堡垒主机应用

时间：2023-02-21 21:36:01 | 来源：营销百科

时间：2023-02-21 21:36:01 来源：营销百科

堡垒主机应用：1 政府行业的信息化现状

政务电子化是信息社会政府管理发展的一种新趋势，已成为世界各国政府关注的焦点。

随着政务信息化的不断推进，业务应用、办公系统、商务平台的推出和投入运行，信息系统在企业的运营中全面渗透。使用数量较多的服务器主机来运行关键业务，提供电子政务、数据库应用、运维管理、ERP和协同工作群件等服务。由于服务器众多，系统管理员压力太大等因素，人为误操作的可能性时有发生，这会对部门或者企业声誉造成重大影响，并严重影响其经济运行效能。黑客和恶意访问也有可能获取系统权限，闯入部门或企业内部网络，造成不可估量的损失。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，成为企业越来越关心的问题。

2 政府行业的运维管理需求

2.1 满足国家等级保护的政策性审核

1、用户账号权限需要得到严格管理控制，用户账号口令安全与登录安全需要得到加强监管；

2、信息系统的各种访问操作日志需要全面审计，包括网络、系统、数据、应用等几个方面；

3、进行远程信息系统操作时，能够保障通信链路可信、及通讯数据加密。

2.2 符合企业内部控制基本规范的要求

2010年，财政部、证监会、审计署、银监会、保监会印发的《企业内部控制应用指引第18号――信息系统》中第十二条明确要求'企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作'。

2.3 管理复杂，工作效率不高

1、支撑企业业务运行的IT系统主要由大量的网络设备、主机系统和应用系统组成，这些设备和系统从应用角度来分又分别属于不同的业务系统和部门，网络设备、主机系统等分别具备独立的用户管理、认证授权和审计系统。

2、各种系统由不同的系统管理员负责维护和管理，维护人员面对这些系统时，工作复杂程度成倍增加，并且需要频繁的登录注销，影响了工作效率。

2.4 账号共享、密码简单等网络安全隐患不可避免

1、 为了降低管理复杂度和难度，有些帐号被多人共用，这些帐号的扩散不容易控制，账号和密码信息容易外泄，安全事故也多由于这种帐号共用发生；

2、 对于维护人员来讲，频繁的切换系统，需要输入不同系统的用户名和口令进行登录，为了便于记忆，常有维护人员会采用比较简单的口令或多个系统使用同样的口令，紧急情况下还可能将自己的用户名和口令共享给他人使用，这些都对整个系统的安全性产生极大威胁。

2.5 对系统和网络设备的审计不集中、不全面

1、由于各个系统独立运行，对于系统运行日志、维护人员操作审计也只能分系统独立进行，系统发生故障时，必须逐个系统去排查问题，无法进行统一集中的问题排查，极大的降低工作效率，也造成了损失扩大的可能性；

2、并且不能做到实名审计，只能审计到账号，不能关联到自然人。

3 政府行业堡垒主机产品技术解决方案

基于天融信堡垒主机（TA-SAG）政府行业技术解决方案是出于4A统一网络安全管理平台的理念，通过账号的集中管理、认证机制、授权机制、以及用户的操作行为审计等策略来对企业中的服务器、数据库、交换机、路由器(防火墙)等网络设备进行有效的控制和统一的管理以及全程的操作审计。

根据政府行业的现状和需求，天融信公司使用TA-SAG平台提出针对性的解决方案。该方案主要从以下六点着重考虑。

3.1 遵循与参考的标准和规范

1、国家保密标准BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》

2、国家保密标准BMZ1-2000，《涉及国家秘密的计算机信息系统保密技术要求

3、国家保密标准《计算机信息系统保密管理暂行规定》（国保发{1998}1号）

4、国家标准GB17859-1999，《计算机信息系统安全保护等级划分准则》

5、国家标准GB/T18336.2-2001，《信息技术 安全技术 信息技术安全性 评估准则 第2部分: 安全功能要求》

6、ISO27001/ISO17799:2005/BS7799,《信息安全管理技术规范》。

3.2 统一的帐号管理

1、管理员通过主帐号信息管理界面维护主帐号的整个生命周期，对主帐号进行增加、修改、删除及锁定、解锁等操作，同时设置主帐号的密码使用策略及用户的级别定义。

2、主帐号用户可以通过自服务功能管理自身帐号信息，对手机、邮件及密码等个人信息进行修改。

3、通过主账号与资源账号进行关联，同时也满足了实名审计的需要。

3.3 多种认证方式进行统一部署

1、用户通过用户名密码方式登录到天融信TA-SAG（堡垒主机）管理平台，选择资产从帐号，直接登录目标资产。

2、用户通过数字证书、动态令牌等方式登录到管理单元，由管理单元向执行单元发放一次性口令登录目标资产。

3.4 SSO单点登录

1、用户登录到天融信TA-SAG（堡垒主机）管理平台后，能够看到已授权的资源列表，直接选择目标资产及从帐号，由堡垒主机完成帐号及密码的代填，实现自动登录。

2、 同时减少了对服务器频繁登录注销的繁琐性，提高了工作效率。

3.5 更全面、更集中的日志审计

1、堡垒主机将每个自然人账号对其资源的操作进行全面的日志审计。

2、 日志审计支持通过服务器查询、自然人查询、登录地址等自定义条件的查询。

3.6 支持双机热备、可安全稳定的运行

堡垒主机支持双机热备，拥有完善的高可用性，可以保证系统长期、可靠的运行。