這些隱患所產(chǎn)生的新問題，歸結(jié)起來包括以下五個主要的問題。

其一，共享賬號帶來的安全問題。在企業(yè)內(nèi)網(wǎng)IT系統(tǒng)管理中，共享賬號是很常見的管理方法，其好處顯而易見，既能節(jié)約了帳號管理成本，又降低了本地溢 出的風(fēng)險……但是，隨著IT系統(tǒng)復(fù)雜性幾何級提升，共享賬號帶來明顯的隱患，這是因為等。這就是說，很多人共用一個賬號，就使得帳號不具有唯一性，而且密 碼難以有效管理，最關(guān)鍵的是一旦該賬號出現(xiàn)安全問題，責(zé)任難以認(rèn)定到人，這就不符合國家關(guān)于信息安全“誰使用，誰負(fù)責(zé)”的原則。

其二，權(quán)限控制帶來的安全隱患。大多數(shù)企事業(yè)單位的IT運維均采用設(shè)備、操作系統(tǒng)自身的授權(quán)系統(tǒng)，各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配權(quán)限， 無法嚴(yán)格按照最小權(quán)限原則分配權(quán)限。另外，隨著用戶數(shù)量的增加，權(quán)限管理任務(wù)越來越重，當(dāng)維護人員同時對多個系統(tǒng)進行維護時，工作復(fù)雜度會成倍增加。安全 性無法得到充分保證。

其三，訪問控制帶來的安全隱患。目前的常見對系統(tǒng)管理員賬號管理中，沒有一個清晰的訪問控制列表，無法一目了 然的看到什么用戶能夠以何種身份訪問哪些關(guān)鍵設(shè)備，同時缺少有效的技術(shù)手段來保證訪問控制策略有效地執(zhí)行。尤其是針對許多外包服務(wù)商、廠商技術(shù)支持人員、 項目集成商等在對企業(yè)核心服務(wù)器、網(wǎng)絡(luò)基礎(chǔ)設(shè)施進行現(xiàn)場調(diào)試或遠(yuǎn)程技術(shù)維護時，無法有效的記錄其操作過程、維護內(nèi)容，極容易泄露核心機密數(shù)據(jù)或遭到潛在的 惡意的破壞。

其四，系統(tǒng)審計帶來的安全隱患。企業(yè)內(nèi)網(wǎng)各IT系統(tǒng)獨立運行、維護和管理，所以各系統(tǒng)的審計也是相互獨立的。審計的機 制、格式和管理都不盡相同，就會帶來各種問題。例如，每個網(wǎng)絡(luò)設(shè)備，每個主機系統(tǒng)分別進行審計，安全事故發(fā)生后需要排查各系統(tǒng)的日志，但是往往日志找到 了，也不能最終定位到行為人。

其五，面臨安全合規(guī)性法規(guī)遵從的壓力。為加強信息系統(tǒng)風(fēng)險管理，政府、金融、運營商等陸續(xù)發(fā)布信息系統(tǒng)管理規(guī)范和要求，如“信息系統(tǒng)等級保護”、“商業(yè)銀行信息科技風(fēng)險管理指引”、“企業(yè)內(nèi)部控制基本規(guī)范”等均要求采取信息系統(tǒng)風(fēng)險內(nèi)控與審計。

這些法規(guī)的要求和遵從，對于大型企業(yè)上市或者跨國經(jīng)營，有著極大的影響。2002年由美國總統(tǒng)布什簽發(fā)的薩班斯法案(Sarbanes- Oxley Act)開始生效。其中要求企業(yè)的經(jīng)營活動，企業(yè)管理、項目和投資等，都要有控制和審計手段。因此，管理人員需要有有效的技術(shù)手段和專業(yè)的技術(shù)工具和安全 產(chǎn)品按照行業(yè)的標(biāo)準(zhǔn)來做細(xì)粒度的管理，真正做到對于內(nèi)部網(wǎng)絡(luò)的嚴(yán)格管理，可以控制、限制和追蹤用戶的行為，判定用戶的行為是否對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全運行帶 來威脅。

