news
新聞中心
信息時(shí)代下如何保障運(yùn)維安全?
- 分類:云涌新聞
- 作者:
- 來(lái)源:
- 發(fā)布時(shí)間:2022-05-20
- 訪問量:6283
信息時(shí)代下如何保障運(yùn)維安全?
【概要描述】
一、為什么要重視運(yùn)維安全
2013年-2014年可以說是運(yùn)維安全發(fā)展的一個(gè)分水嶺。這兩年之所以特別主要是由于互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的幾大應(yīng)用相繼被曝漏洞或被攻擊,受此影響,各種運(yùn)維安全問題引起了業(yè)界的廣泛關(guān)注,企業(yè)也開始加大對(duì)運(yùn)維安全的投入。時(shí)至今日,運(yùn)維安全管理已經(jīng)成為企業(yè)安全建設(shè)的重中之重。
圖片來(lái)源:安全內(nèi)參
我們通過2020年安全內(nèi)參發(fā)布的安全隱患情況分析報(bào)告,可以發(fā)現(xiàn)其中網(wǎng)絡(luò)設(shè)備漏洞和操作系統(tǒng)漏洞明顯屬于運(yùn)維安全問題,其合并占比已達(dá)到21%,再加上應(yīng)用程序漏洞中包含的各種應(yīng)用版本漏洞,不難推測(cè)出歸屬于運(yùn)維安全領(lǐng)域的漏洞比例可能更高。
此外,隨著各個(gè)行業(yè)的業(yè)務(wù)系統(tǒng)、支撐系統(tǒng)、以及對(duì)應(yīng)的管理賬號(hào)數(shù)量急速增長(zhǎng),網(wǎng)絡(luò)規(guī)模和設(shè)備數(shù)量也迅速擴(kuò)大,這必然造成管理系統(tǒng)日趨復(fù)雜的局面:
1.缺少統(tǒng)一的權(quán)限管理平臺(tái),權(quán)限管理日趨繁重和無(wú)序,獨(dú)立分散的系統(tǒng)和獨(dú)立的管理賬號(hào)容易形成身份信息孤島,不利于運(yùn)維人員同時(shí)維護(hù)多個(gè)系統(tǒng);
2.維護(hù)人員的權(quán)限無(wú)法基于最小權(quán)限分配原則管理,難以實(shí)現(xiàn)更細(xì)粒度的命令級(jí)權(quán)限控制,不同背景運(yùn)維人員的行為給信息系統(tǒng)安全帶來(lái)較大風(fēng)險(xiǎn),系統(tǒng)安全性無(wú)法充分保證;
3.各網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)沒有統(tǒng)一的審計(jì)策略,而是分別單獨(dú)審計(jì)記錄訪問行為,導(dǎo)致日志內(nèi)容深淺不一,事后難以及時(shí)通過系統(tǒng)自身審計(jì)發(fā)現(xiàn)違規(guī)操作行為和追查取證。
眾所周知,基礎(chǔ)設(shè)施運(yùn)行的安全穩(wěn)定與否在很大程度上決定了業(yè)務(wù)系統(tǒng)是否可以正常運(yùn)作,而堡壘機(jī)則是整個(gè)業(yè)務(wù)系統(tǒng)運(yùn)維安全的保障設(shè)施。
二、什么是堡壘機(jī)
堡壘機(jī),顧名思義,它是為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外部和內(nèi)部用戶的入侵和破壞,從而在被保護(hù)的資源周圍形成一個(gè)堅(jiān)固的"堡壘"。其實(shí)它還有一個(gè)名字叫安全運(yùn)維網(wǎng)關(guān),就是集運(yùn)維管理與運(yùn)維審計(jì)為一體的堡壘機(jī)設(shè)備,結(jié)合等級(jí)保護(hù)、分級(jí)保護(hù)、SOX法案、IT內(nèi)控、ISO27001等各類法律法規(guī)對(duì)運(yùn)維管理的要求,將運(yùn)維管理和運(yùn)維安全理念相融合,由于其自身經(jīng)過加固,具有較高的安全性,可抵御一定的攻擊,通過串接在運(yùn)維終端與被運(yùn)維對(duì)象之間,配合USB Key使用,將運(yùn)維人員、運(yùn)維工具等外部要素與被運(yùn)維對(duì)象等內(nèi)部要素進(jìn)行隔離,并對(duì)運(yùn)維人員的敏感操作、違規(guī)行為和運(yùn)維工具的運(yùn)行風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)監(jiān)督管控,防止外部網(wǎng)絡(luò)攻擊、惡意代碼、違規(guī)操作等行為等破壞電力監(jiān)控系統(tǒng)。同時(shí),對(duì)運(yùn)維工作全過程進(jìn)行日志、屏幕錄像、通信報(bào)文等多維度記錄,實(shí)現(xiàn)系統(tǒng)運(yùn)維工作事前有防范、事中有監(jiān)督、事后有審計(jì)的目標(biāo)。
