一、 為什么要關注企業內網安全？

隨著云計算與大數據技術的日漸成熟，IT已經成為企業業務的核心支撐，并即將成為企業業務創新的核心驅動力。因此，信息安全成為了企業安全的重中之重。絕大部分的企業都會建立企業內網并部署防火墻，由于網絡的天然隔離性以及防火墻的存在，大部分的安全事故并非由外部入侵導致，因此，我們更應該關注的是“企業內網安全”。

企業內網安全分為“客戶端安全”與“服務器端安全”兩大組成部分。

1.1 客戶端安全
客戶端安全是一個很容易被大家忽視的問題，隨著用戶越來越多的把隱私毫無保留的交給各式各樣的APP，作為客戶端開發者，企業通常會從三個維度保障用戶信息安全，以防止數據泄露。一是事前防護，文檔透明加密，二是事中控制，流通渠道管控，三是事后審計，內容級行為審計。

1.2 服務器端安全
有數據表明，70%以上的安全事故來自企業內部的運維管理，這意味著內網安全管理首先要解決的是服務器端安全。

當企業的IT資產越來越多，當參與運維的崗位越來越多，企業運維管理變得日益復雜，如果沒有一套好的機制，就會產生運維混亂與失控，一旦產生服務器端安全事故，企業將遭受巨大損失；另一方面，國內外相關法規均對企業信息管理提出了內控與審計的明確要求。

那么如何解決服務器端安全問題呢？行云管家堡壘機幫助企業滿足IT可控運維與安全審計的訴求，以解決企業內網的服務器端安全問題。

二、 行云管家堡壘機解決方案

傳統堡壘機在用戶和IT資產之間建立一套運維審計系統，但隨著云計算逐漸發展成為企業IT架構的基礎設施，傳統堡壘機很難適應云的變化，行云管家堡壘機作為行云管家多云管理平臺的核心，與生俱來的帶有擁抱云計算的基因。作為傳統堡壘機的功能超集，其承擔著用戶管理IT資產的運維中樞、會診平臺、黑匣子等功能職責。

2.1 作為運維中樞
作為運維中樞，行云管家從管理協議、管理工具、文件傳輸等各層面為用戶提供了強有力的支撐，在不改變運維人員習慣的前提下，幫助用戶高效的完成運維工作。

2.1.1 支持主流管理協議

行云管家堡壘機支持RDP、SSH、VNC、Telnet、FTP/SFTP等多種主要的服務器管理協議，以及Oracle、MySQL、SQLServer等主流數據庫。

2.1.2 支持多種管理工具

行云管家堡壘機支持基于HTML5的Web桌面訪問、本地工具、移動化運維等多種管理工具方式：

• 基于HTML5的Web桌面訪問

行云管家堡壘機提供基于B/S架構的Web桌面訪問能力，只需要一個瀏覽器即可訪問目標設備。現階段，行云管家支持的瀏覽器有：Chrome、FireFox、Edge、Safari、IE11等主流瀏覽器。

• 本地工具訪問

考慮到運維人員的使用習慣，行云管家堡壘機提供了基于本地C/S客戶端工具的訪問方式，能夠讓本地客戶端工具在行云管家堡壘機體系內透明地訪問目標設備，并同樣具備云端錄像等全程審計的特性。現階段行云管家支持的本地工具有：mstsc、Putty、SecureCRT、Xshell、WinSCP、FileZilla等。

• 移動化運維

行云管家堡壘機從用戶需求出發，以方便的信息獲取及操作交互為導向，支持平板、手機、微信小程序等智能終端，帶來了極致的用戶體驗。

2.1.3 運維策略

支持針對不同用戶、不同的目標設備，定義不同的運維策略，用戶可根據運維要求，定制多種場景的運維策略，滿足各種個性化的應用場景，使用戶在安全性與靈活性之間取得平衡。

2.1.4 服務器密碼策略

通過行云管家提供的服務器密碼策略，可實現服務器密碼的托管，具體包含以下功能：

• 支持對主機的密碼/密鑰登錄，對主機進行批量自動改密
  

• 支持對主機進行密碼強度策略，批量密鑰下發

2.1.5 自動化運維

行云管家堡壘機內置了業界知名的 SaltStack 腳本庫，并支持用戶新建自定義腳本，能夠批量對主機執行腳本、命令，以及將文件批量分發至目標主機、批量從多臺主機采集文件，實現對多臺主機的各種批量運維操作。

