信息時(shí)代下(xià)如何保障運維安全?
- 分(fēn)類:雲湧新聞
- 作者:
- 來(lái)源:
- 發布時(shí)間:2022-05-20
- 訪問量:3373
信息時(shí)代下(xià)如何保障運維安全?
【概要描述】
一、爲什(shén)麽要重視運維安全
2013年-2014年可(kě)以說是運維安全發展的(de)一個(gè)分(fēn)水(shuǐ)嶺。這(zhè)兩年之所以特别主要是由于互聯網基礎設施的(de)幾大(dà)應用(yòng)相繼被曝漏洞或被攻擊,受此影(yǐng)響,各種運維安全問題引起了(le)業界的(de)廣泛關注,企業也(yě)開始加大(dà)對(duì)運維安全的(de)投入。時(shí)至今日,運維安全管理(lǐ)已經成爲企業安全建設的(de)重中之重。
圖片來(lái)源:安全内參
我們通(tōng)過2020年安全内參發布的(de)安全隐患情況分(fēn)析報告,可(kě)以發現其中網絡設備漏洞和(hé)操作系統漏洞明(míng)顯屬于運維安全問題,其合并占比已達到21%,再加上應用(yòng)程序漏洞中包含的(de)各種應用(yòng)版本漏洞,不難推測出歸屬于運維安全領域的(de)漏洞比例可(kě)能更高(gāo)。
此外,随著(zhe)各個(gè)行業的(de)業務系統、支撐系統、以及對(duì)應的(de)管理(lǐ)賬号數量急速增長(cháng),網絡規模和(hé)設備數量也(yě)迅速擴大(dà),這(zhè)必然造成管理(lǐ)系統日趨複雜(zá)的(de)局面:
1.缺少統一的(de)權限管理(lǐ)平台,權限管理(lǐ)日趨繁重和(hé)無序,獨立分(fēn)散的(de)系統和(hé)獨立的(de)管理(lǐ)賬号容易形成身份信息孤島,不利于運維人(rén)員(yuán)同時(shí)維護多(duō)個(gè)系統;
2.維護人(rén)員(yuán)的(de)權限無法基于最小權限分(fēn)配原則管理(lǐ),難以實現更細粒度的(de)命令級權限控制,不同背景運維人(rén)員(yuán)的(de)行爲給信息系統安全帶來(lái)較大(dà)風險,系統安全性無法充分(fēn)保證;
3.各網絡設備、主機系統、數據庫沒有統一的(de)審計策略,而是分(fēn)别單獨審計記錄訪問行爲,導緻日志内容深淺不一,事後難以及時(shí)通(tōng)過系統自身審計發現違規操作行爲和(hé)追查取證。
衆所周知,基礎設施運行的(de)安全穩定與否在很大(dà)程度上決定了(le)業務系統是否可(kě)以正常運作,而堡壘機則是整個(gè)業務系統運維安全的(de)保障設施。
二、什(shén)麽是堡壘機
堡壘機,顧名思義,它是爲了(le)保障網絡和(hé)數據不受來(lái)自外部和(hé)内部用(yòng)戶的(de)入侵和(hé)破壞,從而在被保護的(de)資源周圍形成一個(gè)堅固的(de)"堡壘"。其實它還(hái)有一個(gè)名字叫安全運維網關,就是集運維管理(lǐ)與運維審計爲一體的(de)堡壘機設備,結合等級保護、分(fēn)級保護、SOX法案、IT内控、ISO27001等各類法律法規對(duì)運維管理(lǐ)的(de)要求,将運維管理(lǐ)和(hé)運維安全理(lǐ)念相融合,由于其自身經過加固,具有較高(gāo)的(de)安全性,可(kě)抵禦一定的(de)攻擊,通(tōng)過串接在運維終端與被運維對(duì)象之間,配合USB Key使用(yòng),将運維人(rén)員(yuán)、運維工具等外部要素與被運維對(duì)象等内部要素進行隔離,并對(duì)運維人(rén)員(yuán)的(de)敏感操作、違規行爲和(hé)運維工具的(de)運行風險進行實時(shí)監督管控,防止外部網絡攻擊、惡意代碼、違規操作等行爲等破壞電力監控系統。同時(shí),對(duì)運維工作全過程進行日志、屏幕錄像、通(tōng)信報文等多(duō)維度記錄,實現系統運維工作事前有防範、事中有監督、事後有審計的(de)目标。