綜上所述，隨著信息化的發(fā)展，企事業(yè)單位IT系統(tǒng)不斷發(fā)展，網(wǎng)絡(luò)規(guī)模迅速擴大，設(shè)備數(shù)量激增，建設(shè)重點逐步從網(wǎng)絡(luò)平臺轉(zhuǎn)向 深化應(yīng)用、提升效益為特征的運維階段;IT系統(tǒng)運維與安全管理正逐漸走向融合。面對日趨復(fù)雜的IT系統(tǒng)，不同背景的運維人員已經(jīng)給企業(yè)信息系統(tǒng)安全運行帶 來較大的潛在風(fēng)險，因此，內(nèi)網(wǎng)信息系統(tǒng)安全治理在加大網(wǎng)絡(luò)邊界防護、數(shù)據(jù)通信安全、防病毒等基礎(chǔ)上，不能忽略網(wǎng)絡(luò)后臺運維安全治理和對于系統(tǒng)操作人員的審 計監(jiān)控方面的管理，而內(nèi)控堡壘主機(堡壘機)作為內(nèi)網(wǎng)安全治理的一種有效技術(shù)手段應(yīng)運而生。

堡壘機現(xiàn)身　企業(yè)內(nèi)控運維安全“終結(jié)者”

堡壘機，聽起來就是一個夠酷的名字，有用戶笑言，聽著名兒就覺著安全，就像大塊頭施瓦辛格一出現(xiàn)在電影鏡頭里就像終結(jié)者一樣。那么，作為內(nèi)網(wǎng)安全的“終結(jié)者”，堡壘機究竟是個什么摸樣。

所謂“堡壘主機”(簡稱“堡壘機”)，就是一種被強化的可以防御進攻的計算機，具備很強安全防范能力。“堡壘主機”這個詞是有專門含義的概念，最初由美國 Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一書中提出。他提出堡壘主機“是一個系統(tǒng)，作為網(wǎng)絡(luò)安全的一個關(guān)鍵點，它由防火墻管理員來標(biāo)識”，“堡壘主機需要格外的注意自己的安全 性，需要定期的審核，并擁有經(jīng)過修改的軟件”。通常，堡壘主機是一臺獨立應(yīng)用的主機。(這有點類似單用戶的單機操作)，它有極大的價值，可能蘊含著用戶的 敏感信息，經(jīng)常提供重要的網(wǎng)絡(luò)服務(wù);大部分時候它被防火墻保護，有的則直接裸露在外部網(wǎng)絡(luò)中。其所承擔(dān)的服務(wù)大都極其重要，如銀行、證券、政府單位用來實 現(xiàn)業(yè)務(wù)、發(fā)布信息的平臺?！氨局鳈C”的工作特性要求達(dá)到高安全性。

早期堡壘主機，通常是指這樣一類提供特定網(wǎng)絡(luò)或應(yīng)用服務(wù)的計 算機設(shè)備，其自身相對安全并可以防御一定程度的攻擊。作為安全但可公開訪問的計算機，堡壘主機通常部署于外圍網(wǎng)絡(luò)(也稱為 DMZ、網(wǎng)絡(luò)隔離區(qū)域或屏蔽子網(wǎng))面向公眾的一端。這類堡壘主機不受防火墻或過濾路由器的保護，因此它們完全暴露在攻擊中。這類堡壘主機通常用作Web服 務(wù)器、域名系統(tǒng)(DNS)服務(wù)器或文件傳輸(FTP)服務(wù)器等。通過將這些將必須開放的服務(wù)部署在堡壘主機而不是內(nèi)部網(wǎng)絡(luò)中，可以換取內(nèi)部網(wǎng)絡(luò)的安全。因 為這些主機吸引了入侵者的注意力，也就相應(yīng)地減少了內(nèi)部網(wǎng)絡(luò)遭受安全攻擊的可能性和隨之帶來的風(fēng)險。

