证通股份有限公司

2023-06-04 成功案例

随着企业信息化地不断深入发展,企业和机构对信息系统的依赖性将日益增强。信息系统的安全运行直接关系企业效益,构建一个强健的IT运维安全管理体系对企业信息化的发展至关重要,对运维的安全性提出了更高要求。 虽然企业及用户对自身信息安全的维护和管理日趋重视,但是因为缺乏对网络系统中主机、网络、设备和应用程序等方面的管理和控制,运维人员往往无法及时发现系统瓶颈及漏洞,致使企业面临一系列运维安全风险。

 一、帐号管理混乱 由于运维人员角色及设备功能的不同,往往会存在同一个运维人员同时管理多台设备、多个运维人员共用一个系统账号的情况,对账号密码缺乏有效监管,使得系统密码的混乱,违规操作、越权访问操作等隐患普遍存在,造成企业敏感信息及核心数据泄露的隐患。 

二、运维误操作频繁。 目前大中型企业和机构所使用的IT运维设备和应用系统种类繁多、操作十分复杂,难免会造成运维人员的误操作,这些误操作一旦涉及到敏感的操作命令,就有可能造成设备的宕机从而影响企业业务运行,也有可能导致企业核心数据被破坏或泄漏。 

三、第三方代维人员带来安全隐患。 目前,越来越多的企业选择将非核心业务外包给设备商或代维公司,在享受便利的同时,由于代维人员流动性大、对操作行为缺少监控带来的风险日益凸显。企业无法对外包人员的操作行为做到有效的控制和监管,IT运维外包商服务管理体系的规范性、服务质量等也是企业顾虑和担心的问题。对于企业机密数据的安全也产生了潜在的威胁。 

四、粗放式权限管理,安全性难以保证。 大多数企事业单位的IT运维均采用设备、操作系统自身的授权系统,授权功能分散在各设备和系统中。管理人员的权限大多是粗放式管理,由于缺少统一的运维操作授权策略,授权粒度粗,无法基于最小权限分配原则管理用户权限,难以与业务管理要求相协调。因此,出现运维人员权限过大、内部操作权限滥用等诸多问题,如果不及时解决,信息系统的安全性难以充分保证。

 五、设备自身日志粒度粗,难以有效定位安全事件。 在运维工作中,大多是通过各网络设备、操作系统的系统日志进行监控审计,但是由于各系统自身审计日志分散、内容深浅不一,且无法根据业务要求制定统一审计策略;因此,难以通过系统自身审计及时发现违规操作行为和追查取证。 

六、传统网络安全审计系统已无法满足运维审计和管理的要求。 传统网络安全审计的技术实现方式和系统架构主要通过旁路镜像方式,分析网络数据包进行审计,只能对一些非加密的运维操作协议(如Telnet)进行审计,而无法对维护人员经常使用的SSH、RDP等加密协议、远程桌面等进行内容审计,无法有效解决对运维人员操作行为的监管问题。此外,大多数网络安全审计系统,只能审计到IP地址,难以将IP地址与具体人员身份准确关联,导致发生安全事故后,追查责任人成为新的难题。 

七、面临合规性要求的压力。 为加强信息系统风险管理,政府、金融、运营商等陆续发布信息系统管理规范和要求,如“信息系统等级保护”、“商业银行信息科技风险管理指引”、“企业内部控制基本规范”等。企业自身却没有有效的技术手段来实现信息系统的风险内控与审计。 上述风险带来的运维安全风险和审计监管问题,已经成为企业信息系统安全运行的严重隐患,制约业务发展,影响企业效益。因此,必须防范各类运维操作潜在隐患和重大威胁,对各个关键环节进行全面系统性地梳理,加强行为规范,提升管理意识,并引入技术保障手段。 运维操作安全审计是一种防范运维操作风险的重要技术手段,它着手于事前规范、事中管控和事后审计三方面,能够非常有效地达到梳理、规范、防范、监控、管理和审计等目的。 在证通公司成功部署堡垒机,具体实施目标如下:

  • 针对内部运维人员、厂商技术支持人员、外包服务商等对关键服务器、网络设备操作进行安全审计,规避安全分险,减少安全事件
  • 对安全事件及时追踪,并提供可信、完整的技术依据
  • 规范运维流程,加强安全管理,提高整体安全水平

为了项目能顺利的实施上线,我们需要再实施前做必要的准备,主要包括以下几个方面:

  • 实施规划
    • 确定审计范畴、明确审计对象
    • 角色定义以及账户分配
    • 产品部署方式以及网络拓扑

堡垒机审计范畴

从设备类型角度,需明确堡垒机审计的范畴,即需要明确堡垒机审计哪些服务器、网络与安全设备,堡垒机在业务上管理范畴包括:

  • 网络及安全设备
  • 所有业务服务器

身份认证方式 身份认证是为了保证身份认证的有效性,目前堡垒机针对运维操作人员提供灵活的认证方式

账户上收及校验

所有服务器上的用户账户,分为两类:业务账户(主要是root)和管理账户。 通过上收所有设备的账户,可以把账户、口令管理的工作集中到堡垒机中来,由堡垒机实现口令代填、自动或手动批量修改,批量校验或备份保存。

堡垒机访问授权

堡垒机支持细粒度访问授权,可设定操作人员可在哪些时间段(年、月、日、时间段)、哪些客户端(IP地址限制)对哪些设备资源进行访问,以及可访问多长时间。如果需要做相关规则授权,请完善下表: