信息時代下(xià)如(rú)何保障運維安全?
- 分(fēn)類:雲湧新(xīn)聞
- 作(zuò)者:
- 來源:
- 發布時間:2022-05-20
- 訪問量:3162
信息時代下(xià)如(rú)何保障運維安全?
【概要描述】
一(yī)、爲什(shén)麽要重視運維安全
2013年-2014年可以說是運維安全發展的一(yī)個分(fēn)水嶺。這兩年之所以特别主要是由于互聯網基礎設施的幾大應用相繼被曝漏洞或被攻擊,受此影響,各種運維安全問題引起了(le)業界的廣泛關注,企業也(yě)開始加大對運維安全的投入。時至今日,運維安全管理(lǐ)已經成爲企業安全建設的重中之重。
圖片來源:安全内參
我們通過2020年安全内參發布的安全隐患情況分(fēn)析報告,可以發現其中網絡設備漏洞和操作(zuò)系統漏洞明顯屬于運維安全問題,其合并占比已達到21%,再加上(shàng)應用程序漏洞中包含的各種應用版本漏洞,不難推測出歸屬于運維安全領域的漏洞比例可能(néng)更高。
此外,随着各個行業的業務系統、支撐系統、以及對應的管理(lǐ)賬号數量急速增長,網絡規模和設備數量也(yě)迅速擴大,這必然造成管理(lǐ)系統日趨複雜的局面:
1.缺少統一(yī)的權限管理(lǐ)平台,權限管理(lǐ)日趨繁重和無序,獨立分(fēn)散的系統和獨立的管理(lǐ)賬号容易形成身(shēn)份信息孤島,不利于運維人(rén)員同時維護多個系統;
2.維護人(rén)員的權限無法基于最小權限分(fēn)配原則管理(lǐ),難以實現更細粒度的命令級權限控制,不同背景運維人(rén)員的行爲給信息系統安全帶來較大風險,系統安全性無法充分(fēn)保證;
3.各網絡設備、主機系統、數據庫沒有統一(yī)的審計策略,而是分(fēn)别單獨審計記錄訪問行爲,導緻日志内容深淺不一(yī),事(shì)後難以及時通過系統自身(shēn)審計發現違規操作(zuò)行爲和追查取證。
衆所周知,基礎設施運行的安全穩定與否在很大程度上(shàng)決定了(le)業務系統是否可以正常運作(zuò),而堡壘機則是整個業務系統運維安全的保障設施。
二、什(shén)麽是堡壘機
堡壘機,顧名思義,它是爲了(le)保障網絡和數據不受來自外部和内部用戶的入侵和破壞,從而在被保護的資源周圍形成一(yī)個堅固的"堡壘"。其實它還有一(yī)個名字叫安全運維網關,就(jiù)是集運維管理(lǐ)與運維審計爲一(yī)體的堡壘機設備,結合等級保護、分(fēn)級保護、SOX法案、IT内控、ISO27001等各類法律法規對運維管理(lǐ)的要求,将運維管理(lǐ)和運維安全理(lǐ)念相融合,由于其自身(shēn)經過加固,具有較高的安全性,可抵禦一(yī)定的攻擊,通過串接在運維終端與被運維對象之間,配合USB Key使用,将運維人(rén)員、運維工具等外部要素與被運維對象等内部要素進行隔離,并對運維人(rén)員的敏感操作(zuò)、違規行爲和運維工具的運行風險進行實時監督管控,防止外部網絡攻擊、惡意代碼、違規操作(zuò)等行爲等破壞電力監控系統。同時,對運維工作(zuò)全過程進行日志、屏幕錄像、通信報文等多維度記錄,實現系統運維工作(zuò)事(shì)前有防範、事(shì)中有監督、事(shì)後有審計的目标。
在信息化(huà)高度發展的今天,選擇合适的堡壘機對系統運維管理(lǐ)的安全至關重要。
三、堡壘機的類型
目前市(shì)面上(shàng)的堡壘機可根據業務系統和适用場景不同分(fēn)爲兩種:網關型堡壘機和運維審計型堡壘機。
1.網關型堡壘機
