在當今信息時代,企業信息系統最大(dà)的軟肋,就在内網服務器等後台系統中(zhōng)的核心數據信息,企業面臨最大(dà)信息安全威脅,依然是源自内部人員(yuán)對于内部網絡資(zī)源設備的攻擊,和對于内部機密數據文檔的竊取。據IDC一(yī)份調查統計表明,全球差不多有80%的企業存在着内網信息安全或信息風險問題,在所有被調查的公司中(zhōng),其曾經産生(shēng)過得安全隐患和事件中(zhōng),比例超過60%的,來自于内部人員(yuán)。
從2004年軟銀“内鬼”洩密軟銀數百萬寬帶用戶個人資(zī)料事件,到2007年日本海上自衛隊二等士官洩漏神盾艦情報的事件,各類内網洩密事件,不勝枚舉。近日,香港銀行業又(yòu)爆出一(yī)起洩密醜聞,花旗等6家香港銀行被證實涉嫌洩露客戶資(zī)料,令香港輿論一(yī)片嘩然。而就在幾個月前,彙豐銀行15000名私人銀行客戶資(zī)料被竊案告破,一(yī)位原信息中(zhōng)心的内部員(yuán)工(gōng)曆時三年,通過各種機會在内部數據庫中(zhōng)拷貝竊取了客戶資(zī)料,直接導緻客戶從彙豐銀行轉走存款到41億美元之多,讓彙豐銀行的信譽一(yī)落千丈。
圖注:當前企業信息系統運行與維護現狀,使得信息數據洩密渠道增多。
随着信息化程度的一(yī)日千裏,信息數據日益成爲各企事業單位的核心資(zī)産,利益的驅使下(xià),各種洩密事件呈幾何級增長。在這樣日益嚴峻的情況下(xià),如何保護好存儲了企業全部核心機密的系統後台設備,尤其是如何更好地防範與審計内部管理人員(yuán)對這些設備的訪問和操作,成爲眼下(xià)保障内網數據信息安全最根本的環節。
一(yī)方面,企業的核心服務器、數據庫、交換機、OA系統等設備資(zī)源,本身是企業最重要的信息資(zī)産集散地,一(yī)旦遭到攻擊、竊取,其後果不堪設想;然而,從目前情況來看,一(yī)般企業内網除了統一(yī)的整體(tǐ)安全保護體(tǐ)系,例如防火(huǒ)牆、IDS、防病毒、數據庫審計、口令密碼等,基本沒有專門的技術智能化保護措施,針對這些核心資(zī)源進行有效保護。
另一(yī)方面,雖然日常以高權限訪問這些設備資(zī)源的人,不像一(yī)般業務系統那麽多,但其訪問人群也并不簡單,這些人員(yuán)可能包括:系統管理員(yuán)、系統運維人員(yuán)、系統應用高權限用戶、第三方廠商(shāng)的維護人員(yuán)以及其他臨時高權限人員(yuán)等。最關鍵的是,這些人員(yuán)本身所擁有最高權限賬号,一(yī)旦訪問,如果其有某種主觀的不良意圖,或者因爲其某些無意不規範的操作,則都會帶來不可挽回的損失,或者給未來埋下(xià)巨大(dà)的隐患。
這些隐患所産生(shēng)的對于企業内部數據安全保障産生(shēng)的新威脅和挑戰,歸結起來包括以下(xià)五個主要的問題。
第一(yī),共享賬号帶來的數據安全問題。在企業内網IT系統管理中(zhōng),共享賬号是很常見的管理方法,其好處顯而易見,既能節約了帳号管理成本,又(yòu)降低了本地溢出的風險……但是,随着IT系統複雜(zá)性幾何級提升,共享賬号給數據内控帶來明顯的隐患,這是因爲很多人共用一(yī)個賬号,就使得帳号不具有唯一(yī)性,而且密碼難以有效管理,最關鍵的是一(yī)旦有“内鬼”使用該賬号進行數據竊密,責任難以認定到人,這就不符合國家關于信息安全“誰使用,誰負責”的原則。
