最堅固的堡壘，往往是從內部攻破的。堡壘機技術卻能夠為企業內網最核心、最重要、最薄弱的系統設備環節，在“內鬼”攻擊前以嚴格的阻擋，攻擊中以堅強的防御，攻擊后以痕跡的審計，從而在堡壘內部樹立一道頑強的保障體系。

古希臘，一座名叫特洛伊的堅固之城，在固若金湯地經受住外敵重重圍攻之后，卻意外被因為城內的一只巨大木馬，一夜間城陷國崩。

從此，人們記住了這只有名的木馬——特洛伊木馬，更深深懂得了一個道理：最堅固的堡壘，往往是從內部攻破的。人類在歷史走廊行進中，也無數次重復印證著這個道理，演繹著類似的故事。

在當今信息時代，企業信息系統最大的軟肋，就在內網服務器等核心設備，企業面臨最大信息安全威脅，依然是源自內部人員對于內部網絡資源設備的攻擊，和對于內部機密數據文檔的竊取。據IDC一份調查統計表明，全球差不多有80%的企業存在著內網信息安全或信息風險問題，在所有被調查的公司中，其曾經產生過得安全隱患和事件中，比例超過60%的，來自于內部人員。

從2004年軟銀“內鬼”泄密軟銀數百萬寬帶用戶個人資料事件，到2007年日本海上自衛隊二等士官泄漏神盾艦情報的事件，各類內網泄密事件，不勝枚舉。近日，香港銀行業又爆出一起泄密丑聞，花旗等6家香港銀行被證實涉嫌泄露客戶資料，令香港輿論一片嘩然。而就在幾個月前，匯豐銀行15000名私人銀行客戶資料被竊案告破，一位原信息中心的內部員工歷時三年，通過各種機會在內部數據庫中拷貝竊取了客戶資料，直接導致客戶從匯豐銀行轉走存款到41億美元之多，讓匯豐銀行的信譽一落千丈。

隨著信息化程度的一日千里，信息數據日益成為各企事業單位的核心資產，利益的驅使下，各種泄密事件呈幾何級增長。在這樣日益嚴峻的情況下，如何保護好存儲了企業全部核心機密的系統后臺設備，尤其是如何更好地防范與審計內部管理人員對這些設備的訪問和操作，成為眼下內網信息安全最根本的環節。

一方面，企業的核心服務器、數據庫、交換機、OA系統等設備資源，本身是企業最重要的信息資產集散地，一旦遭到攻擊、竊取，其后果不堪設想;然而，從目前情況來看，一般企業內網除了統一的整體安全保護體系，例如防火墻、IDS、防病毒、數據庫審計、口令密碼等，基本沒有專門的技術智能化保護措施，針對這些核心資源進行有效保護。

另一方面，雖然日常以高權限訪問這些設備資源的人，不想一般業務系統那么多，但其訪問人群也并不簡單，這些人員可能包括：系統管理員、系統運維人員、系統應用高權限用戶、第三方廠商的維護人員以及其他臨時高權限人員等。最關鍵的是，這些人員本身所擁有最高權限賬號，一旦訪問，如果其有某種主觀的不良意圖，或者因為其某些無意不規范的操作，則都會帶來不可挽回的損失，或者給未來埋下巨大的隱患。

如何加固企業內網堡壘的“內防”，有效防范打擊“內鬼”，成為近年內國際信息安全業界在內網安全領域的新課題。堡壘機技術，就是在這樣的時代呼喚下，成為內網安全舞臺新星。所謂堡壘機，其全稱為“內控堡壘主機”，它綜合了運維管理和安全性的融合，切斷了終端計算機對網絡和服務器資源的直接訪問，而是采用協議代理的方式，接管了終端計算機對網絡和服務器的訪問。形象地說，終端計算機對目標的訪問，均需要經過堡壘主機的翻譯。打了一個比方，內控堡壘主機扮演著看門者的工作，所有對網絡設備和服務器的請求都要從這扇大門經過。因此堡壘機能夠攔截非法訪問，和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標設備的非法訪問行為。堡壘機技術主要幫助內網信息系統管理者，實現六大方面智能化支撐和高安全性防護，包括：單點登錄、帳號管理、身份認證、資源授權、訪問控制、操作審計。

