内网安全威胁的“终结者”：堡垒机

　　产业大格局　为企业内网构筑堡垒成趋势

　　从各大行业近年来对内控堡垒主机产品的采购力度不断加大的情况来看，在构筑企业内网安全体系的道路上，堡垒机成为重头主力军之一已是大势所趋。

　　这样的趋势日益成为业界共识，而这个大趋势的最根本的源泉，就在于企业内网在信息化应用水平提升的同时，其自身所必然出现的信息系统漏洞和桎梏，以及为满足信息社会各种法规遵从而必然需要采取的举措。

　　从企业自身信息系统发展来看，随着企业ERP、OA、CRM等生产和办公系统的普及，单位的日程运转对内部信息网络的依赖程度越来越高，内网信息网络已经成 了各个单位的生命线，对内网稳定性、可靠性和可控性提出高度的要求。内部信息网络由大量的终端、服务器和网络设备组成，形成了统一有机的整体，任何一个部 分的安全漏洞或者问题，都可能引发整个网络的瘫痪，对内网各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。

　　由庞大的 网络信息系统所组成的企业IT平台，将在企业的运营中全面渗透，企业的各种内部事务和外部业务，都将全面架构于企业内网信息系统之上。尤其是电信、财政、 税务、公安、金融、电力、石油等重要行业单位，更是使用数量较多的服务器主机来运行关键业务，提供电子商务、数据库应用、运维管理、ERP和协同工作群件 等服务。由于服务器众多，系统管理员压力太大等因素，人为误操作的可能性时有发生，这会对部门或者企业声誉造成重大影响，并严重影响其经济运行效能。黑客 /恶意访问也有可能获取系统权限，闯入部门或企业内部网络，造成不可估量的损失。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访 问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，越来越成为企业关心的问题。

　　从法律法规对于信息系统审计的要求上来看， 从20世纪六十年代，伴随着计算机信息技术的诞生发展，各国法律都对IT信息系统的审计不断提出更新更高的要求。70年代中期至80年代，美国、日本等先 后成立计算机审计相关组织;国际开始兴起一系列信息安全管理标准的制定。1983年，日本通产省发布《系统审计标准》，开始培训信息系统审计人员。 1984年美国EDPAA协会(执业会计师协会)发布一套EDP控制标准——《EDP控制目的》。1996年，ISACA协会发布了 COBIT(Control Objectives for Information and related Technology)标准，是国际上公认的安全与信息技术管理和控制的权威标准，也是国际通用的信息系统审计标准，已在100多个国家的重要组织和企业 中应用。1999年-至今，信息系统审计普及和行业应用阶段。

　　2001年至今，美国安然事件及由此引发的一系列美国著名大公司在公 司治理和财务管理力方面的问题，促使美国陆续出台了多个具有较强影响力的行业法案，如：2002年美国出台Sarbanes-Oxley法案(塞班斯—奥 克斯利法案)，其中第404条款要求企业在财务报告方面加强内控，企业的CEO和CFO必须对本企业的内控系统的有效性发表诚信声明。因此，IT信息系统 同样需要加强控制以达到SOX法案的合规要求; 2005年针对IT信息系统的SOX合规审计成为全球CIO最关注的事。目前，西方发达国家的信息系统审计应用已较为普遍，并发展到了较高的水平。

　　从我国的发展趋势来看，同样如此。随着互联网在国内的迅速普及应用，推动国内信息系统安全审计进入快速发展阶段。国家相关部门、金融行业、能源行业、运营商 均陆续推出多项针对信息系统风险管理政策法规，推动国内信息系统安全审计快速发展。2005年12月，公安部颁布82号令《互联网安全保护技术措施规定》 即对系统信息安全审计提出明确要求。

　　2006年，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定并发布了 《信息安全等级保护管理办法(试行)》，该办法明确要求信息系统运营使用单位在开展等级保护工作中要按照或者参照国家、行业技术标准进行系统定级、建设、 整改、测评等工作。《信息系统安全等级保护基本要求》是信息安全等级保护标准体系中重要的基础性标准之一。该要求针对不同安全保护等级信息系统的基本安全 审计能力均有明确要求，如：需要对用户行为、安全事件等进行记录，对形成的记录能够统计、分析、并生成报表。

　　2006年，国家保密局发布BMB17-2006号文件《涉密信息系统分级保护技术要求》，文件要求相关涉密单位信息系统，根据不同涉密级别，采取相关审计措施。

　　2006年-2009年，安全审计被列入多个行业信息系统安全建设要求。

　　随着政府、金融、电信、能源等行业信息化的发展，信息科技的作用已经从业务支持逐步走向与业务的融合，成为各行业稳健运营和发展的支柱，为加强信息系统风险管理，各行业陆续发布了行业性信息系统管理规范和要求。

