【摘 要】为提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,需要对企业业务现状、安全风险进行分析。以此为基础,可进一步对公司业务风险和安全隐患采取补救措施,加固其应用系统的安全性。本文分析了安徽鸿联业务系统在运维过程中存在的安全隐患和风险。对其他企事业单位来说,也具有一定的普遍性。
【关键词】 安全审计 运维 安全风险 身份认证 授权
1 安徽鸿联物流有限公司业务系统现状
随着网络的快速发展,安徽鸿联物流有限公司的业务系统日益增加,面对大量的设备,如何提高网络系统的运维效率成为目前的一大难题。目前安徽鸿联物流有限公司内部日常运维的安全现状如下。
(1)针对核心服务器缺乏必要的审计手段,仅能通过监控录像、双人分段或专人保存密码、操作系统日志结合手工记录操作日志等管理办法,无法追溯操作人员在服务器上的操作过程、了解操作人员行为意图,并且这样的管理成本很高,很难做到长期照章执行。
(2)对服务器的维护和管理依赖于操作系统的口令认证,口令具有可被转授、被窥探及易被遗忘等弱点,另外,在实际环境中还存在经常使用Root权限帐户而导致授权不方便等现象,使得管理困难,成本较高。
(3)针对许多外包服务商、厂商技术支持人员、项目集成商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效的记录其操作过程、维护内容,极容易泄露核心机密数据或遭到潜在的恶意破坏。
随着应用系统的不断增加,运维系统安全风险也会不断暴露出来。由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响业务的运行效能,并对安徽鸿联物流有限公司的声誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限,闯入部门或整个单位内部网络,造成不可估量的损失。安徽鸿联物流有限公司的支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系,用户为了方便登陆,经常出现多人共用帐号的情况。多人同时使用一个系统帐号在带来方便性的同时,导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员,会使这个帐号的安全无法保证。由于共享帐号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员,带来了密码管理的复杂化。
如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为企事业单位关心的问题。
2 安徽鸿联物流有限公司业务系统运维安全风险分析
2.1 传统的运维模式中人员和账号的管理带来的安全隐患
安徽鸿联物流有限公司的业务支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系,用户为了方便登陆,经常出现多人共用帐号的情况。
多人同时使用一个系统帐号在带来方便性的同时,导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员,会使这个帐号的安全无法保证。
由于共享帐号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员,带来了密码管理的复杂化。
如图1所示,账号的共享或一人使用多个账号会导致整个运维管理过程的复杂混乱。由于整个运维过程的不定因素太多,使得整个运维过程不可控。不仅仅给运维人员带来了巨大的麻烦,而且让管理人员也无法准确的定位责任人,如果公司长期的在这种传统的运维模式下运维,将会给公司带来巨大的损失,甚至还无法追究责任,所以我们要建立新的运维模式和运维理念。
2.2 授权不清晰引发的问题
再优秀的管理者也不可能做完所有的事情,因此,一个优秀的管理者必须学会授权,并且要避免因授权不当而带来的管理混乱。
管理者如何进行授权,是安徽鸿联物流有限公司管理的一个深刻命题。做过管理的人都应该知道,授权在安徽鸿联物流有限公司网络系统管理中是非常重要的。但是,很多管理者在授权时,要么顾虑重重,对谁也不放心;要么授权不当,缺乏监督制度,造成管理混乱。 这在IT运维中也存在着类似的问题,所以让每个运维人员在自己责任范围内正确安全的使用自己的每一个权限十分重要。
而往往在传统的运维模式中,授权是不清晰的,例如:运维人员登录的某台服务器或者某个核心交换机等关键性设备的时候,他将拥有很大的或者是超越自己权限范围的权限,同时他也可以做一些越权的操作,比如是重启或是其他的敏感操作。也许他的操作是恶意或是无意,但是都将引发不可估量或者无法挽回的后果。
