部署“堡垒机”保障玉溪供电运维操作更安全

部署“堡垒机”保障玉溪供电运维操作更安全

“堡垒”一词的含义是指用于防守的坚固建筑物或比喻难于攻破的事物，顾名思义，“堡垒机”是一种被强化的可以防御进攻的计算机，其作用主要是将需要保护的信息系统资源与安全威胁的来源进行隔离，从而在被保护的资源前面形成一个坚固的“堡垒”，并且在抵御威胁的同时又不影响普通用户对资源的正常访问。

随着电力企业信息化需求程度的提高，电网业务逻辑与流程体系对于信息系统的依赖程度不断增加，并逐渐推动信息价值的显露和提升。电力企业信息安全作为电网生产安全的一部分，已成为影响电网生产、运行的重要安全因素。玉溪供电局在信息化建设的过程中非常注重信息系统的安全管理，逐步部署了防火墙、IPS、网络防病毒系统、漏洞扫描系统、上网行为管理系统等一系列安全产品的运用，建立了较为完善的信息安全防护体系，能够对外部的安全风险进行有效控制和管理。

然而，这种传统的安全防护手段只偏重外部的防御以及对普通用户的行为管理，却忽略对运维人员（网络管理员、系统管理员）的运维行为的安全审计。据国家计算机网络应急技术处理协调中心的调查结果显示，大约76％的网络安全威胁来自于内部，其危害程度远远超过黑客攻击及病毒造成的损失。因内部人员违规操作而导致的数据误删除、数据破坏、数据泄密等想象，对企业利益和公众利益造成的影响是不容小觑的。对此，南方电网公司根据自身的需要对下属企业IT内控提出了相应的要求，对运维人员的维护行为采取行之有效的控制措施和审计措施，弥补这一信息化安全管理的盲区，是当前电力企业信息安全建设的当务之急。

电网企业作为信息化程度较高的企业之一，拥有大量的网络设备、主机系统和应用系统来支撑企业业务的顺利开展。随着信息系统规模越来越大，提供服务越来越多，安全运行要求越来越高，运维人员的构成越来越复杂，随之而来的是不断增长的运维风险。

面对传统运维模式带来的风险，玉溪供电局信息中心借鉴先进的IT审计理念，实施了以运维人员操作行为管控为重点的IT运维审计管理项目，采用江南科友IT运维安全审计系统（HAC：Host Audit Control）。这是一种运维审计型堡垒机，项目的建设实现了玉溪供电局信息系统运维的事前预防、事中控制和事后审计，从技术层面化解IT运维风险。

IT运维安全审计系统主要用于解决内部运行维护人员、第三方服务人员以及共用账号、最高权限用户远程操作维护的安全隐患，通过对操作内容和事件的回放与统计，提高运行维护的管理能力和降低风险。玉溪供电局采用堡垒机方式部署IT运维安全审计系统，采用物理旁路，逻辑串联的模式，不需要改变网络拓扑结构，不需要在终端安装客户端软件，不改变管理员、运维人员的操作习惯，也不影响正常业务运行。只需运维管理系统与被管理的设备之间IP可达，管理协议可访问。在进行维护操作时，运维人员首先登录到IT运维安全审计系统，IT运维安全审计系统根据登录用户的权限，提供该用户所能访问的主机与网络设备列表，运维人员被管的对象进行运维操作，IT运维安全审计系统根据预先设置好的审计规则，自动捕获相关数据并保存。

堡垒机是信息基础设施（服务器、网络设备等）维护的统一入口，是最容易遭受攻击的主机，其配置与通常的主机相比明显不同，所有不必要的服务、协议、程序和网络接口都将被禁用或者删除，以达到“最小化安全”，以强化堡垒机、极大地限制可能出现的网络攻击。“最小化安全”是有名的安全理念，即只开放需要的功能或服务，其他与之无关的功能或服务均去掉，以此减少可能受到的攻击风险。所谓最小化操作系统，是为堡垒主机安装最基本的操作系统环境，然后再根据具体情况逐渐安装需要的服务组件[9]。

为此，IT运维安全审计系统采用软硬件一体化架构，基于嵌入式技术开发，将定制的64位Linux内核固化至硬件上，操作系统采用最小化安装，除了必要的内核，驱动等程序外，其他组件、程序包尽量去除，同时，关闭不必要的应用、服务、端口。开启自身的防火墙功能，提高堡垒主机自身的安全防护能力。此外，堡垒机作为服务器、网络设备的唯一入口，为保证可靠性，采用双机群集（HA），支持负载均衡，提高设备高可用性，保障业务连续运行。

玉溪供电局所运用的运维审计型堡垒机，是将人与目标设备进行逻辑上分离，建立“人→主账号（堡垒机用户账号）→授权→从账号（目标设备账号）的模式。在这种模式下，基于唯一身份标识，通过集中管控安全策略的账号管理、授权管理和审计，建立针对维护人员的“主账号→登录→访问操作→退出”的全过程完整审计管理，实现对各种运维加密/非加密、图形操作协议的命令级审计。

玉溪供电局自2013年8月实施IT运维安全审计系统以来，服务器、网络设备等需要对外开放维护端口变为由单一的堡垒主机对外提供的维护端口，减少了端口暴露，堡垒主机基于“最小化安全”理念，其自身安全性也大大高于普通服务器。此外，IT运维安全审计系统具有异常操作阻断及剂告警功能，若果系统检测到异常操作行为或黑客攻击，则可以断开相应操作的TCP连接，阻断此操作，达到防止各类违规操作事件的发生。

堡垒机不仅增强了信息系统的安全性，同时提升了信息系统的运行维护能力和效率。IT运维安全审计系统对所有的维护行为进行指令记录和录像，为事前防范和事后定位信息系统的故障提供科学、高效的手段，提高信息系统运行的安全性和事件的追溯能力，降低了信息系统安全风险，避免了潜在的资产损失。所有运维账号的管理在一个平台上进行管理，账号管理更加简单有序，通过建立用户与账号的唯一对应关系，确保用户拥有的权限是完成任务所需的最小权限。运维人员只需记忆一个账号和口令，一次登录，便可实现对其所维护的多台设备的访问，无须记忆多个账号和口令，提高了工作效率，降低工作复杂度。

其次，系统内部运维人员和第三方运维人员，对服务器、网络设备进行的维护操作都将通过堡垒机，这样就可以实现对运维人员所有操作行为，都做到可记录、可控制，完善了玉溪供电局信息系统运维责任的认定体系，审计人员通过定期对维护人员的操作审计，提高维护人员的操作规范性。

根据《信息系统安全等级保护基本要求》，对于二级（含）以上的重要信息系统网络安全、主机安全、应用安全均要求具备安全审计功能。IT运维安全审计管理项目的实施满足了等级保护、企业内控规范，进一步完善了玉溪供电局信息安全防护体系。

玉溪供电局实施的IT运维安全审计系统不仅支持Telnet、FTP以及主流数据库(Oracle、SQL Server等)远程访问协议审计，还提供SSH、RDP、VNC加密协议的审计支持；系统会完整记录会话的整个过程，并形成会话日志和事件回放文件，消除安全审计盲点，全面审计信息系统操作行为。通过运维人员操作行为细粒度的安全管控，保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行，降低人为安全风险，避免不必要的损失，保障企业效益,让运维操作更安全。