安全运维管理平台，安全运维之堡垒机

摘要：信息化高度发展的今天，企业（组织）的信息化程度已是今非昔比，IT基础设施规模空前庞大，IT资产安全已不容忽视，认识并选择合适的堡垒机，对企业（组织）的IT资产和数据安全至关重要。

1. 前言

随着互联网和云计算技术的发展，很多企业（组织）特别是中大型企业和互联网企业，保有了规模较大的IT基础设施，拥有并维护着数量较多的服务器。企业的业务运作在很大程度上依赖于IT基础设施的正常和稳定运行，为了确保IT基础设施的稳定运行，堡垒机成为了不可或缺的运维保障设施。那么，什么是堡垒机呢？

2. 什么是堡垒机

通常，根据内部计算机系统或网络的大小和安全等级要求的不同，会设置一台或多台计算机系统作为从外部网络访问内部系统和网络的入口，从而屏蔽内部计算机系统或网络，使其免受来自外部网络的攻击或其它安全漏洞的影响，进而保护敏感或私有的数据和网络的安全。这样的一台或多台计算机系统即被称为堡垒机。堡垒机是内部计算机系统或网络面向外部的唯一入口，亦即是说外部只有通过堡垒机才可以访问到内部计算机系统或网络，作为这样一种特殊用途的计算机系统，其必须通过专门的配置来抵御外部攻击，满足一定的功能要求，从而发挥安全堡垒的作用。

作为内部计算机系统或网络的唯一入口，堡垒机的重要性是显而易见的，对内部系统或网络的访问和运维将依赖于堡垒机，此种依赖对堡垒机的要求颇高—-不仅仅是简单的跳板机，而是企业（组织）IT运维的中枢，对企业的IT资产和数据安全至关重要。

3. 堡垒机的类型

根据使用场景的不同，通常有两种类型的堡垒机。

网关型堡垒机通常部署于内部网络与外部网络之间，将外部网络和内部网络隔离开来，专门用于控制内部网络IT资源的访问，其本身并不直接提供服务。网关型堡垒机为内部网络IT资源提供安全保护，其可以过滤掉针对内网的来自应用层以下的攻击，而因为要处理应用层的数据内容，对性能要求较高，需要消耗较多的网络出口流量。

运维审计型堡垒机往往亦被称为“内控堡垒机”，是当前应用最为普遍的一种堡垒机。

相较于网关型堡垒机，运维审计型堡垒机的部署位置及应用场景有所不同且更为复杂。运维审计型堡垒机主要用于对访问和运维人员进行授权，并对访问者和运维者的操作行为进行控制，同时对访问和操作行为进行审计，其规范了运维人员的操作行为，保障IT资源的安全。运维操作本身不会产生过大的流量，因此堡垒机本身不会成为性能瓶颈。

运维审计型堡垒机当前已经得到了极大的发展，在金融、电信等信息化水平相对较高的行业中已经得到了深入的应用，这些行业用户受到“信息系统等级保护”、“萨班斯法案”等法规及政策的约束，对堡垒机的需求尤为强烈。

4. 堡垒机的职责

作为企业（组织）IT基础设施的重要组成部分，堡垒机在企业IT基础设施的布局中处于一个非常重要的位置上，其承担着重要的职责。对于运维审计型堡垒机，其主要职责如下。

创建并维护IT资产使用者及维护者的用户体系，并进行授权管理和登录管理，保障相关用户的IT资产使用能力及运维能力。

必须对企业众多的IT资产进行清晰划分，明确其使用者和维护者，并授予使用者和运维者相应的访问和运维权限，使得使用者能够合理利用IT资源的计算能力充分发挥IT资源的作用，运维者能够有效的对IT资源进行运维操作。

针对不同的IT资源、不同的使用人员和运维人员，制定并实施不同的访问及运维策略，从而更有效地对IT资源进行访问和运维，保障IT资源的安全。

作为IT资源连接和访问的唯一入口，堡垒机需要能够访问不同类型的IT资源，需要能够以不同的协议访问不同的操作系统、数据库、应用、网络设备等IT资源。

为满足不同的使用场景和适应优劣各异的访问者环境，堡垒机需要提供各种IT资源访问方式，使得IT资源访问者及运维者能够免受环境限制，随时随地对IT资源进行访问和运维。