第二,權限控制帶來的安全隐患。大(dà)多數企事業單位的IT運維均采用設備、操作系統自身的授權系統,各系統分(fēn)别管理所屬的系統資(zī)源,爲本系統的用戶分(fēn)配權限,無法嚴格按照最小(xiǎo)權限原則分(fēn)配權限。另外(wài),随着用戶數量的增加,權限管理任務越來越重,當維護人員(yuán)同時對多個系統進行維護時,工(gōng)作複雜(zá)度會成倍增加。安全性無法得到充分(fēn)保證。
第三,訪問控制帶來的安全隐患。目前的常見對系統管理員(yuán)賬号管理中(zhōng),沒有一(yī)個清晰的訪問控制列表,無法一(yī)目了然的看到什麽用戶能夠以何種身份訪問哪些關鍵設備,上傳下(xià)載了哪些數據文檔,同時缺少有效的技術手段來保證訪問控制策略有效地執行。尤其是針對許多外(wài)包服務商(shāng)、廠商(shāng)技術支持人員(yuán)、項目集成商(shāng)等在對企業核心服務器、網絡基礎設施進行現場調試或遠程技術維護時,無法有效的記錄其操作過程、維護内容,極容易洩露核心機密數據或遭到潛在的惡意的破壞。
第四,系統審計帶來的安全隐患。企業内網各IT系統獨立運行、維護和管理,所以各系統的審計也是相互獨立的。審計的機制、格式和管理都不盡相同,就會帶來各種問題。例如,每個網絡設備,每個主機系統分(fēn)别進行審計,安全事故發生(shēng)後需要排查各系統的日志(zhì),但是往往日志(zhì)找到了,也不能最終定位到行爲人。
第五,面臨安全合規性法規遵從的壓力。爲加強信息系統風險管理,政府、金融、運營商(shāng)等陸續發布信息系統管理規範和要求,如“信息系統等級保護”、“商(shāng)業銀行信息科技風險管理指引”、“企業内部控制基本規範”等均要求采取信息系統風險内控與審計。這些法規的要求和遵從,對于大(dà)型企業上市或者跨國經營,有着極大(dà)的影響。2002年由美國總統布什簽發的薩班斯法案(Sarbanes-Oxley Act)開(kāi)始生(shēng)效。其中(zhōng)要求企業的經營活動,企業管理、項目和投資(zī)等,都要有控制和審計手段。因此,管理人員(yuán)需要有有效的技術手段和專業的技術工(gōng)具和安全産品按照行業的标準來做細粒度的管理,真正做到對于内部網絡的嚴格管理,可以控制、限制和追蹤用戶的行爲,判定用戶的行爲是否對企業内部網絡的安全運行帶來威脅。
綜上所述,随着信息化的發展,企事業單位IT系統不斷發展,網絡規模迅速擴大(dà),設備數量激增,建設重點逐步從網絡平台轉向深化應用、提升效益爲特征的運維階段;IT系統運維與安全管理正逐漸走向融合。面對日趨複雜(zá)的IT系統,不同背景的運維人員(yuán)已經給企業信息系統數據内控和安全運行帶來較大(dà)的潛在風險。
如何加固企業内網堡壘的“内防”,建立起穩固的數據内控體(tǐ)系,有效防範打擊“内鬼”,成爲近年内國際信息安全業界在數據安全領域的新課題。堡壘機技術,就是在這樣的時代呼喚下(xià),成爲數據内控安全舞台新星。所謂堡壘機,其全稱爲“内控堡壘主機”,它綜合了運維管理和安全性的融合,切斷了終端計算機對網絡和服務器資(zī)源的直接訪問,而是采用協議代理的方式,接管了終端計算機對網絡和服務器的訪問。形象地說,終端計算機對目标的訪問,均需要經過堡壘主機的翻譯。打了一(yī)個比方,内控堡壘主機扮演着看門者的工(gōng)作,所有對網絡設備和服務器的請求都要從這扇大(dà)門經過。因此堡壘機能夠攔截非法訪問,和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目标設備的非法訪問行爲。堡壘機技術主要幫助内網信息系統管理者,實現六大(dà)方面智能化支撐和高安全性防護,包括:單點登錄、帳号管理、身份認證、資(zī)源授權、訪問控制、操作審計。
