“刪庫跑路”的段子一直在IT圈里廣為流傳,是很多程序員發(fā)泄壓力時(shí)的口頭禪,而在現(xiàn)實(shí)生活中,也的確發(fā)生過類似的案例。
去年6月,北京市第一中級人民法院就程序員“刪庫跑路”一案做出判決。百度公司某“95后”校招員工金某某在任職期間,通過私自建立“隧道”等手段進(jìn)入公司數(shù)據(jù)庫“刪表”,最終以“破壞計(jì)算機(jī)信息系統(tǒng)罪”,被判處有期徒刑九個(gè)月。
隨著互聯(lián)網(wǎng)的快速發(fā)展,以及各行業(yè)信息化建設(shè)步伐的邁進(jìn),我們的日常生活、工作、學(xué)習(xí)對信息化系統(tǒng)的依賴程度也日益加深,日趨繁雜的網(wǎng)絡(luò)運(yùn)維工作給信息系統(tǒng)安全帶來了眾多不確定因素,隨之而來的網(wǎng)絡(luò)安全事故也層出不窮。
新發(fā)展環(huán)境下的網(wǎng)絡(luò)安全運(yùn)維新要求
企事業(yè)單位在網(wǎng)絡(luò)運(yùn)維過程中往往存在著運(yùn)維人員賬號共用,密碼難以統(tǒng)一管理,密碼定期更新制度難以落實(shí),人員權(quán)限分級不明,惡意行為影響范圍難以控制等安全隱患和困難。
另一方面,我國針對網(wǎng)絡(luò)安全也先后出臺(tái)了一系列政策法規(guī),對企事業(yè)單位提出了嚴(yán)格的合規(guī)要求。例如,《網(wǎng)絡(luò)安全法》要求日志留存不得少于 6 個(gè)月;等保2.0 要求企業(yè)必須對用戶身份進(jìn)行鑒權(quán),如用戶訪問的權(quán)限控制,最小化的授權(quán)原則,運(yùn)維操作的完整審計(jì),定期進(jìn)行數(shù)據(jù)備份等。
南京市北京東路小學(xué)作為江蘇省首批省級實(shí)驗(yàn)小學(xué),省級模范學(xué)校,國家教育部首批命名的“全國現(xiàn)代化教育技術(shù)實(shí)驗(yàn)學(xué)?!?,因?yàn)樵谛畔⒒逃矫嫫鸩捷^早,擁有大量的安全設(shè)備資產(chǎn)和復(fù)雜的架構(gòu)體系。隨著信息化教育的不斷深入探索,傳統(tǒng)的堡壘機(jī)已難以應(yīng)對當(dāng)前的發(fā)展需要,學(xué)校內(nèi)部的運(yùn)維審計(jì)系統(tǒng)亟需升級替換,以防運(yùn)維人員因操作失誤、惡意操作、越權(quán)操作引發(fā)網(wǎng)絡(luò)安全事故。
聚銘安全運(yùn)維審計(jì)系統(tǒng)解決方案
針對北京東路小學(xué)優(yōu)化內(nèi)部安全運(yùn)維管理機(jī)制的需求及目前存在的短板,在滿足網(wǎng)絡(luò)安全相關(guān)政策法規(guī)的基礎(chǔ)上,聚銘安全運(yùn)維審計(jì)系統(tǒng)(SOA)從運(yùn)維人員的實(shí)際業(yè)務(wù)需求與操作習(xí)慣出發(fā),通過賬號集中管理、人員身份認(rèn)證、訪問控制、資源授權(quán)、操作審計(jì)、工單系統(tǒng)等方面,為北京東路小學(xué)構(gòu)建出一套安全可靠、適用性強(qiáng)的運(yùn)維審計(jì)系統(tǒng)。
圖注:聚銘安全運(yùn)維審計(jì)系統(tǒng)架構(gòu)圖
01賬號集中管理
