堡壘主機(jī)方案下信息安全系統(tǒng)分析的論文

　　0引言

　　2008年中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布了GB/T22239-2008《信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)基本要求》后，信息安全等級(jí)保護(hù)制度已經(jīng)成為我國(guó)信息安全保護(hù)工作的基本國(guó)策，實(shí)行信息安全等級(jí)保護(hù)具有重大的現(xiàn)實(shí)和戰(zhàn)略意義。根據(jù)公安部發(fā)布的相關(guān)文獻(xiàn)，從近些年來(lái)年來(lái)等級(jí)保護(hù)安全測(cè)評(píng)的結(jié)果分析中可以看出，信息系統(tǒng)中容易出問(wèn)題的部分主要是賬號(hào)管理、權(quán)限管理和審計(jì)分析等幾個(gè)方面。例如：多人共用一個(gè)賬號(hào)；用戶(hù)權(quán)限分配沒(méi)有遵循最小化原則；未限制設(shè)備管理方式；未開(kāi)啟審計(jì)或未進(jìn)行審計(jì)分析等。為解決上述問(wèn)題，可以通過(guò)修改服務(wù)器配置信息以及網(wǎng)絡(luò)設(shè)備的配置可以進(jìn)行防范，隨著智能終端的出現(xiàn)，網(wǎng)絡(luò)傳播技術(shù)的不斷提高，交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的管理將便捷許多，操作人員可以通過(guò)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程操作。然而，由于復(fù)雜的網(wǎng)絡(luò)環(huán)境存在著大量的潛在攻擊行為，在方便快捷的同時(shí)，操作人員通過(guò)網(wǎng)絡(luò)與網(wǎng)絡(luò)設(shè)備通信存在著嚴(yán)重的安全隱患。針對(duì)這種情況，需要對(duì)現(xiàn)有服務(wù)器進(jìn)行改造，涉及到大量信息系統(tǒng)的安全維護(hù)操作，其復(fù)雜性和環(huán)境的不確定性造成這種方式的實(shí)施起來(lái)極其困難。

　　1企業(yè)應(yīng)用中的安全問(wèn)題

　　在企業(yè)應(yīng)用中，目標(biāo)設(shè)備之間通過(guò)互聯(lián)網(wǎng)絡(luò)進(jìn)行通訊，操作人員也通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程訪(fǎng)問(wèn)目標(biāo)設(shè)備。目標(biāo)設(shè)備需要對(duì)操作人員開(kāi)放相應(yīng)的接口，由于互聯(lián)網(wǎng)的開(kāi)放性，非法操作人員或潛在非法操作人員很容易通過(guò)相應(yīng)的接口登入系統(tǒng)進(jìn)行操作，給網(wǎng)絡(luò)安全帶來(lái)隱患。通過(guò)對(duì)現(xiàn)有系統(tǒng)在應(yīng)用中出現(xiàn)問(wèn)題進(jìn)行分析，目前系統(tǒng)中存在的安全隱患主要有：

　�。�1）存在潛在非法操作人員對(duì)網(wǎng)絡(luò)終端進(jìn)行非法操作；

　�。�2）目標(biāo)設(shè)備與操作人員無(wú)法進(jìn)行統(tǒng)一管理；

　�。�3）操作人員的誤操作無(wú)法有效避免；

　　（4）操作人員的操作記錄歷史追蹤無(wú)法實(shí)現(xiàn)。通過(guò)對(duì)現(xiàn)有信息系統(tǒng)以及網(wǎng)絡(luò)安全需求分析，結(jié)合企業(yè)現(xiàn)狀，選取部署相關(guān)安全產(chǎn)品到網(wǎng)絡(luò)中，作為安全模塊對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行安全保護(hù)，即堡壘主機(jī)。

　　2堡壘主機(jī)

　　堡壘主機(jī)是一種運(yùn)維管理系統(tǒng)，可以完成賬戶(hù)管理、授權(quán)管理和綜合審計(jì)等功能，完成集中認(rèn)證和運(yùn)維審計(jì)的作用。該類(lèi)產(chǎn)品對(duì)操作人員提供多種遠(yuǎn)程管理方式，并能夠?qū)Σ僮魅藛T以遠(yuǎn)程方式對(duì)服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)的操作行為過(guò)程進(jìn)行監(jiān)控和審計(jì)管理，以及對(duì)違規(guī)操作行為進(jìn)行實(shí)時(shí)報(bào)警、阻斷。通過(guò)堡壘主機(jī)可以有效的提高操作人員與網(wǎng)絡(luò)設(shè)備之間通信的安全性，并且可以對(duì)操作人員及遠(yuǎn)程操作進(jìn)行集中管理，在確保通信安全的基礎(chǔ)上，實(shí)現(xiàn)管理的統(tǒng)一。本文所述的堡壘主機(jī)產(chǎn)品為軟件堡壘主機(jī)，沒(méi)有運(yùn)輸成本，部署簡(jiǎn)單，升級(jí)簡(jiǎn)便，性能及功能可定制。在部署前，僅需要找到一臺(tái)信任主機(jī)即可。堡壘主機(jī)被部署到內(nèi)網(wǎng)主機(jī)上，并且對(duì)要訪(fǎng)問(wèn)的目標(biāo)設(shè)備進(jìn)行綁定，設(shè)定僅堡壘主機(jī)才可以對(duì)目標(biāo)設(shè)備進(jìn)行訪(fǎng)問(wèn)。所有操作人員都要先登錄到堡壘機(jī)上，然后才可以訪(fǎng)問(wèn)目標(biāo)設(shè)備。堡壘主機(jī)自身具有認(rèn)證及授權(quán)等功能，可以有效的屏蔽非法操作人員的訪(fǎng)問(wèn)。

