堡壘機解決什么問題

堡壘機解決了以下四個問題：

• 帳號共享及缺乏身份的問題

  在單位的機房中，存在著大量的網絡設備、主機操作系統和應用系統，分別屬于不同的部門。各應用系統都有一套獨立的帳號體系，用戶為了方便登錄，經常出現多人共用帳號的情況。多人同同時使用一個系統帳號在帶來方便性的同時，導致用戶身份唯一性無法確定。如果其中任何一個人離職或者將帳號告訴其他無關人員，會使這個帳號的安全性無法保證。由于共享帳號是多人共問使用，發生問題后，無法準確定位惡意操作或誤操作的責任人。更改密碼需要通知到每一個需要使用此帳號的人員，帶來了密碼管理的復雜化。因為整個運維過程的不確定因素太多，所以使得整個運維過程不可控。這不僅給運維人員帶來了巨大的麻煩，而且讓系統管理人員也無法準確定位故障責任人，如果長期在這種傳統的運維模式下進行運維，這將會給單位帶來巨大的損失，甚至還無法追究相關當事人的責任。

• 授權不清晰引發的問題

  領導者如何進行授權，是企業管理的一個深刻命題。做過管理的人都應該知道，授權在企業管理中是非常重要的。但是，很多企業管理者在授權時，要么顧慮重重，對誰也不放心；要么授權不當，缺乏監督制度，造成企業管理混亂。很多單位的信息化運維工作也存在著類似的問題，讓每個運維人員在自己責任范圍內正確安全的使用自己的每一個權限十分重要。在運維模式中，授權是不清晰的，例如：運維人員登錄某臺服務器或核心交換機等關鍵性設備時，擁有很高的或N-是超越自己權限范圍的權限，一旦執行了非法操作或是誤操作，都會導致嚴重的后果。面對上述運維模式中存在授權不清晰的問題，也引起『我們的足夠重視。我們直在尋找一個理想的運維模式，在這個模式下，可以對我們運維人員的訪問操作權限進行精確的劃分。

• 運維人員操作過程無審計的問題

  因為各部門獨立運維和管理自已的業務應用信息系統，所以各系統的審計也是相互獨立的。每個網絡設備，每個主機系統都分別進行審計，安全事故發生后需要排查各系統的日志，但是系統本身記錄的日志，不能最終定位到具體的操作人員。另外各系統的日志記錄能力各不相同，例如對于Linux系統來說，日志記錄就存在以下問題：Linux系統中，用戶在服務器上的操作有一個歷史命令記錄的文件，但是root用戶不僅僅可以修改自己的歷史記錄，甚至還可以修改他人的歷史記錄，系統本身的歷史記錄文件已經變的不可信；無法記錄操作人員、操作時間、操作結果等。

• 第三方人員管理隱患

  目前，很多單位各部門已經將一些業務應用系統外包給代維公司，在享受便利的同時，也帶來了很大的安全問題：代維人員流動性大、缺少操作行為監控、代維人員的權限過大等等，這些問題帶來的，安全風險日益凸現。因此，我們需要通過格的權限控制和操作行為審計，加強對代維人員的行為管理而達到消除隱患、規避風險的目的。

回答所涉及的環境：聯想天逸510S、Windows 10。