等保最佳实践-运维安全中心（堡垒机）(Bastionhost)-阿里云帮助中心

为助力企业等保合规，本文为您介绍堡垒机各能力与等保相关条款的对应关系，以便为您准备相关材料提供参考。

背景信息

保障运维安全是企业信息安全建设过程中的关键问题。国内外多个法律法规都对运维安全提出了规范要求。其中，等保合规已经成为国家对企业信息安全建设的重要标准。因此，如何满足等保合规要求也成了企业需要关注的重点。

阿里云堡垒机通过全面的资产运维场景、细粒度的访问控制以及日志审计等功能，帮助企业提高信息安全水平，降低运维安全风险，助力企业满足等保合规要求。

等保三级相关条款

该最佳实践将主要聚焦于以下等保条例：

安全区域边界

安全审计
应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计
堡垒机支持对用户访问服务器时的运维操作进行细粒度的监控和审计。
- 登录堡垒机系统。具体操作，请参见登录系统。
- 在左侧导航栏，选择运维审计 > 会话审计，在所有会话页签，可以查看用户对主机、数据库的运维会话记录。
- 在左侧导航栏，选择运维审计 > 操作日志，可以查看用户登录堡垒机的操作记录。
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
堡垒机审计信息包含日期和时间、用户、事件类型、运维协议、操作行为是否成功及其他与审计相关的信息。
- 登录堡垒机系统。具体操作，请参见登录系统。
- 在左侧导航栏，选择运维审计 > 会话审计，在会话审计界面，可以查看用户对主机、数据库的运维会话记录。
  
  单击会话列表详情，可以查看事件的日期和时间、用户、事件类型；单击播放可以查看运维录像。
- 在左侧导航栏，选择运维审计 > 操作日志，可以查看用户登录堡垒机的操作并记录操作是否成功。
应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析
堡垒机支持对远程访问的用户行为单独进行详细的行为审计，并提供运维报表的数据分析能力。
- 登录堡垒机系统。具体操作，请参见登录系统。
- 在左侧导航栏，选择运维审计 > 会话审计，支持按照用户搜索会话记录，可以对单个用户进行分析。
- 在左侧导航栏，选择运维审计 > 运维报表，支持通过运维报表进行数据分析。
应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等
堡垒机支持自动定期备份日志审计记录，并支持将日志备份下载到本地以及转存到SLS上进行存储及分析。
- 登录堡垒机系统。具体操作，请参见登录系统。
- 在左侧导航栏，选择运维审计 > 会话审计，单击日志备份页签，单击下载，可将日志备份文件下载到本地。
  
  说明
  将会话审计日志转存到SLS具体可参考归档审计日志到日志服务。

安全计算环境

身份鉴别
应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换
堡垒机用户需要通过密码或者密钥认证才能成功登录堡垒机，并且限制用户不可创建相同用户名，保证身份标识的唯一性；在用户身份配置上，具有用户密码复杂度及密码有效期要求。
- 身份鉴别
  
  客户端运维
  
  Microsoft Windows [版本 10.0.19045.3449] (c) Microsoft Corporation。保留所有权利。 C:\Users\admin>ssh xxx@public.bastionhost.aliyuncs.com -p 60022 xxx@x-public.bastionhost.aliyuncs.com's password:
  
  运维门户
  
  登录堡垒机系统。具体操作，请参见登录系统。
  
  在概览页面，获取运维门户地址。
  
  浏览器打开运维门户地址，需要通过身份鉴别之后才能登录运维门户。
- 身份唯一性
  
  登录堡垒机系统。具体操作，请参见登录系统。
  
  在左侧导航栏，选择人员管理 > 用户，新增已有的本地用户，会创建失败。
  
  系统提示操作失败，错误原因为对象已存在，从而保证身份标识的唯一性。
- 身份鉴别信息是否具有复杂度要求并定期更换
  
  登录堡垒机系统。具体操作，请参见登录系统。
  
  在左侧导航栏，选择人员管理 > 用户，选择导入其他来源用户 > 新增用户，创建用户时要求密码复杂度。
  
  密码要求为8~64个可见字符，必须包含大写字母（A-Z）、小写字母（a-z）、数字（0-9）和非字母符号（如@#$）共4种字符类型。
  
  在左侧导航栏，单击系统设置，在用户配置页签，支持设置密码有效期，密码过期之后无法登录堡垒机。
应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
堡垒机支持限制用户登录时的密码尝试次数，用户输入错误密码超过一定次数会被锁定，需要等待管理员解锁或者等待自动解锁。
- 登录堡垒机系统。具体操作，请参见登录系统。
- 在左侧导航栏，单击系统设置，在用户配置页签，支持设置密码尝试次数和锁定时长，密码错误超过一定次数之后用户会被锁定，锁定时长内用户无法登录堡垒机，需要等待自动解锁或者手动解锁。
- 在左侧导航栏，单击系统设置，在运维配置页签，支持设置运维空闲时长限制及总时长限制，超过设置时长后，运维会话会自动结束。
当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

