當(dāng)今互聯(lián)網(wǎng)技術(shù)不斷更新?lián)Q代,也帶來了各種各樣的安全隱患����。而如何保障企業(yè)數(shù)據(jù)的安全,也成了IT運維工作的生命線����。一次偶然的機會與一位珠寶行業(yè)CIO(A總)聊起運維安全的話題,令我記憶深刻����。
記得當(dāng)時去拜訪A總,交流到IT運維人員如何管理問題����,于是有了下面番對話。
A總:我們公司的運維負責(zé)人����,是在公司工作10年的老人了����,十分忠誠����。我們把服務(wù)器、數(shù)據(jù)庫����、生產(chǎn)環(huán)境的所有最高級別的賬號密碼交給他是十分放心的。
我:那如果負責(zé)人由于一些不可抗力的因素����,導(dǎo)致變動,您想過如何應(yīng)對嗎����?
A總不語,思索片刻����,緩緩道來:你說的問題正是我的擔(dān)憂,我們一直在用“人性”進行管理����,不過除了無條件相信����,好像也并不能做什么...
2019年初����,深圳市螃蟹網(wǎng)絡(luò)科技有限公司的一則《告游戲行業(yè)全體同仁書》在網(wǎng)絡(luò)流傳����。文章中,螃蟹網(wǎng)絡(luò)創(chuàng)始人尹柏霖控訴稱����,其前員工燕飛宏在游戲上線測試當(dāng)天,鎖死服務(wù)器與電腦����,并惡意失蹤,最終導(dǎo)致項目失敗����。作為項目創(chuàng)始人的尹柏霖,也淪為負債百萬的打工仔����。
新華社:北京某公司的軟件工程師徐某����,因公司未能如約結(jié)清工資心生怨恨����,便利用自己安插在后面文件的代碼,將公司數(shù)據(jù)全部刪除����,直接經(jīng)濟損失26.5萬元,后來被公司發(fā)現(xiàn)并報警����。徐某因為破壞計算機信息系統(tǒng)罪,被判處有期徒刑5年����。
威尼達計算機數(shù)據(jù)軟件公司報案,稱該公司的數(shù)據(jù)庫頻繁遭黑客入侵����,大量公司的數(shù)據(jù)庫資料和軟件商品被惡意刪除。
據(jù)悉����,威尼達公司自創(chuàng)建以來����,曾多次發(fā)生黑客攻擊事件����,隨后該公司通過加密手段和硬件防火墻攔截����,已經(jīng)基本阻斷了黑客入侵的可能性。此次公司數(shù)據(jù)庫再次遭到入侵����,且很多數(shù)據(jù)和正在編程中的軟件商品被刪除,公司高層初步懷疑很有可能是內(nèi)鬼作案����,于是向警方報案,并提供了公司技術(shù)人員資料����。
意大利網(wǎng)絡(luò)警察通過技術(shù)分析和調(diào)查,很快鎖定了犯罪嫌疑人是該公司一名離職不久的 45 歲計算機工程師����、軟件程序員����。警方在對其進行網(wǎng)絡(luò)監(jiān)控和調(diào)查取證后����,抓捕了犯罪嫌疑人。
警方審訊時����,涉案嫌疑人對自己的犯罪事實供認不諱。他表示����,由于遭到解雇對公司產(chǎn)生了不滿情緒,便利用在職時所掌握的服務(wù)器權(quán)限和網(wǎng)絡(luò)漏洞����,開始登錄公司數(shù)據(jù)庫。疑犯否認盜取公司數(shù)據(jù)資料����,稱刪除數(shù)據(jù)和軟件商品,主要是想對公司進行報復(fù)。
據(jù)有關(guān)權(quán)威機構(gòu)統(tǒng)計����,運維安全突出問題如下:
? 87% 的內(nèi)部事故都源于特權(quán)用戶
? 許多事故是玩忽職守所致:
? 更改管理流程
? 違反使用制度
? 還有一些事故是精心策劃的:
? 報復(fù) (84%)
? “蓄意破壞” (92%)
? 無論有意還是無意,事故的代價都不容忽視:
? 內(nèi)部攻擊成本占到年毛收入的6%
? 僅美國就高達 4000 億美元
? 政府關(guān)于安全監(jiān)管����,行業(yè)安全法規(guī)要求:
? SOX法案
? 網(wǎng)絡(luò)安全法
? 國家等保
針對運維安全管控,應(yīng)當(dāng)滿足以下五個維度的目標(biāo):
一個成熟的運維安全解決方案����,應(yīng)當(dāng)實現(xiàn)對自然人的管控,強化對特權(quán)賬號的管理����。
運維安全管理平臺應(yīng)當(dāng)包括:
特權(quán)管理——由運維管理系統(tǒng)統(tǒng)一接管企業(yè)中所有的特權(quán)賬號����,進行集中化管理。
統(tǒng)一認證——通過不同強度的認證策略����,提升安全等級。
身份及賬號管理——維護身份信息����,主從賬號單獨管理����。
集成接口——對于各類資源����、不同接口進行適配接入。
安全審計——從安全管控監(jiān)督����,對不同行為進行審計。
從提高IT運維管理效率的角度來看:
1. 減少企業(yè)運維成本����;
2. 集中管理運維設(shè)施,減少安全漏洞����;
3. 集中存儲、保護設(shè)備特權(quán)賬號及密碼����、實現(xiàn)統(tǒng)一認證和單點登錄,提高運維人員工作效率����;
4. 逐級審批����,做到特權(quán)權(quán)限收放可控����;
5. 細粒度的權(quán)限訪問控制、集中審計����,做到有依可查;
6. 集中管理����、集中授權(quán)、分權(quán)管理����。
從法律法規(guī)角度來看:
1. 遵守Sarbanes-Oxley法案第404條款要求加強企業(yè)內(nèi)控管理����;
2. 遵從國內(nèi)《企業(yè)內(nèi)部控制規(guī)范》、《國家信息安全等級保護管理規(guī)定》關(guān)于內(nèi)部管理����、項目和投資管理控制和審計要求����;
3. 減少企業(yè)IT環(huán)境中的缺陷����,建立強健的安全策略;
4. 實現(xiàn)一個主動����、端到端的IT法規(guī)從性計劃,以提供更安全的IT安全性����。
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認證IDA
細粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測API-SD
API管理平臺APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問管理PAM
數(shù)據(jù)庫訪問管理CQ
數(shù)據(jù)治理平臺PDMP
一體化零信任
運維安全
數(shù)據(jù)安全治理
遠程辦公安全
國產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺
數(shù)字化員工門戶
熱門文章
7*24小時服務(wù)
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認證
滬公網(wǎng)安備 31011502012922號