網關型堡壘機通常部署于内部網絡與外部網絡之間,作(zuò)爲一(yī)個關卡進行内外隔離,其本身(shēn)不直接提供任何服務,對内部網絡資源的訪問進行有效控制和防護,針對内網的來自應用層一(yī)下(xià)的攻擊可以進行過濾,形成一(yī)道安全屏障。但(dàn)是網關型堡壘機存在一(yī)定的弊端:由于要處理(lǐ)應用層的數據内容,需要消耗較多的網絡出口流量,這導緻性能(néng)消耗過大。
2.運維審計型堡壘機
和網關型堡壘機不同的是,雖然運維審計型堡壘機的應用場景及部署位置更爲複雜,但(dàn)是其本身(shēn)不會消耗太大流量,它通過對訪問和運維人(rén)員進行授權和控制,同時對訪問和操作(zuò)行爲進行審計,更加規範了(le)運維人(rén)員的操作(zuò)行爲,保障内部資源的安全。
由此可見,運維審計型堡壘機具備更大的發展前景,尤其是像金(jīn)融、電力、能(néng)源等信息化(huà)水平相對較高的行業,由于受到“信息系統等級保護”、“SOX法案”等法規及政策的約束,這些(xiē)行業對堡壘機的需求更加強烈,運維審計型堡壘機便得到了(le)較爲深入的應用。
四、堡壘機的應用場景
可以說信息化(huà)時代,任何企業都需要進行運維安全管理(lǐ),堡壘機可以适用于各種企業運維場景,尤其是針對人(rén)員和資産規模較大、業務系統複雜,以及運維方式多樣的企業,堡壘機的作(zuò)用舉足輕重。
1.金(jīn)融行業
銀行、證券和保險等金(jīn)融行業,具有大量個人(rén)信息數據和金(jīn)融資金(jīn)操作(zuò)行爲,而且存在着大部分(fēn)的第三方代運維機構,可能(néng)會出現巨大違規操作(zuò)、濫用職權等非法運作(zuò)風險,所以需要極爲嚴苛的合規審計,
而堡壘機可以通過事(shì)前越權防護,實現權限細粒度劃分(fēn),有效防止因越權行爲導緻的敏感數據洩漏,事(shì)中提供高危命令實時阻斷高風險,事(shì)後通過多維度記錄,真實地還原全行爲場景,有助于安全事(shì)件的高效追溯。
2.互聯網行業
當下(xià)的互聯網行業正在急速發展,企業人(rén)員與服務器(qì)數量在不斷呈幾何倍增長,由于服務高度公開,大量數據敏感信息暴露在公網之上(shàng),本身(shēn)就(jiù)存在着高度洩漏的風險,再加上(shàng)互聯網企業内部又面臨服務器(qì)資源訪問混亂、員工賬号難管理(lǐ)、權限複雜難分(fēn)配等問題,所以同樣需要重視運維安全管理(lǐ)。
一(yī)方面堡壘機可通過遠程運維,隐藏資産的真實地址,解決資産信息暴露問題,另一(yī)方面通過提供多賬号統一(yī)運維收口和權限細粒度劃分(fēn)管理(lǐ),實現便捷運維和靈活規範化(huà)管理(lǐ),最後通過提供全面的運維日志,對整個運維過程,包括人(rén)員操作(zuò)行爲提供有效監控,得以保證互聯網企業在不斷發展過程中的持續穩定。
3.民(mín)生(shēng)政務行業
民(mín)生(shēng)政務行業早已在互聯網的浪潮中卷入雲管理(lǐ),随着人(rén)員規模的不斷擴張,雲服務器(qì)、網絡設備等資産數量也(yě)成倍增漲,再加上(shàng)很多企業需要大量第三方機構進行建設和運維,複雜流動性大的運維人(rén)員和過多的操作(zuò)設備必然會帶來一(yī)定的風險
堡壘機可容納海量的人(rén)員和資産數據資源,通過細粒度權限控制,有效管理(lǐ)運維人(rén)員單點登錄,還可以将運維方與管理(lǐ)方的權責分(fēn)明,通過操作(zuò)審計對運維問題進行追溯,确保安全事(shì)故有效定責,此外,通過呈現運維全景,對運維行爲進行深度分(fēn)析,定位接收異常行爲告警通知,确保民(mín)生(shēng)政務數據的安全。
