一种基于资源利旧与开源软件的企业级堡垒机构建模式研究

背景和目的：随着数字化转型的深入，新数基设施运维和管理业务中的特权访问管理（PAM）成为企业网络安全的核心业务。在实际业务中，传统中小型企业以及国有企业在实践中往往面临商业安全解决方案成本高昂、自身技术能力不足的双重困境。为破解此难题，本文提出并验证了一种基于闲置服务器资源利旧与主流开源软件相结合的企业级堡垒机构建新模式。

【方法】该模式以上饶市烟草公司的实践为案例，系统性地阐述了其架构设计、技术实现、性能评估与成本效益。

【结果】实验结果表明，（1）该模式在零硬件新增投资的基础上，构建的堡垒机系统在500个并发用户压力下，关键安全功能得到验证,平均响应时间低于600ms，并具备可控的系统资源占用率。（2）与采购商业化设备相比，该模式可削减超过90%的首年投资成本及100%的年度维保费用。

【结论】本研究不仅为同类型企业提供了一套经济、高效且自主可控的安全运维解决方案，并验证了一条在实践中培养技术人才、提升组织创新能力的有效路径。

引言：

在数字经济时代，信息系统已成为企业运行的“中枢神经”，其安全稳定直接关系到企业的生存与发展。特权访问管理（Privileged Access Management, PAM）作为网络安全纵深防御体系的关键一环和核心技术手段，目的是对管理员、运维人员、开发人员等高权限账户的访问行为进行集中管控，从而防止数据泄露和内部威胁 [1]。堡垒机（Bastion Host）作为PAM理念的核心载体，通过实现集中的身份认证、权限控制、操作审计等功能，已成为现代企业信息系统运维安全的标准设施配置[2]。现状问题是对于大部分中小型企业及预算受限的传统国有企业而言，在部署堡垒机系统时普遍面临两难的境地（如图1所示）。一方面，市场主流的商业堡垒机解决方案，无论是硬件设备还是软件许可，初次采购成本和持续的年度维保费用均相对高昂，构成了较为沉重的费用负担。另一方面，企业自身的IT团队往往以日常运维为主，缺乏技术开发和安全研究能力，导致对高成本购入的“技术黑盒”缺乏掌控力，难以进行有效的定制优化和应急处置，进而形成了“厂商依赖”[3]。与此同时，企业在数字化硬件设施的更新换代过程中，往往会产生一批性能尚可但已退出核心生产环境的闲置服务器，造成了资产的潜在浪费。

图1 传统模式下的“成本－安全－能力”困境

基于上述背景，本研究聚焦于如何破解上述“成本－安全－能力”的三角困境，提出了一种创新的解决思路，即：利用企业闲置的硬件资源，结合成熟的开源软件，围绕低成本、高性能且完全自主可控作为根本目标，自主构建一套企业级堡垒机系统。本文以上饶市烟草公司的成功实践为例，对以下内容进行了研究：

（1）基于资源利旧与开源技术，设计实现一套堡垒机系统的架构模型（如图2所示）。

图2 网络实验环境及硬件现场实物图片

（2）通过量化实验，针对性能和安全性，验证设计的架构模型在满足企业级应用需求方面的可行性。

（3）对成本效益与间接价值进行深入分析，并检验本模式在培养技术团队、激发组织创新等方面的作用。

（4）总结课题研究过程中遇到的困难挑战以及实施对策，凝练出一套为同类型企业可用的、可复制的实施路径与参考。

1、 相关技术与研究现状

1.1 堡垒机与特权访问管理（PAM）

堡垒机的核心功能普遍遵循业界公认的“4A”安全模型，即身份认证（Authentication）、账号管理（Accounting）、授权控制（Authorization）和安全审计（Auditing）[4]。其工作流程如图3所示。现代堡垒机通过会话代理技术，将用户与目标资产隔离，所有运维操作流量必须经过堡垒机进行解析、记录和控制，覆盖了对特权会话的“事前预防、事中控制、事后追溯”的全生命周期管理。随着零信任安全架构（ZeroTrust Architecture）的兴起，堡垒机作为策略执行点（PEP）的价值愈发凸显，是实现“永不信任，始终验证”原则的关键组件[5]。