在信息化(huà)高(gāo)度發展的(de)今天,選擇合适的(de)堡壘機對(duì)系統運維管理(lǐ)的(de)安全至關重要。
三、堡壘機的(de)類型
目前市面上的(de)堡壘機可(kě)根據業務系統和(hé)适用(yòng)場(chǎng)景不同分(fēn)爲兩種:網關型堡壘機和(hé)運維審計型堡壘機。
1.網關型堡壘機
網關型堡壘機通(tōng)常部署于内部網絡與外部網絡之間,作爲一個(gè)關卡進行内外隔離,其本身不直接提供任何服務,對(duì)内部網絡資源的(de)訪問進行有效控制和(hé)防護,針對(duì)内網的(de)來(lái)自應用(yòng)層一下(xià)的(de)攻擊可(kě)以進行過濾,形成一道安全屏障。但是網關型堡壘機存在一定的(de)弊端:由于要處理(lǐ)應用(yòng)層的(de)數據内容,需要消耗較多(duō)的(de)網絡出口流量,這(zhè)導緻性能消耗過大(dà)。
2.運維審計型堡壘機
和(hé)網關型堡壘機不同的(de)是,雖然運維審計型堡壘機的(de)應用(yòng)場(chǎng)景及部署位置更爲複雜(zá),但是其本身不會消耗太大(dà)流量,它通(tōng)過對(duì)訪問和(hé)運維人(rén)員(yuán)進行授權和(hé)控制,同時(shí)對(duì)訪問和(hé)操作行爲進行審計,更加規範了(le)運維人(rén)員(yuán)的(de)操作行爲,保障内部資源的(de)安全。
由此可(kě)見,運維審計型堡壘機具備更大(dà)的(de)發展前景,尤其是像金融、電力、能源等信息化(huà)水(shuǐ)平相對(duì)較高(gāo)的(de)行業,由于受到“信息系統等級保護”、“SOX法案”等法規及政策的(de)約束,這(zhè)些行業對(duì)堡壘機的(de)需求更加強烈,運維審計型堡壘機便得(de)到了(le)較爲深入的(de)應用(yòng)。
四、堡壘機的(de)應用(yòng)場(chǎng)景
可(kě)以說信息化(huà)時(shí)代,任何企業都需要進行運維安全管理(lǐ),堡壘機可(kě)以适用(yòng)于各種企業運維場(chǎng)景,尤其是針對(duì)人(rén)員(yuán)和(hé)資産規模較大(dà)、業務系統複雜(zá),以及運維方式多(duō)樣的(de)企業,堡壘機的(de)作用(yòng)舉足輕重。
1.金融行業
銀行、證券和(hé)保險等金融行業,具有大(dà)量個(gè)人(rén)信息數據和(hé)金融資金操作行爲,而且存在著(zhe)大(dà)部分(fēn)的(de)第三方代運維機構,可(kě)能會出現巨大(dà)違規操作、濫用(yòng)職權等非法運作風險,所以需要極爲嚴苛的(de)合規審計,
而堡壘機可(kě)以通(tōng)過事前越權防護,實現權限細粒度劃分(fēn),有效防止因越權行爲導緻的(de)敏感數據洩漏,事中提供高(gāo)危命令實時(shí)阻斷高(gāo)風險,事後通(tōng)過多(duō)維度記錄,真實地還(hái)原全行爲場(chǎng)景,有助于安全事件的(de)高(gāo)效追溯。
2.互聯網行業
