一、帶外運維的風險所在
帶外管理大量應用于設備的初始配置、設備的升級、設備的故障維護。帶外管理使用網線或串口線連接被管理設備,管理設備(如筆記本)通過telnet、SSH、FTP等軟件對被運維設備進行管理。
帶外管理主要應用場景是在計算機機房對設備進行管理,在這種情況下,機房中的核心設備直接暴露在運維人員面前,沒有任何安全監控、安全防護措施;而且核心設備自身也比較脆弱,由于服務器承載著重要業務,一般都不會安裝殺毒軟件和及時打補丁。
在這種情況下,運維人員在不同網絡交叉使用的筆記本或移動存儲介質,如果感染惡意代碼,則很快會在核心服務器區域傳播開來,造成信息系統核心資產和業務應用的損失。其次,現場運維人員所做的配置工作,都是IT基礎設施關鍵的配置,如果配置失誤或惡意配置核心設備,都會給信息系統帶來嚴重的安全隱患。再次,運維人員在現場運維的過程中,免不了要進行數據的上傳和下載,如何保證其上傳和下載的數據是干凈的、授權允許的、非敏感的?
因此,盡管通過帶外管理設備的頻率比較低,但造成的風險幾率遠遠大于通過帶內進行管理的風險;而且,一旦發生安全事件,直接遭到破壞的是核心資產和核心業務,會造成嚴重的損失。
二、帶外管理安全解決方案
目前,啟明星辰推出的現場運維審計與管理系統綜合采用了安全隔離技術、數據擺渡技術、網絡行為審計技術等技術,具有運維行為審計、運維設備隔離、運維數據管理、運維人員管理等功能。可以幫助客戶解決如下問題:
(一)解決現場運維管理與技術漏洞
現場運維管理無論在管理上,還是在技術上,都長期存在監控不到的漏洞,通過現場運維審計與管理系統,不僅可以對運維人員進行管理,還可以對運維行為進行安全隔離和全程記錄,對現場運維安全形成完整的閉環。
(二)落實國家和行業對現場運維的要求
現場運維是工業控制系統引入風險的主要原因之一,如何對工業控制系統現場運維人員進行有效的安全管理,在技術上一直是個空白。同時,工信部協[2011]451號《關于加強工業控制系統信息安全管理的通知》,也對現場運維安全提出了具體的要求。也就是說,現場運維審計與管理系統,不僅可以解決運維安全管理上技術措施的空白,而且可以落實國家的要求。
(三)落實IT系統對運維人員的管理要求
信息系統安全等級保護和涉密信息系統安全分級保護,都對現場運維管理提出了要求。但沒有承載現場運維安全管理的技術,那么現場運維管理就不能夠很好的落地,對操作人員的人工審計也是不客觀的,借助現場運維審計與管理系統可以有效落實IT系統對運維分域的管理要求。
(四)促進行業現場運維管理規范的落地
管理措施再全面細致,沒有相應的技術手段來支撐,也很難有效落地。那么現場運維管理同樣面臨著這樣的困境,運維人員的現場操作,在某些行業需要安排專人進行監督,如此操作一方面不人性化,另一方面也不客觀。那么通過現場運維審計與管理系統,使現場運維管理可以有效的執行。
現場運維審計與管理系統可以廣泛應用于軍工、軍隊、電信運營商、銀行、交通、涉密行業、央企重要生產企業等行業。針對帶外運維的安全風險,給予了全面的解決。
三、總結
從整個安全防御體系來看,帶外管理安全屬于比較小的安全范疇,但帶來的安全威脅,已經成為軍工、電力、電信運營商、工業控制系統等封閉系統引入風險的重要途徑之一。啟明星辰公司秉承誠信和創新精神,繼續致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業第一品牌而不懈努力。
京公網安備 11010502049343號