運維安全管理技術(shù)在煙草行業(yè)的應(yīng)用

摘 要：隨著信息安全技術(shù)不斷發(fā)展，系統(tǒng)安全運維管理已經(jīng)形成了比較完善的工作流程和方法，對系統(tǒng)運維安全管理也有了很多研究成果。堡壘機和安全配置核查產(chǎn)品是當前普遍使用的系統(tǒng)運維安全管理產(chǎn)品，通過兩類產(chǎn)品靈活的組合聯(lián)動，可以實現(xiàn)對系統(tǒng)運維安全管理手段的強化，本文就討論這種強化系統(tǒng)運維安全管理的技術(shù)。

關(guān)鍵詞：堡壘機;配置核查;運維

一、當前系統(tǒng)安全運維管理的問題

隨著全球信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進步，煙草行業(yè)信息化水平得到飛速提升，其辦公系統(tǒng)、業(yè)務(wù)平臺不斷推出和投入運行，信息系統(tǒng)在企業(yè)的運營中全面滲透，在企業(yè)內(nèi)網(wǎng)中，使用越來越多的服務(wù)器主機來運行關(guān)鍵業(yè)務(wù)。

這種情況下，企業(yè)對IT系統(tǒng)的依賴程度也越來越高，各類業(yè)務(wù)系統(tǒng)也變得日益復(fù)雜。就一個信息化程度很高的網(wǎng)絡(luò)信息系統(tǒng)而言，其針對傳統(tǒng)的信息安全問題防護已經(jīng)比較完善，最大的威脅和破壞來自企業(yè)內(nèi)部。據(jù)相關(guān)機構(gòu)對用戶調(diào)研數(shù)據(jù)顯示，10.7%的安全問題導致網(wǎng)絡(luò)數(shù)據(jù)破壞，13%的安全問題導致數(shù)據(jù)失密，18%的病毒程序感染問題導致系統(tǒng)短暫故障，而從惡意攻擊的特點來看，70%的攻擊來自組織內(nèi)部。

所有內(nèi)部隱患中，權(quán)限無法控制，安全策略不當、特權(quán)用戶的隨意操作等等情況，歸結(jié)起來主要體現(xiàn)在以下幾個方面：

●賬號管理無序，暗藏巨大風險。

●權(quán)限管理粗放，安全性難保證。

●日志粒度粗獷，事件定位不易。

●第三方運維管理帶來安全隱患。

●傳統(tǒng)安全審計已無法滿足要求。

●面臨政策和行業(yè)合規(guī)遵從壓力。

以上問題會隨著IT系統(tǒng)的發(fā)展而變得越來越嚴重，IT安全運維管理的變革刻不容緩。

二、系統(tǒng)配置變更管理和審計

針對以上情況，堡壘機應(yīng)運而生。堡壘機，又被具體稱為“內(nèi)控堡壘機”，它綜合了運維管理和安全性，切斷了終端計算機對網(wǎng)絡(luò)和服務(wù)器資源的直接訪問，而是采用協(xié)議代理的方式，接管了終端計算機對網(wǎng)絡(luò)和服務(wù)器的訪問。形象地說，終端計算機對目標的訪問，均需要經(jīng)過堡壘主機的翻譯。主要包含四大功能點：

其一，單點登錄功能：用戶通過一次登錄系統(tǒng)后，就可以無需認證地訪問包括被授權(quán)的多種基于B/S和C/S的應(yīng)用系統(tǒng)。單點登錄為具有多賬戶的用戶提供了方便快捷的訪問途徑，使用戶無需記憶多種登錄用戶ID和口令。它通過向用戶和客戶提供對其個性化資源的快捷訪問提高生產(chǎn)效率。同時，由于系統(tǒng)自身是采用強認證的系統(tǒng)，從而提高了用戶認證環(huán)節(jié)的安全性。

