当今互联网技术不断更新换代,也带来了各种各样的安全隐患。而如何保障企业数据的安全,也成了IT运维工作的生命线。一次偶然的机会与一位珠宝行业CIO(A总)聊起运维安全的话题,令我记忆深刻。
记得当时去拜访A总,交流到IT运维人员如何管理问题,于是有了下面番对话。
A总:我们公司的运维负责人,是在公司工作10年的老人了,十分忠诚。我们把服务器、数据库、生产环境的所有最高级别的账号密码交给他是十分放心的。
我:那如果负责人由于一些不可抗力的因素,导致变动,您想过如何应对吗?
A总不语,思索片刻,缓缓道来:你说的问题正是我的担忧,我们一直在用“人性”进行管理,不过除了无条件相信,好像也并不能做什么...
2019年初,深圳市螃蟹网络科技有限公司的一则《告游戏行业全体同仁书》在网络流传。文章中,螃蟹网络创始人尹柏霖控诉称,其前员工燕飞宏在游戏上线测试当天,锁死服务器与电脑,并恶意失踪,最终导致项目失败。作为项目创始人的尹柏霖,也沦为负债百万的打工仔。
新华社:北京某公司的软件工程师徐某,因公司未能如约结清工资心生怨恨,便利用自己安插在后面文件的代码,将公司数据全部删除,直接经济损失26.5万元,后来被公司发现并报警。徐某因为破坏计算机信息系统罪,被判处有期徒刑5年。
威尼达计算机数据软件公司报案,称该公司的数据库频繁遭黑客入侵,大量公司的数据库资料和软件商品被恶意删除。
据悉,威尼达公司自创建以来,曾多次发生黑客攻击事件,随后该公司通过加密手段和硬件防火墙拦截,已经基本阻断了黑客入侵的可能性。此次公司数据库再次遭到入侵,且很多数据和正在编程中的软件商品被删除,公司高层初步怀疑很有可能是内鬼作案,于是向警方报案,并提供了公司技术人员资料。
意大利网络警察通过技术分析和调查,很快锁定了犯罪嫌疑人是该公司一名离职不久的 45 岁计算机工程师、软件程序员。警方在对其进行网络监控和调查取证后,抓捕了犯罪嫌疑人。
警方审讯时,涉案嫌疑人对自己的犯罪事实供认不讳。他表示,由于遭到解雇对公司产生了不满情绪,便利用在职时所掌握的服务器权限和网络漏洞,开始登录公司数据库。疑犯否认盗取公司数据资料,称删除数据和软件商品,主要是想对公司进行报复。
据有关权威机构统计,运维安全突出问题如下:
➡ 87% 的内部事故都源于特权用户
➡ 许多事故是玩忽职守所致:
◌ 更改管理流程
◌ 违反使用制度
➡ 还有一些事故是精心策划的:
◌ 报复 (84%)
◌ “蓄意破坏” (92%)
➡ 无论有意还是无意,事故的代价都不容忽视:
◌ 内部攻击成本占到年毛收入的6%
◌ 仅美国就高达 4000 亿美元
➡ 政府关于安全监管,行业安全法规要求:
◌ SOX法案
◌ 网络安全法
◌ 国家等保
针对运维安全管控,应当满足以下五个维度的目标:
一个成熟的运维安全解决方案,应当实现对自然人的管控,强化对特权账号的管理。
运维安全管理平台应当包括:
特权管理——由运维管理系统统一接管企业中所有的特权账号,进行集中化管理。
统一认证——通过不同强度的认证策略,提升安全等级。
身份及账号管理——维护身份信息,主从账号单独管理。
集成接口——对于各类资源、不同接口进行适配接入。
安全审计——从安全管控监督,对不同行为进行审计。
从提高IT运维管理效率的角度来看:
1. 减少企业运维成本;
2. 集中管理运维设施,减少安全漏洞;
3. 集中存储、保护设备特权账号及密码、实现统一认证和单点登录,提高运维人员工作效率;
4. 逐级审批,做到特权权限收放可控;
5. 细粒度的权限访问控制、集中审计,做到有依可查;
6. 集中管理、集中授权、分权管理。
从法律法规角度来看:
1. 遵守Sarbanes-Oxley法案第404条款要求加强企业内控管理;
2. 遵从国内《企业内部控制规范》、《国家信息安全等级保护管理规定》关于内部管理、项目和投资管理控制和审计要求;
3. 减少企业IT环境中的缺陷,建立强健的安全策略;
4. 实现一个主动、端到端的IT法规从性计划,以提供更安全的IT安全性。
京公网安备 11010802041100号