技术开发 频道

碉堡堡垒机:低成本实现运维安全管理

  【IT168 资讯】随着医院信息系统安全等级保护测评的开展,以及防“统方”工作的开展,医院CIO们不只是简单关注传统的物理安全、网络安全了,将对信息系统的运行维护管理安全提升到很重要的高度了。对于医院信息系统的运维安全审计,国家信息安全等级保护的相关标准中有如下明确要求:

低成本实现运维安全管理

  对于网络边界,我们一般采用防火墙来进行隔离,然而对于服务器的远程运维管理(如通过SSH、RDP远程登录维护服务器),首先CIO们鲜有边界管理的概念,其次会认为使用防火墙技术就可以了。但是,防火墙技术远远无法满足信息系统运维安全管理和审计的要求。因为防火墙技术集中于传统的五元组检查,无法满足运维安全管理和审计的复杂需要。所以,就需要通过配置专业的堡垒主机设备来解决。

  碉堡堡垒机是目前业界唯一的软件堡垒机产品,它采用“旁路部署,串行控制”模式,在不改变原有网络结构的情况下,实现快速部署,同时与防火墙技术或自身的系统登录密码接管方式,快速建立运维人员与医院信息系统之间的访问控制隔离屏障和监控审计平台。

   针对医院安全管理的特殊运维安全需求,碉堡堡垒机在实际应用中具备以下优势:

  (1)运维身份鉴别

  对于运维人员登录医疗信息系统,当前大多是采用多人共用系统账号登录。经常会出现系统出问题后不知道是谁操作的,内部人还好,外来人员为了推卸责任就不会承认了。

  因此,要对运维操作进行管理和审计,首先要实现对每名运维人员实现身份认证,同时要满足三级等保的两种或两种以上组合方式进行身份验证要求。

  碉堡堡垒机作为远程运维操作管理的屏障,对运维人员首先要求其进行身份认证,每人独立的用户信息,简单的采用用户名和密码认证,也支持与动态令牌、Radius等多种认证方式。另外,碉堡堡垒机可代填医疗信息系统密码,从而实现运维人员的单点登陆(SSO),运维人员无需知道医疗信息系统密码。运维人员离职后,停掉该用户即可。

  碉堡堡垒机的身份认证功能,使运维人员的全部运维操作都在监管执行,是“事故定位到人”和“统方操作定位到人”的前提。

  (2)运维准入控制

  对运维人员实现统一的身份认证管理后,就可实现对运维操作授权了。从而,满足了等保中对于运维操作的准入控制要求,同时阻止了非法人员冒用系统登陆账户进行非法“统方”行为。

  碉堡堡垒机提供了Portal管理界面,运维人员认证通过后直接点击需要运维设备的图标就可以快速登陆,进行维护操作。运维人员无需记忆设备IP、登陆密码等信息,大大方便了运维操作。

  对于运维人员的操作,碉堡堡垒机可以实现细粒度控制,如对Linux系统操作可实现登陆协议控制(如是通过SSH,还是X11)、源地址控制、操作指令黑白名单(如禁止reboot等高危指令等)、操作时间控制(如上班时间允许,下班时间禁止)等等。
  碉堡堡垒机的操作授权功能,使医院CIO对运维操作实现可控管理,是将“事故和统方防患于未然”的保障。

  (3)运维安全审计

  对于医疗信息系统的操作审计,包括数据库操作审计、服务器操作审计等等,如果要通过查看各个系统的操作日志方式来实现,将面临信息量大、不直观,以及信息缺乏关联性等问题。要满足等保的要求,同时满足方便直观的审计要求,使用碉堡堡垒机即可。

  碉堡堡垒机集中记录了各种运维操作操作信息,包括数据库操作、服务器系统操作的,并与具体的运维人员关联,可实现事中在线监视,事后随时调取回放。碉堡堡垒机还可基于输入指令或输出关键字进行操作画面定位,一般5分钟内可确认事故原因和责任人。

  碉堡堡垒机的操作审计功能,为医院CIO提供了对运维操作的事后直观定位和取证的手段。

  综上,碉堡堡垒机为医院的运维操作管理提供完善的解决方案,同时由于其采用了软件产品形态,可运行在任意服务器上,可随时下载试用(两管理许可永久免费),同时大大地降低了医院的购买成本。关于碉堡堡垒机的其他信息可访问其官网www.baoleiji.com获得。

特别提醒:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
0
相关文章