今日頭條
官方微信
官方抖音
資訊頻道1 “雙控管理”背景概述
近幾年,隨著《網絡安全等級保護條例》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《關鍵信息基礎設施安全保護條例》等多項法律法規的相繼出臺,各大型企業因運維操作不當導致的網絡安全事件逐步增多,同時影響面也逐漸擴大,信息系統運維過程中涉及的運維人員操作行為已成為新的安全風險焦點。同時煙草行業工作報告中也多次提到對運行的系統需要制定“雙控管理”措施,即對人員進出機房、運維操作管控提出了相應要求。
2 運維安全隱患剖析
四川中煙運行的業務系統中涉及大量企業生產和經營相關的數據,一旦因為不當的運維操作導致業務系統異常將會對企業的正常運轉造成重大影響。強化IT運維人員的安全意識,消除IT運維過程中存在的安全隱患一直是四川中煙網信部門工作中的重點。
目前各部門在運維過程中缺乏有效控制措施,具體情形可以分為下面兩個方面:
(1)機房出入管控風險:
· 企業數據中心機房是信息化核心重地,沒有做到嚴格的出入機房身份核對和運維過程的全面記錄;
· 運維人員進入機房后人員運動軌跡超過授權范圍,缺乏有效控制和監督運維人員在機房中的運動軌跡和操作行為的措施。
(2)運維操作過程控制風險:
· 企業內部資產承載著大量特權帳號,沒有進行嚴格的權限劃分與訪問認證,管理人員無法進行有效管理;
· 特權賬號存在隨意使用的情況,不同角色人員同時使用高權限賬戶;
· 存在運維帳號共享問題,不能將運維人員與帳號一一對應,開展操作日志與安全事件審查;
· 沒有技術手段可以對運維操作行為進行管控,極有可能因為誤操作出現影響業務系統正常運行的問題。
3 “雙控管理”建設目標及思路
3.1 建設目標
為落實國家和煙草總局相關要求,保障四川中煙人員進出數據機房的行為安全和信息系統的運維過程安全。建設目標主要有以下五點:
(1)落實機房出入管理制度
通過運維流程制度與運維管理系統相結合,機房管理員做到事前運維審批,事后反饋確認的全過程記錄,形成完整的機房出入管理日志,為日后統計和追溯運維事件提供支撐。
(2)門禁及視頻監控結合
通過機房門禁系統和機房視頻監控系統的部署,有效識別、記錄進出機房的人員身份,對運維過程中的人員行動軌跡和操作行為做到全方位的監控。
(3)多因子強身份認證
解決運維賬號被他人盜用或多人共用運維賬號的風險,保證運維人員的操作行為與統一安全運維管理系統記錄的日志具有可追溯性。
(4)建立運維操作行為管控機制
檢測各運維人員的實時運維操作行為,對運維過程中發生的越權訪問、違規操作等安全事件,進行自動的告警、阻斷違規的操作行為。
(5)加強人員身份管控
加強內部人員、外部人員身份的管控,自動對網絡賬號信息梳理,對網絡中人員的身份進行管理,實現運維人員、業務人員身份的合法性,防止離職員工、離職廠家人員對業務數據進行訪問、泄露。
3.2 建設思路
通過建設人員進出管控系統,實現對進出機房運維人員的身份和權限做到最小范圍最小權限的的集中管控,同時實現對進入機房人員的運動軌跡全過程記錄。
通過統一安全運維管理系統,實現對運維人員、資源、資源賬號的集中管理,建立“運維人員賬號—資源—資源賬號”對應關系;實現管理人員對資源的統一授權,同時,對被授權人員的登錄及操作行為進行記錄、分析、展現,做到事前規劃預防,事中實時監控、違規行為告警和預警,事后合規報告、事故追蹤。
統一安全運維管理系統架構圖如圖1所示。
圖1 系統架構圖
· 通過門禁授權管理功能,對機房管理維護人員做到門禁與身份的綁定;
· 通過視頻監控功能,將進入機房范圍內的人員行動軌跡和工作范圍做全方位的監控留痕;
· 通過統一賬號管理功能,對運維人員主賬號和運維系統賬號進行集中管理和數據同步;
· 通過統一認證管理功能,向所有用戶提供多種認證模式,實現登錄統一安全運維管理系統,同時對業務資源登錄賬號提供單點登錄功能;
· 通過統一授權管理功能,對資源進行管理,對所有運維賬號進行授權,并可根據賬號級別做到操作訪問控制;
· 通過綜合審計功能,負責對審計數據進行集中采集和展現,根據審計策略對審計數據進行過濾,對審計到的異常操作行為進行告警;
· 通過雙機熱備[1]部署的方式,在統一安全運維管理系統故障時無需人工干預即可實現業務的不間斷運行,做到安全運維管控系統的服務高可用。
4 “雙控管理”實踐經驗
4.1 “雙控管理”建設方法
四川中煙網信部門的管理者要深刻認識國家相關法律法規政策制度,結合行業及公司管理要求,從意識層面增強對“雙控管理”迫切性、必要性、可行性方面的全盤考慮。找出單位目前在“雙控管理”方面的不足,通過梳理差距分析表,對不達標的能力通過優化、整改、強化等手段補足差距。并根據實際業務發展情況分析補足差距所需的周期,將任務進行拆解,并識別出工作任務的緊急程度,從而有序開展“雙控管理”的能力建設工作,在具體執行和管理過程中同樣要加強跟蹤和管理,分析識別“雙控管理”的落地應用成效,確保管控措施發揮應有功效。
