當今,信息化建設已成為企業(yè)和政府部門提高市場競爭力、完善管理模式、改進業(yè)務流程、提升工作效率的有效手段。然而,隨著社會對信息系統(tǒng)的依賴性普遍增強,利用計算機犯罪的案件也不斷增多,事實上,IT風險已經成為業(yè)務風險的一部分,這一點目前已經引起企業(yè)管理者和CIO們的廣泛關注,任何注重IT與業(yè)務融合的企業(yè),都在尋求像管理其他業(yè)務風險一樣管理IT風險的解決方案。
那么如何有效的管理和控制IT風險呢?一些專家的觀點認為,IT風險主要包括系統(tǒng)的風險、人員的風險和IT投入的風險等方面。在國內知名的IT設施運營管理解決方案提供商德訊公司眼里,內部人員的風險才是信息化系統(tǒng)中潛伏最深、危害最大、后果最嚴重的風險,而IT運維的風險一定是IT風險中極其重要的環(huán)節(jié)。
對于一個數據中心來說,機房規(guī)模的擴大、系統(tǒng)的增加,都意味著運維人員數量的增加,權限的增加,這又導致管理的復雜度和運維過程風險也在級數的增加。而當前市場上IT服務、安全管理產品都需要IT運維人員來使用,這些產品常常賦予IT運維人員特別的操作權限,卻極少有全面的審計手段。因此若不能在制度上進行約束,僅靠IT運維人員自覺自愿的恪守職業(yè)道德,顯然只能是美好愿望,有著極大的風險。
因此,對IT運維人員的越權訪問、權限濫用、誤操作、盜用數據、撰改數據行為的防范,已經成了任何企業(yè)必須應對的重要問題。
以人為本,“控”“審”并舉
內部IT運維人員一般應用命令行方式(Telnet、SSH)、和圖形化方式(RDP、VNC)、http方式或客戶端軟件等方式對數據中心的服務器進行管理,這些方式雖然方便、靈活,但接入點多,存在重大安全隱患,并難于管理。最令管理者力不從心的是,面對成千上萬臺的設備,一個IT經理或者一個CIO如何能確保所有IT運維人員的操作都是安全的呢?倘若有違規(guī)操作,如果能及時發(fā)現并有效阻止;若阻止不及,又如何認定事故責任呢?
近日,德訊推出了IT運維風險控制解決方案,其基本功能就是對內部IT運維人員的操作監(jiān)控及審計,圓滿的解決了上述的難題。系統(tǒng)正是遵循了“以人為本”的原則,著眼于研究人的行為、規(guī)范人的行為、防范人的行為,并對違規(guī)事件采取事前防范、事中實時控制并阻止、事后取證的措施來進行內部風險防控。
該系統(tǒng)的組成包括了采用嵌入式系統(tǒng)結構的旁路阻斷審計設備(即網絡風險監(jiān)控系統(tǒng),ICA)和應用代理服務器(即網絡運維安全網關,ICS)硬件設備,以及管理控制臺(ICView)和數據庫軟件系統(tǒng),具有軟硬件一體化結構設計。作為網內運維審計系統(tǒng),它還可以與德訊DCLive IT設施運營管理平臺進行集成,集中審計的同時,與帶外(KVM、串口)運維、電源、環(huán)境等管理內容形成數據中心運維管理的全面的風險控制解決方案,從而使得用戶實現“一站式”的IT基礎設施運營管理,更加便捷、安全。
系統(tǒng)可以對基于Telnet、SSH、RDP、VNC等協(xié)議的訪問操作進行過程的抓取,從而可以錄像方式對所有運維人員的全部操作進行記錄并存入到文件數據庫中,同時具備強大的搜索功能,可對特定時段、特定事件、特定用戶等邏輯要素進行搜索與提取——從而達到真正意義上的審計與風險控制。
部署了德訊IT運維風險控制系統(tǒng)的企業(yè)數據中心,仿佛請來了一位威嚴公正、忠于職守的IT運維審計師。無論企業(yè)的數據中心規(guī)模有多么龐大、分支有多么繁多、系統(tǒng)有多么復雜,管理者或CIO僅需要坐在電腦前,便能輕松地聽取它的匯報并進行決策。
審計師的“威嚴”體現在對所有的本地或者遠程用戶進行集中管理和權限分配,并確保讓所有的用戶清楚其責任和角色。同時,他會協(xié)助管理者制定出有效的控制策略,即代理訪問控制策略和阻斷控制策略,能夠終止非法、異常的用戶活動,將風險遠遠阻在門外。
審計師的“公正”在于他日常使用的兩大工具,網絡運維安全網關ICS和網絡風險監(jiān)控系統(tǒng)ICA,這兩個工具都能提供TCP阻斷功能,對于非法網絡連接可以根據阻斷策略自動實施阻斷操作。不同的是,ICS用于實現代理應用的集中管理,對用戶和客戶機進行合法性校驗,只有符合策略要求的代理應用連接請求才能通過。而ICA主要用于網絡偵聽、TCP協(xié)議阻斷和Telnet協(xié)議報文捕獲,既可以與ICS進行聯(lián)合部署,也可以部署在網內,通過旁路偵聽的方式監(jiān)控內網中的連接請求。這樣一來,所有發(fā)生在網絡中的異常、可疑現象均能被他發(fā)現并一一化解,對數據中心有效的進行了安全防護。
對于發(fā)生的這些網絡風險如何處理呢?這位審計師的“忠于職守”便體現出來了。他可以對通過應用代理服務器訪問的負載的操作信息進行如實全面的記錄,并對所有通過基于Telnet、SSH、RDP、VNC等協(xié)議的訪問操作進行全生命周期錄像,可實現對歷史操作過程的真實再現。這樣,管理者便可以進行此類審計信息的查詢檢索,并對查詢的結果進行回放,再現歷史操作畫面。在如此確鑿的證據面前,威脅的制造者定會無所遁形。
當然,信息系統(tǒng)建設的同時把很多風險管理和內部控制的內容考慮進去的做法,比起系統(tǒng)完成再去考慮風險和內控、進而對IT進行改造的做法,顯然要更有優(yōu)勢。對于前者,德訊IT運維風險控制解決方案不失為未雨綢繆之舉;而對于后者,如果有了這樣一位優(yōu)秀的IT運維審計師前來加盟,就算是亡羊補牢,也能達到預期的效果,何樂而不為呢。
京公網安備 11010802036102號北京金支點技術服務有限公司保留所有權利 | Copyright ? 2005-2025 Beijing Golden Point Outsourcing Service Co., Ltd. All Rights Reserved.