1、 堡壘機産品由來？

堡壘機産品源于單位對管理理念和對網絡安全的不斷認知提升的過程，從2000年開始，随着軟件成熟化不斷推動，單位對安全的認識也從邊界到内部，而且越來越關注内部數據和内部人員運維過程的重要性。堡壘機也就在這樣過程中誕生并進行了不斷延伸，從“跳闆機”到“堡壘機”，從“堡壘機”到“運維安全網關”，從“運維安全網關”在根據各廠商認知以及規劃進行了不斷細分，比如雲堡壘機，4A，比如堡壘機、數據庫審計，日志審計組合成的綜合運維審計系統等。這些不斷的變化也是結合國家政策，市場，最主要是需求的不斷延伸。

備注百科：

跳闆機：可以單點登錄，批量操作遠程設備的網絡設備。

堡壘機: 可以單點登錄和對運維過程進行安全審計。

運維安全（審計）網關：可以單點登錄和對運維過程進行安全審計，運維過程風險控制，權限細節分配，密碼改密等。合規性更全面。

雲堡壘機：在私有雲或公有雲上部署雲堡壘機産品，産品實現形态和普通版本基本一緻，主要改變為鏡像方式以虛拟化形态部署在雲平台管理平面。售賣方式一般可租可買斷方式。

4A：細化了運維安全（審計）網關具備的功能，同時面向對象針對人員賬戶進行全生命周期管理，加強了控制和實用力度，一般需要和業務進行配合。

綜合運維審計系統：網絡審計，數據庫審計，日志審計、運維安全（審計）網關結合産品。

2、 堡壘機産品基礎功能都應該有什麼？

堡壘機産品應用市場已經很長時間，基礎功能各廠商滿足情況大同小異，主要能實現的功能為：

單點登錄：運維用戶隻需經過一次認證，就可以直接訪問多種目标設備。

身份認證：登錄資源時可以雙因子認證。

訪問授權：根據人員情況特性進行訪問授權，包括IP，登錄名，時間等因素。

操作審計：操作過程記錄，包括字符協議，文件傳輸協議，數據庫協議，圖形協議等。

實時監控：實現操作過程同步監視。

二次審批：根據需求對特殊指令操作進行二次審批功能。

告警阻斷：檢測日常運維過程中發生的越權訪問、違規操作等安全事件進行告警阻斷。

密碼管理：對密碼進行自動改密，定期改密等。

報表管理：多樣化報表滿足實際應用。

3、 堡壘機産品合規性有哪些？

堡壘機産品對應到合規政策層面一般為網絡安全等級保護要求以及評測等，涉及到美國《薩班斯法案》本次不作為涉及介紹，針對等級保護要求對應個人整理情況如下：

3.1、身份鑒别：

3.1.1、應對登錄的用戶進行身份标識和鑒别，身份标識具有唯一性，身份鑒别信息具有複雜度要求并定期更換。

3.1.2、應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。

3.1.3、當進行遠程管理時，應采取必要措施，防止鑒别信息在網絡傳輸過程中被竊聽。

3.1.4、應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒别技術對用戶進行身份鑒别，且其中一種鑒别技術至少應使用密碼技術來實現。

3.2、訪問控制：

3.2.1、應對登錄的用戶分配賬戶和權限。

3.2.2、修改默認賬戶的默認口令。

3.2.3、應及時删除或停用多餘的、過期的賬戶，避免共享賬戶的存在。

3.2.4、應授予管理用戶所需的最小權限，實現管理用戶的權限分離。

3.2.5、應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則。

3.2.6、訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級。

3.3、安全審計：

3.3.1、應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；

3.3.2、應對審計記錄進行保護，定期備份，避免受到未預期的删除、修改或覆蓋等。

3.3.3、應對審計進程進行保護，防止未經授權的中斷。

3.4、數據備份恢複

3.4.1、 應提供重要數據的本地數據備份與恢複功能。

3.4.2、 應提供重要數據處理系統的熱冗餘，保證系統的高可用性

3.5、 其它要求

3.5.1、應通過系統管理員對系統的資源和運行進行配置、控制和管理，包括用戶身份、系統資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢複等。

3.5.2、 應對審計管理員進行身份鑒别、隻允許通過特定的命令或操作界面進行安全審計操作，并對這些操作進行審計。

3.5.3、 應對分散在各個設備上的審計數據進行收集彙總和集中分析，并保證審計記錄的留存時間複合法律法規要求。

3.5.4、 應禁止未授權訪問和非法使用用戶個人信息。

3.5.5、 應劃分不同的管理員角色進行網絡和系統的運維管理，明确各個角色的責任和權限。

4、 堡壘機産品一般哪些易用性和安全性是需要的？

4.1、堡壘機B/S，C/S客戶端都應該具備，便于不改變使用習慣。

4.2、二次授權或金庫模式是必須的，可以預防單個負責人危險性操作。

5、 堡壘機産品怎麼選?

市面上廠家報價是根據字符并發和圖形并發來計算需要的設備性能，設備和被管理數量，存儲來作為參考因素。因此單位在選擇堡壘機的第一件事就是對單位進行資産普查，明晰需要被管理資源的性質，數量以及常用訪問方式或者協議。通過資産普查可以評估後續堡壘機設備性能情況，同時也明确了被管理數量。這樣對于廠商來說已經可以報價了。同時單位應當從合規性和易用性綜合考慮，而且根據本單位實際對運維的标準以及習慣，明确自己要能達到的要求。同時軟件著作權，銷售許可證，3C證書等證書可以保障産品基礎安全性。

備注：

圖形并發數（RDP、VNC等）：通過圖形協議同時打開應用的數量。

字符并發數（SSH、TELNET等）：通過字符協議同時打開應用的數量。

舉例：單位50台網絡設備作為被管理資源，運維人員5人，以及日常應用習慣來估算，最大估算為圖形并發數80，字符并發數為250.

6、 堡壘機産品建議怎麼部署?

基本部署方式為旁路部署，無需對網絡結構進行任何調整，給設備1個IP地址，後續所有設備通過此設備IP地址進行訪問各類被管理資産，強制性使用可以通過核心交換機進行對管理地址限定或管理端口限制等方式指定被管理資産必須通過堡壘機才能訪問。

7、 堡壘機産品主流廠商有哪些？

本次提供的廠商為個人情況評估僅供參考，廠商包括齊治科技、帕拉迪、網禦星雲、建恒信安、聖博潤、深信服、安恒、綠盟、齊安信、天融信、江南科友等每個廠商主要功能大同小異，其特性功能不一一列舉，主要區别功能點如：自動化運維程度，VPN模塊，應用發布器是否内置，金庫模式細節度，文件傳輸特性，報表多樣性等。

8、 堡壘機價格參考？

一般價位在5-15萬，此價格參考源于對2019年招标網站涉及堡壘機産品成交價情況，大部分成交價在7-10萬。

9、 堡壘機在哪買？

加一零八八三二一七四五四；菜哥助你安選網絡安全産品。哪些描述不清楚可及時溝通更新。網絡安全為人民，網絡安全靠人民。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!