堡壘主機自身安全性的強化通常是通過禁用或刪除不必要的服務(wù)、協(xié)議、程序和網(wǎng)絡(luò)接口來實現(xiàn)的。也就是說，堡壘主機往往僅提供極少的必要的服務(wù)，以期減少自身的安全漏洞。另外一些可以提 高自身安全性的手段則包括：采用安全操作系統(tǒng)、采取必要的身份認(rèn)證和嚴(yán)格的權(quán)限控制技術(shù)等。

后來，堡壘主機被部署在外部網(wǎng)絡(luò)和企業(yè)內(nèi)部網(wǎng)絡(luò)之間，提供對內(nèi)部網(wǎng)絡(luò)特定資源的安全訪問。這類堡壘主機本身不提供網(wǎng)絡(luò)層的路由功能，因此可以過濾對內(nèi)部網(wǎng)絡(luò) 的非授權(quán)訪問。對內(nèi)部網(wǎng)絡(luò)特定資源的訪問則必須先登錄到堡壘主機上方可完成。SSL VPN可以視為這類堡壘主機的一個成功應(yīng)用。這類堡壘主機是進入內(nèi)部網(wǎng)絡(luò)的一個集中檢查點和控制點，因此很容易將整個網(wǎng)絡(luò)的安全問題集中在自身解決，為內(nèi) 部網(wǎng)絡(luò)其他主機的安全提供了一道天然的安全屏障。

新一代堡壘主機，又被具體稱為“內(nèi)控堡壘主機”，它綜合了運維管理和安全性的融合，切斷了終端 計算機對網(wǎng)絡(luò)和服務(wù)器資源的直接訪問，而是采用協(xié)議代理的方式，接管了終端計算機對網(wǎng)絡(luò)和服務(wù)器的訪問。形象地說，終端計算機對目標(biāo)的訪問，均需要經(jīng)過堡 壘主機的翻譯。極地安全專家王曉航打了一個比方，內(nèi)控堡壘主機扮演著看門者的工作，所有對網(wǎng)絡(luò)設(shè)備和服務(wù)器的請求都要從這扇大門經(jīng)過。因此堡壘機能夠攔截 非法訪問，和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標(biāo)設(shè)備的非法訪問行為。

目前主流的內(nèi)控堡壘主機，一般具有六大主要功能。

其一，單點登錄功能。

內(nèi)控堡壘主機提供了基于B/S的單點登錄系統(tǒng)，用戶通過一次登錄系統(tǒng)后，就可以無需認(rèn)證的訪問包括被授權(quán)的多種基于B/S和C/S的應(yīng)用系統(tǒng)。單點登錄為具 有多帳號的用戶提供了方便快捷的訪問途經(jīng)，使用戶無需記憶多種登錄用戶ID和口令。它通過向用戶和客戶提供對其個性化資源的快捷訪問提高生產(chǎn)效率。同時， 由于系統(tǒng)自身是采用強認(rèn)證的系統(tǒng)，從而提高了用戶認(rèn)證環(huán)節(jié)的安全性。 單點登錄可以實現(xiàn)與用戶授權(quán)管理的無縫連接，這樣可以通過對用戶、角色、行為和資源的授權(quán)，增加對資源的保護，和對用戶行為的監(jiān)控及審計。

其二，帳號管理功能。

集中帳號管理包含對所有服務(wù)器、網(wǎng)絡(luò)設(shè)備帳號的集中管理。帳號和資源的集中管理是集中授權(quán)、認(rèn)證和審計的基礎(chǔ)。集中帳號管理可以完成對帳號整個生命周期的監(jiān) 控和管理，而且還降低了企業(yè)管理大量用戶帳號的難度和工作量。同時，通過統(tǒng)一的管理還能夠發(fā)現(xiàn)帳號中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶帳號安全 策略。 通過建立集中帳號管理，企業(yè)可以實現(xiàn)將帳號與具體的自然人相關(guān)聯(lián)。通過這種關(guān)聯(lián)，可以實現(xiàn)多級的用戶管理和細(xì)粒度的用戶授權(quán)。而且，還可以實現(xiàn)針對自然人的行為審計，以滿足審計的需要。