當下(xià)的(de)互聯網行業正在急速發展,企業人(rén)員(yuán)與服務器數量在不斷呈幾何倍增長(cháng),由于服務高(gāo)度公開,大(dà)量數據敏感信息暴露在公網之上,本身就存在著(zhe)高(gāo)度洩漏的(de)風險,再加上互聯網企業内部又面臨服務器資源訪問混亂、員(yuán)工賬号難管理(lǐ)、權限複雜(zá)難分(fēn)配等問題,所以同樣需要重視運維安全管理(lǐ)。
一方面堡壘機可(kě)通(tōng)過遠(yuǎn)程運維,隐藏資産的(de)真實地址,解決資産信息暴露問題,另一方面通(tōng)過提供多(duō)賬号統一運維收口和(hé)權限細粒度劃分(fēn)管理(lǐ),實現便捷運維和(hé)靈活規範化(huà)管理(lǐ),最後通(tōng)過提供全面的(de)運維日志,對(duì)整個(gè)運維過程,包括人(rén)員(yuán)操作行爲提供有效監控,得(de)以保證互聯網企業在不斷發展過程中的(de)持續穩定。
3.民生政務行業
民生政務行業早已在互聯網的(de)浪潮中卷入雲管理(lǐ),随著(zhe)人(rén)員(yuán)規模的(de)不斷擴張,雲服務器、網絡設備等資産數量也(yě)成倍增漲,再加上很多(duō)企業需要大(dà)量第三方機構進行建設和(hé)運維,複雜(zá)流動性大(dà)的(de)運維人(rén)員(yuán)和(hé)過多(duō)的(de)操作設備必然會帶來(lái)一定的(de)風險
堡壘機可(kě)容納海量的(de)人(rén)員(yuán)和(hé)資産數據資源,通(tōng)過細粒度權限控制,有效管理(lǐ)運維人(rén)員(yuán)單點登錄,還(hái)可(kě)以将運維方與管理(lǐ)方的(de)權責分(fēn)明(míng),通(tōng)過操作審計對(duì)運維問題進行追溯,确保安全事故有效定責,此外,通(tōng)過呈現運維全景,對(duì)運維行爲進行深度分(fēn)析,定位接收異常行爲告警通(tōng)知,确保民生政務數據的(de)安全。
- 分(fēn)類:雲湧新聞
- 作者:
- 來(lái)源:
- 發布時(shí)間:2022-05-20
- 訪問量:3373
一、爲什(shén)麽要重視運維安全
2013年-2014年可(kě)以說是運維安全發展的(de)一個(gè)分(fēn)水(shuǐ)嶺。這(zhè)兩年之所以特别主要是由于互聯網基礎設施的(de)幾大(dà)應用(yòng)相繼被曝漏洞或被攻擊,受此影(yǐng)響,各種運維安全問題引起了(le)業界的(de)廣泛關注,企業也(yě)開始加大(dà)對(duì)運維安全的(de)投入。時(shí)至今日,運維安全管理(lǐ)已經成爲企業安全建設的(de)重中之重。
圖片來(lái)源:安全内參
我們通(tōng)過2020年安全内參發布的(de)安全隐患情況分(fēn)析報告,可(kě)以發現其中網絡設備漏洞和(hé)操作系統漏洞明(míng)顯屬于運維安全問題,其合并占比已達到21%,再加上應用(yòng)程序漏洞中包含的(de)各種應用(yòng)版本漏洞,不難推測出歸屬于運維安全領域的(de)漏洞比例可(kě)能更高(gāo)。
此外,随著(zhe)各個(gè)行業的(de)業務系統、支撐系統、以及對(duì)應的(de)管理(lǐ)賬号數量急速增長(cháng),網絡規模和(hé)設備數量也(yě)迅速擴大(dà),這(zhè)必然造成管理(lǐ)系統日趨複雜(zá)的(de)局面:
1.缺少統一的(de)權限管理(lǐ)平台,權限管理(lǐ)日趨繁重和(hé)無序,獨立分(fēn)散的(de)系統和(hé)獨立的(de)管理(lǐ)賬号容易形成身份信息孤島,不利于運維人(rén)員(yuán)同時(shí)維護多(duō)個(gè)系統;
