當前位置：安全 → 內網安全 → 正文

構筑內網安全的銅墻鐵壁

責任編輯：hli |來源：企業網D1Net 2012-05-04 11:34:06 本文摘自：賽迪網

在本文開始之前，先跟大家分享一個代維人員引發的案例：

程某，大學畢業后一直從事軟件研發，曾為哈爾濱、遼寧、西藏等多家移動公司做過技術代維工作。從2005年3月至7月，程某先后4次侵入北京移動數據庫，修改充值卡的時間和金額，將已充值的充值卡狀態改為未充值，共修改復制出上萬個充值卡密碼。他還將盜出的充值卡密碼在網上出售，共獲利370余萬元。

在對公安機關的供述中，程某稱，他入侵北京移動數據庫僅僅是因為“好玩”，僅僅是“突然想測試一下中國移動網絡安全系統的安全程度”。

隨即，程某利用他為西藏移動做技術時使用的密碼（此密碼自其離開后一直沒有更改）輕松進入了西藏移動的服務器；通過西藏移動的服務器又跳轉到了北京移動數據庫，取得了數據庫的最高權限，并通過讀取數據庫日志文件，反推破譯出密碼。

直到2005年7月，由于一次“疏忽”，程某出售一批充值卡時忘了修改使用期限，購買到這批充值卡的用戶因無法使用便投訴到北京移動，北京移動才發現有6600張充值卡被非法復制，立即報警。

2005年8月24日，程某在深圳被抓獲，所獲贓款全部起獲。

原本大有前途的IT精英淪落為階下囚，固然有其貪念作祟的原因，可是如果企業在防范內網安全漏洞方面加大力度，不給運維人員和代維人員以漏洞和機會，也許這樣的悲劇也不會上演。

隨著信息技術應用的快速深入，企業用戶對IT系統的依賴性越來越強，IT系統的運營、維護和管理的難度不斷加大。值得深思的是，許多用戶都非常注重來自企業外部的安全風險，不遺余力地將大量資金投入到諸如殺毒軟件、防火墻等外部防范的建設中去，恰恰忽略了來自企業內部的安全隱患和問題。

基于此，德訊科技推出ICS網內運維審計解決方案，其體系架構由數據展現層、數據處理層及設備控制層構成，主要能夠實現兩大功能體系：運維人員對設備控制層集中運維操作體系；審計人員對設備控制層操作安全審計管理體系。

　　圖1 網內運維審計解決方案體系架構圖

數據展現層：為運維人員提供運維與管理入口，通過B/S模式的運維管理控制臺（WEB管理平臺），可實現運維、認證、策略部署、安全審計等管理操作；

數據處理層：通過網絡運維安全網關（ICS2000）及虛擬運維網關（VOS）的組合部署，實現（Telnet/FTP/Rlogin/HTTP/HTTPS/SSH/SFTP/RDP/VNC/Xwindows等）多協議會話代理、（PL-SQL、MS查詢分析器、DB2Quest、Radmin、PCAnywhere、ERP等）多種類應用程序發布、運維操作審計、報文處理等服務；

設備控制層：由數據中心機房服務器、網絡安全、存儲、路由等IT基礎設備組成，基于WEB管理平臺進行統一集中控管。

本套網內運維審計解決方案將ICS2000+VOS聯合部署于數據中心IT運營網絡中，無需調整和變動數據中心原有的網絡體系架構，即可實現對運維管理員運維操作的集中化管理及運維全過程的安全審計，能夠為數據中心建立全面的IT基礎設施網內運維審計體系。

　　圖2 IT基礎設施網內運維審計體系圖

該網內運維審計體系主要通過以下四方面，保證數據中心IT業務系統的穩定運行以及數據信息的安全可靠：

第一，變分散運維操作為集中運維管理

目前許多數據中心原先通過分散客戶端實現對目標設備運維的模式，該模式存在很大的弊端：其一，必須在每臺運維客戶端預裝所有C/S架構的運維工具；其二，運維工具版本需要更新時，只能逐一對每臺運維客戶端進行升級操作。

針對現有數據中心運維工具種類多、運維人員不集中、區域分散、跨網絡等管理特點，本方案采用ICS2000與VOS聯合部署平臺，實現對眾多運維工具、多類客戶端程序的統一安裝部署與集中管理。該銀行運維人員僅需通過B/S模式的WEB管理平臺入口，建立與相應運維通道的連接，即可實現對數據中心所有目標管理設備的集中化、一站式運維服務。這種集中運維管理模式極大減輕了運維人員工作壓力，顯著提高了數據中心的運維管理效率。

第二，運維前主動防控——身份認證

本方案提供了一套非常完善的身份管理與認證機制，把握和控制數據中心WEB管理平臺訪問入口，逐一驗證所有登陸用戶身份的有效性和合法性，加強操作源頭的安全防范，真正實現操作訪問前的主動防控管理，大大降低了重要業務信息數據的泄露風險。本方案支持用戶本地（WEB管理平臺）與第三方（如Radius、RSASecureID認證、LDAP/AD域）兩種認證渠道，在保證安全防范操作的同時，提高了用戶操作的靈活性與便捷性，更體現出系統強大的兼容性與擴展性。

第三，運維中實時監控——桌面監控

本方案提供代理、旁路偵聽等多種會話訪問管理方式，能夠積極、主動、直接地實現對數據中心運維人員業務操作行為的安全管控。對于核心業務操作或關鍵目標設備，運維人員通過監控窗口可以實現單臺或多臺設備桌面的實時在線監看，并支持多路監視畫面矩陣窗口輪巡切換播放，監看過程中如發生異常或違規操作，運維人員可立即切換至設備接管狀態，通過強制“中斷”結束非法會話。方案采用對訪問會話過程實時監看、非法操作及時阻斷的操作策略，有效將數據中心網內操作引起的安全風險扼殺于萌芽狀態，從根本上杜絕了危害的擴張與蔓延。

第四，運維后操作審計——安全審計

本方案支持對WEB管理平臺內一切運維行為（如協議類運維、WEB訪問、客戶端訪問以及數據庫訪問等）的遠程圖形化安全審計，會話過程中所有的操作步驟和操作細節均以錄像形式呈現給數據中心審計人員。同時支持關鍵字定位、數據庫關鍵語句與審計錄像關聯回放，實現運維操作過程的快速定位、精確跟蹤以及真實重現，有助于審計人員對非法運維操作節點的排查及故障責任的追溯，促進數據中心實現運維安全管理的精細化、規范化。

通過本方案的應用，能夠最大程度滿足用戶在不同維度的內網安全需求，減輕用戶的內網運維審計操作復雜度和工作強度，保障大型數據中心和各類企事業單位運維安全，將隱患消滅于無形。

關鍵字：內網安全