企業在搭建堡壘機時需要遵循哪些原則

企業在搭建堡壘機時需要遵循以下原則：

• 堡壘機的賬號管理原則：企業管理人員為了方便登陸，經常會出現多個用戶使用一個賬號或一個用戶使用多個賬號的情況。由于共享賬號是多人共同使用，當系統發生問題后，無法精確定位惡意操作或誤操作的具體責任人。因此在搭建堡壘機時，一定要注意必須做到一人一個帳號，絕不允許多個人共用個人帳號，更不能允許共同賬號登錄堡壘機。

• 堡壘機的訪問控制原則：訪問控制的目的是通過限制維護人員對數據信息的訪問能力及范圍，保證信息資源不被非法使用和訪問。

• 堡壘機的指令審核原則：堡壘機的操作審計功能主要審計運維人員的賬號使用（登錄、資源訪問）情況、資源使用情況等，針對敏感指令，堡壘機可以進行阻斷響應或觸發審核操作，審核不通過的敏感指令，堡壘機將會進行攔截。

• 堡壘機的身份認證原則：杜絕僅使用密碼登錄堡壘機，建議在執行主機重啟、密碼修改、會話創建、快照回滾、磁盤更換等各種重要操作時，可通過微信或短信等進行雙因子身份確認，確保訪問者身份的合法性。

• 堡壘機的資源授權原則：用戶授權，建議結合公司內部CMDB來做基于角色的訪問控制模型以實現權限控制。通過集中訪問控制和細粒度的命令級授權策略，基于最小權限原則，實現集中有序的運維操作管理。

• 堡壘機的審計錄像原則：在安全層面，除了通過堡壘機的事前權限授權、事中敏感指令攔截外，還需提供堡壘機事后運維審計的特性。用戶在堡壘機中所進行的運維操作均會以日志的形式記錄下來，管理者即通過日志對運維人員的運維操作進行審計。

• 堡壘機的操作審計原則：堡壘機的操作審計功能主要審計運維人員的賬號使用（登錄、資源訪問）情況、資源使用情況等。在各服務器主機的訪問日志記錄都采用統一的賬號、資源進行標識后，堡壘機的操作審計功能才能更好地對賬號的完整使用過程進行追蹤。

回答所涉及的環境：聯想天逸510S、Windows 10。