通过堡垒机访问服务器使用的SSH协议、RDP协议、SFTP协议均为加密协议，防止进行远程管理时，鉴别信息在网络传输过程中被窃听。
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现
堡垒机支持短信、邮件、钉钉工作消息通知或者OTP令牌认证多种形式的双因子认证，并可以灵活进行全局设置或者按照单个用户进行设置。
- 双因子认证
  
  登录堡垒机系统。具体操作，请参见登录系统。
  
  在左侧导航栏，单击系统设置，在双因子认证页签，启用双因子认证。
- 全局及单个配置
  
  登录堡垒机系统。具体操作，请参见登录系统。
  
  在左侧导航栏，选择人员管理 > 用户，单击目标用户，即可设置双因子认证方式为全局配置或单个用户配置。
访问控制
应对登录的用户分配账户和权限
堡垒机支持按用户及用户组授权资产，用户只能访问管理员为自己授权的资产，防止越权访问。
1. 登录堡垒机系统。具体操作，请参见登录系统。
2. 在左侧导航栏，选择人员管理 > 用户，在需要授权用户的操作列中，授权主机。
应重命名或删除默认账户，修改默认账户的默认口令
堡垒机的管理员可以对用户账户进行新建、修改、删除操作，同时可以修改用户密码，以及设置强制本地用户下次登录时必须重置密码。
- 新建、修改、删除操作
  
  登录堡垒机系统。具体操作，请参见登录系统。
  
  在左侧导航栏，选择人员管理 > 用户。
  
  支持新增单个用户或者从文件批量导入用户
  
  支持删除单个用户或者批量删除用户
- 修改密码及强制重置密码
  
  登录堡垒机系统。具体操作，请参见登录系统。
  
  在左侧导航栏，选择人员管理 > 用户，可以配置本地用户在下次登录时必须重置密码。
应及时删除或停用多余的、过期的账户，避免共享账户的存在
堡垒机支持按照用户状态进行筛选，可以及时发现并处理已过期用户、长时间未登录等状态异常的用户，提高用户管理效率。
1. 登录堡垒机系统。具体操作，请参见登录系统。
2. 在左侧导航栏，选择人员管理 > 用户。在用户页面，筛选状态异常的用户或删除、锁定用户。
  
  筛选状态异常用户
  
  状态列可显示大于90天未登录、即将过期等异常状态，便于及时发现和处理。
  
  批量选择之后删除、锁定用户等
应授予管理用户所需的最小权限，实现管理用户的权限分离

堡垒机管理员角色支持管理员权限、审计员权限、只读权限和运维员权限，可以通过RAM授权配置多种管理权限。具体操作，请参见堡垒机管理员角色授权。
应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则
堡垒机支持配置运维员对资产的访问控制策略，包括命令控制、命令审批、协议控制、访问控制以及运维审批等。
1. 登录堡垒机系统。具体操作，请参见登录系统。
2. 在左侧导航栏，单击控制策略，在新建控制策略页面，配置控制策略的名称、优先级、命令控制、命令审批、协议控制、访问控制以及运维审批。
安全审计
应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计
堡垒机支持对用户登录堡垒机以及通过堡垒机访问服务器的操作进行审计，审计覆盖到每个用户。
1. 登录堡垒机系统。具体操作，请参见登录系统。
2. 在左侧导航栏，选择运维审计 > 会话审计，在所有会话页签，查看所有用户对服务器的运维操作记录。
3. 在左侧导航栏，选择运维审计 > 操作日志，查看所有用户登录堡垒机所做的操作。
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
堡垒机审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
1. 登录堡垒机系统。具体操作，请参见登录系统。
2. 在左侧导航栏，选择运维审计 > 会话审计，查看用户对主机、数据库的运维会话记录。
  
  在会话列表详情，可以查看事件的日期和时间、用户、事件类型，单击播放可以查看运维录像，单击详情可以查看会话具体信息。
3. 在左侧导航栏，选择运维审计 > 操作日志，可以查看用户登录堡垒机的操作并记录操作是否成功。

背景信息

等保三级相关条款

安全区域边界

安全审计

安全计算环境

身份鉴别

访问控制

安全审计