JD-FORT内控堡垒机电信内网应用案例

　　黎纲榭 /文

　　随着电信运营商信息网络规模不断地扩大,网络内控安全管理日益成为电信运营商信息建设的重点。它是电信运营商内部信息化应用管理系统的基本保证.只有计算机网络畅通并确保网络安全,才能保障电信运营商利用先进的信息化管理系统来改善内部管理，从而提高了电影运营商的效率、管理水平及竞争力。然而，随着内部信息系统和操作这些系统人员的复杂化，如何实现运营商维护人员安全接入维护网络和内部网络，如何更好保障维护人员对网络内部服务器的权限管理、操作过程的监控及行为审计，成为各大运营商不得不面对的问题。

　　为配合电信行业内网系统信息化建设，解决企业内部IT运维人员的管控问题，北京极地安全在全国范围内启动电信行业内网内控整体解决方案。该解决方案以极地安全自主研发的国内领先的JD-FORT内控堡垒机为核心，以其卓越的产品性能、丰富的产品种类、完善的服务体系，综合考虑了电信运营商对网络安全、网络行为、网络管理、网络维护、网络通信、网络IT资产、网络告警、可靠性、可扩展性和高性能和需要，针对电信运营商内网的运维操作和业务访问行为进行细粒度控制和审计的合规性管理系统。它通过对运维人员和业务用户的身份进行认证，对各类运维操作和业务访问行为进行分析、记录、汇报，以帮助用户事前认证授权、事中实时监控、事后精确溯源，加强内外部网络行为监管，促进核心资产(数据库、服务器、网络设备等)的正常运行。

　　本文则以对JD-FORT内控堡垒机系统在某移动公司的实际应用案例为例，详细剖析其堡垒机系统应用背景、架构细节、方案特色以及试运行后取得的安全防护效果。

　　背景概述——

　　透析电信运营商内控核心需求

　　英国政府发布的《BS7799》、美国政府2002年颁布的《萨班斯法案(Sarbanes-Oxley Act)》、国际标准化组织发布的信息安全标准《ISO27001》、中国政府发布的《企业内部控制规范》、《国家信息安全等级保护管理规定》等，均要求所涉及到的企事业单位的经营活动，内部管理、项目和投资等，都要有控制和审计手段。

　　为应对SOX法案的检查，某移动公司计划建设IT系统用户身份和访问管理平台。在该公司的SOX控制点中，涉及对口令、密码、权限和审计管理的有30多项，涵盖的系统包括：智能网、彩铃、MISC、交换局和部分重要的主机、网络设备，以及公司企业信息化系统。在对相关控制点进行修补的过程中，公司发现，虽然通过管理措施可以达到对相关控制点的修补目标，但由于技术手段的缺乏，需要付出更多人力成本的代价，加重了维护人员的工作负担。而且采用非技术手段实施管理，会因为管理认知角度的不同，造成检查者对相关控制点执行是否有效总是抱有疑虑。

　　因此需要根据该客户的现状，建设集中统一的内控安全管理系统平台，使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证支撑系统安全策略的实施。用户主要面临的安全问题与相应需求有以下几个方面。

　　第一面临的问题是运维风险不透明、不可控。需要对所有业务支撑系统中的每个网络设备、主机系统、业务系统、数据库系统的运行、维护以及管理等操作行为进行集中、统一的审计，以便综合关联分析，及时发现违规行为。

　　第二面临的问题是使用共享账号的安全隐患。需要对多人共用账号产生的操作行为进行监控，以便确定安全事故真正责任人。

　　第三面临的问题是授权不清晰。需要针对所有业务支撑系统建立一套统一的认证、授权和审计系统。

　　第四面临的问题是无法有效审计运维操作。需要在技术层面对第三方厂商的运维操作进行高强度的监管。

　　第五面临的问题是访问控制策略不严格。需要在多个支撑系统中建立集中统一的资源访问控制平台，集中按照最小权限原则分配权限。

　　第六面临的问题是密码策略无法有效执行。需要统一的用户名和口令在多个支撑系统实现单点登录，同时保证系统的安全性。

　　极地堡垒机——

　　提供全面功能和整体方案

　　单纯追求用户增长的粗放式经营将成为过去，业务创新、细分市场、优化服务则是获胜的法宝。对于电信运营商来讲，在网络发展初期，可以更多地靠投资来取胜，谁的投资快，谁的网络容量大，谁的规模大，谁就能吸引更多的用户。然而随着市场的发展，电信市场的重组和WTO带来的市场开放，现在企业已经很难再通过规模来维持竞争优势了。它的核心竞争力必然要从投资转向市场营销，再转向管理水平的提高，而这些要依靠企业信息化的支撑。

　　本次案例中，电信运营商正式基于对内网信息系统的安全内控迫切需要，而提出了项目建设的需求。项目涉及到的部门包括：发展计划部IT中心、网管中心等部门。涉及到业务系统主要有：OA、MIS、支撑室、交换室(彩铃、智能网、端局)、数据室(MISC、GPRS、短信、彩信、WAP、CMNet)、网优室(话务网元)等。

　　本次共规划管辖近2000个点的设备管理，其中网络设备(包括网元)1000余个，主机设备600个，通用应用150个，专用应用60个。允许接入的用户为150个。对部分在互联网上的业务系统接入该平台系统，统一通过数据网管系统的防火墙进行，以便确保该平台的安全。

　　极地安全在这次工程中，紧紧围绕系统的建设目标和移动集团的4A建设规范，提供的JD-FORT内控堡垒机系统解决方案，在用户管理、统一认证、统一授权、操作审计以及单点登录管理几个基础功能上都达到了出色的效果。