图3 堡垒机4A模型工作流程示意

1.2 开源堡垒机技术

近年来，随着专业厂商广泛加入到开源运动，催生了许多优秀的安全项目。在堡垒机领域，以JumpServer为代表的开源解决方案逐渐成熟并被广泛采用[6]。JumpServer是一款采用Python开发、基于微服务架构的堡垒机系统，主要特点是支持容器化部署，提供了Web管理界面和丰富的功能，包括多协议支持（SSH/RDP/VNC/Telnet等）、资产管理、命令过滤、会话录像与回放等，其核心功能已能对标商业产品。相比商业方案，开源堡垒机的优势在于成本低廉、技术透明、社区活跃和高度可定制化；其潜在的挑战在于对使用者的技术能力要求更高，且需要自行承担系统维护和安全保障的责任[7]。

1.3 资源利旧与可持续IT

资源利旧（Resource Reuse），对现有资产的再利用，是可持续IT（Green IT）理念的重要组成部分。在IT领域随着数据中心、云计算的算力要求和能源需求的平衡，服务器等硬件的生命周期通常短于其实际标称可用年限（如图4所示）。然而，站在国家“双碳”战略的宏观导向上看，不具备数据中心、云计算的企业，完全可以通过将已“退役”的服务器应用于开发测试、内部工具或非核心管理系统等场景，不仅能节约新设备采购成本，还能减少电子垃圾。通过将闲置服务器用于搭建堡垒机这类对计算资源有一定要求但非极端密集型的应用，我们认为这是一种兼具经济效益和环保效益的理想实践。

图4 典型企业服务器资产状态分布

2 系统模型设计

2.1 设计原则

本模型的设计遵循四个核心原则，围绕经济性、安全性、可扩展性以及可维护性构建一个符合当前企业需求的有机整体，如图5所示。

经济性原则：最大化利用现有闲置资源，将采购设备的投入降至最低。

安全性原则：以不增加新的攻击面为底线，完善架构设计和部署策略，从而确保堡垒机自身的安全。

可扩展性原则：架构设计具备一定程度的平滑扩展能力，以适应未来业务增长，例如管理资产和用户数量的增加。

可维护性原则：技术和工具尽量标准化，尽量简化部署、运维和升级流程，从而降低长期维护成本。

图5 系统设计原则思维导图 

2.2 总体架构

系统采用经典常用的三层网络架构部署，如图6所示。

图6 系统逻辑架构图

该架构的几个关键设计包括：

（1）网络隔离：将堡垒机部署于独立的DMZ（Demilitarized Zone）区域，通过部署防火墙与外部网络、内部核心网络进行严格隔离。策略上仅允许外部运维终端通过HTTPS协议访问堡垒机的Web端口。

（2）统一访问入口：所有对内网资产的特权访问请求强制收敛至堡垒机，杜绝直接访问路径。

（3）会话代理与审计：用户在堡垒机Web界面完成认证和授权后，由堡垒机作为代理服务器建立与目标资产的连接，并对会话进行全程监控和录像。

（4）身份认证集成：系统与企业现有的LDAP或Active Directory目录服务集成，以实现用户身份的统一管理，避免在账号管理上出现新的信息孤岛。

2.3 技术栈选型

架构设计采用的技术栈，需要充分考量成熟度、稳定性和开源特性，具体如表1所示。

表1 系统核心技术栈

2.4 安全、可用性与风险应对策略

模型架构的鲁棒性不仅取决于于硬件，更依赖于对软件层面风险的深刻理解与有效应对。整体策略涵盖了安全加固、数据备份和风险管理三个维度。

2.4.1 安全风险来源与管理对策

进行单纯技术加固：包括对宿主机操作系统实施严格的安全基线配置，包括关闭非必要服务、配置iptables防火墙规则、定期进行漏洞扫描与内核更新。

严格来说，上述技术加固对策并不足以应对开源软件的复杂安全挑战。显而易见，以JumpServer为例的开源堡垒机，其安全风险主要源于两方面：一是其自身代码及所依赖的第三方库可能存在的未知漏洞，即供应链安全风险；二是在企业内部因自定义配置不当、权限划分不清或未能及时应用安全补丁而导致的潜在安全缺陷。

结合本案例企业“缺乏自主安全研究能力”的现实，这意味着在漏洞的发现、研判和修复响应上存在天然的滞后性。为弥补这一短板，目前企业内部现行的一套以管理和运维流程为核心的补偿性控制措施能够与之契合，主要包括：

