在當今信息時代,企業信息系統最大的軟肋,就在內網服務器等后臺系統中的核心數據信息,企業面臨最大信息安全威脅,依然是源自內部人員對于內部網絡資源設備的攻擊,和對于內部機密數據文檔的竊取。
據IDC一份調查統計表明,全球差不多有80%的企業存在著內網信息安全或信息風險問題,在所有被調查的公司中,其曾經產生過得安全隱患和事件中,比例超過60%的,來自于內部人員。
從2004年軟銀“內鬼”泄密軟銀數百萬寬帶用戶個人資料事件,到2007年日本海上自衛隊二等士官泄漏神盾艦情報的事件,各類內網泄密事件,不勝枚舉。近日,香港銀行業又爆出一起泄密丑聞,花旗等6家香港銀行被證實涉嫌泄露客戶資料,令香港輿論一片嘩然。
而就在幾個月前,匯豐銀行15000名私人銀行客戶資料被竊案告破,一位原信息中心的內部員工歷時三年,通過各種機會在內部數據庫中拷貝竊取了客戶資料,直接導致客戶從匯豐銀行轉走存款到41億美元之多,讓匯豐銀行的信譽一落千丈。
圖注:當前企業信息系統運行與維護現狀,使得信息數據泄密渠道增多。
隨著信息化程度的一日千里,信息數據日益成為各企事業單位的核心資產,利益的驅使下,各種泄密事件呈幾何級增長。在這樣日益嚴峻的情況下,如何保護好存儲了企業全部核心機密的系統后臺設備,尤其是如何更好地防范與審計內部管理人員對這些設備的訪問和操作,成為眼下保障內網數據信息安全最根本的環節。
一方面,企業的核心服務器、數據庫、交換機、OA系統等設備資源,本身是企業最重要的信息資產集散地,一旦遭到攻擊、竊取,其后果不堪設想;然而,從目前情況來看,一般企業內網除了統一的整體安全保護體系,例如防火墻、IDS、防病毒、數據庫審計、口令密碼等,基本沒有專門的技術智能化保護措施,針對這些核心資源進行有效保護。
另一方面,雖然日常以高權限訪問這些設備資源的人,不像一般業務系統那么多,但其訪問人群也并不簡單,這些人員可能包括:系統管理員、系統運維人員、系統應用高權限用戶、第三方廠商的維護人員以及其他臨時高權限人員等。最關鍵的是,這些人員本身所擁有最高權限賬號,一旦訪問,如果其有某種主觀的不良意圖,或者因為其某些無意不規范的操作,則都會帶來不可挽回的損失,或者給未來埋下巨大的隱患。
這些隱患所產生的對于企業內部數據安全保障產生的新威脅和挑戰,歸結起來包括以下五個主要的問題。
第一,共享賬號帶來的數據安全問題。在企業內網IT系統管理中,共享賬號是很常見的管理方法,其好處顯而易見,既能節約了帳號管理成本,又降低了本地溢出的風險……但是,隨著IT系統復雜性幾何級提升,共享賬號給數據內控帶來明顯的隱患,這是因為很多人共用一個賬號,就使得帳號不具有唯一性,而且密碼難以有效管理,最關鍵的是一旦有“內鬼”使用該賬號進行數據竊密,責任難以認定到人,這就不符合國家關于信息安全“誰使用,誰負責”的原則。
第二,權限控制帶來的安全隱患。大多數企事業單位的IT運維均采用設備、操作系統自身的授權系統,各系統分別管理所屬的系統資源,為本系統的用戶分配權限,無法嚴格按照最小權限原則分配權限。另外,隨著用戶數量的增加,權限管理任務越來越重,當維護人員同時對多個系統進行維護時,工作復雜度會成倍增加。安全性無法得到充分保證。
第三,訪問控制帶來的安全隱患。目前的常見對系統管理員賬號管理中,沒有一個清晰的訪問控制列表,無法一目了然的看到什么用戶能夠以何種身份訪問哪些關鍵設備,上傳下載了哪些數據文檔,同時缺少有效的技術手段來保證訪問控制策略有效地執行。尤其是針對許多外包服務商、廠商技術支持人員、項目集成商等在對企業核心服務器、網絡基礎設施進行現場調試或遠程技術維護時,無法有效的記錄其操作過程、維護內容,極容易泄露核心機密數據或遭到潛在的惡意的破壞。
第四,系統審計帶來的安全隱患。企業內網各IT系統獨立運行、維護和管理,所以各系統的審計也是相互獨立的。審計的機制、格式和管理都不盡相同,就會帶來各種問題。例如,每個網絡設備,每個主機系統分別進行審計,安全事故發生后需要排查各系統的日志,但是往往日志找到了,也不能最終定位到行為人。
第五,面臨安全合規性法規遵從的壓力。為加強信息系統風險管理,政府、金融、運營商等陸續發布信息系統管理規范和要求,如“信息系統等級保護”、“商業銀行信息科技風險管理指引”、“企業內部控制基本規范”等均要求采取信息系統風險內控與審計。這些法規的要求和遵從,對于大型企業上市或者跨國經營,有著極大的影響。2002年由美國總統布什簽發的薩班斯法案(Sarbanes-Oxley Act)開始生效。其中要求企業的經營活動,企業管理、項目和投資等,都要有控制和審計手段。因此,管理人員需要有有效的技術手段和專業的技術工具和安全產品按照行業的標準來做細粒度的管理,真正做到對于內部網絡的嚴格管理,可以控制、限制和追蹤用戶的行為,判定用戶的行為是否對企業內部網絡的安全運行帶來威脅。
綜上所述,隨著信息化的發展,企事業單位IT系統不斷發展,網絡規模迅速擴大,設備數量激增,建設重點逐步從網絡平臺轉向深化應用、提升效益為特征的運維階段;IT系統運維與安全管理正逐漸走向融合。面對日趨復雜的IT系統,不同背景的運維人員已經給企業信息系統數據內控和安全運行帶來較大的潛在風險。
如何加固企業內網堡壘的“內防”,建立起穩固的數據內控體系,有效防范打擊“內鬼”,成為近年內國際信息安全業界在數據安全領域的新課題。堡壘機技術,就是在這樣的時代呼喚下,成為數據內控安全舞臺新星。所謂堡壘機,其全稱為“內控堡壘主機”,它綜合了運維管理和安全性的融合,切斷了終端計算機對網絡和服務器資源的直接訪問,而是采用協議代理的方式,接管了終端計算機對網絡和服務器的訪問。形象地說,終端計算機對目標的訪問,均需要經過堡壘主機的翻譯。打了一個比方,內控堡壘主機扮演著看門者的工作,所有對網絡設備和服務器的請求都要從這扇大門經過。因此堡壘機能夠攔截非法訪問,和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目標設備的非法訪問行為。堡壘機技術主要幫助內網信息系統管理者,實現六大方面智能化支撐和高安全性防護,包括:單點登錄、帳號管理、身份認證、資源授權、訪問控制、操作審計。
京公網安備 11010502049343號