其二，賬號管理功能：賬號和資源的集中管理是集中授權(quán)、認證和審計的基礎(chǔ)。集中賬號管理可以完成對賬號整個生命周期的監(jiān)控和管理，而且還降低了企業(yè)管理大量用戶賬號的難度和工作量。同時，通過統(tǒng)一的管理制定統(tǒng)一的、標準的用戶賬號安全策略，可實現(xiàn)從賬號的自動改密，第三方運維人員無法獲知設(shè)備的密碼信息。強制運維人員通過堡壘機進行系統(tǒng)安全運維。

其三，資源授權(quán)功能：通過集中訪問授權(quán)和訪問控制可以對用戶通過B/S、C/S對服務(wù)器主機、網(wǎng)絡(luò)設(shè)備的訪問進行審計和阻斷。在集中訪問授權(quán)里強調(diào)的“集中”是邏輯上的集中，而不是物理上的集中。

其四，操作審計功能：操作審計管理主要審計人員的賬號使用（登錄、資源訪問）情況、資源使用情況等。在各服務(wù)器主機、網(wǎng)絡(luò)設(shè)備的訪問日志記錄都采用統(tǒng)一的賬號、資源進行標識后，操作審計能更好地對賬號的完整使用過程進行追蹤、并通過系統(tǒng)自身的用戶認證系統(tǒng)、用戶授權(quán)系統(tǒng)以及訪問控制等詳細記錄整個會話過程中用戶的全部行為日志，還可以將產(chǎn)生的日志傳送給第三方產(chǎn)品。

在這些主干功能構(gòu)筑的強大安全體系下，堡壘機將實現(xiàn)對系統(tǒng)用戶管理、對內(nèi)網(wǎng)操作審計、對網(wǎng)絡(luò)設(shè)備管理和對黑客行為防范四大功能，完美地演繹了內(nèi)網(wǎng)安全“終結(jié)者”角色，成為煙草行業(yè)單位內(nèi)網(wǎng)安全建設(shè)的未來戰(zhàn)士。

三、系統(tǒng)配置安全核查

為保證信息系統(tǒng)安全可控，我們建議在信息系統(tǒng)中還應(yīng)該部署安全配置核查類產(chǎn)品。安全配置核查類的產(chǎn)品是通過管理員的授權(quán)，以授權(quán)的用戶身份（多為管理員身份）登錄目標IT系統(tǒng)，然后對IT系統(tǒng)的系統(tǒng)配置進行檢查。安全配置核查類產(chǎn)品可以定義各類操作系統(tǒng)、數(shù)據(jù)庫、虛擬化平臺、應(yīng)用服務(wù)、網(wǎng)絡(luò)設(shè)備等產(chǎn)品的配置規(guī)范，然后依照系統(tǒng)配置規(guī)范對目標系統(tǒng)進行配置核查，確保系統(tǒng)配置是滿足安全規(guī)范要求的。

通過安全配置核查類產(chǎn)品，可以摒棄傳統(tǒng)的人工逐一檢查，可以快速地對大規(guī)模網(wǎng)絡(luò)中上百臺服務(wù)器、網(wǎng)絡(luò)設(shè)備、虛擬化平臺進行配置核查工作，降低人工成本和操作復(fù)雜度。

但是安全配置核查類產(chǎn)品在對IT系統(tǒng)的系統(tǒng)配置進行檢查時，需要得到系統(tǒng)的用戶名密碼。而使用了堡壘機后，用戶將只知道自己在堡壘機上的主賬號密碼，而不知道實際登錄IT系統(tǒng)的從賬號密碼，這樣將無法使用安全配置核查類產(chǎn)品對IT系統(tǒng)進行檢查。

