目前，隨著企事業(yè)單位IT系統(tǒng)的不斷發(fā)展，網(wǎng)絡(luò)規(guī)模和設(shè)備數(shù)量迅速擴大，日趨復(fù)雜的IT系統(tǒng)與不同背景的運維人員的行為給信息系統(tǒng)安全帶來較大風(fēng)險，主要表現(xiàn)在：

1.多個用戶使用同一個賬號。這種情況主要出現(xiàn)在同一工作組中，由于工作需要，同時系統(tǒng)管理賬號，因此只能多用戶共享同一賬號。如果發(fā)生安全事故，不僅難以定位賬號的實際使用者和責(zé)任人，而且無法對賬號的使用范圍進(jìn)行有效控制，存在較大安全風(fēng)險和隱患。
2.一個用戶使用多個賬號。目前，一個維護(hù)人員使用多個賬號是較為普遍的情況，用戶需要記憶多套口令同時在多套主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備之間切換，降低工作效率，增加工作復(fù)雜度。如下圖所示：

用戶與賬號的關(guān)系現(xiàn)狀
3.缺少統(tǒng)一的權(quán)限管理平臺，權(quán)限管理日趨繁重和無序；而且維護(hù)人員的權(quán)限大多是粗放管理，無法基于小權(quán)限分配原則的用戶權(quán)限管理，難以實現(xiàn)更細(xì)粒度的命令級權(quán)限控制，系統(tǒng)安全性無法充分保證。
4.無法制定統(tǒng)一的訪問審計策略，審計粒度粗。各網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、數(shù)據(jù)庫是分別單審計記錄訪問行為，由于沒有統(tǒng)一審計策略，并且各系統(tǒng)自身審計日志內(nèi)容深淺不一，難以及時通過系統(tǒng)自身審計發(fā)現(xiàn)違規(guī)操作行為和追查取證。
5. 傳統(tǒng)的網(wǎng)絡(luò)安全審計系統(tǒng)無法對維護(hù)人員經(jīng)常使用的SSH、RDP等加密、圖形操作協(xié)議進(jìn)行內(nèi)容審計。
如何解決上述風(fēng)險帶來的各種安全隱患和審計監(jiān)管問題？北京藍(lán)浚SSA給我們提供一套運維管理解決方案，使得管理人員可以對各種資源（包括網(wǎng)絡(luò)設(shè)備、主機、安全設(shè)備和數(shù)據(jù)庫）進(jìn)行集中賬號管理、細(xì)粒度的權(quán)限管理和審計，幫助企業(yè)提升風(fēng)險內(nèi)控水平。

一、SSA核心功能：

1、單點登錄功能
支持對X11、linux、unix、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等一系列授權(quán)賬號進(jìn)行密碼的自動化周期更改，簡化密碼管理，讓使用者無需記憶眾多系統(tǒng)密碼，即可實現(xiàn)自動登錄目標(biāo)設(shè)備，便捷安全；
2、賬號管理
設(shè)備支持統(tǒng)一賬戶管理策略，能夠?qū)崿F(xiàn)對所有服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等賬號進(jìn)行集中管理，完成對賬號整個生命周期的監(jiān)控，并且可以對設(shè)備進(jìn)行特殊角色設(shè)置如：審計巡檢員、運維操作員、設(shè)備管理員等自定義設(shè)置，以滿足審計需求 ；
3、身份認(rèn)證
設(shè)備提供統(tǒng)一的認(rèn)證接口，對用戶進(jìn)行認(rèn)證，支持身份認(rèn)證模式包括 動態(tài)口令、靜態(tài)密碼、硬件key 、生物特征等多種認(rèn)證方式，設(shè)備具有靈活的定制接口，可以與其他第三方認(rèn)證服務(wù)器之間結(jié)合；安全的認(rèn)證模式，有效提高了認(rèn)證的安全性和可靠性；
4、資源授權(quán)
設(shè)備提供基于用戶、目標(biāo)設(shè)備、時間、協(xié)議類型 IP、行為等要素實現(xiàn)細(xì)粒度的操作授權(quán)，大限度保護(hù)用戶資源的安全；
5、訪問控制
設(shè)備支持對不同用戶進(jìn)行不同策略的制定，細(xì)粒度的訪問控制能夠大限度的保護(hù)用戶資源的安全，嚴(yán)防非法、越權(quán)訪問事件的發(fā)生；
6、操作審計
設(shè)備能夠?qū)ψ址?、圖形、文件傳輸、數(shù)據(jù)庫等全程操作行為審計；通過設(shè)備錄像方式實時監(jiān)控運維人員對操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等進(jìn)行的各種操作，對違規(guī)行為進(jìn)行事中控制。對終端指令信息能夠進(jìn)行精確搜索，進(jìn)行錄像精確定位。

二、系統(tǒng)架構(gòu)