聚銘安全運(yùn)維審計(jì)系統(tǒng)支持對所有服務(wù)器、網(wǎng)絡(luò)設(shè)備賬號進(jìn)行集中管理。通過對運(yùn)維賬號進(jìn)行實(shí)名注冊,將賬號與具體的自然人相關(guān)聯(lián),并且可以對動(dòng)態(tài)口令、指紋、密碼等6種認(rèn)證方式按需組合,驗(yàn)證賬號登錄人員身份,根據(jù)不同運(yùn)維人員角色和需求授予不同權(quán)限。通過統(tǒng)一地管理還能夠發(fā)現(xiàn)賬號中存在的安全隱患,并且制定標(biāo)準(zhǔn)化的用戶賬號安全策略。
02運(yùn)維操作審計(jì)
聚銘安全運(yùn)維審計(jì)系統(tǒng)不僅能夠深入解析明文操作、識別SSH加密操作內(nèi)容,而且對于RDP遠(yuǎn)程訪問操作,系統(tǒng)也能夠記錄其鍵盤輸入、剪切板內(nèi)容及鼠標(biāo)位置等信息,監(jiān)控用戶運(yùn)維行為并進(jìn)行威脅性判斷。對于運(yùn)維人員在操作過程中出現(xiàn)的異常情況、違規(guī)操作等危險(xiǎn)行為進(jìn)行及時(shí)阻斷,防患于未然。
系統(tǒng)的操作還原技術(shù)能夠?qū)τ脩舻牟僮髁鞒踢M(jìn)行溯源展現(xiàn),方便客戶查找問題原因,為責(zé)任劃定提供支撐。
03賬號訪問控制
在賬號訪問控制管理方面,聚銘安全運(yùn)維審計(jì)系統(tǒng)將自然人與運(yùn)維權(quán)限、運(yùn)維賬號與設(shè)備資源綁定,通過最小粒度授權(quán)達(dá)到權(quán)限控制精細(xì)化的目的。
系統(tǒng)內(nèi)置的工單模塊,可以滿足不同場景下運(yùn)維人員的權(quán)限動(dòng)態(tài)申請,并支持離岸審批功能,方便用戶處理突發(fā)情況,提高工單效率。
提高運(yùn)維效率為客戶安全保駕護(hù)航
通過聚銘安全運(yùn)維審計(jì)系統(tǒng)的部署和運(yùn)維人員安全意識的進(jìn)一步加強(qiáng),南京市北京東路小學(xué)日常運(yùn)維工作的安全性和風(fēng)險(xiǎn)管控能力在不同階段得到了提升。
統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)能夠在事前對訪問來源和用戶身份進(jìn)行嚴(yán)格驗(yàn)證;深入的解析能力所提供的精確命令級別和黑白名單機(jī)制,能夠在事件經(jīng)過中實(shí)時(shí)跟蹤用戶操作行為;事后通過操作還原技術(shù)可以對用戶操作進(jìn)行回放,并查看完整的操作報(bào)表和事件分析報(bào)告。
此次設(shè)備升級替換,聚銘安全運(yùn)維審計(jì)系統(tǒng)為北京東路小學(xué)的運(yùn)維審計(jì)工作提供了更加充分地安全保障,減輕了運(yùn)維人員的工作負(fù)擔(dān),得到了相關(guān)負(fù)責(zé)人的高度評價(jià)。聚銘網(wǎng)絡(luò)也在此次攜手合作中積累了寶貴的實(shí)踐經(jīng)驗(yàn),為之后的工作改進(jìn)和服務(wù)質(zhì)量提升帶來了巨大幫助。
未來,聚銘網(wǎng)絡(luò)將繼續(xù)秉承“客戶導(dǎo)向、真誠合作、互利共贏、優(yōu)勢共享”的服務(wù)理念,以先進(jìn)的技術(shù)、優(yōu)秀的產(chǎn)品和專業(yè)的配套服務(wù)滿足廣大教育行業(yè)客戶在網(wǎng)絡(luò)安全建設(shè)方面的需求,為達(dá)成“讓安全更簡單”的使命而不懈努力!