在信息化高度發(fā)展的今天,選擇合適的堡壘機(jī)對(duì)系統(tǒng)運(yùn)維管理的安全至關(guān)重要。
三、堡壘機(jī)的類型
目前市面上的堡壘機(jī)可根據(jù)業(yè)務(wù)系統(tǒng)和適用場(chǎng)景不同分為兩種:網(wǎng)關(guān)型堡壘機(jī)和運(yùn)維審計(jì)型堡壘機(jī)。
1.網(wǎng)關(guān)型堡壘機(jī)
網(wǎng)關(guān)型堡壘機(jī)通常部署于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間,作為一個(gè)關(guān)卡進(jìn)行內(nèi)外隔離,其本身不直接提供任何服務(wù),對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問進(jìn)行有效控制和防護(hù),針對(duì)內(nèi)網(wǎng)的來(lái)自應(yīng)用層一下的攻擊可以進(jìn)行過濾,形成一道安全屏障。但是網(wǎng)關(guān)型堡壘機(jī)存在一定的弊端:由于要處理應(yīng)用層的數(shù)據(jù)內(nèi)容,需要消耗較多的網(wǎng)絡(luò)出口流量,這導(dǎo)致性能消耗過大。
2.運(yùn)維審計(jì)型堡壘機(jī)
和網(wǎng)關(guān)型堡壘機(jī)不同的是,雖然運(yùn)維審計(jì)型堡壘機(jī)的應(yīng)用場(chǎng)景及部署位置更為復(fù)雜,但是其本身不會(huì)消耗太大流量,它通過對(duì)訪問和運(yùn)維人員進(jìn)行授權(quán)和控制,同時(shí)對(duì)訪問和操作行為進(jìn)行審計(jì),更加規(guī)范了運(yùn)維人員的操作行為,保障內(nèi)部資源的安全。
由此可見,運(yùn)維審計(jì)型堡壘機(jī)具備更大的發(fā)展前景,尤其是像金融、電力、能源等信息化水平相對(duì)較高的行業(yè),由于受到“信息系統(tǒng)等級(jí)保護(hù)”、“SOX法案”等法規(guī)及政策的約束,這些行業(yè)對(duì)堡壘機(jī)的需求更加強(qiáng)烈,運(yùn)維審計(jì)型堡壘機(jī)便得到了較為深入的應(yīng)用。
四、堡壘機(jī)的應(yīng)用場(chǎng)景
可以說信息化時(shí)代,任何企業(yè)都需要進(jìn)行運(yùn)維安全管理,堡壘機(jī)可以適用于各種企業(yè)運(yùn)維場(chǎng)景,尤其是針對(duì)人員和資產(chǎn)規(guī)模較大、業(yè)務(wù)系統(tǒng)復(fù)雜,以及運(yùn)維方式多樣的企業(yè),堡壘機(jī)的作用舉足輕重。
1.金融行業(yè)
銀行、證券和保險(xiǎn)等金融行業(yè),具有大量個(gè)人信息數(shù)據(jù)和金融資金操作行為,而且存在著大部分的第三方代運(yùn)維機(jī)構(gòu),可能會(huì)出現(xiàn)巨大違規(guī)操作、濫用職權(quán)等非法運(yùn)作風(fēng)險(xiǎn),所以需要極為嚴(yán)苛的合規(guī)審計(jì),
而堡壘機(jī)可以通過事前越權(quán)防護(hù),實(shí)現(xiàn)權(quán)限細(xì)粒度劃分,有效防止因越權(quán)行為導(dǎo)致的敏感數(shù)據(jù)泄漏,事中提供高危命令實(shí)時(shí)阻斷高風(fēng)險(xiǎn),事后通過多維度記錄,真實(shí)地還原全行為場(chǎng)景,有助于安全事件的高效追溯。
2.互聯(lián)網(wǎng)行業(yè)