那麽,堡壘機技術究竟具有什麽優勢功性能呢?以國内領先的一(yī)款JD-FORT數據内控堡壘機爲例。
首先,SSO單點登錄功能。
JD-FORT數據内控堡壘機提供了基于B/S的單點登錄系統,用戶通過訪問WEB頁面一(yī)次登錄系統後,就可以無需認證的訪問被授權的多種基于B/S和C/S的應用系統。單點登錄可以實現與用戶授權管理的無縫鏈接,可以通過對用戶、角色、行爲和資(zī)源的授權,增加對資(zī)源的保護和對用戶行爲的監控及審計。
其次,集中(zhōng)賬号管理功能。
JD-FORT數據内控堡壘機的集中(zhōng)賬号管理包含對所有服務器、網絡設備賬号的集中(zhōng)管理。賬号和資(zī)源的集中(zhōng)管理是集中(zhōng)授權、認證和審計的基礎。通過建立集中(zhōng)賬号管理,單位可以實現将賬号與具體(tǐ)的自然人相關聯。通過這種關聯,可以實現多級的用戶管理和細粒度的用戶授權。而且,還可以實現針對自然人的行爲審計,以滿足審計的需要。
第三,集中(zhōng)身份認證功能。
用戶提供統一(yī)的認證接口。采用統一(yī)的認證接口不但便于對用戶認證的管理,而且能夠采用更加安全的認證模式,提高認證的安全性和可靠性。
第四,統一(yī)資(zī)源授權功能。
JD-FORT數據内控堡壘機提供統一(yī)的界面,對用戶、角色及行爲和資(zī)源進行授權,以達到對權限的細粒度控制,最大(dà)限度保護用戶資(zī)源的安全。通過集中(zhōng)訪問授權和訪問控制可以對用戶通過B/S、C/S對服務器主機、網絡設備的訪問進行審計和阻斷。
第五,細粒度訪問控制功能。
JD-FORT數據内控堡壘機能夠提供細粒度的訪問控制,最大(dà)限度保護用戶資(zī)源的安全。細粒度的命令策略是命令的集合,可以是一(yī)組可執行命令,也可以是一(yī)組非可執行的命令,該命令集合用來分(fēn)配給具體(tǐ)的用戶,來限制其系統行爲,管理員(yuán)會根據其自身的角色爲其指定相應的控制策略來限定用戶。
第六,運維操作審計功能。
操作審計管理主要審計操作人員(yuán)的賬号使用(登錄、資(zī)源訪問)情況、資(zī)源使用情況等。在各服務器主機、網絡設備的訪問日志(zhì)記錄都采用統一(yī)的賬号、資(zī)源進行标識後,操作審計能更好地對賬号的完整使用過程進行追蹤。
以上是國際上标準堡壘機的基本功能,但一(yī)般知(zhī)名品牌和有一(yī)定技術實力的堡壘機産品,還會有些個性化的服務或特色功能。例如JD-FORT數據内控堡壘機,其特色功能還包括:智能運維腳本、運維工(gōng)作站的安全檢查、文件共享管理、共享資(zī)源的單點登錄、共享軟件的單點登錄、管理多種運維操作方式、真正意義的智能負載均衡等等。
總而言之,堡壘,往往從内部攻破,數據,大(dà)多是存放(fàng)于内部被人洩密,當我(wǒ)們加大(dà)力氣“築高牆”抵禦外(wài)來黑客進入竊密的同時,我(wǒ)們也應加大(dà)構造數據内控體(tǐ)系的高精尖程度,嚴防“内鬼”洩密,讓之拿不到、帶不走、露馬腳。從而在堡壘内部樹(shù)立一(yī)道頑強的數據安全保障體(tǐ)系。