其三，身份認(rèn)證功能。

內(nèi)控堡壘主機為用戶提供統(tǒng)一的認(rèn)證接口。采用統(tǒng)一的認(rèn)證接口不但便于對用戶認(rèn)證的管理，而且能夠采用更加安全的認(rèn)證模式，提高認(rèn)證的安全性和可靠性。

集中身份認(rèn)證提供靜態(tài)密碼、Windows NT域、Windows Kerberos、雙因素、一次性口令和生物特征等多種認(rèn)證方式，而且系統(tǒng)具有靈活的定制接口，可以方便的與其它第三方認(rèn)證服務(wù)器之間結(jié)合。

其四，資源授權(quán)功能。

內(nèi)控堡壘主機系統(tǒng)提供統(tǒng)一的界面，對用戶、角色及行為和資源進行授權(quán)，以達(dá)到對權(quán)限的細(xì)粒度控制，最大限度保護用戶資源的安全。通過集中訪問授權(quán)和訪問控制 可以對用戶通過B/S、C/S對服務(wù)器主機、網(wǎng)絡(luò)設(shè)備的訪問進行審計和阻斷。在集中訪問授權(quán)里強調(diào)的“集中”是邏輯上的集中，而不是物理上的集中。即在各 網(wǎng)絡(luò)設(shè)備、服務(wù)器主機系統(tǒng)中可能擁有各自的權(quán)限管理功能，管理員也由各自的歸口管理部門委派，但是這些管理員在極地銀河內(nèi)控堡壘主機系統(tǒng)上，可以對各自的 管理對象進行授權(quán)，而不需要進入每一個被管理對象才能授權(quán)。授權(quán)的對象包括用戶、用戶角色、資源和用戶行為。系統(tǒng)不但能夠授權(quán)用戶可以通過什么角色訪問資 源這樣基于應(yīng)用邊界的粗粒度授權(quán)，對某些應(yīng)用還可以限制用戶的操作，以及在什么時間進行操作這樣應(yīng)用內(nèi)部的細(xì)粒度授權(quán)。

其五，訪問控制功能。

內(nèi)控堡壘主機系統(tǒng)能夠提供細(xì)粒度的訪問控制，最大限度保護用戶資源的安全。細(xì)粒度的命令策略是命令的集合，可以是一組可執(zhí)行命令，也可以是一組非可執(zhí)行的命 令，該命令集合用來分配給具體的用戶，來限制其系統(tǒng)行為，管理員會根據(jù)其自身的角色為其指定相應(yīng)的控制策略來限定用戶。訪問控制策略是保護系統(tǒng)安全性的重 要環(huán)節(jié)，制定良好的訪問策略能夠更好的提高系統(tǒng)的安全性。

其六，操作審計功能。

操作審計管理主要審計人員的帳號使用(登錄、資源訪問)情況、資源使用情況等。在各服務(wù)器主機、網(wǎng)絡(luò)設(shè)備的訪問日志記錄都采用統(tǒng)一的帳號、資源進行標(biāo)識后，操作審計能更好地對帳號的 完整使用過程進行追蹤。內(nèi)控堡壘主機系統(tǒng)通過系統(tǒng)自身的用戶認(rèn)證系統(tǒng)、用戶授權(quán)系統(tǒng)，以及訪問控制等詳細(xì)記錄整個會話過程中用戶的全部行為日志。還可以將產(chǎn)生的日志傳送給第三方產(chǎn)品。