當(dāng)下的互聯(lián)網(wǎng)行業(yè)正在急速發(fā)展,企業(yè)人員與服務(wù)器數(shù)量在不斷呈幾何倍增長(zhǎng),由于服務(wù)高度公開,大量數(shù)據(jù)敏感信息暴露在公網(wǎng)之上,本身就存在著高度泄漏的風(fēng)險(xiǎn),再加上互聯(lián)網(wǎng)企業(yè)內(nèi)部又面臨服務(wù)器資源訪問混亂、員工賬號(hào)難管理、權(quán)限復(fù)雜難分配等問題,所以同樣需要重視運(yùn)維安全管理。
一方面堡壘機(jī)可通過遠(yuǎn)程運(yùn)維,隱藏資產(chǎn)的真實(shí)地址,解決資產(chǎn)信息暴露問題,另一方面通過提供多賬號(hào)統(tǒng)一運(yùn)維收口和權(quán)限細(xì)粒度劃分管理,實(shí)現(xiàn)便捷運(yùn)維和靈活規(guī)范化管理,最后通過提供全面的運(yùn)維日志,對(duì)整個(gè)運(yùn)維過程,包括人員操作行為提供有效監(jiān)控,得以保證互聯(lián)網(wǎng)企業(yè)在不斷發(fā)展過程中的持續(xù)穩(wěn)定。
3.民生政務(wù)行業(yè)
民生政務(wù)行業(yè)早已在互聯(lián)網(wǎng)的浪潮中卷入云管理,隨著人員規(guī)模的不斷擴(kuò)張,云服務(wù)器、網(wǎng)絡(luò)設(shè)備等資產(chǎn)數(shù)量也成倍增漲,再加上很多企業(yè)需要大量第三方機(jī)構(gòu)進(jìn)行建設(shè)和運(yùn)維,復(fù)雜流動(dòng)性大的運(yùn)維人員和過多的操作設(shè)備必然會(huì)帶來(lái)一定的風(fēng)險(xiǎn)
堡壘機(jī)可容納海量的人員和資產(chǎn)數(shù)據(jù)資源,通過細(xì)粒度權(quán)限控制,有效管理運(yùn)維人員單點(diǎn)登錄,還可以將運(yùn)維方與管理方的權(quán)責(zé)分明,通過操作審計(jì)對(duì)運(yùn)維問題進(jìn)行追溯,確保安全事故有效定責(zé),此外,通過呈現(xiàn)運(yùn)維全景,對(duì)運(yùn)維行為進(jìn)行深度分析,定位接收異常行為告警通知,確保民生政務(wù)數(shù)據(jù)的安全。
- 分類:云涌新聞
- 作者:
- 來(lái)源:
- 發(fā)布時(shí)間:2022-05-20
- 訪問量:6283
一、為什么要重視運(yùn)維安全
2013年-2014年可以說是運(yùn)維安全發(fā)展的一個(gè)分水嶺。這兩年之所以特別主要是由于互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的幾大應(yīng)用相繼被曝漏洞或被攻擊,受此影響,各種運(yùn)維安全問題引起了業(yè)界的廣泛關(guān)注,企業(yè)也開始加大對(duì)運(yùn)維安全的投入。時(shí)至今日,運(yùn)維安全管理已經(jīng)成為企業(yè)安全建設(shè)的重中之重。
圖片來(lái)源:安全內(nèi)參
我們通過2020年安全內(nèi)參發(fā)布的安全隱患情況分析報(bào)告,可以發(fā)現(xiàn)其中網(wǎng)絡(luò)設(shè)備漏洞和操作系統(tǒng)漏洞明顯屬于運(yùn)維安全問題,其合并占比已達(dá)到21%,再加上應(yīng)用程序漏洞中包含的各種應(yīng)用版本漏洞,不難推測(cè)出歸屬于運(yùn)維安全領(lǐng)域的漏洞比例可能更高。
此外,隨著各個(gè)行業(yè)的業(yè)務(wù)系統(tǒng)、支撐系統(tǒng)、以及對(duì)應(yīng)的管理賬號(hào)數(shù)量急速增長(zhǎng),網(wǎng)絡(luò)規(guī)模和設(shè)備數(shù)量也迅速擴(kuò)大,這必然造成管理系統(tǒng)日趨復(fù)雜的局面:
1.缺少統(tǒng)一的權(quán)限管理平臺(tái),權(quán)限管理日趨繁重和無(wú)序,獨(dú)立分散的系統(tǒng)和獨(dú)立的管理賬號(hào)容易形成身份信息孤島,不利于運(yùn)維人員同時(shí)維護(hù)多個(gè)系統(tǒng);
2.維護(hù)人員的權(quán)限無(wú)法基于最小權(quán)限分配原則管理,難以實(shí)現(xiàn)更細(xì)粒度的命令級(jí)權(quán)限控制,不同背景運(yùn)維人員的行為給信息系統(tǒng)安全帶來(lái)較大風(fēng)險(xiǎn),系統(tǒng)安全性無(wú)法充分保證;