2.維護人(rén)員(yuán)的(de)權限無法基于最小權限分(fēn)配原則管理(lǐ),難以實現更細粒度的(de)命令級權限控制,不同背景運維人(rén)員(yuán)的(de)行爲給信息系統安全帶來(lái)較大(dà)風險,系統安全性無法充分(fēn)保證;
3.各網絡設備、主機系統、數據庫沒有統一的(de)審計策略,而是分(fēn)别單獨審計記錄訪問行爲,導緻日志内容深淺不一,事後難以及時(shí)通(tōng)過系統自身審計發現違規操作行爲和(hé)追查取證。
衆所周知,基礎設施運行的(de)安全穩定與否在很大(dà)程度上決定了(le)業務系統是否可(kě)以正常運作,而堡壘機則是整個(gè)業務系統運維安全的(de)保障設施。
二、什(shén)麽是堡壘機
堡壘機,顧名思義,它是爲了(le)保障網絡和(hé)數據不受來(lái)自外部和(hé)内部用(yòng)戶的(de)入侵和(hé)破壞,從而在被保護的(de)資源周圍形成一個(gè)堅固的(de)"堡壘"。其實它還(hái)有一個(gè)名字叫安全運維網關,就是集運維管理(lǐ)與運維審計爲一體的(de)堡壘機設備,結合等級保護、分(fēn)級保護、SOX法案、IT内控、ISO27001等各類法律法規對(duì)運維管理(lǐ)的(de)要求,将運維管理(lǐ)和(hé)運維安全理(lǐ)念相融合,由于其自身經過加固,具有較高(gāo)的(de)安全性,可(kě)抵禦一定的(de)攻擊,通(tōng)過串接在運維終端與被運維對(duì)象之間,配合USB Key使用(yòng),将運維人(rén)員(yuán)、運維工具等外部要素與被運維對(duì)象等内部要素進行隔離,并對(duì)運維人(rén)員(yuán)的(de)敏感操作、違規行爲和(hé)運維工具的(de)運行風險進行實時(shí)監督管控,防止外部網絡攻擊、惡意代碼、違規操作等行爲等破壞電力監控系統。同時(shí),對(duì)運維工作全過程進行日志、屏幕錄像、通(tōng)信報文等多(duō)維度記錄,實現系統運維工作事前有防範、事中有監督、事後有審計的(de)目标。
在信息化(huà)高(gāo)度發展的(de)今天,選擇合适的(de)堡壘機對(duì)系統運維管理(lǐ)的(de)安全至關重要。
三、堡壘機的(de)類型
目前市面上的(de)堡壘機可(kě)根據業務系統和(hé)适用(yòng)場(chǎng)景不同分(fēn)爲兩種:網關型堡壘機和(hé)運維審計型堡壘機。
1.網關型堡壘機
網關型堡壘機通(tōng)常部署于内部網絡與外部網絡之間,作爲一個(gè)關卡進行内外隔離,其本身不直接提供任何服務,對(duì)内部網絡資源的(de)訪問進行有效控制和(hé)防護,針對(duì)内網的(de)來(lái)自應用(yòng)層一下(xià)的(de)攻擊可(kě)以進行過濾,形成一道安全屏障。但是網關型堡壘機存在一定的(de)弊端:由于要處理(lǐ)應用(yòng)層的(de)數據内容,需要消耗較多(duō)的(de)網絡出口流量,這(zhè)導緻性能消耗過大(dà)。
2.運維審計型堡壘機
和(hé)網關型堡壘機不同的(de)是,雖然運維審計型堡壘機的(de)應用(yòng)場(chǎng)景及部署位置更爲複雜(zá),但是其本身不會消耗太大(dà)流量,它通(tōng)過對(duì)訪問和(hé)運維人(rén)員(yuán)進行授權和(hé)控制,同時(shí)對(duì)訪問和(hé)操作行爲進行審計,更加規範了(le)運維人(rén)員(yuán)的(de)操作行爲,保障内部資源的(de)安全。