堡壘，往往從內部攻破。這句偈語也許是上天給人類的一個規律，因為人的根本因素存在，堡壘機技術也許不能打破這個規律，但卻能夠為企業內網最核心、最重要、最薄弱的系統設備環節，在“內鬼”攻擊前以嚴格的阻擋，攻擊中以堅強的防御，攻擊后以痕跡的審計，從而在堡壘內部樹立一道頑強的保障體系。

目前，隨著信息安全建設的深入，安全審計已成為國內信息安全建設的重要技術手段。總體來看，由于信息系統發展水平和業務需求的不同，各行業對安全審計的具體關注點存在一定差異，但均是基于政策合規、自身安全建設要求，如：政府主要關注如何滿足“信息系統安全等級保護”等政策要求的合規安全審計;電信運營商則基于自身信息系統風險內控需求進行安全審計建設。

那么，目前國內堡壘機技術和產品提供廠商究竟是什么布局呢?

由于堡壘機是近年內出現的新技術和產品，并且國內行業用戶大多還處于信息化應用建設的高潮，還沒有到堡壘機需求期，因此，堡壘機市場需求規模和產品提供商都有限。國內很大一部分信息安全綜合廠商都陸續推出許多有著與堡壘機部分功能相近的產品，例如單點登錄產品，內網準入產品、系統審計產品等，但是真正能夠提供完整獨立堡壘機技術和產品的并不是很多，國內堡壘機技術和市場規模較為知名的包括以下五家：網御神州(www.legendsec.com)、綠盟科技(www.nsfocus.com)、極地安全(www.jidisec.com)、方正安全(www.foundersec.com)和捷成世紀(www.jetsen.cn) 。

綜上所述，在企業信息系統自身安全管理需要和國家行業的審計不斷提升的要求下，在構筑企業內網安全體系的道路上，堡壘機成為重頭主力軍之一已是大勢所趨。隨著各國政府對于信息安全的高度重視，這樣的趨勢日益成為業界共識，而這個大趨勢的最根本的源泉，就在于企業內網在信息化應用水平提升的同時，其自身所必然出現的信息系統漏洞和桎梏，以及為滿足信息社會各種法規遵從而必然需要采取的舉措。

相關鏈接1.電信行業JD-FORT內控堡壘主機應用案例

國內某省級通信公司，由于業務和自身信息化水平的發展，已建成覆蓋范圍廣、業務品種多、通信質量高的綜合通信網絡，成為經營移動通信業務、IP電話及互聯網服務的專業化移動通信運營公司。

據該省公司信息中心主管內部信息安全的工程師小王介紹，其于一年前采購了一款國內主流的堡壘機產品——JD-FORT內控堡壘主機系統，除了內網安全防護和操作審計的需要，更為迫切的一個需求，是希望用技術手段滿足SOX法案的相關規范要求。要求主要包括兩方面，一是在對SOX相關控制點進行修補的過程中，雖然通過管理措施(替代措施)可以達到對相關控制點的修補目標，但由于技術手段的缺乏，需要付出更多人力成本的代價，加重了維護人員的工作負擔;二是采用非技術手段實施管理，往往出于管理認知角度的不同，檢查者對相關控制點執行是否有效總是抱有疑慮。

2010年初，該通信公司信息系統管理部門，在全省重要數據中心節點部署了JD-FORT內控堡壘主機系統，來管理網絡設備、企業信息化系統及其他重要系統的運行維護操作。SOX法案中涉及對口令、密碼、權限和審計管理的控制點有30多項，涵蓋的系統包括：智能網、彩鈴、MISC、交換局、企業信息化系統的重要主機和網絡設備。部署JD-FORT內控堡壘主機系統后，實現集中統一的運維操作管理，使得運維人員可以對支撐系統進行集中操作、集中權限分配、集中審計，通過有效的技術手段滿足了SOX法案的合規要求。