四、聯(lián)動實現(xiàn)系統(tǒng)配置變更閉環(huán)管理

通過堡壘機的使用，可以有效地對系統(tǒng)配置變更進行管理，通過安全配置核查產(chǎn)品可以有效地實現(xiàn)系統(tǒng)配置安全性的檢查，但是堡壘機的IT系統(tǒng)密碼保護機制會阻礙安全配置核查類產(chǎn)品發(fā)揮作用。由于堡壘機可以管理IT系統(tǒng)的賬戶密碼，如果通過聯(lián)動機制，將堡壘機管理的IT系統(tǒng)賬戶密碼傳遞給安全配置核查系統(tǒng)，那么安全配置核查系統(tǒng)就可以實現(xiàn)其配置核查作用了。

通過堡壘機和安全配置核查系統(tǒng)的使用，我們可以有效解決系統(tǒng)配置變更管理的問題，系統(tǒng)管理員收到運維的需求后，首先登錄堡壘機，在堡壘機中按照運維需求對IT系統(tǒng)的配置進行調(diào)整。整個配置變更的全過程都要通過堡壘機進行，由堡壘機進行全程審計。堡壘機將IT系統(tǒng)的賬戶密碼傳遞給安全配置核查系統(tǒng)，在系統(tǒng)管理員完成配置變更后，由安全配置核查系統(tǒng)對IT系統(tǒng)進行配置核查，檢查修改后的系統(tǒng)配置是否符合現(xiàn)有的安全規(guī)范。如果發(fā)現(xiàn)有不符合安全規(guī)范的地方，則可以在安全配置核查產(chǎn)品中進行告警，并且在出具的檢查報告中體現(xiàn)。安全管理員可以及時發(fā)現(xiàn)系統(tǒng)配置異常情況，并通過堡壘機的審計信息定位到修改配置的人員。在定位到運維人員與不合規(guī)配置項后，安全管理員可以對運維人員進行追責，要求其進行整改，整改過程實際上也是系統(tǒng)配置變更過程，依舊在整個堡壘機和配置核查體系中收到監(jiān)控和審計。當系統(tǒng)整改完成，IT系統(tǒng)全部配置符合安全規(guī)范后，整個配置變更運維的過程才算完成閉環(huán)。

通過上述介紹可以看出，互相沖突阻礙的產(chǎn)品，通過互相間取長補短、強強聯(lián)合，可以發(fā)揮出原有單一產(chǎn)品不具備的安全功能?？梢?，在信息安全領(lǐng)域，只要能夠合理地利用安全設(shè)備的功能特點，靈活組合，就可以獲得更強的安全管理能力，實現(xiàn)更好的安全管理效果。

參考文獻：

[1]臧勁松.物聯(lián)網(wǎng)安全性能分析[J].計算機安全，2010（6）：51-52.

[2]李士寧.工業(yè)物聯(lián)網(wǎng)技術(shù)及應(yīng)用概述[J].電信網(wǎng)技術(shù)，2014 （3）：26-31.

[3]宋慧欣.破解“工業(yè)控制系統(tǒng)信息安全”迷局[J].自動化博覽，2012（7）：30-35.

[4]范紅，邵華，李程遠等.物聯(lián)網(wǎng)安全技術(shù)體系研究[J].電信網(wǎng)技術(shù)，2011（9）：5-8.

[5]劉宴兵，胡文平.物聯(lián)網(wǎng)安全模型及其關(guān)鍵技術(shù)[J].數(shù)字通訊，2013，37（4）：28-29.

[6]彭瑜.物聯(lián)網(wǎng)技術(shù)的發(fā)展及其工業(yè)應(yīng)用方向[J].自動化儀表，2011（32）：1-7.

[7]錢萍，吳蒙.物聯(lián)網(wǎng)隱私保護研究與方法綜述[J].計算機應(yīng)用研究，2013（1）：13-20.

[8]王會波，李新，吳波.物聯(lián)網(wǎng)信息安全技術(shù)體系研究[J].信息安全與通信保密，2013（5）：98-101.

作者簡介：

王濤（1976--），工程碩士，高級工程師，主要研究方向為信息安全.