随着政府、金融、电信、能源等行业信息化的发展,信息科技的作用已经从业务支持逐步走向与业务的融合,成为各行业稳健运营和发展的支柱,为加强信息系统风险管理,各行业陆续发布了行业性信息系统管理规范和要求。
2008年6月,财政部、证监会、银监会、保监会及审计署委联合发布了《企业内部控制基本规范》,该规范被称为中国的“SOX法案”,是我国在审计领域的重大改革 举措,该规范将首先在上市企业中实行。如何把IT内控与企业内控管理统一起来,是《企业内部控制基本规范》的一个关键点,信息安全审计则将成为企业IT内 控、安全风险管理的不可或缺的技术手段。该规范将促使国内企业加强IT内控建设,从而推动安全审计市场的发展,但其中非常关键的一点就是安全审计技术如何 有效地与规范结合,满足企业合规审计要求。
2009年3月,银监会为加强商业银行信息科技风险管理,发布了《商业银行信息科技风险管理指引》,该 指引中重点阐述了信息系统风险管理和内外部审计要求,特别是要求审计贯穿信息科技活动的整个过程之中。另外,在《国家电网SG186工程防护总体方案》、 《中国移动集团内控手册》、《中国电信集团内控手册》等行业要求中也均明确要求采取信息系统风险内控和审计技术手段。
目前,随着信息安全建设的深入,安全审计已成为国内信息安全建设的重要技术手段。总体来看,由于信息系统发展水平和业务需求的不同,各行业对安全审计的具体关注点存在 一定差异,但均是基于政策合规、自身安全建设要求,如:政府主要关注如何满足“信息系统安全等级保护”等政策要求的合规安全审计;电信运营商则基于自身信 息系统风险内控需求进行安全审计建设。
综上所述,在企业信息系统自身安全管理需要和国家行业的审计不断提升的要求下,各行业单位对于堡垒机的需求,必将在近三年内达到一个井喷的市场高潮。
那么,目前国内堡垒机技术和产品提供厂商究竟是什么布局呢?
由于堡垒机是近年内出现的新技术和产品,并且国内行业用户大多还处于信息化应用建设的高潮,还没有到堡垒机需求期,因此,堡垒机市场需求规模和产品提供商都 有限。国内很大一部分信息安全综合厂商都陆续推出许多有着与堡垒机部分功能相近的产品,例如单点登录产品,内网准入产品、系统审计产品等,但是真正能够提 供完整独立堡垒机技术和产品的并不是很多,国内堡垒机技术和市场规模较为知名的包括以下五家:网御神州(www.legendsec.com)、绿盟科技 (www.nsfocus.com)、极地安全(www.jidisec.com)、方正安全(www.foundersec.com)和捷成世纪 (www.jetsen.cn)。
而从技术的角度看,目前主流的内控堡垒机所应用的主要技术包括:逻辑命令自动识别技术、分布式处理技术、图形协议代理、多进程/线程与同步技术、数据加密技术等。
其中,逻辑命令自动识别技术是指自动识别当前操作终端,对当前终端的输入输出进行控制,组合输入输出流,自动识别逻辑语义命令。系统会根据输入输出上下文, 确定逻辑命令编辑过程,进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能,在传统键盘捕获与控制领域取得新的突破,可以更加准确的 控制用户意图。该技术能自动识别命令状态和编辑状态以及私有工作状态,准确捕获逻辑命令。
分布式处理技术是指内控堡垒主机采用分布 式处理架构进行处理,启用命令捕获引擎机制,通过策略服务器完成策略审计,通过日志服务器存储操作审计日志,并通过实时监视中心,实时察看用户在服务器上 行为。这种分体式设计有利于策略的正确执行和操作记录日志的安全。同时,各组件之间采用安全连接进行通信,防止策略和日志被篡改。各组件可以独立工作,可 以分布于不同的服务器上,亦可所有组件安装于一台服务器。
正则表达式匹配技术是指内控堡垒主机采用正则表达式匹配技术,将正则表达式组合入树型可遗传策略结构,实现控制命令的自动匹配与控制。树型可遗传策略适合现代企业事业架构,对于服务器的分层分级管理与控制,相当有用。
图形协议代理是指为了对图形终端操作行为进行审计和监控,内控堡垒主机对图形终端使用的协议进行代理,实现多平台的多种图形终端操作的审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix平台的XWindow方式图形终端操作。
多进程/线程与同步技术是指内控堡垒主机主体采用多进程/线程技术实现,利用独特的通信和数据同步技术,准确控制程序行为。多进程/线程方式逻辑处理准确,事务处理不会发生干扰,这有利于保证系统的稳定性、健壮性。
数据加密功能是指内控堡垒主机在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性。防止恶意用户截获和篡改数据。充分保护用户在操作过程中不被恶意破坏。
操作还原技术是指将用户在系统中的操作行为以真实的环境模拟显现出来,审计管理员可以根据操作还原技术还原出真实的操作,以判定问题出在哪里。目前,绿盟科 技、极地安全、方正安全等国内主流内控堡垒主机采用操作还原技术能够将用户的操作流程自动地展现出来,能够监控用户的每一次行为,判定用户的行为是否对企业内部网络安全性造成危害。
相关链接1. 证劵行业JD-FORT内控堡垒主机应用案例
某证劵公司IT管理员小李,是实时交易业务关键服务器的设备管理员,同时,与交易业务相关的交换机、外围WEB服务器等多台设备也需要经常维护。在未部署堡 垒主机产品前,小李要记忆五六个不同的设备口令。并且信息化办公室领导,从安全角度考虑,规定小李为了安全起见每隔一个月需修改所有口令,而作为关键服务 器的设备管理员,更是需要经常维护该服务器上的所有帐号分组和授权等,真正的业务维护所占工作量远没有设备帐号维护多。2010年下半年,企业与极地安全 公司合作,部署极地内控堡垒主机后,小李在网络中有唯一的帐号信息,通过单点登录即完成全部设备的维护,口令修改也只需修改堡垒主机帐号的口令。该证券公 司《企业内部控制基本规范》中第五章对信息与沟通提出了确要求,极地内部网络控制统一安全管理解决方案可以将所有计算机和网络设备以及应用的运行状态进行 统一展示,提供最全面、最直观、最有效的信息展示,以求在各管理级次、责任单位、业务环节之间,以及部门、单位之间进行有效的沟通与反馈,及时发现问题并 解决。值得一提的是,上周服务器上某个配置修改错误系小王误操作,但借助堡垒主机的审计功能,很快便查到了问题所在,及时恢复了业务的正常运行。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国