为什么要购买运维风险管理系统
运维现状
随着业务范围的不断扩大,各类业务系统不断上线运行。在业务系统应用范围越来越广、数据越来越多的同时,技术运维部门面临的确保系统安全稳定运行的压力也随之增加。目前,技术人员普遍采用共享的系统账号在后台设备上进行频繁的管理和维护操作,然而,复杂的人员结构和系统结构使得技术运维管理面临严峻的挑战。突出的管理难题包括:
1)共享账号难控制:操作人员使用共享账号的同时无法准确识别操作者的身份;
2)设备密码难管理:随着设备数量的增加,密码管理的难度越来越大。要求账号密码足够复杂和定期的修改系统账号密码;
3)操作行为难约束:无法对操作人员的操作行为进行事前主动的控制和约束;
4) 操作过程不透明:无法清晰的展示每个操作者具体的操作过程;
安全挑战
A事前:多人共享使用同一高权限账号进行交叉管理,运维人员身份无法识别,操作风险无法事前预防。
B事中:运维人员的操作过程不可见、不可控,过程中的误操作可能会导致关键业务服务异常或数据丢失,过程中的违规或恶意操作可能会导致敏感信息泄露。
C事后:出现运维事故后,因无相应审计手段,无法快速定位问题根源,无法有效定责。
安全规范
《萨班斯法案》(SOX)
2002年,美国正式颁布了《萨班斯法案》,强调企业的信息技术策略和系统中的内部控制,以及对审计过程存档的要求,即企业的内控活动(不论是人还是机器)的操作流程都必须明白地定义并保存相关记录。
《信息安全等级保护管理办法》
2007年,公安部、国家保密局颁布《信息安全等级保护管理办法》,要求信息系统必须建立并保存各种访问操作日志,包括网络(网络安全审计8.1.2.4)、主机(安全审计8.1.3.3)、应用(安全审计8.1.4.3)。
《企业内部控制基本规范》
2010年,财政部、证监会、审计署、银监会、保监会印发的《企业内部控制应用指引第18号——信息系统》中第十二条明确要求“企业应当建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作。”
银监会制定的《电子银行业务管理办法》、《商业银行信息科技风险管理指引》等发挥制度相继出台《保险公司内部审计指引(试行)》。
《ISO27001标准》
根据《ISO27001标准》,要求必须记录系统管理和维护人员的操作行为。
运维风险管理系统核心目标
1)单点登录:全部运维人员集中通过运维管理系统,来管理后台的服务器、网络设备等资源,同时对运维人员进行统一的身份认证;
2)统一授权:统一部署访问控制和权限控制等策略,保证操作者对后台资源的合法使用,同时实现对高危操作过程的事中监控和实时告警;
3)快速定位问题:必须对操作人员原始的操作过程进行完整的记录,并提供灵活的查询搜索机制,从而在操作故障发生时,快速的定位故障的原因,还原操作的现场;
4) 简化密码管理:实现账号密码的集中管理,通过定期自动改密功能,在简化密码管理的同时提高账号密码的安全性。
客户收益
部署堡垒机后给客户带来的具体收益主要体现在以下三个方面:
1)规范操作管理
借助操作审计功能,帮助用户实现运维过程的彻底透明化;
通过细粒度的权限控制,帮助用户增加运维过程的可控性;
基于自动改密等自动化机制,帮助用户提高运维操作效率;
2)规避操作风险
对于拥有第三方代维厂商的用户,可以帮助用户有效监管代维厂商;
完善责任认定体系;
3)满足法律法规的要求
可以帮助用户满足相关法律法规要求,如萨班斯法案、国家等级保护等。