面对以上传统运维模式中授权不清晰引发的问题,我们要足够的重视,在一个理想的运维模式中,我们需要对运维人员的权限或者是访问的权限进行精确的定位。
2.3 运维人员操作过程的审计
各系统独立运行、维护和管理,所以各系统的审计也是相互独立的。每个网络设备,每个主机系统分别进行审计,安全事故发生后需要排查各系统的日志,但是往往日志找到了,也不能最终定位到行为人。
另外各系统的日志记录能力各不相同,例如对于Unix系统来说,日志记录就存在以下问题:
Unix系统中,用户在服务器上的操作有一个历史命令记录的文件,但是root用户不仅仅可以修改自己的历史记录,还可以修改他人的历史记录,系统本身的历史记录文件已经变的不可信;无法记录操作人员、操作时间、操作结果等。
2.4 缺乏身份认证及识别机制
管理者为了保护重要系统的安全,实施了双人分段管理密码、操作系统与数据库管理人员的权限分离、禁止混岗等策略,但实际工作中难免有工作或账户使用交叉情况出现,存在着无法对自然人身份的强制识别和认证风险。
2.5 传统网络安全审计系统无法满足的运维审计和管理要求
2.5.1 无法审计运维加密协议、远程桌面内容
为了加强信息系统风险内控管理,一些用户已部署网络安全审计系统,希望达到对运维人员操作行为监控的目的。由于传统网络安全审计的技术实现方式和系统架构(主要通过旁路镜像或分光方式,分析网络数据包进行审计),导致该系统只能对一些非加密的运维操作协议进行审计,如telnet;却无法对维护人员经常使用的SSH、RDP等加密协议、远程桌面等进行内容审计,无法有效解决对运维人员操作行为的监管问题。
2.5.2 基于IP的审计,难以准确定位责任人
大多数网络安全审计系统,只能审计到IP地址,难以将IP与具体人员身份准确关联,导致发生安全事故后,如何追查责任人,反而又成为新的难题。
3 安徽鸿联物流有限公司业务系统运维安全需求分析
外网安全只是安全的一个层面,要保障安徽鸿联物流有限公司整个信息系统安全,光有外网安全是不够的,根据资料统计,在对单位造成严重损害的案例中,有70%是组织里的内部人员所为。安徽鸿联物流有限公司的网络环境都比较复杂,网络设备、安全设备、服务器和各类应用众多,同时,管理维护这些设备和应用的人员也很多,并且关系复杂,有单位内部人员,外部人员,第三方运维人员,临时介入的应用管理员等。要方便有效的统一管理这些设备和用户,需要有一个强大的运维安全审计平台,有效解决运维安全管理问题。
【摘 要】为提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,需要对企业业务现状、安全风险进行分析。以此为基础,可进一步对公司业务风险和安全隐患采取补救措施,加固其应用系统的安全性。本文分析了安徽鸿联业务系统在运维过程中存在的安全隐患和风险。对其他企事业单位来说,也具有一定的普遍性。
【关键词】 安全审计 运维 安全风险 身份认证 授权
1 安徽鸿联物流有限公司业务系统现状
随着网络的快速发展,安徽鸿联物流有限公司的业务系统日益增加,面对大量的设备,如何提高网络系统的运维效率成为目前的一大难题。目前安徽鸿联物流有限公司内部日常运维的安全现状如下。
(1)针对核心服务器缺乏必要的审计手段,仅能通过监控录像、双人分段或专人保存密码、操作系统日志结合手工记录操作日志等管理办法,无法追溯操作人员在服务器上的操作过程、了解操作人员行为意图,并且这样的管理成本很高,很难做到长期照章执行。
(2)对服务器的维护和管理依赖于操作系统的口令认证,口令具有可被转授、被窥探及易被遗忘等弱点,另外,在实际环境中还存在经常使用Root权限帐户而导致授权不方便等现象,使得管理困难,成本较高。
(3)针对许多外包服务商、厂商技术支持人员、项目集成商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效的记录其操作过程、维护内容,极容易泄露核心机密数据或遭到潜在的恶意破坏。
随着应用系统的不断增加,运维系统安全风险也会不断暴露出来。由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响业务的运行效能,并对安徽鸿联物流有限公司的声誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限,闯入部门或整个单位内部网络,造成不可估量的损失。安徽鸿联物流有限公司的支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系,用户为了方便登陆,经常出现多人共用帐号的情况。多人同时使用一个系统帐号在带来方便性的同时,导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员,会使这个帐号的安全无法保证。由于共享帐号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员,带来了密码管理的复杂化。