在這些主干功能構(gòu)筑的強大安全體系下，堡壘機漂亮地實現(xiàn)了對系統(tǒng)用戶管理、對內(nèi)網(wǎng)操作審計、對網(wǎng)絡(luò)設(shè)備管理和對黑客行為防范四大功能，完美地演繹了內(nèi)網(wǎng)安全“終結(jié)者”角色，成為大型企事業(yè)單位內(nèi)網(wǎng)安全建設(shè)的未來戰(zhàn)士。

產(chǎn)業(yè)大格局　為企業(yè)內(nèi)網(wǎng)構(gòu)筑堡壘成趨勢

從各大行業(yè)近年來對內(nèi)控堡壘主機產(chǎn)品的采購力度不斷加大的情況來看，在構(gòu)筑企業(yè)內(nèi)網(wǎng)安全體系的道路上，堡壘機成為重頭主力軍之一已是大勢所趨。

這樣的趨勢日益成為業(yè)界共識，而這個大趨勢的最根本的源泉，就在于企業(yè)內(nèi)網(wǎng)在信息化應(yīng)用水平提升的同時，其自身所必然出現(xiàn)的信息系統(tǒng)漏洞和桎梏，以及為滿足信息社會各種法規(guī)遵從而必然需要采取的舉措。

從企業(yè)自身信息系統(tǒng)發(fā)展來看，隨著企業(yè)ERP、OA、CRM等生產(chǎn)和辦公系統(tǒng)的普及，單位的日程運轉(zhuǎn)對內(nèi)部信息網(wǎng)絡(luò)的依賴程度越來越高，內(nèi)網(wǎng)信息網(wǎng)絡(luò)已經(jīng)成 了各個單位的生命線，對內(nèi)網(wǎng)穩(wěn)定性、可靠性和可控性提出高度的要求。內(nèi)部信息網(wǎng)絡(luò)由大量的終端、服務(wù)器和網(wǎng)絡(luò)設(shè)備組成，形成了統(tǒng)一有機的整體，任何一個部 分的安全漏洞或者問題，都可能引發(fā)整個網(wǎng)絡(luò)的癱瘓，對內(nèi)網(wǎng)各個具體部分尤其是數(shù)量巨大的終端可控性和可靠性提出前所未有的要求。

由龐大的 網(wǎng)絡(luò)信息系統(tǒng)所組成的企業(yè)IT平臺，將在企業(yè)的運營中全面滲透，企業(yè)的各種內(nèi)部事務(wù)和外部業(yè)務(wù)，都將全面架構(gòu)于企業(yè)內(nèi)網(wǎng)信息系統(tǒng)之上。尤其是電信、財政、 稅務(wù)、公安、金融、電力、石油等重要行業(yè)單位，更是使用數(shù)量較多的服務(wù)器主機來運行關(guān)鍵業(yè)務(wù)，提供電子商務(wù)、數(shù)據(jù)庫應(yīng)用、運維管理、ERP和協(xié)同工作群件 等服務(wù)。由于服務(wù)器眾多，系統(tǒng)管理員壓力太大等因素，人為誤操作的可能性時有發(fā)生，這會對部門或者企業(yè)聲譽造成重大影響，并嚴(yán)重影響其經(jīng)濟運行效能。黑客 /惡意訪問也有可能獲取系統(tǒng)權(quán)限，闖入部門或企業(yè)內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。如何提高系統(tǒng)運維管理水平，滿足相關(guān)標(biāo)準(zhǔn)要求，防止黑客的入侵和惡意訪 問，跟蹤服務(wù)器上用戶行為，降低運維成本，提供控制和審計依據(jù)，越來越成為企業(yè)關(guān)心的問題。