由此可(kě)見,運維審計型堡壘機具備更大(dà)的(de)發展前景,尤其是像金融、電力、能源等信息化(huà)水(shuǐ)平相對(duì)較高(gāo)的(de)行業,由于受到“信息系統等級保護”、“SOX法案”等法規及政策的(de)約束,這(zhè)些行業對(duì)堡壘機的(de)需求更加強烈,運維審計型堡壘機便得(de)到了(le)較爲深入的(de)應用(yòng)。
四、堡壘機的(de)應用(yòng)場(chǎng)景
可(kě)以說信息化(huà)時(shí)代,任何企業都需要進行運維安全管理(lǐ),堡壘機可(kě)以适用(yòng)于各種企業運維場(chǎng)景,尤其是針對(duì)人(rén)員(yuán)和(hé)資産規模較大(dà)、業務系統複雜(zá),以及運維方式多(duō)樣的(de)企業,堡壘機的(de)作用(yòng)舉足輕重。
1.金融行業
銀行、證券和(hé)保險等金融行業,具有大(dà)量個(gè)人(rén)信息數據和(hé)金融資金操作行爲,而且存在著(zhe)大(dà)部分(fēn)的(de)第三方代運維機構,可(kě)能會出現巨大(dà)違規操作、濫用(yòng)職權等非法運作風險,所以需要極爲嚴苛的(de)合規審計,
而堡壘機可(kě)以通(tōng)過事前越權防護,實現權限細粒度劃分(fēn),有效防止因越權行爲導緻的(de)敏感數據洩漏,事中提供高(gāo)危命令實時(shí)阻斷高(gāo)風險,事後通(tōng)過多(duō)維度記錄,真實地還(hái)原全行爲場(chǎng)景,有助于安全事件的(de)高(gāo)效追溯。
2.互聯網行業
當下(xià)的(de)互聯網行業正在急速發展,企業人(rén)員(yuán)與服務器數量在不斷呈幾何倍增長(cháng),由于服務高(gāo)度公開,大(dà)量數據敏感信息暴露在公網之上,本身就存在著(zhe)高(gāo)度洩漏的(de)風險,再加上互聯網企業内部又面臨服務器資源訪問混亂、員(yuán)工賬号難管理(lǐ)、權限複雜(zá)難分(fēn)配等問題,所以同樣需要重視運維安全管理(lǐ)。
一方面堡壘機可(kě)通(tōng)過遠(yuǎn)程運維,隐藏資産的(de)真實地址,解決資産信息暴露問題,另一方面通(tōng)過提供多(duō)賬号統一運維收口和(hé)權限細粒度劃分(fēn)管理(lǐ),實現便捷運維和(hé)靈活規範化(huà)管理(lǐ),最後通(tōng)過提供全面的(de)運維日志,對(duì)整個(gè)運維過程,包括人(rén)員(yuán)操作行爲提供有效監控,得(de)以保證互聯網企業在不斷發展過程中的(de)持續穩定。
3.民生政務行業
民生政務行業早已在互聯網的(de)浪潮中卷入雲管理(lǐ),随著(zhe)人(rén)員(yuán)規模的(de)不斷擴張,雲服務器、網絡設備等資産數量也(yě)成倍增漲,再加上很多(duō)企業需要大(dà)量第三方機構進行建設和(hé)運維,複雜(zá)流動性大(dà)的(de)運維人(rén)員(yuán)和(hé)過多(duō)的(de)操作設備必然會帶來(lái)一定的(de)風險
堡壘機可(kě)容納海量的(de)人(rén)員(yuán)和(hé)資産數據資源,通(tōng)過細粒度權限控制,有效管理(lǐ)運維人(rén)員(yuán)單點登錄,還(hái)可(kě)以将運維方與管理(lǐ)方的(de)權責分(fēn)明(míng),通(tōng)過操作審計對(duì)運維問題進行追溯,确保安全事故有效定責,此外,通(tōng)過呈現運維全景,對(duì)運維行爲進行深度分(fēn)析,定位接收異常行爲告警通(tōng)知,确保民生政務數據的(de)安全。