（1）漏洞情报监控： 完善常态化机制，在安全信息渠道方面增加JumpServer官方社区、国家信息安全漏洞共享平台（CNVD）等渠道发布的安全公告的订阅，确保能在第一时间获取漏洞信息[8]。

（2）补丁管理流程： 实行严格的内部补丁更新策略。所有安全补丁必须先在隔离的测试环境中进行兼容性和稳定性验证，通过后方可制定更新窗口，在业务低峰期应用于生产系统。

（3）配置基线与审计： 保持一套标准化的安全配置基线（Configuration Baseline），并利用自动化脚本定期对生产环境的配置进行核查，防止因人为误操作或不当更改引入安全隐患。

2.4.2 数据备份与高可用性

数据备份：通过编写Cron定时任务脚本，每日自动化全量备份JumpServer的数据库和关键配置文件至独立的网络存储服务器。并纳入到现行的定期恢复演练计划，确保备份的有效性。

高可用性（HA）预案：通过主备双机热备架构，确保系统的业务连续性，冗余设计在下一节详细阐述。

图7 高可用（HA）方案故障自动切换流程

2.5 利旧硬件的风险评估与冗余设计

在采用资源利旧模式时，必须正视其固有的硬件可靠性风险。从技术角度看，已超期服役的服务器硬件平均无故障时间（MTBF）相较于新设备会显著降低，这意味着其发生硬件故障（如电源、硬盘、主板故障）的概率客观上更高。因此，将此类硬件直接用于承载企业核心生产业务是不可取的。

然而，对于堡垒机这类非极端性能密集型的内部管理系统，其风险是在特定条件下可接受的。本模式的核心设计思想之一，便是通过架构层面的冗余设计来对冲和规避单台服务器的硬件可靠性缺陷。具体而言，上节中提到的高可用性（HA）方案，在本模式中并非一个可选项，而是规避单点硬件故障、确保业务连续性的核心设计[9]。

通过部署主备（Active-Passive）双机热备架构，利用Keepalived等工具实现虚拟IP（VIP）的漂移，并结合数据库的实时同步机制，可以确保当主服务器出现任何硬件故障时，业务流量能于分钟级内自动切换至备用服务器。这种设计从根本上解决了对单一利旧硬件稳定性的依赖，将系统的整体可用性提升至企业级标准（如99.9%）。因此，在图7所示的HA架构中，主备切换机制是应对硬件潜在风险、保障系统韧性的关键策略。

3. 实验验证与分析

3.1 实验环境

实验环境搭建于上饶市烟草公司机房，具体配置如下：

堡垒机服务器：Dell PowerEdge R720（闲置设备），Intel Xeon E5-2620 v2 @2.10GHz（2*6核），32GB DDR3 RAM，300GB SAS硬盘。

操作系统：CentOS 7.9。

软件版本：Docker CE 20.10.17，JumpServer v3.5.5。

被管理资产：混合环境，包括约50台Linux/Windows服务器及10台网络设备。

3.2 性能测试

性能测试采用了JMeter工具，通过模拟多用户并发登录堡垒机Web界面，并结合自定义Python脚本模拟并发SSH会话建立，对系统的性能进行压力测试[10]。 

表2 性能压力测试结果

测试数据表明，在单机部署模式下，系统能够稳定支撑500个并发用户的访问请求，平均响应时间在600ms以内，资源消耗处于健康水平。该性能表现远超我司日常运维峰值（通常<20并发），充分证明利用中端闲置服务器构建的堡垒机系统在性能上足以满足中型企业的实际需求。测试结果如图8所示。

图8 性能压力测试：并发用户数 vs 系统指标

3.3 安全功能验证

参照OWASP Top 10等安全标准，课题成员对系统的核心安全功能进行了验证。  

表3 安全功能验证测试

从安全功能测试结果来看，系统能够有效防御常见的运维安全威胁，权限控制和审计功能严密可靠，能够满足企业在安全合规方面的核心要求。

同时，需要客观认识到本次功能验证的局限性。本次测试主要验证了系统在设计框架内的基础安全功能和对常规威胁的防御能力。测试并未覆盖更复杂的攻击场景，如针对堡垒机系统本身的、有针对性的渗透测试，也未模拟对第三方依赖库的供应链攻击。因此，其结论主要证明了系统在遵循安全运维流程的前提下，能够有效满足企业在安全合规方面的核心要求，但其极限安全水位仍有待更深度的攻防演练来检验。