從法律法規(guī)對于信息系統(tǒng)審計的要求上來看， 從20世紀(jì)六十年代，伴隨著計算機信息技術(shù)的誕生發(fā)展，各國法律都對IT信息系統(tǒng)的審計不斷提出更新更高的要求。70年代中期至80年代，美國、日本等先 后成立計算機審計相關(guān)組織;國際開始興起一系列信息安全管理標(biāo)準(zhǔn)的制定。1983年，日本通產(chǎn)省發(fā)布《系統(tǒng)審計標(biāo)準(zhǔn)》，開始培訓(xùn)信息系統(tǒng)審計人員。 1984年美國EDPAA協(xié)會(執(zhí)業(yè)會計師協(xié)會)發(fā)布一套EDP控制標(biāo)準(zhǔn)——《EDP控制目的》。1996年，ISACA協(xié)會發(fā)布了 COBIT(Control Objectives for Information and related Technology)標(biāo)準(zhǔn)，是國際上公認(rèn)的安全與信息技術(shù)管理和控制的權(quán)威標(biāo)準(zhǔn)，也是國際通用的信息系統(tǒng)審計標(biāo)準(zhǔn)，已在100多個國家的重要組織和企業(yè) 中應(yīng)用。1999年-至今，信息系統(tǒng)審計普及和行業(yè)應(yīng)用階段。

2001年至今，美國安然事件及由此引發(fā)的一系列美國著名大公司在公 司治理和財務(wù)管理力方面的問題，促使美國陸續(xù)出臺了多個具有較強影響力的行業(yè)法案，如：2002年美國出臺Sarbanes-Oxley法案(塞班斯—奧 克斯利法案)，其中第404條款要求企業(yè)在財務(wù)報告方面加強內(nèi)控，企業(yè)的CEO和CFO必須對本企業(yè)的內(nèi)控系統(tǒng)的有效性發(fā)表誠信聲明。因此，IT信息系統(tǒng) 同樣需要加強控制以達(dá)到SOX法案的合規(guī)要求; 2005年針對IT信息系統(tǒng)的SOX合規(guī)審計成為全球CIO最關(guān)注的事。目前，西方發(fā)達(dá)國家的信息系統(tǒng)審計應(yīng)用已較為普遍，并發(fā)展到了較高的水平。

從我國的發(fā)展趨勢來看，同樣如此。隨著互聯(lián)網(wǎng)在國內(nèi)的迅速普及應(yīng)用，推動國內(nèi)信息系統(tǒng)安全審計進入快速發(fā)展階段。國家相關(guān)部門、金融行業(yè)、能源行業(yè)、運營商 均陸續(xù)推出多項針對信息系統(tǒng)風(fēng)險管理政策法規(guī)，推動國內(nèi)信息系統(tǒng)安全審計快速發(fā)展。2005年12月，公安部頒布82號令《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》 即對系統(tǒng)信息安全審計提出明確要求。

2006年，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合制定并發(fā)布了 《信息安全等級保護管理辦法(試行)》，該辦法明確要求信息系統(tǒng)運營使用單位在開展等級保護工作中要按照或者參照國家、行業(yè)技術(shù)標(biāo)準(zhǔn)進行系統(tǒng)定級、建設(shè)、 整改、測評等工作。《信息系統(tǒng)安全等級保護基本要求》是信息安全等級保護標(biāo)準(zhǔn)體系中重要的基礎(chǔ)性標(biāo)準(zhǔn)之一。該要求針對不同安全保護等級信息系統(tǒng)的基本安全 審計能力均有明確要求，如：需要對用戶行為、安全事件等進行記錄，對形成的記錄能夠統(tǒng)計、分析、并生成報表。

2006年，國家保密局發(fā)布BMB17-2006號文件《涉密信息系統(tǒng)分級保護技術(shù)要求》，文件要求相關(guān)涉密單位信息系統(tǒng)，根據(jù)不同涉密級別，采取相關(guān)審計措施。

2006年-2009年，安全審計被列入多個行業(yè)信息系統(tǒng)安全建設(shè)要求。

隨著政府、金融、電信、能源等行業(yè)信息化的發(fā)展，信息科技的作用已經(jīng)從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的融合，成為各行業(yè)穩(wěn)健運營和發(fā)展的支柱，為加強信息系統(tǒng)風(fēng)險管理，各行業(yè)陸續(xù)發(fā)布了行業(yè)性信息系統(tǒng)管理規(guī)范和要求。

