等保资讯

　　企业上云，上云后的三级等级保护合规的建设方案，一般都会有堡垒机，为啥会这样子设计呢?我们今天来简单说明一下，合理配置堡垒机，为啥有利于满足三级等级保护测评的要求。

　　我们先简单来看看云租户和云服务商各自的等级保护责任吧。

　　客户主要责任：云上的业务合规性、应用安全性。

　　云服务商主要责任：

　　业务合规、背景可信、资质齐全，保障基础设施安全、云服务安全，提供云服务安全功能、云安全服务。

　　应对用户进行身份鉴别、访问控制、安全审计，这是对应于三级等保中应用安全和安全管理，而且是云客户或者云租户需要负责的。而堡垒机一些功能可以很好完成这些要求。除了这些要求之外，堡垒机还可以完成一些数据安全方面的要求。

　　1、 用户身份鉴别

　　需要采用两种或两种以上组合方式进行身份验证。堡垒机拥有本地认证、AD域认证、Radius认证、数字证书认证，提供外部接口可供指纹识别认证、UKEY(移动数据证书)认证，满足三级系统的设计要求。

　　2、 自主访问控制

　　应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级和(或)记录或字段级。

　　堡垒机通过主从账号一一对应的授权方式，赋予用户完成操作的最小权限。其中命令访问控制策略，能对高危命令进行告警或阻断;图形控制策略能对RDP文件传输进行控制，达到允许或阻断的能力。访问控制粒度达到文件或命令级别，满足三级系统的设计要求。

　　3、 标记和强制访问控制

　　在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。

　　堡垒机通过旁路部署，逻辑网关的形式接入用户网络，不改变用户现有的网络构架;为用户提供C/S、B/S两种登录方式，不改变用户现有的运维习惯。登录统一安全管理与综合审计系统平台，由超级管理员进行标记分配来控制操作管理。满足三级系统的设计要求。

　　4、 系统安全审计

　　应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护;确保对特定安全事件进行报警;确保审计记录不被破坏或非授权访问。应为安全管理中心提供接口。

　　堡垒机能够对字符、图形、数据库操作、WEB应用、应用发布、KVM等各类操作进行审计;字符类审计能不仅可以命令识别，而且还可以对 FTP/SFTP的文件传输进行审计并记录;图形类审计能够实现实时的文字识别功能，完成标题栏的识别，传统的审计视频流可被搜索、精准定位;数据库操作 能够实现协议解析，完整无死角进行操作审计;WEB应用、应用发布以及KVM的安全审计，让整个信息系统的任何操作都逃避不了堡垒机的“法眼”，并能根据 客户需求输出各类可查询的审计记录;堡垒机作为独立的第三方审计系统，可以有效避免数据遭到破坏或非授权的访问删除、增加、篡改;对于审计记录只有超级管 理员和审计员可以查看，并实现三权分立的原则;系统为安全管理中心提供接口，输出日志等相关信息。满足三级系统的设计要求。

　　5、 用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护堡垒主机在信息安全等级保护制度中的探究与应用。

　　堡垒机通过HTTPS加密协议进行通信链路的传输，采用加密技术对数据的存储进行保密性保护;各模块相互传数据及配置和控制信息都采用加密传输方式，提高了信息的保密性。传输的数据不被泄漏或篡改，在传输错误或异常中断的情况下能重发数据。数据保护机制采用HASH值对数据进行验证，保证数据不会篡改，保持数据的完整性。满足三级系统的设计要求。

　　综上所述，堡垒机对于满足等级保护三级测评要求，是非常有好处的。想要了解更具体的堡垒机配置方案和等保整改方案吗?欢迎在线咨询或者留言。我们可以为您提供主机整改和云等保合规套餐服务。