综上所述，随着信息化的发展，企事业单位IT系统不断发展，网络规模迅速扩大，设备数量激增，建设重点逐步从网络平台转向深化应用、提升效益为特征的运维阶段;IT系统运维与安全管理正逐渐走向融合。面对日趋复杂的IT系统，不同背景的运维人员已经给企业信息系统数据内控和安全运行带来较大的潜在风险。

　　如何加固企业内网堡垒的“内防”，建立起稳固的数据内控体系，有效防范打击“内鬼”，成为近年内国际信息安全业界在数据安全领域的新课题。堡垒机技术，就是在这样的时代呼唤下，成为数据内控安全舞台新星。所谓堡垒机，其全称为“内控堡垒主机”，它综合了运维管理和安全性的融合，切断了终端计算机对网络和服务器资源的直接访问，而是采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过堡垒主机的翻译。打了一个比方，内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此堡垒机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。堡垒机技术主要帮助内网信息系统管理者，实现六大方面智能化支撑和高安全性防护，包括：单点登录、帐号管理、身份认证、资源授权、访问控制、操作审计。

　　那么，堡垒机技术究竟具有什么优势功性能呢?以国内领先的一款JD-FORT数据内控堡垒机为例。

　　首先，SSO单点登录功能。

　　JD-FORT数据内控堡垒机提供了基于B/S的单点登录系统，用户通过访问WEB页面一次登录系统后，就可以无需认证的访问被授权的多种基于B/S和C/S的应用系统。单点登录可以实现与用户授权管理的无缝链接，可以通过对用户、角色、行为和资源的授权，增加对资源的保护和对用户行为的监控及审计。

　　其次，集中账号管理功能。

　　JD-FORT数据内控堡垒机的集中账号管理包含对所有服务器、网络设备账号的集中管理。账号和资源的集中管理是集中授权、认证和审计的基础。通过建立集中账号管理，单位可以实现将账号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。

　　第三，集中身份认证功能。

　　用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。

　　第四，统一资源授权功能。

　　JD-FORT数据内控堡垒机提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。

　　第五，细粒度访问控制功能。

　　JD-FORT数据内控堡垒机能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。

　　第六，运维操作审计功能。

　　操作审计管理主要审计操作人员的账号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后，操作审计能更好地对账号的完整使用过程进行追踪。

　　以上是国际上标准堡垒机的基本功能，但一般知名品牌和有一定技术实力的堡垒机产品，还会有些个性化的服务或特色功能。例如JD-FORT数据内控堡垒机，其特色功能还包括：智能运维脚本、运维工作站的安全检查、文件共享管理、共享资源的单点登录、共享软件的单点登录、管理多种运维操作方式、真正意义的智能负载均衡等等。

　　总而言之，堡垒，往往从内部攻破，数据，大多是存放于内部被人泄密，当我们加大力气“筑高墙”抵御外来黑客进入窃密的同时，我们也应加大构造数据内控体系的高精尖程度，严防“内鬼”泄密，让之拿不到、带不走、露马脚。从而在堡垒内部树立一道顽强的数据安全保障体系。

(责任编辑：)