2008年6月，財政部、證監(jiān)會、銀監(jiān)會、保監(jiān)會及審計署委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，該規(guī)范被稱為中國的“SOX法案”，是我國在審計領(lǐng)域的重大改革 舉措，該規(guī)范將首先在上市企業(yè)中實行。如何把IT內(nèi)控與企業(yè)內(nèi)控管理統(tǒng)一起來，是《企業(yè)內(nèi)部控制基本規(guī)范》的一個關(guān)鍵點，信息安全審計則將成為企業(yè)IT內(nèi) 控、安全風(fēng)險管理的不可或缺的技術(shù)手段。該規(guī)范將促使國內(nèi)企業(yè)加強IT內(nèi)控建設(shè)，從而推動安全審計市場的發(fā)展，但其中非常關(guān)鍵的一點就是安全審計技術(shù)如何 有效地與規(guī)范結(jié)合，滿足企業(yè)合規(guī)審計要求。

2009年3月，銀監(jiān)會為加強商業(yè)銀行信息科技風(fēng)險管理，發(fā)布了《商業(yè)銀行信息科技風(fēng)險管理指引》，該 指引中重點闡述了信息系統(tǒng)風(fēng)險管理和內(nèi)外部審計要求，特別是要求審計貫穿信息科技活動的整個過程之中。另外，在《國家電網(wǎng)SG186工程防護總體方案》、 《中國移動集團內(nèi)控手冊》、《中國電信集團內(nèi)控手冊》等行業(yè)要求中也均明確要求采取信息系統(tǒng)風(fēng)險內(nèi)控和審計技術(shù)手段。

目前，隨著信息安全建設(shè)的深入，安全審計已成為國內(nèi)信息安全建設(shè)的重要技術(shù)手段?？傮w來看，由于信息系統(tǒng)發(fā)展水平和業(yè)務(wù)需求的不同，各行業(yè)對安全審計的具體關(guān)注點存在 一定差異，但均是基于政策合規(guī)、自身安全建設(shè)要求，如：政府主要關(guān)注如何滿足“信息系統(tǒng)安全等級保護”等政策要求的合規(guī)安全審計;電信運營商則基于自身信 息系統(tǒng)風(fēng)險內(nèi)控需求進行安全審計建設(shè)。

綜上所述，在企業(yè)信息系統(tǒng)自身安全管理需要和國家行業(yè)的審計不斷提升的要求下，各行業(yè)單位對于堡壘機的需求，必將在近三年內(nèi)達(dá)到一個井噴的市場高潮。

那么，目前國內(nèi)堡壘機技術(shù)和產(chǎn)品提供廠商究竟是什么布局呢?

由于堡壘機是近年內(nèi)出現(xiàn)的新技術(shù)和產(chǎn)品，并且國內(nèi)行業(yè)用戶大多還處于信息化應(yīng)用建設(shè)的高潮，還沒有到堡壘機需求期，因此，堡壘機市場需求規(guī)模和產(chǎn)品提供商都 有限。國內(nèi)很大一部分信息安全綜合廠商都陸續(xù)推出許多有著與堡壘機部分功能相近的產(chǎn)品，例如單點登錄產(chǎn)品，內(nèi)網(wǎng)準(zhǔn)入產(chǎn)品、系統(tǒng)審計產(chǎn)品等，但是真正能夠提 供完整獨立堡壘機技術(shù)和產(chǎn)品的并不是很多，國內(nèi)堡壘機技術(shù)和市場規(guī)模較為知名的包括以下五家：網(wǎng)御神州(www.legendsec.com)、綠盟科技 (www.nsfocus.com)、極地安全(www.jidisec.com)、方正安全(www.foundersec.com)和捷成世紀(jì) (www.jetsen.cn)。

