技术干货 | 数据安全：如何提升企业运维安全

当今互联网技术不断更新换代，也带来了各种各样的安全隐患。而如何保障企业数据的安全，也成了IT运维工作的生命线。一次偶然的机会与一位珠宝行业CIO（A总）聊起运维安全的话题，令我记忆深刻。

记得当时去拜访A总，交流到IT运维人员如何管理问题，于是有了下面番对话。

据有关权威机构统计，运维安全突出问题如下：

? 87% 的内部事故都源于特权用户

? 许多事故是玩忽职守所致：

? 更改管理流程

? 违反使用制度

? 还有一些事故是精心策划的：

?  报复 (84%)

? “蓄意破坏” (92%)

? 无论有意还是无意，事故的代价都不容忽视：

? 内部攻击成本占到年毛收入的6%

? 仅美国就高达 4000 亿美元

? 政府关于安全监管，行业安全法规要求：

? SOX法案

? 网络安全法

? 国家等保

针对运维安全管控，应当满足以下五个维度的目标：

一个成熟的运维安全解决方案，应当实现对自然人的管控，强化对特权账号的管理。

运维安全管理平台应当包括：

特权管理——由运维管理系统统一接管企业中所有的特权账号，进行集中化管理。

统一认证——通过不同强度的认证策略，提升安全等级。

身份及账号管理——维护身份信息，主从账号单独管理。

集成接口——对于各类资源、不同接口进行适配接入。

安全审计——从安全管控监督，对不同行为进行审计。

从提高IT运维管理效率的角度来看：

1. 减少企业运维成本；

2. 集中管理运维设施，减少安全漏洞；

3. 集中存储、保护设备特权账号及密码、实现统一认证和单点登录，提高运维人员工作效率；

4. 逐级审批，做到特权权限收放可控；

5. 细粒度的权限访问控制、集中审计，做到有依可查；

6. 集中管理、集中授权、分权管理。

从法律法规角度来看：

1. 遵守Sarbanes-Oxley法案第404条款要求加强企业内控管理；

2. 遵从国内《企业内部控制规范》、《国家信息安全等级保护管理规定》关于内部管理、项目和投资管理控制和审计要求；

3. 减少企业IT环境中的缺陷，建立强健的安全策略；

4. 实现一个主动、端到端的IT法规从性计划，以提供更安全的IT安全性。