En 400-6655-581
5
返回列表
> 资源中心 > 技术干货 | 数据安全:如何提升企业运维安全

技术干货 | 数据安全:如何提升企业运维安全

2020-03-24浏览次数:833

当今互联网技术不断更新换代,也带来了各种各样的安全隐患。而如何保障企业数据的安全,也成了IT运维工作的生命线。一次偶然的机会与一位珠宝行业CIO(A总)聊起运维安全的话题,令我记忆深刻。


记得当时去拜访A总,交流到IT运维人员如何管理问题,于是有了下面番对话。


A总:我们公司的运维负责人,是在公司工作10年的老人了,十分忠诚。我们把服务器、数据库、生产环境的所有最高级别的账号密码交给他是十分放心的。


我:那如果负责人由于一些不可抗力的因素,导致变动,您想过如何应对吗?


A总不语,思索片刻,缓缓道来:你说的问题正是我的担忧,我们一直在用“人性”进行管理,不过除了无条件相信,好像也并不能做什么...


国内外频现信息安全事件


01

2019年初,深圳市螃蟹网络科技有限公司的一则《告游戏行业全体同仁书》在网络流传。文章中,螃蟹网络创始人尹柏霖控诉称,其前员工燕飞宏在游戏上线测试当天,锁死服务器与电脑,并恶意失踪,最终导致项目失败。作为项目创始人的尹柏霖,也沦为负债百万的打工仔。

02

新华社:北京某公司的软件工程师徐某,因公司未能如约结清工资心生怨恨,便利用自己安插在后面文件的代码,将公司数据全部删除,直接经济损失26.5万元,后来被公司发现并报警。徐某因为破坏计算机信息系统罪,被判处有期徒刑5年。

03

威尼达计算机数据软件公司报案,称该公司的数据库频繁遭黑客入侵,大量公司的数据库资料和软件商品被恶意删除

据悉,威尼达公司自创建以来,曾多次发生黑客攻击事件,随后该公司通过加密手段和硬件防火墙拦截,已经基本阻断了黑客入侵的可能性。此次公司数据库再次遭到入侵,且很多数据和正在编程中的软件商品被删除,公司高层初步怀疑很有可能是内鬼作案,于是向警方报案,并提供了公司技术人员资料。

意大利网络警察通过技术分析和调查,很快锁定了犯罪嫌疑人是该公司一名离职不久的 45 岁计算机工程师、软件程序员。警方在对其进行网络监控和调查取证后,抓捕了犯罪嫌疑人。

警方审讯时,涉案嫌疑人对自己的犯罪事实供认不讳。他表示,由于遭到解雇对公司产生了不满情绪,便利用在职时所掌握的服务器权限和网络漏洞,开始登录公司数据库。疑犯否认盗取公司数据资料,称删除数据和软件商品,主要是想对公司进行报复。


运维安全问题聚焦



据有关权威机构统计,运维安全突出问题如下:


? 87% 的内部事故都源于特权用户

? 许多事故是玩忽职守所致:

? 更改管理流程

? 违反使用制度


? 还有一些事故是精心策划的:

?  报复 (84%)

? “蓄意破坏” (92%)


? 无论有意还是无意,事故的代价都不容忽视:

? 内部攻击成本占到年毛收入的6%

? 仅美国就高达 4000 亿美元


? 政府关于安全监管,行业安全法规要求:

? SOX法案

? 网络安全法

? 国家等保



针对运维安全管控,应当满足以下五个维度的目标:



运维安全解决方案



一个成熟的运维安全解决方案,应当实现对自然人的管控,强化对特权账号的管理。



运维安全管理平台应当包括:


特权管理——由运维管理系统统一接管企业中所有的特权账号,进行集中化管理。

统一认证——通过不同强度的认证策略,提升安全等级。

身份及账号管理——维护身份信息,主从账号单独管理。

集成接口——对于各类资源、不同接口进行适配接入。

安全审计——从安全管控监督,对不同行为进行审计。



运维安全价值体现



从提高IT运维管理效率的角度来看:


1. 减少企业运维成本;

2. 集中管理运维设施,减少安全漏洞;

3. 集中存储、保护设备特权账号及密码、实现统一认证和单点登录,提高运维人员工作效率;

4. 逐级审批,做到特权权限收放可控;

5. 细粒度的权限访问控制、集中审计,做到有依可查;

6. 集中管理、集中授权、分权管理。


从法律法规角度来看:


1. 遵守Sarbanes-Oxley法案第404条款要求加强企业内控管理;

2. 遵从国内《企业内部控制规范》、《国家信息安全等级保护管理规定》关于内部管理、项目和投资管理控制和审计要求;

3. 减少企业IT环境中的缺陷,建立强健的安全策略;

4. 实现一个主动、端到端的IT法规从性计划,以提供更安全的IT安全性。