3.各網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)沒有統(tǒng)一的審計(jì)策略,而是分別單獨(dú)審計(jì)記錄訪問行為,導(dǎo)致日志內(nèi)容深淺不一,事后難以及時(shí)通過系統(tǒng)自身審計(jì)發(fā)現(xiàn)違規(guī)操作行為和追查取證。
眾所周知,基礎(chǔ)設(shè)施運(yùn)行的安全穩(wěn)定與否在很大程度上決定了業(yè)務(wù)系統(tǒng)是否可以正常運(yùn)作,而堡壘機(jī)則是整個(gè)業(yè)務(wù)系統(tǒng)運(yùn)維安全的保障設(shè)施。
二、什么是堡壘機(jī)
堡壘機(jī),顧名思義,它是為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外部和內(nèi)部用戶的入侵和破壞,從而在被保護(hù)的資源周圍形成一個(gè)堅(jiān)固的"堡壘"。其實(shí)它還有一個(gè)名字叫安全運(yùn)維網(wǎng)關(guān),就是集運(yùn)維管理與運(yùn)維審計(jì)為一體的堡壘機(jī)設(shè)備,結(jié)合等級(jí)保護(hù)、分級(jí)保護(hù)、SOX法案、IT內(nèi)控、ISO27001等各類法律法規(guī)對(duì)運(yùn)維管理的要求,將運(yùn)維管理和運(yùn)維安全理念相融合,由于其自身經(jīng)過加固,具有較高的安全性,可抵御一定的攻擊,通過串接在運(yùn)維終端與被運(yùn)維對(duì)象之間,配合USB Key使用,將運(yùn)維人員、運(yùn)維工具等外部要素與被運(yùn)維對(duì)象等內(nèi)部要素進(jìn)行隔離,并對(duì)運(yùn)維人員的敏感操作、違規(guī)行為和運(yùn)維工具的運(yùn)行風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)監(jiān)督管控,防止外部網(wǎng)絡(luò)攻擊、惡意代碼、違規(guī)操作等行為等破壞電力監(jiān)控系統(tǒng)。同時(shí),對(duì)運(yùn)維工作全過程進(jìn)行日志、屏幕錄像、通信報(bào)文等多維度記錄,實(shí)現(xiàn)系統(tǒng)運(yùn)維工作事前有防范、事中有監(jiān)督、事后有審計(jì)的目標(biāo)。
在信息化高度發(fā)展的今天,選擇合適的堡壘機(jī)對(duì)系統(tǒng)運(yùn)維管理的安全至關(guān)重要。
三、堡壘機(jī)的類型
目前市面上的堡壘機(jī)可根據(jù)業(yè)務(wù)系統(tǒng)和適用場(chǎng)景不同分為兩種:網(wǎng)關(guān)型堡壘機(jī)和運(yùn)維審計(jì)型堡壘機(jī)。
1.網(wǎng)關(guān)型堡壘機(jī)
網(wǎng)關(guān)型堡壘機(jī)通常部署于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間,作為一個(gè)關(guān)卡進(jìn)行內(nèi)外隔離,其本身不直接提供任何服務(wù),對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問進(jìn)行有效控制和防護(hù),針對(duì)內(nèi)網(wǎng)的來(lái)自應(yīng)用層一下的攻擊可以進(jìn)行過濾,形成一道安全屏障。但是網(wǎng)關(guān)型堡壘機(jī)存在一定的弊端:由于要處理應(yīng)用層的數(shù)據(jù)內(nèi)容,需要消耗較多的網(wǎng)絡(luò)出口流量,這導(dǎo)致性能消耗過大。
2.運(yùn)維審計(jì)型堡壘機(jī)
和網(wǎng)關(guān)型堡壘機(jī)不同的是,雖然運(yùn)維審計(jì)型堡壘機(jī)的應(yīng)用場(chǎng)景及部署位置更為復(fù)雜,但是其本身不會(huì)消耗太大流量,它通過對(duì)訪問和運(yùn)維人員進(jìn)行授權(quán)和控制,同時(shí)對(duì)訪問和操作行為進(jìn)行審計(jì),更加規(guī)范了運(yùn)維人員的操作行為,保障內(nèi)部資源的安全。