　　3主要功能

　　本文所述的堡壘主機(jī)的主要功能有賬戶(hù)管理、角色管理、設(shè)備管理、黑名單管理和操作記錄查詢(xún)等。

　�。�1）賬戶(hù)管理。對(duì)于堡壘主機(jī)的賬戶(hù)，采用"一用戶(hù)一賬號(hào)"的原則，用戶(hù)需要通過(guò)自己的賬戶(hù)才能登錄堡壘主機(jī)。不存在用戶(hù)共享同一個(gè)賬戶(hù)，有效避免出現(xiàn)事故時(shí)無(wú)法追述問(wèn)題原因和責(zé)任人的問(wèn)題。另外，在用戶(hù)的身份認(rèn)證時(shí)，對(duì)用戶(hù)的賬號(hào)及所在IP進(jìn)行綁定，如果賬戶(hù)與登錄的IP不匹配，將無(wú)法登錄，加強(qiáng)了身份認(rèn)證機(jī)制。實(shí)現(xiàn)集中身份認(rèn)證和訪(fǎng)問(wèn)控制，避免冒名訪(fǎng)問(wèn)，提高訪(fǎng)問(wèn)安全性。

　�。�2）角色管理。針對(duì)不同的操作人員進(jìn)行角色管理。不同類(lèi)別的角色具有不同的操作權(quán)限，操作人員需要根據(jù)自身賬戶(hù)的角色等級(jí)來(lái)訪(fǎng)問(wèn)可操作的目標(biāo)主機(jī)及該目標(biāo)主機(jī)的資源。在便于任務(wù)分工及責(zé)任劃分的同時(shí)，有效的降低操作人員錯(cuò)誤操作的可能。

　�。�3）設(shè)備管理。管理目標(biāo)設(shè)備信息，堡壘主機(jī)對(duì)管理目標(biāo)設(shè)備的數(shù)量無(wú)限制，可以任意添加。

　�。�4）黑名單管理。堡壘主機(jī)將對(duì)操作人員的操作進(jìn)行實(shí)時(shí)監(jiān)測(cè)，如果某些操作被管理員禁止，那么該操作將無(wú)法完成。如：關(guān)機(jī)、重啟等操作，通過(guò)黑名單管理，指定人員將不具備該操作權(quán)限，提高操作的安全性。訪(fǎng)問(wèn)記錄查詢(xún)通過(guò)該功能可查詢(xún)目標(biāo)主機(jī)在某個(gè)時(shí)間段內(nèi)，有哪人操作人員登錄過(guò)。當(dāng)目標(biāo)主機(jī)因操作不當(dāng)而引發(fā)障礙時(shí)，結(jié)合操作記錄查詢(xún)，可快速排查障礙原因，并找到責(zé)任人，解決問(wèn)題，避免不必要的損失

　�。�5）操作記錄查詢(xún)。對(duì)操作人員的所有操作進(jìn)行記錄，當(dāng)因操作人員的錯(cuò)誤操作而引發(fā)障礙時(shí)，通過(guò)該功能可快速找出該操作人員，避免責(zé)任劃分不清問(wèn)題。4結(jié)語(yǔ)堡壘主機(jī)能夠解決集中賬號(hào)管理、細(xì)粒度的權(quán)限管理和訪(fǎng)問(wèn)審計(jì)的問(wèn)題，有效加強(qiáng)現(xiàn)有系統(tǒng)的網(wǎng)絡(luò)安全性，具有改造成本小，維護(hù)容易等特點(diǎn)。本文所述堡壘主機(jī)產(chǎn)品在吉林聯(lián)通通信網(wǎng)絡(luò)中成功應(yīng)用，有效降低了操作人員的誤操作和網(wǎng)絡(luò)信息故障發(fā)生的幾率，證明了堡壘主機(jī)在加強(qiáng)網(wǎng)絡(luò)安全方面的有效性。

【堡壘主機(jī)方案下信息安全系統(tǒng)分析的論文】相關(guān)文章：

旅游管理信息系統(tǒng)分析論文10-09

信息技術(shù)下煤礦安全管理的論文10-09

保障體系構(gòu)建下的檔案信息安全的研究論文10-09

云計(jì)算環(huán)境下信息安全對(duì)策論文10-11

大數(shù)據(jù)下計(jì)算機(jī)信息安全技術(shù)探析論文10-11

遠(yuǎn)程圖像監(jiān)控系統(tǒng)分析的論文10-09

金控體系下信息安全防護(hù)網(wǎng)構(gòu)建論文10-11

路網(wǎng)管理的信息安全加固方案研究論文10-09

電子檔案的信息安全論文10-09

信息安全畢業(yè)論文10-10