天玥電腦官網客服：天玥運維安全網關v6.0漏洞

1、堡壘機產品由來？

堡壘機產品源於單位對管理理念和對網絡安全的不斷認知提升的過程，從2000年開始，隨着軟件成熟化不斷推動，單位對安全的認識也從邊界到內部，而且越來越關注內部數據和內部人員運維過程的重要性。堡壘機也就在這樣過程中誕生並進行了不斷延伸，從「跳板機」到「堡壘機」，從「堡壘機」到「運維安全網關」，從「運維安全網關」在根據各廠商認知以及規划進行了不斷細分，比如雲堡壘機，4A，比如堡壘機、數據庫審計，日誌審計組合成的綜合運維審計系統等。這些不斷的變化也是結合國家政策，市場，最主要是需求的不斷延伸。

備註百科：

跳板機：可以單點登錄，批量操作遠程設備的網絡設備。

堡壘機: 可以單點登錄和對運維過程進行安全審計。

運維安全（審計）網關：可以單點登錄和對運維過程進行安全審計，運維過程風險控制，權限細節分配，密碼改密等。合規性更全面。

雲堡壘機：在私有雲或公有雲上部署雲堡壘機產品，產品實現形態和普通版本基本一致，主要改變為鏡像方式以虛擬化形態部署在雲平台管理平面。售賣方式一般可租可買斷方式。

4A：細化了運維安全（審計）網關具備的功能，同時面向對象針對人員賬戶進行全生命周期管理，加強了控制和實用力度，一般需要和業務進行配合。

綜合運維審計系統：網絡審計，數據庫審計，日誌審計、運維安全（審計）網關結合產品。

2、堡壘機產品基礎功能都應該有什麼？

堡壘機產品應用市場已經很長時間，基礎功能各廠商滿足情況大同小異，主要能實現的功能為：

單點登錄：運維用戶只需經過一次認證，就可以直接訪問多種目標設備。

身份認證：登錄資源時可以雙因子認證。

訪問授權：根據人員情況特性進行訪問授權，包括IP，登錄名，時間等因素。

操作審計：操作過程記錄，包括字符協議，文件傳輸協議，數據庫協議，圖形協議等。

實時監控：實現操作過程同步監視。

二次審批：根據需求對特殊指令操作進行二次審批功能。

告警阻斷：檢測日常運維過程中發生的越權訪問、違規操作等安全事件進行告警阻斷。

密碼管理：對密碼進行自動改密，定期改密等。

報表管理：多樣化報表滿足實際應用。

3、堡壘機產品合規性有哪些？

堡壘機產品對應到合規政策層面一般為網絡安全等級保護要求以及評測等，涉及到美國《薩班斯法案》本次不作為涉及介紹，針對等級保護要求對應個人整理情況如下：

3.1、身份鑒別：

3.1.1、應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有複雜度要求並定期更換。

3.1.2、應具有登錄失敗處理功能，應配置並啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。

3.1.3、當進行遠程管理時，應採取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽。

3.1.4、應採用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。

3.2、訪問控制：

3.2.1、應對登錄的用戶分配賬戶和權限。

3.2.2、修改默認賬戶的默認口令。

3.2.3、應及時刪除或停用多餘的、過期的賬戶，避免共享賬戶的存在。

3.2.4、應授予管理用戶所需的最小權限，實現管理用戶的權限分離。

3.2.5、應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則。

3.2.6、訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級。

3.3、安全審計：

3.3.1、應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；

3.3.2、應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。

3.3.3、應對審計進程進行保護，防止未經授權的中斷。

3.4、數據備份恢復

3.4.1、應提供重要數據的本地數據備份與恢復功能。

3.4.2、應提供重要數據處理系統的熱冗餘，保證系統的高可用性

3.5、其它要求

3.5.1、應通過系統管理員對系統的資源和運行進行配置、控制和管理，包括用戶身份、系統資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等。

3.5.2、應對審計管理員進行身份鑒別、只允許通過特定的命令或操作界面進行安全審計操作，並對這些操作進行審計。

3.5.3、應對分散在各個設備上的審計數據進行收集匯總和集中分析，並保證審計記錄的留存時間複合法律法規要求。

3.5.4、應禁止未授權訪問和非法使用用戶個人信息。

3.5.5、應劃分不同的管理員角色進行網絡和系統的運維管理，明確各個角色的責任和權限。

4、堡壘機產品一般哪些易用性和安全性是需要的？

4.1、堡壘機B/S，C/S客戶端都應該具備，便於不改變使用習慣。

4.2、二次授權或金庫模式是必須的，可以預防單個負責人危險性操作。

5、堡壘機產品怎麼選?

市面上廠家報價是根據字符並發和圖形並發來計算需要的設備性能，設備和被管理數量，存儲來作為參考因素。因此單位在選擇堡壘機的第一件事就是對單位進行資產普查，明晰需要被管理資源的性質，數量以及常用訪問方式或者協議。通過資產普查可以評估後續堡壘機設備性能情況，同時也明確了被管理數量。這樣對於廠商來說已經可以報價了。同時單位應當從合規性和易用性綜合考慮，而且根據本單位實際對運維的標準以及習慣，明確自己要能達到的要求。同時軟件著作權，銷售許可證，3C證書等證書可以保障產品基礎安全性。

備註：

圖形並發數（RDP、VNC等）：通過圖形協議同時打開應用的數量。

字符並發數（SSH、TELNET等）：通過字符協議同時打開應用的數量。

舉例：單位50台網絡設備作為被管理資源，運維人員5人，以及日常應用習慣來估算，最大估算為圖形並發數80，字符並發數為250.

6、堡壘機產品建議怎麼部署?

基本部署方式為旁路部署，無需對網絡結構進行任何調整，給設備1個IP地址，後續所有設備通過此設備IP地址進行訪問各類被管理資產，強制性使用可以通過核心交換機進行對管理地址限定或管理端口限制等方式指定被管理資產必須通過堡壘機才能訪問。