对于IT资源访问者及运维者的访问和运维行为，管理者需要可随时监控、介入甚至终止，以确保访问和运维行为安全、合规、可控。

可以预见高危操作，并针对高危操作指定安全策略，保障IT资产安全，免受访问和运维操作过程中的误操作、恶意操作所破坏。

堡垒机需要负责对访问和运维IT资源的全过程进行审计，记录审计日志，为操作事故的事后回溯和追责提供依据，为故障分析提供支撑。

堡垒机需要为操作事故提供故障分析手段，可对操作过程审计日志进行全文检索，快速查找并定位指令操作的时间点和上下文等内容，从而协助故障排除和系统能力恢复。

5. 堡垒机产品标杆

市面上有不少堡垒机产品，功能侧重点各有不同，对用户需求的满足程度也各不一样。行云管家作为业内产品标杆，顺应互联网和云计算的发展而生，有着传统堡垒机无可比拟的优势。

行云管家堡垒机是传统堡垒机的功能超集，其不仅仅是一套运维审计系统，它承担的是用户管理IT资产的运维中枢、会诊平台、黑匣子等功能职责。

行云管家堡垒机是为云计算而生的，传统堡垒机通常用来管理企业内部的IT资产，但随着云计算逐渐发展成为企业IT架构的基础设施，传统堡垒机很难适应云的变化，而行云管家堡垒机作为行云管家多云管理平台的核心，与生俱来的带有拥抱云计算的基因。

从设计理念上来说，行云管家堡垒机在“IT管理者要安全”与“运维工程师要效率”之间取得了良好的平衡。传统堡垒机往往从IT管理者角度出发，过度专注于安全管理、权限控制，而忽略了作为堡垒机主要使用者运维工程师的便捷、高效运维需求，导致牺牲了运维效率。 行云管家堡垒机为IT管理者提供更高、更全面而细致的安全管理视角，在为IT运维工程师授予合适粒度权限的同时，更为运维工程师带来了丰富便捷的运维手段和极致的操作体验，既满足了安全管理需求，也实现了高效运维，在安全与效率之间取得了平衡。

从使用体验上来说，行云管家堡垒机为您带来移动互联网软件般极致的用户体验。随着移动互联网的发展，人们已经厌倦了传统管理类软件刻板、笨重的操作风格，而逐步接受了智能手机App类软件的使用习惯。行云管家堡垒机从用户需求出发安全运维管理平台，安全运维之堡垒机，以方便的信息获取及操作交互为导向，通过友好的视觉设计，带来了极致的用户体验。 百闻不如一见，请给我们五分钟时间，到行云管家演示环境体验一下安全运维管理平台，我们一定给您一种惊艳的感觉。

从安全合规上来说，行云管家堡垒机为您提供事前授权、事中监察、事后审计等完整的运维闭环。

行云管家堡垒机能够满足您所在企业的等保诉求。信息安全等级保护制度是一家企业“安全预防做得是否到位”的重要衡量指标。对于企业来说，等保是一个安全管理的“必过标杆”。 行云管家堡垒机通过了公安部门的严格测试，获得了计算机信息系统安全产品身份鉴别（网络）类销售许可证。

6. 总结

堡垒机为企业IT资产的安全而生，是对企业IT资产进行安全运维、保障企业IT资产安全的重要手段。认清堡垒机的功能职责，选择一款适合于企业（组织）的堡垒机，是对企业（组织）IT资产运维的基本要求，是保障企业（组织）业务安全、稳定运行的有效手段。

快速体验：

安全可视化管理，智慧园区可视化物联网平台

智慧园区可视化物联网平台

以+BIM模型为基础，构建统一地理坐标系和空间参考框架的智慧园区基础可视化平台，支持室内/室外、动态/静态、直接/间接、独立/关联等数据的集中展示，运用先进信息可视化手段，加工、提炼出数据背后的隐含价值，通过大屏能够实时反映示范区真实运行状态。包括三维综合显示各系统设备位置及状态数据，涵盖监控设备、门禁设备、能耗设备、楼宇设备、消防设备、人员定位、车辆、绿色生态等建筑设备、电气、弱电设备、各子系统的实时运行监控服务。

系统主要功能要求

一、多维研判——全景沙盘与数据价值的深度分析打通智慧园区各部门互联互通渠道，建立统一的数据存储总线，依托精细运营管理平台、集成服务平台和其他途径获取的业务数据，实现区域级产业运营的综合分析。其内容可包括空间运营分析、企业360°视图、产业综合运行分析等，为园区精准招商和优化运营提供决策支撑。以三维电子沙盘的形式，展示入驻企业，系统应能自动获取入驻企业的数据，并进行大数据分析，包括：

