信息化系统运维安全管理的技术实践

第棿期总第棾棽椂期

斏旑旑斿旘斖旓旑旓旍旈斸斢斻旈斿旑斻斿斣斿斻旇旑旓旍旓斻旓旑旓旐旂旂旟敠斉旟内蒙古科技与经济

斊斿斺旘旛斸旘棸棻椀旟棽

斘旓棶棿斣旓旚斸旍斘旓棶棾棽椂信息化系统运维安全管理的技术实践

棬棻灡中国铁通集团有限公司内蒙古分公司市场部椈

棭内蒙古呼和浩特暋棸棽灡中国联合网络通信有限公司内蒙古分公司信息化事业部棳棻棸棸棻棸

讨论了堡垒机和安全配置核查产品在技术实践过程中对运维安全管理的启示暎暋暋摘暋要椇关键词椇堡垒机椈配置核查椈运维实践暘棬棭暘暘暋暋中图分类号椇斣斝棾棸椆暋暋文献标识码椇斄暋暋文章编号椇棻棸棸椃椂椆棽棻棽棸棻椀棸棿棸棸棾椀棸棻棻暋信息化运维管理的问题随着电信运营商在企业运营中对信息化系统的依赖程度越来越高棳业务日趋复杂棳网络规模和设备棳数量迅速扩大和增长传统的信息安全问题防护已经比较完善棳但企业内部日趋复杂的系统与不同背景的运维人员的行为给信息系统安全带来很大风险暎内部隐患主要表现在椇多个用户使用同一个账号棳账号的使用范围和责任无法有效控制椈一个用户使用多个主机系统暍网络设备或数据库账号棳工作效率低暍易出错椈缺少统一的权限管理平台棳权限管理棳繁重无序难以实现更细粒度的命令级权限控制椈各网络设备暍主机系统暍数据库没有统一审计策略棳难以及时通过系统自身审计发现违规操作行为和追查取证椈运维人员维护系统的操作是否正确棳系统配置变更后是否安全棳还没有进行快速评估暎棽暋堡垒机对系统配置变更管理和审计堡垒机以维护应用集中发布模式和操作审计方面的革新技术棳并结合瘦客户机和网络安全技术棳提出日常运行维护安全操作中心建议方案棳从整体到细节上防止和杜绝企业核心数据的泄漏棳防患于未然暎堡垒机作为维护接入的集中控制点棳整合多种接入方式棳提供集中接入控制棳在完成对接入用户的身份认证后棳根据事先确定的授权信息棳控制接入用户能够访问的设备棳以及能够使用的应用和服务棳并对接入用户的操作进行记录暎堡垒机实现在复杂的维护环境下有效地对人员的身份进行验证棳并对人员的权限进行合理的管控棳在不对现有网络进行大范围调整的情况下采用应用发布技术规范维护人员的登录工具棳并根据个人文件夹的授权实现敏感数据安全管控暎棾暋系统配置安全核查安全配置核查系统是通过管理员的授权棳以授权的用户身份登录目标系统棳然后对系统的配置进行检查暎安全配置核查系统可以定义各类操作系统暍数据库暍虚拟化平台暍应用服务暍网络设备等产品的配置规范棳然后依照系统配置规范对目标系统进行配置核查棳确保系统配置是满足安全规范要求的暎通过安全配置核查系统棳可以摒弃传统的人工逐一检查棳可以快速地对大规模网络中上百台服务器暍网络设备暍虚拟化平台进行配置核查工作棳降低人工成本和操作复杂度暎但是安全配置核查系统在对系统的配置进行检查时棳需要得到系统的用户名密码暎而使用了堡垒机后棳用户将只知道自己在堡垒机的主账号密码棳而不知道实际登录系统的从账号密码棳这样将无法使用安全配置核查系统对系统进行检查暎棿暋如何实现系统配置变更闭环管理通过堡垒机的使用棳可以有效地对系统配置变棳更进行管理通过安全配置核查系统可以有效地实现系统配置安全性的检查棳但是堡垒机的斏斣系统密码保护机制会阻碍安全配置核查产品发挥作用暎如果两种系统相互配合棳反而可以在系统安全运维中发挥出更大的作用暎由于堡垒机可以管理斏斣系统的账户密码棳如果通过同步机制棳将堡垒机管理的那么安斏斣系统账户密码传递给安全配置核查系统棳全配置核查系统就可以实现其配置核查作用了暎简单的同步操作在实际应用时可以实现系统配置变更的闭环管理暎传统的系统安全运维中棳系统管理员经常会调整系统的配置棳但是这些调整是否合法暍安全棳都是被忽视的地方暎通过堡垒机和安全配置核查系统我们可以有效解决系统配置变更管理的问题暎系统管理员收到运维需求后棳在堡垒机中按照运维需求对斏整个配斣系统的配置进行调整棳暎置变更的全过程由堡垒机进行全程审计堡垒机将在系斏斣系统的账户密码同步给安全配置核查系统棳统管理员完成配置变更后棳由安全配置核查系统对检查修改后的系统配置是否斏斣系统进行配置核查棳符合现有的安全规范暎如果发现有不符合安全规范的地方棳则可以在安全配置核查产品中进行告警棳并且在出具的检查报告中体现暎安全管理员可以及时发现系统配置异常情况棳并通过堡垒机的审计信息定位到修改配置的人员暎在定位到运维人员与不合规配置项后棳安全管理员可以对运维人员进行追责棳要求其整改棳整改过程也是系统配置变更过程棳依旧在堡垒机和配置核查系统中受到监控和审计暎当系统整改完成棳整斏斣系统全部配置符合安全规范后棳个配置变更运维的过程才算完成闭环暎椀暋结束语通过堡垒机和安全配置核查系统的配合使用棳可以实现暟系统运维暘运维审计暘运维核查暘整改追责暠整个系统安全运维过程的闭环管理棳有效地实现对运维人员的监督管理以及对系统的配置管理暎通过上述介绍可以看出棳互相冲突阻碍的产品棳通过互相间取长补短暍强强联合棳可以发挥出原有单一产品不具备的安全功能暎可见棳在信息安全领域棳只要棳能够合理地利用安全设备的功能特点灵活组合棳就可以获得更强的安全管理能力棳实现更好的安全管理效果暎椲参考文献椵椲椵毕丽灡构建信息化安全运维管控平台棻暋刘耀棳椲椵棳棬棭斒灡内蒙古科技与经济棳棽棸棻棿棻椆灡刘暋耀棽毕暋丽棻棳

.com.cn. All Rights Reserved.暋暋收稿日期椇棽棸棻椀棴棸棻棴棻椂

棳作者简介椇毕丽棬女棳学士学位棳通信工程师棳从事过计费账务暍营业系统管理暍棻椆椄棻棴棭棽棸棸棿年本科毕业于西安邮电大学棳

集团客户支撑和维系等工作棳目前主要从事市场营销管理工作暎

棳刘耀棬男棳软件工程硕士学位棳通信工棻椆椄棽棴棭棽棸棸棿年本科毕业于西安邮电大学棳棽棸棸椂年毕业于大连理工大学棳

程师棳主要从事通信运营商业务支撑系统建设暍管理和维护工作暎斚旘斸斻旍斿斈斅斄棳

暏棾椀暏