• **命令控制臺：**對多臺主機批量執行命令

• **腳本控制臺：**對多臺主機批量執行指定腳本，并支持腳本的自定義
  
• **文件分發與采集：**將文件批量分發到指定主機，或將指定主機的文件采集到指定位置
  
• **任務編排與執行：**將需要執行的作業流程化、模版化，并可指定規則按需執行
  

2.1.6 運維報表

依據不同用戶不同的操作類型，向管理員展現企業內所有操作的納要性匯總視圖。

2.1.7 主機軌跡

以主機的視角展現企業內所有成員對指定主機的所有操作行為

2.1.8 用戶軌跡

以用戶的視角展現該用戶對IT資產進行的所有操作行為

2.2 作為會診平臺
行云管家堡壘機為企業提供了團隊協同等應用場景，用戶遇到問題可隨時一鍵邀請內外部專家，協同會診。

在行云管家堡壘機中，任何一個遠程桌面都可開啟會話分享功能并形成一個分享鏈接，只需將此鏈接發送給您的好友，即可邀請好友進入同一個遠程桌面。多人之間面對同一個工作場景，并自由切換操作控制權；協同過程中，用戶免裝軟件、免交密碼、全程審計。

2.3 作為黑匣子
飛機黑匣子用于災后事故的回溯追責，行云管家的職責遠不止于此，它提供了事前授權、事中監控、事后審計等核心特性。

2.3.1 事前授權

行云管家基于角色的訪問控制模型，用戶可以屬于多個角色，并對角色進行功能授權與數據授權，確保精細化授權的達成。

2.3.2 事中監控

• 實時監管

管理員可實時監控遠程會話，一旦發現有非法或違規操作，可立即剝奪其控制權；

• 攔截高危指令

支持指令黑白名單，對危險指令的執行提供攔截、告警、審核、阻斷等機制。

2.3.3 事后審計

所有的操作均可云端錄像、全程審計，準確記錄用戶操作的時間與行為，支持指令檢索、指令定位、圈紅標記，并提供錄像與指令集文件的下載與備份。

三、 行云管家堡壘機專屬優勢

3.1 全面擁抱云計算，支持公有云與私有云之間的混合式管理

3.2 特別適用于在企業內網管理公有云資源的安全運維
企業上云特別是公有云之后，傳統的運維模式將存在嚴重的安全風險，行云管家擁有專利技術的內網訪問機制，使您通過內網管理云主機，避免將不必要的管理端口與操作行為暴露到公網，安全、高效。

3.3 內置數據庫運維審計模塊

• 支持云端與本地數據庫

行云管家支持業界所有主流數據庫，包括本地數據庫與公有云的云端數據庫

• 訪問信息托管

可在行云管家中托管數據庫的訪問信息，杜絕非法訪問并避免真實訪問信息的泄露

• SQL指令攔截

支持SQL指令攔截，可設置敏感指令攔截規則，避免誤操作與非法操作

• 敏感數據脫敏

支持對數據庫的敏感業務數據進行脫敏，避免信息泄露

• SQL指令審計

支持云端錄像與SQL指令審計記錄，出現問題時可回溯追責

3.4 極致的用戶體驗
傳統堡壘機是為管理者而服務的，忽視了堡壘機的主要受眾“工程師”的感受；而行云管家堡壘機不僅為管理者提供更高的視角，更為主要使用者“工程師”提供了極致的用戶體驗。

3.5 開放API接口，豐富的功能擴展
行云管家堡壘機的所有核心功能均提供 API 接口，如有需要，企業可通過行云管家的 Open API 進行功能擴展，或與其它業務系統的深度集成。

四、 行云管家部署模型

4.1 標準版單機部署
單實例形態，部署在企業內網，不改變現有網絡，一鍵式安裝，分鐘級快速部署；

4.2 企業版高可用部署
支持以 HA（High Availability）高可用方式進行部署，避免單點故障，提供現場安裝與實施部署服務；

4.3 運營辦分布式集群部署
集群分布式部署，適合大規模集團性企業。

經過大量合作企業實踐證明，行云管家堡壘機是當下迭代速度最快、最經濟的數據保鏢，作為云計算時代企業內網安全運維利器，行云管家堡壘機為企業IT數據持續保駕護航。

導航：百度搜索“行云管家”

總結

以上是生活随笔為你收集整理的【最佳实践】企业内网安全解决方案的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。