东方中泰：浅谈堡垒机在运维安全中的应用

 　　可以说，2013年-2014年是运维安全发展的一个分水岭。那两年作为互联网基础设施的几大应用相继被爆漏洞或被攻击，例如Struts2远程代码执行漏洞、Openssl心脏滴血、Bash破壳漏洞，以及当时“史上规模最大的DDoS攻击”导致大量.cn和.com.cn域名无法解析。在这之后，企业对运维安全投入迅速加大。直到今天，运维安全已经成为企业安全建设的重中之重。

　　今年2月25日爆出上市公司数据库遭员工恶意删除的消息，让数据安全再次成为网络焦点。随着“删库跑路”事故的逐年发生，暴露出企业内部因素对运维安全的威胁越来越大。如何防止此类悲剧发生呢?

　　企业对此普遍采用的方式是使用堡垒机，堡垒机也叫跳板机。市场现有堡垒机均有访问控制、日志审计、操作行为审计、数据上传下载审计以及权限管理等类似功能，但普遍有两大致命弊端，口令集中和容易绕过。

　　如果把酒店比作数据机房，客房比作服务器的话，堡垒机就是前台。前台管理着每个房间的钥匙，同时会对每个进入酒店的人进行身份鉴别并分配相应客房的钥匙。正常前台会阻止不法人员的进入，但是这些危险分子往往会绕过前台直接进入酒店，这就是绕行。另外前台如果被攻破的话，所有房间的钥匙都将被不法分子获得，这就是口令集中的弊端。

　　东方中泰(北京)科技有限公司自主研发的中泰特权帐号管理软件提供了完整的解决方案。该产品不仅有访问控制、日志审计、操作行为审计、数据上传下载审计以及权限管理等功能，最大的特点是采用国密算法动态口令，相当于在每个客房布置国密算法的动态口令密码锁，不法人员就算绕过或者攻破堡垒机也不能进入房间。解决了堡垒机口令集中和容易绕过的弊端。符合《GBT22239-2019信息安全技术网络安全等级保护基本要求》、《网络安全等级保护条例》、《中华人民共和国网络安全法》等法规的要求。