- 分(fēn)類:雲湧新(xīn)聞
- 作(zuò)者:
- 來源:
- 發布時間:2022-05-20
- 訪問量:3162
一(yī)、爲什(shén)麽要重視運維安全
2013年-2014年可以說是運維安全發展的一(yī)個分(fēn)水嶺。這兩年之所以特别主要是由于互聯網基礎設施的幾大應用相繼被曝漏洞或被攻擊,受此影響,各種運維安全問題引起了(le)業界的廣泛關注,企業也(yě)開始加大對運維安全的投入。時至今日,運維安全管理(lǐ)已經成爲企業安全建設的重中之重。
圖片來源:安全内參
我們通過2020年安全内參發布的安全隐患情況分(fēn)析報告,可以發現其中網絡設備漏洞和操作(zuò)系統漏洞明顯屬于運維安全問題,其合并占比已達到21%,再加上(shàng)應用程序漏洞中包含的各種應用版本漏洞,不難推測出歸屬于運維安全領域的漏洞比例可能(néng)更高。
此外,随着各個行業的業務系統、支撐系統、以及對應的管理(lǐ)賬号數量急速增長,網絡規模和設備數量也(yě)迅速擴大,這必然造成管理(lǐ)系統日趨複雜的局面:
1.缺少統一(yī)的權限管理(lǐ)平台,權限管理(lǐ)日趨繁重和無序,獨立分(fēn)散的系統和獨立的管理(lǐ)賬号容易形成身(shēn)份信息孤島,不利于運維人(rén)員同時維護多個系統;
2.維護人(rén)員的權限無法基于最小權限分(fēn)配原則管理(lǐ),難以實現更細粒度的命令級權限控制,不同背景運維人(rén)員的行爲給信息系統安全帶來較大風險,系統安全性無法充分(fēn)保證;
3.各網絡設備、主機系統、數據庫沒有統一(yī)的審計策略,而是分(fēn)别單獨審計記錄訪問行爲,導緻日志内容深淺不一(yī),事(shì)後難以及時通過系統自身(shēn)審計發現違規操作(zuò)行爲和追查取證。
衆所周知,基礎設施運行的安全穩定與否在很大程度上(shàng)決定了(le)業務系統是否可以正常運作(zuò),而堡壘機則是整個業務系統運維安全的保障設施。
二、什(shén)麽是堡壘機
堡壘機,顧名思義,它是爲了(le)保障網絡和數據不受來自外部和内部用戶的入侵和破壞,從而在被保護的資源周圍形成一(yī)個堅固的"堡壘"。其實它還有一(yī)個名字叫安全運維網關,就(jiù)是集運維管理(lǐ)與運維審計爲一(yī)體的堡壘機設備,結合等級保護、分(fēn)級保護、SOX法案、IT内控、ISO27001等各類法律法規對運維管理(lǐ)的要求,将運維管理(lǐ)和運維安全理(lǐ)念相融合,由于其自身(shēn)經過加固,具有較高的安全性,可抵禦一(yī)定的攻擊,通過串接在運維終端與被運維對象之間,配合USB Key使用,将運維人(rén)員、運維工具等外部要素與被運維對象等内部要素進行隔離,并對運維人(rén)員的敏感操作(zuò)、違規行爲和運維工具的運行風險進行實時監督管控,防止外部網絡攻擊、惡意代碼、違規操作(zuò)等行爲等破壞電力監控系統。同時,對運維工作(zuò)全過程進行日志、屏幕錄像、通信報文等多維度記錄,實現系統運維工作(zuò)事(shì)前有防範、事(shì)中有監督、事(shì)後有審計的目标。
在信息化(huà)高度發展的今天,選擇合适的堡壘機對系統運維管理(lǐ)的安全至關重要。
三、堡壘機的類型
目前市(shì)面上(shàng)的堡壘機可根據業務系統和适用場景不同分(fēn)爲兩種:網關型堡壘機和運維審計型堡壘機。
1.網關型堡壘機
