[发明专利]一种内控堡垒主机及安全访问内网资源的方法

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种内控堡垒主机及相应的安全访问内网资源的方法。

背景技术

随着信息技术的不断发展和信息化建设的不断进步，业务应用、办公系统、商务平台的不断推出和投入运行，信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中企业和门户网站，更是使用数量较多的服务器主机来运行关键业务，提供电子商务、数据库应用、运维管理、ERP和协同工作群件等服务。由于服务器众多，系统管理员压力太大等因素，人为误操作的可能性时有发生，这会对部门或者企业声誉造成重大影响，并严重影响其经济运行效能。黑客/恶意访问也有可能获取系统权限，闯入部门或企业内部网络，造成不可估量的损失。企业内部网络设备和服务器需要更安全的环境，以保障企业的正常运作，如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，越来越成为企业关心的问题。

堡垒主机应运而生，堡垒主机是一种被强化的可以防御进攻的计算机，作为进入内部网络的一个检查点，可以把整个网络的安全问题集中在堡垒主机上解决，从而省时省力。内控堡垒主机扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过，因此内控堡垒主机能够拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。

但是在对现有技术的研究和实践过程中，发明人发现现有技术存在以下问题：不同内网资源通常需要不同的帐号才能访问，通过堡垒主机访问内网资源的用户需要记忆许多用户名和密码用于登录各个系统，非常不方便且可能出现忘记密码的情况；堡垒主机的访问控制策略，以及对资源访问的监控、审计也不够完善。

发明内容

现实中一些公司的数据中心机房有数百台运行各类业务的服务器，由众多系统管理员负责管理。由于缺乏相应的先进工具和手段，无法保证系统管理员严格按照规范来进行操作，也无法保证系统管理员的操作行为和管理报告一致。另外，由于服务器众多，系统管理员压力太大等因素，人为误操作的可能性时有发生，这会对部门或者企业声誉造成重大影响，并严重影响其经济运行效能。黑客/恶意访问也有可能获取系统权限，闯入部门或企业内部网络，造成不可估量的损失。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，越来越成为企业关心的问题。针对这些问题，通过本发明的内控堡垒主机，可以：实现对主机、服务器、网络设备、安全设备访问的控制和操作审计；系统界面友好，操作简便；安装部署可以分步骤推进，不影响用户的网络拓扑和正常业务；可以很好的实现字符远程终端访问方式的控制，能够设置黑白名单，提供管理员有效的访问控制手段；实现了图形远程终端访问方式的代理，方便管理员对图形访问方式的授权和控制；管理员和资源访问人员都通过WEB方式访问堡垒主机，为资源使用人提供了真正的单点登录功能，只要登录堡垒主机就能直观的展现所有授权资源，并且访问资源时不用再次登录认证，避免频繁登录的繁琐；系统审计资源使用的全过程，提供三种展现方式：内容、命令、播放，方便管理员对审计信息的查看；不管是字符还是图形的审计结果都支持播放方式，播放过程可以随时调整播放速度、任意拖拽播放进度，方便管理员查找和定位关键操作；产品达到了对资源使用者访问控制和操作审计的目的，大大提高了网络的安全性，有效的控制了网络内可能发生的违规行为。

总之，为解决现有技术的缺陷，本发明提供一种内控堡垒主机系统及相应方法，能对资源访问进行完善的审计、监控，并提供完善的访问控制策略和单点集中登录，不仅可提高对企业内部网络设备和服务器访问的安全性，还可方便用户通过内控堡垒主机对内网资源的访问。

本发明提供的内控堡垒主机系统安装在服务器上。通过将授权给用户访问的所有内网资源的帐号与用户帐号关联，用户在登录内控堡垒主机系统后可以看到所有授权访问的资源列表，在用户访问相应资源时内控堡垒主机系统可自动输入关联的资源的帐号及密码，如此便实现了单点的集中登录。通过对用户访问内控堡垒主机系统或内网资源的时间、地址、可用命令等策略，可进一步实现对用户对内控堡垒主机系统或内网资源的访问控制。通过实时监视服务器上正在发生的行为，可以实时察看用户执行的命令、执行结果等，通过实时审计进一步提高了系统的安全性。