重新定义堡垒机 构建IT基础设施特权身份银行

4月11日，汉领信息全国渠道合作伙伴大会在杭州举行，来自全国各地的200多家渠道合作伙伴和多家媒体参加了会议。

大会上汉领信息总经理陈云强调要一手抓产品的同时另一手则紧抓渠道建设。提出了“以人为本”的核心渠道和核心客户“双核战略”。陈云认为：”核心渠道是汉领长久持续的发展战略，核心客户主要帮助梳理标杆客户和推进行业发展。核心渠道与核心客户相辅相成，互相补充，双核战略将开启汉领‘两轮’驱动的高速发展。“

汉领信息总经理陈云

会议上陈云还特别强调：“安全问题，不只是技术，更多的是历史原因，人性的弱点，还有成本。要把安全与管理，融到一起做。”

本次大会汉领信息发布下一代堡垒机(PAM)。众所周知传统堡垒机已被广泛应用于各行各业来提高企业内部信息安全管理水平，满足相关规范要求并提供控制和审计依据，在政府、医疗、金融、能源、企业等多个行业被广泛用于对信息化的信息化身份管理、权限管理及安全审计。而今云计算以及5G时代的到来堡垒机必然会面临着新的挑战。

汉领信息技术总监王枫则直言：”我们要重新定义堡垒机：传统的堡垒机已经不能适应云时代安全边界越来越趋于模糊化，5G时代设备的多样化、移动化。下一代堡垒机将为数据中心基础设施提供统一的、独立的帐号管理及通道控制服务数据中心基础设施可编程，SDN、SDS、ITSM、CMDB、自动化运维、各网管软件等将可通过下一代堡垒机对数据中心基础设施进行编程，实现控制闭环及AI处理。”

汉领信息技术总监王枫

正所谓“知己知彼百战不殆”。汉领信息14年来的自主研发对堡垒机有着深刻的认识，王枫表示，传统的堡垒机存在着如下问题：

1. 无法自动收集资产账户，当资产账号变动时，堡垒机无法及时知晓并响应。
2. 无法与自动化的平台相结合，自动化平台的运维可以被绕开，存在很大的安全隐患与风险。
3. 管理不便捷，无法进行可视化授权。
4. 在移动物联网时代无法支持手机端对运维、管理及数据中心资产运维的实时掌控。
5. 堡垒机无法支撑用户大并发的需求，不能方便快捷的进行扩展。

因此王枫提出了下一代堡垒机应具备的三个属性——成熟稳定、安全加固、科技先进。

对此王枫表示：“除了传统的堡垒机所拥有的完整的单点登录、多因素身份鉴别技术、OCR标题识别技术、数据同步技术以及RemoteApp无缝应用等特性之外，下一代的堡垒机首先要能保证自身的安全稳定，能在超大数据中心的环境下得到检验。同时必须能够支持任意环境下的集群和分布式部署，在逻辑上实现高度统一，配置和审计日志可以实现实时同步。”

“在安全加固方面则要兼顾数据安全控制与账号安全管理。数据资产已成为企业的核心资产，但在运维过程中数据的流转往往很难控制，为此下一代堡垒机在RDP、SSH、FTP/SFTP以及数据库运维 工具 等层面对数据的上传与下载的通道进行了严格的控制。可根据实际情况进行通道的开启与关闭，以解决数据因未授权拷贝造成的数据外泄问题。在账号安全管理方面，首先检测并消除弱口令的隐患，对于长期存在的高权限低频率帐号进行分类，管理员对帐号状态可一目了然，并能进行针对性的管理，将安全风险定位到人。“

在科技先进性上要体现在客户的使用的便捷上。下一代堡垒机通过完整的API接口实现自动化的运维，整个过程可管理可监控，实现集中账号的控制中心以及控制矩阵;提供统一的程序人机交互界面;为运维自动化打通账号权限，可按需分配权限层级，使机器运维安全可控，实现DevSecOps和AIOps的完美落地。

在应对5G的移动化管理上，通过专有的APP(安卓和IOS版本)从管理者和运维人员不用角色进行移动化管理操作，实现高效、安全的运维。实现了从被动防御变为主动防御：主动发现后门账户、主动通过其他业务获取后门账户、主动检查弱口令。

除了堡垒机产品外，汉领信息还拥有数据库审计、数据库防火墙、下一代web应用防火墙、管理安全IAM以及大数据日志分析等产品，形成了完整的安全产品体系，为企业用户提供全方位的安全防线。