随着我国教育信息化的飞速发展以及数字校园的广泛应用，各高校校园网建设日趋完善，经过多年的大规模建设，高校信息化已进入以整合应用和加强IT运维服务管理为主要特征的运行维护阶段，IT系统运维与安全管理正逐渐走向融合。现阶段，一方面高校对于校园网络系统的依赖程度日益加强，各高校教务工作对信息系统依赖的程度越来越高，高校信息中心或网络中心在学校中的地位也越来越重要。然而另一方面，随着网络及系统规模的扩大，设备数量激增，大量的网络设备、主机系统和应用系统分别属于不同部门或不同的业务系统，运维管理的难度也大大增加，高校运维管理工作普遍面临着账号管理无序、权限管理粗放等问题，面临着第三方运维人员带来的风险，以及法规遵从的压力，这些已经成为高校信息系统安全运行的严重隐患，将制约业务发展，影响运维安全和效率。高校IT运维安全管理的变革已刻不容缓!

　　安全运维解决之道

　　目标

　　绿盟安全审计系统-堡垒机系列(NSFOCUS SAS-H Series,以下简称堡垒机或SAS-H)提供一套先进的运维安全管控与审计解决方案，目标是帮助高校转变传统IT 安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，保障运维效益。

　　绿盟堡垒机系统通过逻辑上将人与目标设备分离，建立“人->主账号(堡垒机用户账号)->授权->从账号(目标设备账号)->目标设备”的管理模式；在此模式下，通过基于唯一身份标识的集中账号与访问控制策略 ，与各服务器、网络设备等无缝连接，实现集中精细化运维操作管控与审计。

　　图 1 核心思路

　　系统部署

　　* 管理对象

　　用户对象：管理员、运维人员、第三方代维人员等。

　　设备对象：服务器(Windows/Linux/UNIX)、网络设备、安全设备、数据库等。

　　* 协议类型

　　SSH、TELNET、RDP、VNC、FTP、SFTP等。

　　* 部署方式

　　堡垒机采用“物理旁路，逻辑串联”的部署思路，主要通过两步实现：

　　1) 通过配置交换机或需要管理设备的访问控制策略，只允许堡垒机的IP可以访问需要管理的设备。

　　2) 将堡垒机连接到对应交换机，确保所有维护人员到堡垒机IP可达。

　　* 达成效果

　　* 建立集中的运维操作监控平台，建立基于唯一身份标识的实名制管理，统一账号管理策略，实现跨平台管理，消灭管理孤岛。

　　* 通过集中访问控制与授权，实现单点登录(SSO)和细粒度的命令级访问授权。

　　* 基于用户的审计，审计到人，实现从登录到退出的全程操作行为审计，满足合规管理和审计要求。

　　图2 部署示意图

　　客户价值

　　绿盟堡垒机为高校用户带来的价值主要体现在：

　　* 管理效益

　　* 所有运维账号在一个平台上进行管理，账号管理更加简单有序；

　　* 通过建立用户与账号的唯一对应关系，确保用户拥有的权限是完成任务所需的最小权限；

　　* 可视化运维行为监控，及时预警发现违规操作。

　　* 用户效益

　　运维人员只需记忆一个账号和口令，一次登录，便可实现对其所维护的多台设备的访问，提高工作效率，降低工作复杂度。

　　* 安全效益

　　降低人为安全风险，避免安全损失，满足合规要求，保障高校业务运行安全。