4. 成本效益与价值评估

4.1 直接成本分析

我们将本模式与采购一台入门级商业硬件堡垒机方案进行对比，后者市场价格通常在12万元人民币左右，年度维保费用约为总价的15%～20%。

表4 两种方案的成本对比分析

从财务角度看，本模式具备显著且压倒性的优势（图9）。可以发现，该模式几乎消除了所有直接的采购支出，将原本需要投入近14万元的固定资产采购和数万元的年度运营费用，转化为内部的人力成本。节省下来的成本站在企业数字化转型或者信息化职能层面，能够用于更有价值的创新性研究课题或者数字应用创新项目[11]。

图9 成本对比：商业方案 vs 本研究方案

4.2 间接价值（无形收益）分析

本模式在企业的内生增长力方面具备深远的价值，主要体现在以下三个方面：（如图10所示）。

（1）内生性技术能力提升：项目实施过程本身可以视为一次高质量、体系化的技术培训。团队成员通过解决实际问题，掌握了Linux系统管理、Docker容器化、网络安全配置、开源软件运维等一系列现代化IT技能。通过这种“干中学”模式培养的人才，其解决问题的能力和技术深度远远高于短期理论培训的成效。

（2）实现核心系统自主可控：团队对堡垒机系统的架构、配置和运行机制深刻掌握，基本摆脱对外部厂商的依赖。这不仅意味着更快的故障响应速度和更低的运维风险，更赋予了企业根据自身业务发展，对系统进行二次开发和深度集成的能力，让工具真正服务于业务。

（3）催化内部创新文化：本项目的成功，有力地证明了“依靠自身力量解决复杂问题”的可行性，打破了团队内部面对新技术时的畏惧心理和“等、靠、要”的思维惯性。它作为一个成功的范例，极大地激发了员工的自信心和创新热情，能够为后续在企业内部推广类似的“低成本、高价值”的技术创新活动营造积极氛围。

图10 项目实施带来的无形价值分析

5. 讨论

5.1 实践挑战与对策

课题在研究和实践过程中，主要面临技术门槛和管理惯性两大挑战。对此，采取的是“试点先行、以点带面”的策略。先在小范围非核心系统上进行试点，通过详尽的测试数据和用户体验反馈来建立信任。同时，将项目过程文档化、标准化，形成操作手册和培训材料，通过内部技术分享会等形式降低后续推广的学习曲线。整个项目严格遵循了清晰的时间规划，如图11所示。

图11 项目Gantt图

5.2 研究局限性

本研究主要基于单一企业的案例实践，其成功经验在推广至其他企业时，应当审慎评估其适用性。

首先，本研究存在一定的局限性。开源软件的长期维护，特别是对安全漏洞的及时响应，对运维团队的专业纪律性和责任心提出了持续性的高要求，是后续必须正视的隐性人力成本。此外，本文的性能和安全测试虽能满足当前业务需求，但并未在更大规模或更复杂的网络环境下进行极限压力测试。

其次，该模式的成功复制和推广，需要满足以下几个关键的前提条件：

（1）组织能力： 企业IT团队需具备一定的Linux系统管理、Docker容器技术及网络安全基础知识，并且团队成员需要有持续学习和主动解决问题的意愿。

（2）业务场景： 该模式优先适用于对成本敏感、业务系统复杂度适中、且堡垒机主要用于内部非核心生产环境运维管理的场景。对于金融、证券等受强监管且对业务连续性要求极为严苛的行业，仍建议采用成熟的商业解决方案或将其作为商业方案的补充。

（3）风险容忍度： 企业决策者需对采用开源软件和利旧硬件的潜在风险（如安全漏洞响应滞后、硬件故障率偏高）具有清醒的认识，并愿意投入资源支持建立上文所述的风险管理流程和硬件冗余架构。

对于不同类型的企业，在应用此模式时可能需要进行相应调整。例如，技术能力更弱的小微企业，可能需要寻求第三方技术服务商的支持来完成初始部署和后期维护；而对于已有部分商业安全产品的企业，可将此模式作为特定场景下的低成本补充，形成混合式解决方案。