　　2008年6月，财政部、证监会、银监会、保监会及审计署委联合发布了《企业内部控制基本规范》，该规范被称为中国的“SOX法案”，是我国在审计领域的重大改革 举措，该规范将首先在上市企业中实行。如何把IT内控与企业内控管理统一起来，是《企业内部控制基本规范》的一个关键点，信息安全审计则将成为企业IT内 控、安全风险管理的不可或缺的技术手段。该规范将促使国内企业加强IT内控建设，从而推动安全审计市场的发展，但其中非常关键的一点就是安全审计技术如何 有效地与规范结合，满足企业合规审计要求。

　　2009年3月，银监会为加强商业银行信息科技风险管理，发布了《商业银行信息科技风险管理指引》，该 指引中重点阐述了信息系统风险管理和内外部审计要求，特别是要求审计贯穿信息科技活动的整个过程之中。另外，在《国家电网SG186工程防护总体方案》、 《中国移动集团内控手册》、《中国电信集团内控手册》等行业要求中也均明确要求采取信息系统风险内控和审计技术手段。

　　目前，随着信息安全建设的深入，安全审计已成为国内信息安全建设的重要技术手段。总体来看，由于信息系统发展水平和业务需求的不同，各行业对安全审计的具体关注点存在 一定差异，但均是基于政策合规、自身安全建设要求，如：政府主要关注如何满足“信息系统安全等级保护”等政策要求的合规安全审计;电信运营商则基于自身信 息系统风险内控需求进行安全审计建设。

　　综上所述，在企业信息系统自身安全管理需要和国家行业的审计不断提升的要求下，各行业单位对于堡垒机的需求，必将在近三年内达到一个井喷的市场高潮。

　　那么，目前国内堡垒机技术和产品提供厂商究竟是什么布局呢?

　　由于堡垒机是近年内出现的新技术和产品，并且国内行业用户大多还处于信息化应用建设的高潮，还没有到堡垒机需求期，因此，堡垒机市场需求规模和产品提供商都 有限。国内很大一部分信息安全综合厂商都陆续推出许多有着与堡垒机部分功能相近的产品，例如单点登录产品，内网准入产品、系统审计产品等，但是真正能够提 供完整独立堡垒机技术和产品的并不是很多，国内堡垒机技术和市场规模较为知名的包括以下五家：网御神州(www.legendsec.com)、绿盟科技 (www.nsfocus.com)、极地安全(www.jidisec.com)、方正安全(www.foundersec.com)和捷成世纪 (www.jetsen.cn)。

　　而从技术的角度看，目前主流的内控堡垒机所应用的主要技术包括：逻辑命令自动识别技术、分布式处理技术、图形协议代理、多进程/线程与同步技术、数据加密技术等。

　　其中，逻辑命令自动识别技术是指自动识别当前操作终端，对当前终端的输入输出进行控制，组合输入输出流，自动识别逻辑语义命令。系统会根据输入输出上下文， 确定逻辑命令编辑过程，进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能，在传统键盘捕获与控制领域取得新的突破，可以更加准确的 控制用户意图。该技术能自动识别命令状态和编辑状态以及私有工作状态，准确捕获逻辑命令。

　　分布式处理技术是指内控堡垒主机采用分布 式处理架构进行处理，启用命令捕获引擎机制，通过策略服务器完成策略审计，通过日志服务器存储操作审计日志，并通过实时监视中心，实时察看用户在服务器上 行为。这种分体式设计有利于策略的正确执行和操作记录日志的安全。同时，各组件之间采用安全连接进行通信，防止策略和日志被篡改。各组件可以独立工作，可 以分布于不同的服务器上，亦可所有组件安装于一台服务器。

　　正则表达式匹配技术是指内控堡垒主机采用正则表达式匹配技术，将正则表达式组合入树型可遗传策略结构，实现控制命令的自动匹配与控制。树型可遗传策略适合现代企业事业架构，对于服务器的分层分级管理与控制，相当有用。

　　图形协议代理是指为了对图形终端操作行为进行审计和监控，内控堡垒主机对图形终端使用的协议进行代理，实现多平台的多种图形终端操作的审计，例如Windows平台的RDP方式图形终端操作，Linux/Unix平台的XWindow方式图形终端操作。

　　多进程/线程与同步技术是指内控堡垒主机主体采用多进程/线程技术实现，利用独特的通信和数据同步技术，准确控制程序行为。多进程/线程方式逻辑处理准确，事务处理不会发生干扰，这有利于保证系统的稳定性、健壮性。

　　数据加密功能是指内控堡垒主机在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性。防止恶意用户截获和篡改数据。充分保护用户在操作过程中不被恶意破坏。

　　操作还原技术是指将用户在系统中的操作行为以真实的环境模拟显现出来，审计管理员可以根据操作还原技术还原出真实的操作，以判定问题出在哪里。目前，绿盟科 技、极地安全、方正安全等国内主流内控堡垒主机采用操作还原技术能够将用户的操作流程自动地展现出来，能够监控用户的每一次行为，判定用户的行为是否对企业内部网络安全性造成危害。