自2011年5月颁发第一批27家第三方支付牌照开始，中国人民银行已颁发了6批200多家。基于《非金融机构支付服务业务系统检测认证管理规定》的规范化管理和检测要求，第三方支付服务系统得以规范、安全的快速发展。但CIO们大多更加关注主机系统安全和外来访问安全，同时由于《非金融机构支付服务业务系统检测认证管理规定》中的“运维维护安全”主要停留在制度层面的要求，导致第三方支付的运维操作管理存在部分盲区。

对于网络边界，CIO一般采用防火墙来进行隔离，然而对于服务器的远程运维管理(如通过SSH、RDP远程登录维护服务器)，首先CIO们鲜有边界管理的概念，其次认为使用防火墙技术就可以了。但是，防火墙关注于传统的五元组检查，无法满足复杂的运维安全管理和审计的需要。由此，成为诸多金融行业CIO们焦虑的问题。针对此需求，国内IT运维专家普遍提倡使用堡垒机产品，很好补充金融行业运维安全管理和事后审计的需求，来帮助金融行业服务系统实现规范化运维管理。

作为国内知名的堡垒机产品，碉堡堡垒机(www.baoleiji.com)创新的对堡垒机产品进行了重新定义，在保证原有产品功能和性能的前提下，将原有的“硬件+软件”的形态，跨时代的改变为“虚拟化+软件”的方式，因此能够快速运行在任意服务器上，随时下载试用，由此大大地降低IT采购成本，使堡垒机部署更加便捷，让操作更加简便。

碉堡堡垒机采用“旁路部署，串行控制”模式，在不改变原有网络结构的情况下，实现快速部署，同时与防火墙技术或自身密码代填接管方式，快速建立运维人员与第三方支付服务系统之间的访问控制隔离屏障和监控审计平台，能够有效地帮助第三方支付服务系统实现规范化运维管理。下面，我们了解一下碉堡堡垒机在第三方支付行业的应用。

碉堡堡垒机软件在第三方支付(网络支付应用)服务系统的功能满足项表

鉴别：设备和应用的用户身份认证

第三方支付服务系统大多采用多人共享账号登录。经常会出现系统出问题后不知道是谁操作的，内部人还好，外来人员为了推卸责任就不会承认了。

碉堡堡垒机作为远程运维操作管理的屏障，运维人员首先登录堡垒机进行唯一性身份认证，用户名和密码认证可以附加选择动态令牌硬件认证。网络设备、主机系统可将维护IP指定堡垒机地址，同时配合碉堡堡垒机的密码代填实现单点登陆(SSO)功能，完美解决了共享密码安全问题。运维人员离职后，停掉堡垒机中该用户即可!

控制：主机和应用访问的授权管理

对运维人员实现统一的身份鉴别后，就可实现对运维操作授权了。

碉堡堡垒机提供了Portal管理界面，运维人员认证通过后直接点击需要运维设备的图标就可以快速登陆，进行维护操作。运维人员无需记忆设备IP、登陆密码等信息，大大方便了运维操作。

对于运维人员的操作，碉堡堡垒机可以实现细粒度控制，如对Linux系统操作可实现登陆协议控制(如是通过SSH，还是X11)、源地址控制、操作指令黑白名单(如禁止reboot等高危指令等)、操作时间控制(如上班时间允许，下班时间禁止)等等。

审计：主机和应用操作的主观回放

对于第三方支付服务系统提供的操作审计，包括数主机操作审计、应用操作审计、据库操作审计等等，如果要通过查看各个系统的操作日志方式来实现，将面临信息量大、不直观，以及信息缺乏关联性等问题。

碉堡堡垒机集中记录了各种运维操作操作信息，并与具体的运维人员关联，可实现事中在线监视，事后随时调取回放。碉堡堡垒机还可基于输入指令或输出关键字进行操作画面定位，一般5分钟内可确认事故原因和责任人。碉堡堡垒机的操作审计功能，为第三方支付提供了对运维操作事故的事后直观定位和取证手段。

碉堡堡垒机软件(www.baoleiji.com)在内蒙古中付通公司得到很好的应用，为其服务系统的运维操作管理和审计提供了完善的解决方案。