追溯留证的话,那么出现问题,信息部门的第一责任人是脱不了干系的。

为避免“误操作”后,无证可查,必须搭建“信息管理监督系统”,其中“堡垒机”必不可少。

什么叫堡垒机,百度百科里是这么解释的:即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责的一套系统/设备。我的理解就是:

1、这是一套系统,也可说是一台设备,这设备,可以收集人员对设备进行的操作活动并进行记录

2、网络设备中,必须设置:只有通过这台设备(身份)进行的操作才可行,其他途径(身份)的操作一概拒绝,规避其他非法操作

3、为实现这个要求,必须有其他安全设备(比如防火墙、网闸)配合进行,只放行通过堡垒机(身份)的访问。

4、网络环境必须让“堡垒机”具备可管辖设备的条件和环境(即堡垒机通信口与设备管理口是路由可达的)。

在内外网隔离的环境下运维,一般拓扑及规则规划如下:

信息管理运维记录仪-- “堡垒机”


为发挥堡垒机的“记录仪、档案袋”作用,需进行以下操作:

1)运维登录前期设置:

一是在堡垒机上,建立运维人员账号及密码,并制定其可运维的设备;

二是服务器前面的防火墙设立规则,远程桌面3389,22等端口服务,只允许来自堡垒机的访问源通过;

三是如果厂家工程师等需要异地运维调试,在有网闸的情况下,得建立通道,并仅为外网堡垒机访问源为白名单。并联合内网防火墙进行管控;

2)运维登录设备如下:

一是外网电脑,先登录外网堡垒机,内网电脑先登录内网堡垒机。

二是通过堡垒机,点击权限范围内需要访问的资源。


可现实中,许多单位是这样运维的:

信息管理运维记录仪-- “堡垒机”


这种运维,有几个致命伤:

一,内外网,只要存有双网卡电脑,即已经打通内外网隔离墙,网闸就失去了意义。一旦黑客掌控这台电脑,即可在内外网内任意穿梭。

二、虽然我们也可以在边界处加策略,防止内外网任意穿梭,但无“堡垒机”运维过程无法追溯,一旦发生事故,追责,第一责任人得承担重要责任。

三、服务器前有防火墙,虽可以拦截大量的攻击,但内外网整个环境,一旦感染,将是全面的,后面想要清除干净,非常困难。

四、运维权限高,不进行技术管控,一旦疏忽大意,高权限操作会带来致命隐患


还有这种,通过WiFi无线信道直接联入内网电脑进行的:

信息管理运维记录仪-- “堡垒机”


这个无线信道直接连入内网的行为是非常危险的:

一是:内网彻底暴露在外网面前,内网核心资源面临巨大风险;

二是:即使有防火墙,堡垒机,如果没有一定的策略进行控制,这些安全设备就失去了保护的能力,并且其本身也有被篡改被控制的风险。

三是:一旦不是运维人员控制内网电脑,是黑客控制内网电脑(或种植木马病毒等程序),内网资源将面临随时被攻陷的风险。


   在现实过程中,各单位的信息中心、信息科室,每天都面临大量的设备、系统运维,如果为了工作方便,简单,就去掉运维环节需要把握的问题,直接越过管理或者技术监管,一旦出现问题,那么辛苦一年的责罚还是轻的,有些甚至需要承担刑事责任


   当然,对于有些单位,不需要严格的网络管控,为简便,但万一发生事故,可追溯,也可用“堡垒机”:

信息管理运维记录仪-- “堡垒机”

      在这种网络环境下,所有单位电脑,都在一张网下,都可以上互联网。本地运维,还是通过远程运维,只要有运维账号和密码,通过堡垒机,也可以登录到服务器进行系统调试等操作,整个过程也可追溯。(前提是服务器前有专业防火墙,并且策略配置正确)。

 

   以上所列,说明,堡垒机是运维工作的档案袋和记录仪,有了这个档案袋和记录仪,作为信息管理人员:

一是给工作加了一道防盗门,防止信息泄露的可能;

二是给其他运维人员上了一道紧箍咒,需要在操作上进行规范式操作;

三是给自己的前途加了一层保护圈,一旦发生事故,也有证可查,有人可承担,虽然出了事,还是得吃不了兜着走,但毕竟轻许多。要知道,201912月起,一些重要信息场所,必须是得过国家“信息等级保护”测评的,不达要求,不仅仅是不作为的问题,是违法,需要追究第一责任人责任甚至是刑事责任的问题。

  以上是个人浅见,如有不到之处,欢迎来信指正。谢谢!

信息管理运维记录仪-- “堡垒机”


原文始发于微信公众号(老吕聊信息安全):信息管理运维记录仪– “堡垒机”

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论