索特科技

一、背景概述

随着信息安全的发展，企业的安全和维护水平得到了明显的提高，防病毒软件、防火墙、IDS、IPS等安全产品得到了广泛的使用。这些产品的使用可以解决一部分安全问题，但对于已得到授权的人员的违规操作或误操作却无能为力。根据资料统计，在对企业造成严重损害的案例中，有 70％是企业内部人员所为。

虽然企业针对维护人员和第三方合作伙伴代维工程师的工作均有严格的规章制度，但由于没有技术保障，很难做到完全的执行。如何有效的监控操作人员的行为，并进行严格的审计是企业当前面临的一个关键问题。

二、企业维护管理存在的问题

由于信息系统的脆弱性、共享账号的使用、访问控制策略不严格、无法实现对用户操作的审计，要想根本解决内部人员违规或违法行为，并符合相关法案和规范以及合规性要求，需要一套完善的运维管理。

三、解决方案

通过实施综合维护接入平台，可以帮助企业达到以下目的：

◆ 实现维护接入的集中化管理，对运行维护进行统一管理，包括运维人员身份管理、设备账号管理。

◆ 实现运维人员统一权限管理，解决操作者合法访问被管资源的问题，避免可能存在的越权访问，建立有效的访问控制。

◆ 实现运维操作审计，对运维人员的操作进行全程监控和记录，实现运维操作的安全审计，满足信息安全审计要求。

◆ 实现合规审计，通过合规审计报表功能，对运维操作审计信息进行合规性审计归类，并形成符合法律规范要求的合规性报表，满足合规审计需求。

四、网络部署

综合维护接入平台采用堡垒机模式，无需对原有网络结构做任何改变。

综合维护接入平台的部署应该和企业的规章制度、网络控制一起合作，才能收到最好的效果。因为综合维护接入平台只能对用户经过网关的访问行为进行记录、控制，所以在实施过程中，要从企业的规章制度上来要求所有维护人员将综合维护接入平台作为各类设备维护登录的唯一入口，并从网络层面进行有效地控制。使用户无法绕过综合维护接入平台直接访问目标资源，以提高维护操作的安全性，减少安全事故发生。

索特科技建议企业实施索特的安全访问网关（SAG）和虚拟应用服务器（AVS）构建企业的综合维护接入平台。

综合维护接入平台网络拓扑如下：

图1 综合维护接入平台网络拓扑图

维护人员在进行维护操作时，首先登录到SAG系统，SAG系统根据登录用户的权限，提供该用户所能访问的主机与网络设备列表，SAG系统能够实时、完整地记录维护人员的操作；能够通过设定访问策略来控制维护人员的访问目标和可以使用的操作命令。

五、客户收益

企业在使用综合维护接入平台后，安全访问网关账号和运维人员真实身份对应，实现了维护操作对应到人的要求，并且能够在核实运维人员真实身份的基础上，控制其能够访问的各业务支撑系统，以及能够使用的应用，防范越权访问；对于预定义的高危操作，实现了及时阻断操作并告警；安全访问网关通过文本和视频方式，完整的记录了运维人员和第三方人员的所有维护操作，对于维护操作的原始日志，实现了快速检索，方便事后的责任调查。