如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为企事业单位关心的问题。
2 安徽鸿联物流有限公司业务系统运维安全风险分析
2.1 传统的运维模式中人员和账号的管理带来的安全隐患
安徽鸿联物流有限公司的业务支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系,用户为了方便登陆,经常出现多人共用帐号的情况。
多人同时使用一个系统帐号在带来方便性的同时,导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员,会使这个帐号的安全无法保证。
由于共享帐号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员,带来了密码管理的复杂化。
如图1所示,账号的共享或一人使用多个账号会导致整个运维管理过程的复杂混乱。由于整个运维过程的不定因素太多,使得整个运维过程不可控。不仅仅给运维人员带来了巨大的麻烦,而且让管理人员也无法准确的定位责任人,如果公司长期的在这种传统的运维模式下运维,将会给公司带来巨大的损失,甚至还无法追究责任,所以我们要建立新的运维模式和运维理念。
2.2 授权不清晰引发的问题
再优秀的管理者也不可能做完所有的事情,因此,一个优秀的管理者必须学会授权,并且要避免因授权不当而带来的管理混乱。
管理者如何进行授权,是安徽鸿联物流有限公司管理的一个深刻命题。做过管理的人都应该知道,授权在安徽鸿联物流有限公司网络系统管理中是非常重要的。但是,很多管理者在授权时,要么顾虑重重,对谁也不放心;要么授权不当,缺乏监督制度,造成管理混乱。 这在IT运维中也存在着类似的问题,所以让每个运维人员在自己责任范围内正确安全的使用自己的每一个权限十分重要。
而往往在传统的运维模式中,授权是不清晰的,例如:运维人员登录的某台服务器或者某个核心交换机等关键性设备的时候,他将拥有很大的或者是超越自己权限范围的权限,同时他也可以做一些越权的操作,比如是重启或是其他的敏感操作。也许他的操作是恶意或是无意,但是都将引发不可估量或者无法挽回的后果。
面对以上传统运维模式中授权不清晰引发的问题,我们要足够的重视,在一个理想的运维模式中,我们需要对运维人员的权限或者是访问的权限进行精确的定位。
2.3 运维人员操作过程的审计
各系统独立运行、维护和管理,所以各系统的审计也是相互独立的。每个网络设备,每个主机系统分别进行审计,安全事故发生后需要排查各系统的日志,但是往往日志找到了,也不能最终定位到行为人。
另外各系统的日志记录能力各不相同,例如对于Unix系统来说,日志记录就存在以下问题:
Unix系统中,用户在服务器上的操作有一个历史命令记录的文件,但是root用户不仅仅可以修改自己的历史记录,还可以修改他人的历史记录,系统本身的历史记录文件已经变的不可信;无法记录操作人员、操作时间、操作结果等。
2.4 缺乏身份认证及识别机制
管理者为了保护重要系统的安全,实施了双人分段管理密码、操作系统与数据库管理人员的权限分离、禁止混岗等策略,但实际工作中难免有工作或账户使用交叉情况出现,存在着无法对自然人身份的强制识别和认证风险。
2.5 传统网络安全审计系统无法满足的运维审计和管理要求
2.5.1 无法审计运维加密协议、远程桌面内容
为了加强信息系统风险内控管理,一些用户已部署网络安全审计系统,希望达到对运维人员操作行为监控的目的。由于传统网络安全审计的技术实现方式和系统架构(主要通过旁路镜像或分光方式,分析网络数据包进行审计),导致该系统只能对一些非加密的运维操作协议进行审计,如telnet;却无法对维护人员经常使用的SSH、RDP等加密协议、远程桌面等进行内容审计,无法有效解决对运维人员操作行为的监管问题。
2.5.2 基于IP的审计,难以准确定位责任人
大多数网络安全审计系统,只能审计到IP地址,难以将IP与具体人员身份准确关联,导致发生安全事故后,如何追查责任人,反而又成为新的难题。
3 安徽鸿联物流有限公司业务系统运维安全需求分析
外网安全只是安全的一个层面,要保障安徽鸿联物流有限公司整个信息系统安全,光有外网安全是不够的,根据资料统计,在对单位造成严重损害的案例中,有70%是组织里的内部人员所为。安徽鸿联物流有限公司的网络环境都比较复杂,网络设备、安全设备、服务器和各类应用众多,同时,管理维护这些设备和应用的人员也很多,并且关系复杂,有单位内部人员,外部人员,第三方运维人员,临时介入的应用管理员等。要方便有效的统一管理这些设备和用户,需要有一个强大的运维安全审计平台,有效解决运维安全管理问题。