“删库跑路”的段子一直在IT圈里广为流传,是很多程序员发泄压力时的口头禅,而在现实生活中,也的确发生过类似的案例。
去年6月,北京市第一中级人民法院就程序员“删库跑路”一案做出判决。百度公司某“95后”校招员工金某某在任职期间,通过私自建立“隧道”等手段进入公司数据库“删表”,最终以“破坏计算机信息系统罪”,被判处有期徒刑九个月。
随着互联网的快速发展,以及各行业信息化建设步伐的迈进,我们的日常生活、工作、学习对信息化系统的依赖程度也日益加深,日趋繁杂的网络运维工作给信息系统安全带来了众多不确定因素,随之而来的网络安全事故也层出不穷。
新发展环境下的网络安全运维新要求
企事业单位在网络运维过程中往往存在着运维人员账号共用,密码难以统一管理,密码定期更新制度难以落实,人员权限分级不明,恶意行为影响范围难以控制等安全隐患和困难。
另一方面,我国针对网络安全也先后出台了一系列政策法规,对企事业单位提出了严格的合规要求。例如,《网络安全法》要求日志留存不得少于 6 个月;等保2.0 要求企业必须对用户身份进行鉴权,如用户访问的权限控制,最小化的授权原则,运维操作的完整审计,定期进行数据备份等。
南京市北京东路小学作为江苏省首批省级实验小学,省级模范学校,国家教育部首批命名的“全国现代化教育技术实验学校”,因为在信息化教育方面起步较早,拥有大量的安全设备资产和复杂的架构体系。随着信息化教育的不断深入探索,传统的堡垒机已难以应对当前的发展需要,学校内部的运维审计系统亟需升级替换,以防运维人员因操作失误、恶意操作、越权操作引发网络安全事故。
聚铭安全运维审计系统解决方案
针对北京东路小学优化内部安全运维管理机制的需求及目前存在的短板,在满足网络安全相关政策法规的基础上,聚铭安全运维审计系统(SOA)从运维人员的实际业务需求与操作习惯出发,通过账号集中管理、人员身份认证、访问控制、资源授权、操作审计、工单系统等方面,为北京东路小学构建出一套安全可靠、适用性强的运维审计系统。
图注:聚铭安全运维审计系统架构图
01账号集中管理
聚铭安全运维审计系统支持对所有服务器、网络设备账号进行集中管理。通过对运维账号进行实名注册,将账号与具体的自然人相关联,并且可以对动态口令、指纹、密码等6种认证方式按需组合,验证账号登录人员身份,根据不同运维人员角色和需求授予不同权限。通过统一地管理还能够发现账号中存在的安全隐患,并且制定标准化的用户账号安全策略。
02运维操作审计
聚铭安全运维审计系统不仅能够深入解析明文操作、识别SSH加密操作内容,而且对于RDP远程访问操作,系统也能够记录其键盘输入、剪切板内容及鼠标位置等信息,监控用户运维行为并进行威胁性判断。对于运维人员在操作过程中出现的异常情况、违规操作等危险行为进行及时阻断,防患于未然。
系统的操作还原技术能够对用户的操作流程进行溯源展现,方便客户查找问题原因,为责任划定提供支撑。
03账号访问控制
在账号访问控制管理方面,聚铭安全运维审计系统将自然人与运维权限、运维账号与设备资源绑定,通过最小粒度授权达到权限控制精细化的目的。
系统内置的工单模块,可以满足不同场景下运维人员的权限动态申请,并支持离岸审批功能,方便用户处理突发情况,提高工单效率。
提高运维效率为客户安全保驾护航
通过聚铭安全运维审计系统的部署和运维人员安全意识的进一步加强,南京市北京东路小学日常运维工作的安全性和风险管控能力在不同阶段得到了提升。
统一身份认证、统一授权能够在事前对访问来源和用户身份进行严格验证;深入的解析能力所提供的精确命令级别和黑白名单机制,能够在事件经过中实时跟踪用户操作行为;事后通过操作还原技术可以对用户操作进行回放,并查看完整的操作报表和事件分析报告。
此次设备升级替换,聚铭安全运维审计系统为北京东路小学的运维审计工作提供了更加充分地安全保障,减轻了运维人员的工作负担,得到了相关负责人的高度评价。聚铭网络也在此次携手合作中积累了宝贵的实践经验,为之后的工作改进和服务质量提升带来了巨大帮助。
未来,聚铭网络将继续秉承“客户导向、真诚合作、互利共赢、优势共享”的服务理念,以先进的技术、优秀的产品和专业的配套服务满足广大教育行业客户在网络安全建设方面的需求,为达成“让安全更简单”的使命而不懈努力!