近年来,国家对信息化安全建设的重视程度越来越高,特别是政府单位,更是网络安全部门重点监控对象。而在信息化安全建设过程中,大多数单位只重视来自网络外部的威胁,而忽略了来自内部员工或第三方服务公司违规操作带来的安全问题。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于内部人员的违规操作却无能为力。
2016年公安部破获了国内某银行支行领导倒卖征询账户进而牟利的“5.26侵犯公民个人信息案”案件;2016年5月,山东菏泽警方侦破一起定制型贩卖个人信息案,抓获嫌疑人29名,其中包括银行员工2人,交易个人信息共计200余万条;2017年3月公安部破获了一起盗卖公民信息的特大案件,50亿条公民信息遭到泄漏,而嫌疑犯被传是国内某著名电商网络安全部员工,与黑客长期相互勾结,据公安部披露,犯罪嫌疑人郑某鹏利用该电商网络安全部员工这一身份,长期监守自盗,与黑客相互勾结,为黑客攻入网站提供重要信息,包括物流信息、交易信息、个人身份等等。犯罪嫌疑人郑某鹏在加入xxx东之前曾在国内多家知名互联网公司工作,其泄露的50亿条公民信息中,可能包含多家互联网公司的用户信息。
从以上案例及中国国家信息安全测评中心调查结果可以看出,信息安全的现实威胁主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过70%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。另据国外Ponemon公司2016年颁布的研究资料表明在已确认的874起数据泄露安全事件中有568起是由内部人员或合同承包商引起的,85起是外部人员使用偷窃的凭证,191起是由恶意的内部人员和犯罪分子引起。因此,在构建企业信息安全综合体系过程中,内部安全防护是非常重要的一环,今天我们就从构建企业内部安全防护体系中的内部及外部维护人员操作控制及审计来谈一谈“运维堡垒机”的作用。
传统的运维方式,是内部运维人员通过PC远程桌面或telnet/SSH 工具登陆到服务器、数据库、网络设备上进行维护操作。这种方式最直接的缺点就是操作过程无记录,出了事故无法回溯,无法追责。而无论是政府部门还是企业,在信息化发展过程中,不可避免的会引入外部公司来进行相关系统的开发和建设,在建设和后期的维护过程中,如何有效地监控设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。严格的规章制度只能约束一部分人的行为,只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行。
运维堡垒机的作用就是针对业务环境下的用户进行运维操作控制和审计。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人—资源—资源账号”对应关系,实现自然人对资源的统一授权,同时,对授权人员的运维操作进行记录、分析、展现,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强内部业务操作行为监管、避免核心资产(服务器、网络设备、安全设备等)损失、保障业务系统的正常运营。
常见运维堡垒机技术架构
常见运维堡垒机主要提供以下功能来确保运维工作满足合规性要求,顺利通过IT审计,同时有效减少核心信息资产的破坏和泄漏风险,有效控制运维操作风险,便于事后追查原因与界定责任,实现独立审计与三权分立,完善IT内控机制
1. 系统权限管理
系统级管理员,包括:系统帐号管理员、系统管理员、系统审计员。主要实现对堡垒机系统级别的操作,并且实现了等保要求的三权分立。
2.用户认证和单点登陆
在信息系统的运维操作过程中,经常会出现多名维护人员共用设备(系统)账号进行远程访问的情况,从而导致出现安全事件无法清晰地定位责任人。堡垒机支持为每一个运维人员创建唯一的运维账号(主账号),运维账号是获取目标设备访问权利的唯一账号,进行运维操作时,所有设备账号(从账号)均与主账号进行关联,确保所有运维行为审计记录的一致性,从而准确定位事故责任人,弥补传统网络安全审计产品无法准确定位用户身份的缺陷,有效解决账号共用问题。同时常见堡垒机还支持单点登陆功能,运维人员一次登陆,即可访问所有目标资源,无需二次输入用户名、口令信息。
3. 自动改密管理
常见堡垒机系统支持自动定期修改Linux、Unix、Windows、AIX以及Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL的内置自身账号密码。避免运维人员长期不修改系统账号密码,减轻运维人员负担。
4.访问授权管理
常见堡垒机支持通过集中统一的访问控制和细粒度的命令级授权策略,确保每个运维用户拥有的权限是完成任务所需的最合理权限。
5. 二次审批
常见运维堡垒机系统支持根据需求对特殊访问与操作进行二次审批功能,该功能可以进一步加强对第三方人员访问或关键设备访问操作的控制力度,确保所有访问操作都在实时监控过程中进行。二次审批功能支持对特殊指令执行进行审批。运维人员操作过程中触发命令策略,需要得到管理员的审批后才能继续执行后续操作。
6. 告警与阻断
常见运维堡垒机系统支持根据已设定的访问控制策略,自动检测日常运维过程中发生的越权访问、违规操作等安全事件,系统能够根据安全事件的类型、等级等条件进行自动的告警或阻断处理。
禁止未经授权用户访问主机
阻断从异常客户端、异常时间段发起的访问行为
阻断指令黑名单的操作行为
阻断方式支持:断开会话、忽略指令
告警方式支持:
邮件、短信方式实时发送告警信息
7.实时操作系统监控
对于所有远程访问目标主机的会话连接,常见运维堡垒机均可实现操作过程同步监视,运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中,管理员可以随时手工中断违规操作会话。
8. 历史回放
常见运维堡垒机系统能够以视频回放方式,可根据操作记录定位回放或完整重现维护人员对远程主机的整个操作过程,从而真正实现对操作内容的完全审计。
9.审计存储及报表
常见运维堡垒机系统支持满足不用客户审计需求的安全审计报表模板,支持自动或手工方式生成运维审计报告,便于管理员全面分析运维的合规性。支持自动化审计数据存储管理,管理员可以对审计数据进行手工备份、导出,也可以设定自动归档策略进行自动归档。