1)园区经济贡献度：对于各专业园区的经济贡献分析，动态显示产值、税收的同比分析、环比分析，实现对目标完成率、历史排名、历年变化趋势的分析、能耗、员工数量等指标在不同专业园区的值及所占的比例进行分析。

2)产业结构分析：对于园区的产业结构分析主要是按照总收入统计不同技术领域的值及所占的比例来分析产业的结构。

3)经济指标分组统计：可以对整个园区按照按工商注册类型、按技术领域、按重点企业进行分类统计；也可以先按照专业园区再按照按工商注册类型、按技术领域、重点企业进行分类统计企业的经济指标

4)用户画像：对用户进行全方面分析，抽象出相对应的标签，拟合成的虚拟的画象，主要包含基本属性、社会属性、行为属性及心理属性。结合用户画像可针对不同用户类型进行个性化推荐、广告精准营销、辅助产品设计、细化运营等多方面营销手段；

5)企业大数据：运用街区各种设备例如智能摄像头、门禁对入驻企业的能源的消耗、规模等多方面信息进行分析，得到企业的活跃度、企业人员密集度、企业人员活动频率等信息，并可将分析数据提供给招商经理制作针对性的招商计划等。

6)街区全景沙盘：全景沙盘可直观看到街区全景园区可视化地图，并基于地图即时掌握空间经营、企业分布的概要运行情况。

7)招商引资分析：以直观图报表展示街区招商动态、项目进度统计、项目进度汇报、招商绩效、项目报表信息。

8)重点项目动态：显示重点项目进度报告、履约状态、建设进度，便于领导及时掌握进展状况，协调各方加快项目推进。

9)服务效能分析：管理人员可以便捷地掌控区域的各类服务资源以及这些服务资源的使用情况，在线受理的效能和进度，可作为服务绩效考评依据。

10)空间销控视图：以平面视图的方式，铺列显示物业项目位置及占用状态，以项目/楼宇/房间为要素，显示房屋基本信息（地址/可用面积/租赁状态/是否即将到期）。

二、模型可视化

对示范区全景及局部进行GIS模型3D综合浏览展示，多样化浏览模式，局部可以精确定位到各个构件。实现从室外到室内、从地上到地下的浏览。包括

1）电子沙盘场景显示支持三维建筑模型、三维GIS模型、卫星影像、地形、地下管网，矢量显示、多层叠加。能显示每栋建筑的概况、分楼层剖分展示内部结构及设施、各分区功能、入住单位的情况、一些重点区域的监控画面，停车场的状况（车位的占用状态），配电、照明、空调等设备等基本数据，部分故障设备的列表以及当天的天气状况等等，第一时间向参观者和管理者传递关于智慧园区整个项目的重点信息。沙盘可按照规划好的演示模式进行一键演示，通过自动漫游功能实现对来访参观者对项目进行介绍，当自动漫游到重点关注区域时自动调取显示相关数据，例如漫游到主路口显示路口实时监控，漫游到停车场入口显示停车场当前剩余车位等。

2）放大缩小对3D视窗显示区中对象的放大（缩小）显示操作，另可通过向前（向后）滑动鼠标滚轮实现连续放大作用。

3）场景向右向左旋转。全屏俯瞰场景视图区，与视频联动安全可视化管理，融合室外视频监控信息， 实时显示室外的视频信息与GIS融合的场景。

4）可支持键盘和触屏两种操作方式。支持双屏交互功能，通过触屏端可控制大屏端操作。

5）用户可以对示范区全貌、局部进行360度无死角浏览。

6）将地面设置为透明，地上地下情况一目了然，易于对地下隐蔽工程的查询、查看。

7）用户可以通过输入设备名称或设备型号等属性的方式进行查询浏览。

8）用户在点击该模型内某构件名称以后，系统将会自动定位到该三维模型构建，并以高亮提示用户。建筑物三维模型可分拆到楼层，房间，展示梁、柱、门、窗、隔断、管线、设备等。若用户选中了某一具体设备，在界面上就会出现与该设备相关的设备信息（包括设备的名称、型号、技术参数、生产厂家等）供用户查看，同时用户也可以通过点击关联标签，查看“设备说明书”、“维修保养资料”、“供应商资料”、“应急处置预案”、“历史维护信息”、“安装信息”等各种与设备相关的文件及信息资料。

9）通过基于、BIM的三维模型和物联网，与相关雨量、流量、水质等环境检测信息联网。三维动态展示智慧园区的绿色海绵城市建设运行情况，充分体现智慧园区绿色海绵城市渗、透、蓄、滞、用、排的功能。

