“刪庫跑路”的段子一直在IT圈里廣為流傳，是很多程序員發(fā)泄壓力時的口頭禪，而在現(xiàn)實生活中，也的確發(fā)生過類似的案例。

去年6月，北京市第一中級人民法院就程序員“刪庫跑路”一案做出判決。百度公司某“95后”校招員工金某某在任職期間，通過私自建立“隧道”等手段進入公司數(shù)據(jù)庫“刪表”，最終以“破壞計算機信息系統(tǒng)罪”，被判處有期徒刑九個月。

隨著互聯(lián)網(wǎng)的快速發(fā)展，以及各行業(yè)信息化建設(shè)步伐的邁進，我們的日常生活、工作、學(xué)習(xí)對信息化系統(tǒng)的依賴程度也日益加深，日趨繁雜的網(wǎng)絡(luò)運維工作給信息系統(tǒng)安全帶來了眾多不確定因素，隨之而來的網(wǎng)絡(luò)安全事故也層出不窮。

新發(fā)展環(huán)境下的網(wǎng)絡(luò)安全運維新要求

企事業(yè)單位在網(wǎng)絡(luò)運維過程中往往存在著運維人員賬號共用，密碼難以統(tǒng)一管理，密碼定期更新制度難以落實，人員權(quán)限分級不明，惡意行為影響范圍難以控制等安全隱患和困難。

另一方面，我國針對網(wǎng)絡(luò)安全也先后出臺了一系列政策法規(guī)，對企事業(yè)單位提出了嚴格的合規(guī)要求。例如，《網(wǎng)絡(luò)安全法》要求日志留存不得少于 6 個月；等保2.0 要求企業(yè)必須對用戶身份進行鑒權(quán)，如用戶訪問的權(quán)限控制，最小化的授權(quán)原則，運維操作的完整審計，定期進行數(shù)據(jù)備份等。

南京市北京東路小學(xué)作為江蘇省首批省級實驗小學(xué)，省級模范學(xué)校，國家教育部首批命名的“全國現(xiàn)代化教育技術(shù)實驗學(xué)校”，因為在信息化教育方面起步較早，擁有大量的安全設(shè)備資產(chǎn)和復(fù)雜的架構(gòu)體系。隨著信息化教育的不斷深入探索，傳統(tǒng)的堡壘機已難以應(yīng)對當前的發(fā)展需要，學(xué)校內(nèi)部的運維審計系統(tǒng)亟需升級替換，以防運維人員因操作失誤、惡意操作、越權(quán)操作引發(fā)網(wǎng)絡(luò)安全事故。

聚銘安全運維審計系統(tǒng)解決方案

針對北京東路小學(xué)優(yōu)化內(nèi)部安全運維管理機制的需求及目前存在的短板，在滿足網(wǎng)絡(luò)安全相關(guān)政策法規(guī)的基礎(chǔ)上，聚銘安全運維審計系統(tǒng)（SOA）從運維人員的實際業(yè)務(wù)需求與操作習(xí)慣出發(fā)，通過賬號集中管理、人員身份認證、訪問控制、資源授權(quán)、操作審計、工單系統(tǒng)等方面，為北京東路小學(xué)構(gòu)建出一套安全可靠、適用性強的運維審計系統(tǒng)。

圖注：聚銘安全運維審計系統(tǒng)架構(gòu)圖

01賬號集中管理

聚銘安全運維審計系統(tǒng)支持對所有服務(wù)器、網(wǎng)絡(luò)設(shè)備賬號進行集中管理。通過對運維賬號進行實名注冊，將賬號與具體的自然人相關(guān)聯(lián)，并且可以對動態(tài)口令、指紋、密碼等6種認證方式按需組合，驗證賬號登錄人員身份，根據(jù)不同運維人員角色和需求授予不同權(quán)限。通過統(tǒng)一地管理還能夠發(fā)現(xiàn)賬號中存在的安全隱患，并且制定標準化的用戶賬號安全策略。

02運維操作審計

聚銘安全運維審計系統(tǒng)不僅能夠深入解析明文操作、識別SSH加密操作內(nèi)容，而且對于RDP遠程訪問操作，系統(tǒng)也能夠記錄其鍵盤輸入、剪切板內(nèi)容及鼠標位置等信息，監(jiān)控用戶運維行為并進行威脅性判斷。對于運維人員在操作過程中出現(xiàn)的異常情況、違規(guī)操作等危險行為進行及時阻斷，防患于未然。

系統(tǒng)的操作還原技術(shù)能夠?qū)τ脩舻牟僮髁鞒踢M行溯源展現(xiàn)，方便客戶查找問題原因，為責(zé)任劃定提供支撐。

03賬號訪問控制

在賬號訪問控制管理方面，聚銘安全運維審計系統(tǒng)將自然人與運維權(quán)限、運維賬號與設(shè)備資源綁定，通過最小粒度授權(quán)達到權(quán)限控制精細化的目的。

系統(tǒng)內(nèi)置的工單模塊，可以滿足不同場景下運維人員的權(quán)限動態(tài)申請，并支持離岸審批功能，方便用戶處理突發(fā)情況，提高工單效率。

提高運維效率為客戶安全保駕護航

通過聚銘安全運維審計系統(tǒng)的部署和運維人員安全意識的進一步加強，南京市北京東路小學(xué)日常運維工作的安全性和風(fēng)險管控能力在不同階段得到了提升。

統(tǒng)一身份認證、統(tǒng)一授權(quán)能夠在事前對訪問來源和用戶身份進行嚴格驗證；深入的解析能力所提供的精確命令級別和黑白名單機制，能夠在事件經(jīng)過中實時跟蹤用戶操作行為；事后通過操作還原技術(shù)可以對用戶操作進行回放，并查看完整的操作報表和事件分析報告。

此次設(shè)備升級替換，聚銘安全運維審計系統(tǒng)為北京東路小學(xué)的運維審計工作提供了更加充分地安全保障，減輕了運維人員的工作負擔(dān)，得到了相關(guān)負責(zé)人的高度評價。聚銘網(wǎng)絡(luò)也在此次攜手合作中積累了寶貴的實踐經(jīng)驗，為之后的工作改進和服務(wù)質(zhì)量提升帶來了巨大幫助。

未來，聚銘網(wǎng)絡(luò)將繼續(xù)秉承“客戶導(dǎo)向、真誠合作、互利共贏、優(yōu)勢共享”的服務(wù)理念，以先進的技術(shù)、優(yōu)秀的產(chǎn)品和專業(yè)的配套服務(wù)滿足廣大教育行業(yè)客戶在網(wǎng)絡(luò)安全建設(shè)方面的需求，為達成“讓安全更簡單”的使命而不懈努力！