所谓“代维”,是指企业将自己的IT系统外包给第三方进行包括系统配置、日常运维、系统管理等管理权限的操作。让专业的人干专业的事,这可以使企业本身从繁重的IT运维中解脱出来。然而,这种基于第三方的运维管理还是多多少少给企业带来了一些风险,下面笔者通过一则案例来为大家讲述代维违规所带来的安全隐患。
某公安车管系统软件供应商通过在车管所软件系统内植入恶意程序,暗中进行着代人删除交通违章记录的违规操作。作案者利用为车管所软件系统提供运维技术支持的便利条件,躲避现场监管,将事先编好的删除程序输入,再通过修改公安内网服务器的网络配置,避开公安内网报警体系,从互联网远程入侵公安网络系统非法删除车辆违章记录上万余条。截止到案发,公安机关查明共计非法删除交通违章记录14000余条,涉案金额1800余万元。
代维面临的六大挑战
通过上面案例的描述我们看到,代维确实给用户带来了一定的安全隐患,由于用户对第三方企业的了解不充分,对第三方员工的权限管控力度不足等原因,对于这些本可轻松避免的问题却力不从心。而试想一下,如果用户拥有对第三方的运维进行审计和风险控制的能力,就可以在很大程度上避免这一尴尬。
首先我们分析用户所面临的运维风险,主要包含了以下几大方面:一是第三方人员可能利用职务之便随时登录用户的内网和业务系统;二是对权限的控制不够严谨,对于什么人在什么时间可以访问哪些系统定义模糊;三是监管措施不严密,对于熟悉用户系统的运维老手来说可以很清楚的知道怎样绕过监管;四是对于运维人员从IT系统上上传下载文件内容没有很好的管控措施;五是缺乏更加有效的事后追踪溯源的能力;六是对于运维人员的非法操作不能做到实时的告警。
下面,就让我们实际来看一看如何通过运维审计和风险控制来进行更加规范的运维管理,有效杜绝这些安全风险:
规范管理4W模式:通过运维协议代理的方式实现对集中管理、身份认证、权限分配、行为控制、操作审计等功能进行规范管理。
六招抓住代维违规的幕后黑手
No.1:“身份确认”拆招“职务之便”
通过集中身份管理,为每个运维人员分配一个用户ID,每个用户ID都是关联到每个运维人员,运维人员都必须先登录身份管理平台后才可以访问用户的IT系统。
No.2:“权限控制”拆招“越权操作”
通过细粒度的权限控制手段,实现对运维人员的账户授权,未授权的运维人员则无法访问系统,而且实现对时间范围的控制,例如上班时间允许访问,下班时间则禁止访问。
No.3:“实时监控”拆招“躲避监管”
通过运维操作会话的实时监控,当运维人员在访问系统时,管理人员可以通过管理平台对其操作过程进行实时监控,一旦发现违规操作,可以立即切断其操作行为。
No.4:“文件记录”拆招“上传程序”
通过对传输的文件进行原始记录,运维人员无论是上传/下载还是修改文件,都可以完整的记录下来,管理人员可以查看文件的原始内容。
No.5:“操作审计”拆招“避开追踪”
通过更加详细的审计手段,不放过任何一个信息:起止时间、来源IP、来源用户、来源MAC、系统IP、系统帐户、系统MAC、操作视频、命令记录、文件记录等等;用户可以通过这些关键信息进行事后定位追踪。
No.6:“行为告警”拆招“非法删违”
通过实时的违规告警,运维人员一旦触发了修改网络配置、删除系统信息等行为,实时告警就会在第一时间通过邮件告知管理人员。
总结的话
当然,我们并不是说所有的第三方代维都存在这样的问题,但用户还是需要修炼好“内功”才能更有底气。安恒信息安全专家建议广大用户,打铁还需自身硬,企业要时刻想着加强自身的安全意识,脑子里要时刻都绷着安全这根弦,只有居安思危才能防患于未然。在提升安全意识的基础上,通过运维审计和风险管控可在很大程度减少信息泄露的风险。