4.2 “雙控管理”的效益
(1)對所有進出機房的運維人員均做到全過程的記錄和留痕。
提升了進出機房流程的規范性,杜絕了非法人員進入機房的可能性,保障了核心IT資產的物理安全性。
(2)對統一安全運維管理系統的運維人員、資產、權限、以及告警信息集中管控。
實現了對運維人員和業務資源服務器、對應人員權限、以及系統告警信息、安全策略等進行集中管理和展現,方便管理人員對運維人員開展相關操作統計和審查。
(3)使用多因子強身份認證,確保了只有合法的用戶才能登錄系統。
統一安全運維管理系統與國密動態口令卡對接,啟用多因子強身份認證,保證了運維人員的合法性,只有通過實名認證后的合法用戶才能登錄到系統中。
(4)對所有運維人員操作進行管控,如:發現高危命令進行阻斷、丟棄和二次審批。
有效避免由于人員操作失誤給業務帶來損失,同時全程審計記錄運維人員的所有操作,當事件發生后可快速溯源、定位、定責。
統一安全運維管理系統最終效果:
(1)非法用戶進不來
· 控人員進出:非授權人員識別告警;
· 控運維操作:身份管理、身份認證(多因子-國密動態口令卡)。
(2)合法用戶管得住
· 控人員進出:人員運動軌跡呈現;
·控運維操作:資源管理、授權管理、運維審計、高危命令管控(增、刪、查、改等高危命令的二次審批、命令阻斷、對話中斷、高危命令告警)、非運維時間登錄告警。
4.3 “雙控管理”取得的經驗
隨著四川中煙信息化應用的迅速發展,信息系統的外協單位人員存在不穩定性,內部的各種業務和經營支撐系統不斷增加,網絡規模也迅速擴大。由于信息系統的運維人員和業務系統的管理人員掌握著系統資源管理的最高權限,存在因維護工作需要出入數據機房的情況,一旦因運維人員的不當操作出現安全問題將會給企業帶來巨大的損失,加強對運維人員操作行為的監管與審計成為信息安全發展的必然趨勢。在此背景之下,四川中煙針對公司總部和各工廠的運維操作、業務管理與審計需求,開展了統一安全運維管理項目建設。通過一套多維度的運維操作管控與審計解決方案,使得管理人員可以對網絡設備、服務器、安全設備、數據庫等資源進行集中賬號管理、細粒度的權限管理和訪問審計,幫助各部門提升內部風險控制水平[2],實現各個系統資源的單點登錄、統一認證、統一授權、審計等信息的集中統一管理。通過人員進出管控系統完成了數據機房出入人員身份鑒別和人員運動軌跡操作行為的集中授權和集中監控。滿足“雙控管理”要求中的“控人員進出”和“控運維操作”。
4.4 運維安全管控方面的思考
將雙控管理的要求嚴格落實到實際業務流程中。在日常運維操作執行中落實安全生產管控流程,確保操作標準規范風險可控。例如,統一身份及授權管理、關鍵業務系統及數據操作審計管理等。在運維安全管控中遵循“最小、必要”原則,通過建立完善的授權管理機制,將用戶和資產、權限進行管控,提前將運維中可能存在的高危操作風險納入系統自動阻斷規則,最大限度降低運維過程中的安全風險。同時也需要對系統的高可用納入考慮范圍,以保障日常運維工作的連續性。
5 結語
隨著國家及行業的法律法規和政策要求的逐步完善,對四川中煙公司的網信工作提出了更高的要求,也指明了新的方向。我們將繼續深入貫徹執行國家及行業相關要求,切實履行職能職責,在已建成的門禁系統和視頻監控系統以及統一安全運維管理系統基礎上,持續完善優化機房出入管理流程和制度,細化對生產環境與測試環境中業務系統的運維管控能力,擴展對數據安全管控的安全建設和信息安全管理制度建設、安全意識教育等工作,助推四川中煙運維管理工作的標準化和數據生命周期的場景化管控,從根本上落實煙草行業的“雙控管理”要求,促進四川中煙“雙控管理”措施的落實到位,保障四川中煙數字化與安全協同的持續發展,實現企業數字化轉型過程中日常運維和數據使用的可視、可控、可信。
參考文獻:
[1] 張劍, 萬里冰, 錢偉中. 信息安全技術(第2版)上冊[M]. 電子科技大學出版社, 2015.
[2] 淺析堡壘機概念及工作原理[EB/OL]. https://www.2cto.com/article/201301/186936.html, 2022 - 2 - 18.
作者簡介:
石 潔(1982-),女,四川成都人,工程師,碩士,現就職于四川中煙工業有限責任公司信息中心,主要研究方向為網絡系統、信息安全系統工程等基礎設施類項目技術方案制定與項目實施,基礎設施系統運行維護與技術支持。
摘自《自動化博覽》2022年4月刊
北京市公安局海淀分局備案號:11010802023656號