6. 结论

本文提出并成功实践了一种基于资源利旧与开源软件的企业级堡垒机构建模式。通过在上饶市烟草公司的具体实践和量化测试，研究表明，该模式技术上是可靠的、性能上能够满足中型企业的日常运维需求。更重要的是，在正视并承认利旧硬件的可靠性风险和开源软件的供应链安全风险，并为此建立了以硬件冗余架构和标准化运维管理流程为核心的配套缓解措施之后，系统的整体风险是可被有效管理和控制的，安全上可控，并能带来一定的经济效益和深远的组织价值。该模式不仅为面临“成本-安全-能力”困境的广大中小型及国有企业提供一套切实可行的技术方案，更深远的价值在于，它成功探索出一条将成本控制、风险管理、安全建设与人才培养有机结合的创新路径。在数字化转型的大背景下，这种充分挖掘内部潜力、追求在特定条件下实现成本、风险与能力建设三者平衡的“内生式创新”模式，具有重要的推广价值和现实意义。

未来的研究方面，可以在此基础上向智能化运维（AIOps）方向拓展，例如探索集成机器学习算法对审计日志进行异常行为分析，实现从被动审计向主动威胁预警的升级。

作者简介：洪光华（1983—），硕士研究生，高级网络规划设计师，信息化与数字化转型实践，Tel：13707937883，Email：srhonggh@jx.tobacco.gov.cn

通讯作者：胡洲鹏（1995—）， Tel：15207039840，Email：srhuzhp@jx.tobacco.gov.cn 

参考文献

[1] SAVVIDES A, MIKE E. A survey on privileged access management: challenges,solutions, and future directions[J]. IEEE Access, 2021, 9: 106324-106345.

[2] PAWLOWSKI M. The role of bastion hosts in modern cloud security architectures[J]. Journal of Cloud Computing: Advances, Systems and Applications, 2020, 9(1)： 1-15.

[3] ZHANG W, LI Q. An analysis of vendor lock-in in enterprise information

systems[C]//2019 International Conference on Management of e-Commerce and e-Government. IEEE, 2019: 88-92.

[4] ISACA. CISA Review Manual, 27th Edition[M]. ISACA, 2019.

[5] ROSE S, KINSELLA J, et al. NIST Special Publication 800-207: Zero Trust Architecture[R]. National Institute of Standards and Technology, 2020.

[6] JumpServer. JumpServer: The Open Source Bastion Host[EB/OL]. [2024-07-

15]. https://www.jumpserver.org.

[7] MORGAN D G, FINNEGAN P. Open-source software in the enterprise: a

systematic literature review[J]. Information Systems Journal, 2022, 32(4): 731-766.

[8] JumpServer, Introdution to JumpServer.2023.https://www.jumpserver.org/documents/introduce-jumpserver_202301.pdf

[9] Achoughi Tarik.High Availability PAM solution:Bastion Jumpserver.Medium,2025

[10] JumpServer.Jump:The Open Source Bastion Host.2023.https://www.jumpserver.org/documents/introduce-jumpserver_202301.pdf

[11] JumpServer.Jump:The Open Source Bastion Host.2023.https://www.jumpserver.org/documents/introduce-jumpserver_202301.pdf

[12] 孟令明,彭菲,程祥吉,高宇,姜岳良.信息化网络安全研究与分析[J]. 网络安全技术与应用, 2024, (01): 14-16.

[13] 马峥,高浪.堡垒机技术在跨校区多数据中心安全运维中的研究与实践[J].网络安全技术与应用,2024,(09):29-32.

[14] 龚文涛,郎颖莹.基于主备模式的堡垒机网络架构[J].计算机系统应用,2018,27(03):279-282.DOI:10.15888/j.cnki.csa.006060.

[15] 梁浩伟.基于堡垒机的运维安全管理[J].中国信息化,2021,(04):80-81.

[16] 吴茜琼,段明,耿洋洋,等.关键信息基础设施中的开源软件安全[C]//《信息安全研究》杂志社.2025网络安全创新发展大会论文集.信息工程大学网络空间安全学院;,2025:171-173.DOI:10.26914/c.cnkihy.2025.017954.

[17] 特权账号安全保障访问安全的“最后一公里”[J].网络安全和信息化,2023,(07):35.

[18] 潘鹤中.算力网特权访问安全关键技术研究[D].北京邮电大学,2024.DOI:10.26969/d.cnki.gbydu.2024.000011.

[19] 王江,姜伟,张璨.开源软件供应链安全风险分析研究[J].信息安全研究,2024,10(09):862-869.

[20] 陈晓红,周源.基于合作与竞争视角下的开源软件创新合作本质和理论演进研究[J].科学学与科学技术管理,2024,45(12):13-30.DOI:10.20201/j.cnki.ssstm.2024.12.012.