　　JD-FORT内控堡垒机，其全称为“JD-FORT内控堡垒主机”，它综合了运维管理和安全性的融合，切断了终端计算机对网络和服务器资源的直接访问，而是采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过堡垒主机的翻译。打了一个比方，内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此堡垒机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。堡垒机技术主要帮助内网信息系统管理者，实现六大方面智能化支撑和高安全性防护，包括：单点登录、帐号管理、身份认证、资源授权、访问控制、操作审计。

图注：堡垒机加强对统方数据的保护和对进行“统方”行为的用户的监控及审计

　　那么，在该电信运营商的网络系统中，极地内控堡垒机是如何部署达到简便安装的需求呢?据介绍，极地数据内控堡垒机接入用户网络中的方式是旁路，仅需要为系统分配一个IP，并确保该地址与需要运维的主机IP可达，协议可访问。同时，极地数据内控堡垒机的自主创新先进技术和全面高强的功性能，是其成功中标该电信项目的关键，而简便智能的安装则是其打动电信企业信息中心工程师们的“敲门砖”，因为作为行业信息化的领头羊，电信运营商的内网信息化建设历史、水平和规模都提高很快，经过数十年信息化建设，该电信公司已经形成了复杂而庞大的信息系统，各种子系统纵横交错，新老系统并行运转，如果安全产品要对内网系统做较大的变动和设置，则会对整个电信企业内网的日常业务和系统稳定造成极大的影响和麻烦。而极地内控堡垒机在这个方面就让用户十分省心，堡垒机系统安装就做到“四不一短一支持”，具体包括：不需要在被管理设备上安装代理程序;不改变原有的网络拓扑结构;不更改用户网络设备上的配置;不影响任何业务数据流;很短时间(几分钟)即可以部署完毕;支持双机热备。

　　当堡垒机系统开始运行后，所有信息系统维护人员无论从哪里访问被管服务器或者网络设备时，首先以WEB方式登录堡垒主机，然后通过堡垒主机上展现的访问资源列表直接访问授权资源。不论运维人员以何种方式(局域网直连、VPN、ADSL拨号等)访问堡垒主机，只要保证运维工作站与堡垒主机路由可达即可。

　　极地内控堡垒主机部署采用分区域、分安全域部署，根据实际网络环境，每个安全域部署一台(套)，采用“分布式部署，集中式管理”模式，即“物理分布，逻辑集中”。极地数据内控堡垒机部署逻辑原理，如图所示。　　

　　用户实效——

　　展现JD-FORT优势与特色

　　通过对JD-FORT内控堡垒机技术的几个月应用，该电信企业内网数据管控和安全防范体系的管理水平得到极大提升。该企业信息中心负责人表示，以前提到数据泄露和数据库安全，就知道用传统的数据审计、身份认证等独立系统，现在打开视野，引入堡垒机技术，才发现必须用新技术，才能真正彻底而又智能高效地解决随着信息化发展不断产生的新问题。

　　该方案立足于智能主动、全程管控的“防统方”理念，通过事前的堡垒机集中账号和访问通道管控，事中的单点登录、统一授权和访问控制，事后的数据走向与行为审计等功能，具备在服务器及后台数据库的核心设备层面的数据保护、智能拦截和行为审计，实现了真正意义上的设备智能管控和深度审计内控的目的。

　　通过极地内控堡垒机“防统方”解决方案，能够有效地防止和精确审计电信内网系统内外的各种有权限访问内部各个核心系统的人员对各核心系统设备的访问操作，包括：电信业务系统使用者管理者、电信信息设备管理者、外部技术维护人员，以及外部黑客等。

　　那么，极地内控堡垒机的核心价值在于以下四点。一是治本：从根源解决“防统方”难题。二是全程：融预警变事后追查为主动防御。三是高效：产品便捷操作，智能防御和深度审计。四是整体：产品方案高屋建瓴，不光满足SOX法案的相关规范要求，同时对整个电信企业内网信息系统核心数据设备，构建了高效率运维支撑和高强度安全保障的信息安全体系。

　　总而言之，堡垒机技术能够极大的保护单位内部网络设备及服务器资源的安全性，确保各种服务器数据的安全保密、管理控制和操作审计，最终确保数据安全，全面而彻底地解决了目前电信企业内网安全与风险内控的难题和困境。

　　链接：极地安全简介

　　北京极地公司创始于2005年，是一家专注于内部网络控制技术研究、开发、服务的信息安全公司。针对内部网络面临的各种威胁，极地安全构筑了全方位的安全防线。对于内部网络面临的威胁，“JD-ESMS终端安全管理系统”、“JD-FORT内控堡垒主机”、“JD-4A集中身份管理系统”、“JD-SCAN网络漏洞扫描系统”等四大产品线，分别从终端、服务器、应用系统、风险评估等四方面提供了内控安全的技术手段。作为国内唯一一家能提供内部网络风险控制整体解决方案的厂家，极地安全将先进的科研成果迅速应用到市场实践中，帮助用户更好地适应《信息安全等级保护管理办法》、《涉及国家秘密的信息系统分级保护管理规范》、《企业内部控制基本规范》、《2002年公众公司会计改革和投资者保护法案》(简称萨班斯法案)等信息安全法规的要求。

　　极地安全一贯坚持共赢共荣的市场理念和专注专攻的开发策略，产品销售方式采用首推渠道合作伙伴的市场策略：即凡是合作伙伴能够覆盖到的销售区域，极地安全都依托合作伙伴进行销售;凡是合作伙伴能够处理商务环节的合同，极地安全都转交合作伙伴进行商务处理。极地安全的市场和销售人员最重要的职责就是配合合作伙伴共同为客户服务。