而從技術(shù)的角度看，目前主流的內(nèi)控堡壘機所應(yīng)用的主要技術(shù)包括：邏輯命令自動識別技術(shù)、分布式處理技術(shù)、圖形協(xié)議代理、多進程/線程與同步技術(shù)、數(shù)據(jù)加密技術(shù)等。

其中，邏輯命令自動識別技術(shù)是指自動識別當(dāng)前操作終端，對當(dāng)前終端的輸入輸出進行控制，組合輸入輸出流，自動識別邏輯語義命令。系統(tǒng)會根據(jù)輸入輸出上下文， 確定邏輯命令編輯過程，進而自動捕獲出用戶使用的邏輯命令。該項技術(shù)解決了邏輯命令自動捕獲功能，在傳統(tǒng)鍵盤捕獲與控制領(lǐng)域取得新的突破，可以更加準(zhǔn)確的 控制用戶意圖。該技術(shù)能自動識別命令狀態(tài)和編輯狀態(tài)以及私有工作狀態(tài)，準(zhǔn)確捕獲邏輯命令。

分布式處理技術(shù)是指內(nèi)控堡壘主機采用分布 式處理架構(gòu)進行處理，啟用命令捕獲引擎機制，通過策略服務(wù)器完成策略審計，通過日志服務(wù)器存儲操作審計日志，并通過實時監(jiān)視中心，實時察看用戶在服務(wù)器上 行為。這種分體式設(shè)計有利于策略的正確執(zhí)行和操作記錄日志的安全。同時，各組件之間采用安全連接進行通信，防止策略和日志被篡改。各組件可以獨立工作，可 以分布于不同的服務(wù)器上，亦可所有組件安裝于一臺服務(wù)器。

正則表達(dá)式匹配技術(shù)是指內(nèi)控堡壘主機采用正則表達(dá)式匹配技術(shù)，將正則表達(dá)式組合入樹型可遺傳策略結(jié)構(gòu)，實現(xiàn)控制命令的自動匹配與控制。樹型可遺傳策略適合現(xiàn)代企業(yè)事業(yè)架構(gòu)，對于服務(wù)器的分層分級管理與控制，相當(dāng)有用。

圖形協(xié)議代理是指為了對圖形終端操作行為進行審計和監(jiān)控，內(nèi)控堡壘主機對圖形終端使用的協(xié)議進行代理，實現(xiàn)多平臺的多種圖形終端操作的審計，例如Windows平臺的RDP方式圖形終端操作，Linux/Unix平臺的XWindow方式圖形終端操作。

多進程/線程與同步技術(shù)是指內(nèi)控堡壘主機主體采用多進程/線程技術(shù)實現(xiàn)，利用獨特的通信和數(shù)據(jù)同步技術(shù)，準(zhǔn)確控制程序行為。多進程/線程方式邏輯處理準(zhǔn)確，事務(wù)處理不會發(fā)生干擾，這有利于保證系統(tǒng)的穩(wěn)定性、健壯性。

數(shù)據(jù)加密功能是指內(nèi)控堡壘主機在處理用戶數(shù)據(jù)時都采用相應(yīng)的數(shù)據(jù)加密技術(shù)來保護用戶通信的安全性和數(shù)據(jù)的完整性。防止惡意用戶截獲和篡改數(shù)據(jù)。充分保護用戶在操作過程中不被惡意破壞。

操作還原技術(shù)是指將用戶在系統(tǒng)中的操作行為以真實的環(huán)境模擬顯現(xiàn)出來，審計管理員可以根據(jù)操作還原技術(shù)還原出真實的操作，以判定問題出在哪里。目前，綠盟科 技、極地安全、方正安全等國內(nèi)主流內(nèi)控堡壘主機采用操作還原技術(shù)能夠?qū)⒂脩舻牟僮髁鞒套詣拥卣宫F(xiàn)出來，能夠監(jiān)控用戶的每一次行為，判定用戶的行為是否對企業(yè)內(nèi)部網(wǎng)絡(luò)安全性造成危害。

huanghui