由此可見,運(yùn)維審計(jì)型堡壘機(jī)具備更大的發(fā)展前景,尤其是像金融、電力、能源等信息化水平相對(duì)較高的行業(yè),由于受到“信息系統(tǒng)等級(jí)保護(hù)”、“SOX法案”等法規(guī)及政策的約束,這些行業(yè)對(duì)堡壘機(jī)的需求更加強(qiáng)烈,運(yùn)維審計(jì)型堡壘機(jī)便得到了較為深入的應(yīng)用。
四、堡壘機(jī)的應(yīng)用場(chǎng)景
可以說信息化時(shí)代,任何企業(yè)都需要進(jìn)行運(yùn)維安全管理,堡壘機(jī)可以適用于各種企業(yè)運(yùn)維場(chǎng)景,尤其是針對(duì)人員和資產(chǎn)規(guī)模較大、業(yè)務(wù)系統(tǒng)復(fù)雜,以及運(yùn)維方式多樣的企業(yè),堡壘機(jī)的作用舉足輕重。
1.金融行業(yè)
銀行、證券和保險(xiǎn)等金融行業(yè),具有大量個(gè)人信息數(shù)據(jù)和金融資金操作行為,而且存在著大部分的第三方代運(yùn)維機(jī)構(gòu),可能會(huì)出現(xiàn)巨大違規(guī)操作、濫用職權(quán)等非法運(yùn)作風(fēng)險(xiǎn),所以需要極為嚴(yán)苛的合規(guī)審計(jì),
而堡壘機(jī)可以通過事前越權(quán)防護(hù),實(shí)現(xiàn)權(quán)限細(xì)粒度劃分,有效防止因越權(quán)行為導(dǎo)致的敏感數(shù)據(jù)泄漏,事中提供高危命令實(shí)時(shí)阻斷高風(fēng)險(xiǎn),事后通過多維度記錄,真實(shí)地還原全行為場(chǎng)景,有助于安全事件的高效追溯。
2.互聯(lián)網(wǎng)行業(yè)
當(dāng)下的互聯(lián)網(wǎng)行業(yè)正在急速發(fā)展,企業(yè)人員與服務(wù)器數(shù)量在不斷呈幾何倍增長(zhǎng),由于服務(wù)高度公開,大量數(shù)據(jù)敏感信息暴露在公網(wǎng)之上,本身就存在著高度泄漏的風(fēng)險(xiǎn),再加上互聯(lián)網(wǎng)企業(yè)內(nèi)部又面臨服務(wù)器資源訪問混亂、員工賬號(hào)難管理、權(quán)限復(fù)雜難分配等問題,所以同樣需要重視運(yùn)維安全管理。
一方面堡壘機(jī)可通過遠(yuǎn)程運(yùn)維,隱藏資產(chǎn)的真實(shí)地址,解決資產(chǎn)信息暴露問題,另一方面通過提供多賬號(hào)統(tǒng)一運(yùn)維收口和權(quán)限細(xì)粒度劃分管理,實(shí)現(xiàn)便捷運(yùn)維和靈活規(guī)范化管理,最后通過提供全面的運(yùn)維日志,對(duì)整個(gè)運(yùn)維過程,包括人員操作行為提供有效監(jiān)控,得以保證互聯(lián)網(wǎng)企業(yè)在不斷發(fā)展過程中的持續(xù)穩(wěn)定。
3.民生政務(wù)行業(yè)
民生政務(wù)行業(yè)早已在互聯(lián)網(wǎng)的浪潮中卷入云管理,隨著人員規(guī)模的不斷擴(kuò)張,云服務(wù)器、網(wǎng)絡(luò)設(shè)備等資產(chǎn)數(shù)量也成倍增漲,再加上很多企業(yè)需要大量第三方機(jī)構(gòu)進(jìn)行建設(shè)和運(yùn)維,復(fù)雜流動(dòng)性大的運(yùn)維人員和過多的操作設(shè)備必然會(huì)帶來(lái)一定的風(fēng)險(xiǎn)
堡壘機(jī)可容納海量的人員和資產(chǎn)數(shù)據(jù)資源,通過細(xì)粒度權(quán)限控制,有效管理運(yùn)維人員單點(diǎn)登錄,還可以將運(yùn)維方與管理方的權(quán)責(zé)分明,通過操作審計(jì)對(duì)運(yùn)維問題進(jìn)行追溯,確保安全事故有效定責(zé),此外,通過呈現(xiàn)運(yùn)維全景,對(duì)運(yùn)維行為進(jìn)行深度分析,定位接收異常行為告警通知,確保民生政務(wù)數(shù)據(jù)的安全。
應(yīng)用場(chǎng)景
產(chǎn)品及服務(wù)
新聞中心
關(guān)于云涌
聯(lián)系信息
總部地址:
江蘇省泰州市海陵區(qū)泰安路16號(hào)
電話號(hào)碼:
0523-86083877