10）用户可以查看复杂的地下管网，如给水管、污水管、排水管、消防水管、弱电综合管线、绿化喷灌、强弱电管线、电线以及相关管井，并且可以在模型上直接量取相互位置关系，展示管线的实际拓扑图和模拟展示水的流动及流向。

12）室内室外一体化展示，室外GIS地理场景与室内BIM建筑场景能够缩放、切换无缝，而不是通过窗口切换等形式实现。

三、运行状态可视化

智慧园区可视化展示同时包含对示范区范围内的设备进行运行状态实时展示，至少应包括以下部分

1)能耗监测实现通过智能设施支持下的能耗能效管理、自动抄表（水电气）和智慧办公能力，例如：包括灯、空调、窗帘、办公卡位用电、充电桩、路灯、景观等。以及会议室的场景模式管理。提升用户体验，节能降耗，能实时监测示范区各区域、各建筑、各楼层的水、电、气用量情况及用量曲线，超过设定的用量指标后会立即报警并定位到异常点方便工作人员及时查看情况并处理安全可视化管理，智慧园区可视化物联网平台，对能耗统计与能耗审计等基本信息进行汇总分析，能耗消耗日、周、月度、季度、年度统计与分析。通过热力图形式直观展示整体建筑在空间维度、时间维度的能耗情况，也可按楼层查看每层的用电24小时走势图和以往平均用电对比。

2)安防监测实现智能识别、视频监控系统、门禁及通道闸、智慧消防、剩余电流检测、电气火灾安全监测能力的接入和统一管理和分析和运营；实现应急指挥调度，将各子示范区的消防系统接入平台，实现示范区消防“双保险”，在应急的情况下，可以实现对各建筑的消防安全预警及调度。也可作为一项服务向各企业提供，能查看示范区内各个区域的实时视频和历史视频记录，当监测到黑名单人员或者越界人员时都会立即报警并将视频定位到异常处便于工作人员查看情况并及时处理。

3)智慧设施实现智慧电梯、公共设施运维、智慧展厅、共享办公、智能会议、无人机房等智慧统一管理运营，并实现资产管理；

4)门禁监测能实时查看示范区大门、会议室、楼道通道等门禁状态。

5)消防监测能实时获取各类消防设备信息，发现异常情况立即报警，平台及时接收报警消息并处理，保障示范区的消防安全。

6)楼宇设备检测能实时查看楼宇设备位置信息，并展示运行状态。包括但不限于：配电柜数据监测，电路运行状态，各支路负载、温度，电流、电压等信息的监测；对给排水（堵塞、水位、压力、流量监测）、送/排风机、水泵等设备的监测；电梯、暖通设备、消防设备等运行数据、故障、启停等数据的监测；

7)智能照明在建筑模型中显示设备位置和状态，图表显示各类信息；可显示灯具总数量、运行数量、各回路数量、开启回路数、告警回路数等信息；通过对接灯控平台，点击图标，可开关灯，控制亮度、控制室外景观照明等，同时可对照明设置控制模式，例如全开模式，全关模式，节能模式，会议室的投影模式等等

8)人员定位通过手持设备，能实时展示工作人员的位置信息。分屏数据统计及分析。分板块、分区域展示各系统设备相关统计数据，能实时、回放显示保安人员的巡检轨迹。

9)智慧环境显示环境质量（PM2.5、温度、湿度、CO2、室内甲酫等有害气体），水质水温，噪声情况，天气状况等；实时显示示范区污水处理系统的水质参数（流量、pH、COD、 氨氮、 总磷、总氮等），显示楼宇重点监测区域的各项上述信息以及不同时间单位的统计曲线。实现环境监测，能够通过智能传感获取室内外空气、污水监控和分析。

10)公共区总体运行状态图。监控设备、门禁设备、能耗设备、楼宇设备、消防设备、人员定位细分板块统计图图，包括趋势图、横向纵向对比分析图等。

11)预警、报警、派单三级联动能实时接收示范区内各类报警消息，当系统设备发生预警、报警时，在大屏上闪烁提醒，并与智能派单系统结合（公共区职责范围内的事件处理），生成任务工单，进入应急联动处理，保障示范区安全。

四、报警消息可视化及处理

当发生预警和报警等异常情况时，智能派单系统收到这些信息，并主动弹出报警消息告知后台工作人员。

同时智能派单系统会根据自身的业务逻辑进行事件处理。详见智能派单系统部分。

按时间段、类型、状态等进行查看，能统计出月、季度、年不同类型的报警消息统计，帮助工作人员分析各类设备及示范区整体状况。

…… ……