堡壘機管理平臺由系統(tǒng)監(jiān)控管理模塊、平臺管理配置模塊和平臺會話日志管理模塊構(gòu)成，在“平臺模塊”的基礎(chǔ)之上，展現(xiàn)堡壘機的功能模塊，功能模塊主要由賬號管理、認(rèn)證管理、權(quán)限分配、審計管理和報表管理組成。堡壘機總體架構(gòu)如下圖所示：

1、監(jiān)管人員與監(jiān)管設(shè)備
堡壘機支持對所有的運維人員、第三方支持人員和代維人員的審計監(jiān)控
堡壘機支持對目前市場主流的服務(wù)器、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫的監(jiān)控審計
2、功能管理模塊
提供賬戶管理功能、認(rèn)證管理功能、權(quán)限管理功能和審計管理功能以及報表管理功能。
下面分別說明賬號管理、認(rèn)證管理、權(quán)限管理和審計管理模塊的功能。
賬號管理
賬號管理主要負(fù)責(zé)集中維護(hù)包括運維賬號、設(shè)備賬號、堡壘機自身管理賬號以及對賬號密碼的管理。
運維賬號的范圍包括設(shè)備管理員、維護(hù)人員、第三方代維人員。
運維賬號是登錄堡壘機，獲取目標(biāo)設(shè)備訪問權(quán)利的賬號，與實際用戶身份一一對應(yīng)，每個用戶一個主賬號，每個主賬號只屬于一個用戶。
認(rèn)證管理
系統(tǒng)可通過本地認(rèn)證、外部認(rèn)證（如LDAP、RADIUS）等認(rèn)證方式，對用戶賬號進(jìn)行統(tǒng)一認(rèn)證鑒權(quán)，并實現(xiàn)單點登陸。
·單點登錄（SSO）
單點登錄是用戶完成主賬號登錄后，訪問具有權(quán)限的所有目標(biāo)設(shè)備時，均不需要再輸入賬號口令，堡壘機自動代為登錄，因此不需要用戶記錄多套賬號口令、重復(fù)登錄，提高工作效率。
權(quán)限管理
授權(quán)管理包括設(shè)備管理和授權(quán)、賬號授權(quán)。
· 設(shè)備管理和授權(quán)
系統(tǒng)將需要管理的設(shè)備錄入，設(shè)備信息包括設(shè)備名稱、版本、IP地址、連接協(xié)議等。設(shè)備可按照組織結(jié)構(gòu)或地域組織。
· 賬號授權(quán)
系統(tǒng)提供用戶對目標(biāo)設(shè)備（即運維賬號到設(shè)備賬號）訪問的授權(quán)，對于訪問授權(quán)可以具體到命令級。
審計管理
堡壘機的審計范圍包括審計用戶對被管理設(shè)備的所有敏感關(guān)鍵操作、對堡壘機自身的配置管理行為進(jìn)行審計。
·用戶操作行為審計內(nèi)容
提供對通過SSH、RDP、VNC、X-Window、Telnet、Rlogin、FTP等協(xié)議的訪問行為進(jìn)行內(nèi)容審計，會話回放
·堡壘機自身配置管理審計
提供對堡壘機賬號分配、賬號授權(quán)、登錄堡壘機過程、認(rèn)證管理、授權(quán)管理的行為審計。
報表管理
堡壘機提供豐富完善的報表功能，可以對審計信息進(jìn)行報表統(tǒng)計、分析
審計報表可以通過折線、圓餅、柱狀圖等方式展現(xiàn)

三、目標(biāo)與價值

1、目標(biāo)
SSA的核心思路是邏輯上將人與目標(biāo)設(shè)備分離，建立“人-〉賬號（堡壘機用戶賬號）-〉授權(quán)->審計的模式;在這種模式下，基于身份標(biāo)識，通過 集中管控安全策略的賬號管理、授權(quán)管理和審計，建立針對維護(hù)人員的“主賬號-〉登錄-〉訪問操作-〉退出”的全過程完整審計管理，實現(xiàn)對各種運維加密/非 加密、圖形操作協(xié)議的命令級審計。
SSA核心思路
2、系統(tǒng)價值
堡壘機的作用主要體現(xiàn)在下述幾個方面：
企業(yè)角度
通過細(xì)粒度的安全管控策略，保證企業(yè)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等安全可靠運行，降低人為安全風(fēng)險，避免安全損失，保障企業(yè)效益。
管理員角度
所有運維賬號的管理在一個平臺上進(jìn)行管理，賬號管理更加簡單有序；
通過建立用戶與賬號的對應(yīng)關(guān)系，確保用戶擁有的權(quán)限是完成任務(wù)所需的小權(quán)限；
直觀方便的監(jiān)控各種訪問行為，能夠及時發(fā)現(xiàn)違規(guī)操作、權(quán)限濫用等。
普通用戶角度
運維人員只需記憶一個賬號和口令，一次登錄，便可實現(xiàn)對其所維護(hù)的多臺設(shè)備的訪問，無須記憶多個賬號和口令，提高了工作效率，降低工作復(fù)雜度。