網關型堡壘機通常部署于内部網絡與外部網絡之間,作(zuò)爲一(yī)個關卡進行内外隔離,其本身(shēn)不直接提供任何服務,對内部網絡資源的訪問進行有效控制和防護,針對内網的來自應用層一(yī)下(xià)的攻擊可以進行過濾,形成一(yī)道安全屏障。但(dàn)是網關型堡壘機存在一(yī)定的弊端:由于要處理(lǐ)應用層的數據内容,需要消耗較多的網絡出口流量,這導緻性能(néng)消耗過大。
2.運維審計型堡壘機
和網關型堡壘機不同的是,雖然運維審計型堡壘機的應用場景及部署位置更爲複雜,但(dàn)是其本身(shēn)不會消耗太大流量,它通過對訪問和運維人(rén)員進行授權和控制,同時對訪問和操作(zuò)行爲進行審計,更加規範了(le)運維人(rén)員的操作(zuò)行爲,保障内部資源的安全。
由此可見,運維審計型堡壘機具備更大的發展前景,尤其是像金(jīn)融、電力、能(néng)源等信息化(huà)水平相對較高的行業,由于受到“信息系統等級保護”、“SOX法案”等法規及政策的約束,這些(xiē)行業對堡壘機的需求更加強烈,運維審計型堡壘機便得到了(le)較爲深入的應用。
四、堡壘機的應用場景
可以說信息化(huà)時代,任何企業都需要進行運維安全管理(lǐ),堡壘機可以适用于各種企業運維場景,尤其是針對人(rén)員和資産規模較大、業務系統複雜,以及運維方式多樣的企業,堡壘機的作(zuò)用舉足輕重。
1.金(jīn)融行業
銀行、證券和保險等金(jīn)融行業,具有大量個人(rén)信息數據和金(jīn)融資金(jīn)操作(zuò)行爲,而且存在着大部分(fēn)的第三方代運維機構,可能(néng)會出現巨大違規操作(zuò)、濫用職權等非法運作(zuò)風險,所以需要極爲嚴苛的合規審計,
而堡壘機可以通過事(shì)前越權防護,實現權限細粒度劃分(fēn),有效防止因越權行爲導緻的敏感數據洩漏,事(shì)中提供高危命令實時阻斷高風險,事(shì)後通過多維度記錄,真實地還原全行爲場景,有助于安全事(shì)件的高效追溯。
2.互聯網行業
當下(xià)的互聯網行業正在急速發展,企業人(rén)員與服務器(qì)數量在不斷呈幾何倍增長,由于服務高度公開,大量數據敏感信息暴露在公網之上(shàng),本身(shēn)就(jiù)存在着高度洩漏的風險,再加上(shàng)互聯網企業内部又面臨服務器(qì)資源訪問混亂、員工賬号難管理(lǐ)、權限複雜難分(fēn)配等問題,所以同樣需要重視運維安全管理(lǐ)。
一(yī)方面堡壘機可通過遠程運維,隐藏資産的真實地址,解決資産信息暴露問題,另一(yī)方面通過提供多賬号統一(yī)運維收口和權限細粒度劃分(fēn)管理(lǐ),實現便捷運維和靈活規範化(huà)管理(lǐ),最後通過提供全面的運維日志,對整個運維過程,包括人(rén)員操作(zuò)行爲提供有效監控,得以保證互聯網企業在不斷發展過程中的持續穩定。
3.民(mín)生(shēng)政務行業
民(mín)生(shēng)政務行業早已在互聯網的浪潮中卷入雲管理(lǐ),随着人(rén)員規模的不斷擴張,雲服務器(qì)、網絡設備等資産數量也(yě)成倍增漲,再加上(shàng)很多企業需要大量第三方機構進行建設和運維,複雜流動性大的運維人(rén)員和過多的操作(zuò)設備必然會帶來一(yī)定的風險
堡壘機可容納海量的人(rén)員和資産數據資源,通過細粒度權限控制,有效管理(lǐ)運維人(rén)員單點登錄,還可以将運維方與管理(lǐ)方的權責分(fēn)明,通過操作(zuò)審計對運維問題進行追溯,确保安全事(shì)故有效定責,此外,通過呈現運維全景,對運維行爲進行深度分(fēn)析,定位接收異常行爲告警通知,确保民(mín)生(shēng)政務數據的安全。
