所謂“代維”,是指企業將自己的IT系統外包給第三方進行包括系統配置、日常運維、系統管理等管理權限的操作。讓專業的人干專業的事,這可以使企業本身從繁重的IT運維中解脫出來。然而,這種基于第三方的運維管理還是多多少少給企業帶來了一些風險,下面筆者通過一則案例來為大家講述代維違規所帶來的安全隱患。
某公安車管系統軟件供應商通過在車管所軟件系統內植入惡意程序,暗中進行著代人刪除交通違章記錄的違規操作。作案者利用為車管所軟件系統提供運維技術支持的便利條件,躲避現場監管,將事先編好的刪除程序輸入,再通過修改公安內網服務器的網絡配置,避開公安內網報警體系,從互聯網遠程入侵公安網絡系統非法刪除車輛違章記錄上萬余條。截止到案發,公安機關查明共計非法刪除交通違章記錄14000余條,涉案金額1800余萬元。
代維面臨的六大挑戰
通過上面案例的描述我們看到,代維確實給用戶帶來了一定的安全隱患,由于用戶對第三方企業的了解不充分,對第三方員工的權限管控力度不足等原因,對于這些本可輕松避免的問題卻力不從心。而試想一下,如果用戶擁有對第三方的運維進行審計和風險控制的能力,就可以在很大程度上避免這一尷尬。
首先我們分析用戶所面臨的運維風險,主要包含了以下幾大方面:一是第三方人員可能利用職務之便隨時登錄用戶的內網和業務系統;二是對權限的控制不夠嚴謹,對于什么人在什么時間可以訪問哪些系統定義模糊;三是監管措施不嚴密,對于熟悉用戶系統的運維老手來說可以很清楚的知道怎樣繞過監管;四是對于運維人員從IT系統上上傳下載文件內容沒有很好的管控措施;五是缺乏更加有效的事后追蹤溯源的能力;六是對于運維人員的非法操作不能做到實時的告警。
下面,就讓我們實際來看一看如何通過運維審計和風險控制來進行更加規范的運維管理,有效杜絕這些安全風險:
規范管理4W模式:通過運維協議代理的方式實現對集中管理、身份認證、權限分配、行為控制、操作審計等功能進行規范管理。
六招抓住代維違規的幕后黑手
No.1:“身份確認”拆招“職務之便”
通過集中身份管理,為每個運維人員分配一個用戶ID,每個用戶ID都是關聯到每個運維人員,運維人員都必須先登錄身份管理平臺后才可以訪問用戶的IT系統。
No.2:“權限控制”拆招“越權操作”
通過細粒度的權限控制手段,實現對運維人員的賬戶授權,未授權的運維人員則無法訪問系統,而且實現對時間范圍的控制,例如上班時間允許訪問,下班時間則禁止訪問。
No.3:“實時監控”拆招“躲避監管”
通過運維操作會話的實時監控,當運維人員在訪問系統時,管理人員可以通過管理平臺對其操作過程進行實時監控,一旦發現違規操作,可以立即切斷其操作行為。
No.4:“文件記錄”拆招“上傳程序”
通過對傳輸的文件進行原始記錄,運維人員無論是上傳/下載還是修改文件,都可以完整的記錄下來,管理人員可以查看文件的原始內容。
No.5:“操作審計”拆招“避開追蹤”
通過更加詳細的審計手段,不放過任何一個信息:起止時間、來源IP、來源用戶、來源MAC、系統IP、系統帳戶、系統MAC、操作視頻、命令記錄、文件記錄等等;用戶可以通過這些關鍵信息進行事后定位追蹤。
No.6:“行為告警”拆招“非法刪違”
通過實時的違規告警,運維人員一旦觸發了修改網絡配置、刪除系統信息等行為,實時告警就會在第一時間通過郵件告知管理人員。
總結的話
當然,我們并不是說所有的第三方代維都存在這樣的問題,但用戶還是需要修煉好“內功”才能更有底氣。安恒信息安全專家建議廣大用戶,打鐵還需自身硬,企業要時刻想著加強自身的安全意識,腦子里要時刻都繃著安全這根弦,只有居安思危才能防患于未然。在提升安全意識的基礎上,通過運維審計和風險管控可在很大程度減少信息泄露的風險。
京公網安備 11010502049343號