借力可信运维技术规范运维管理

'借力可信运维技术规范运维管理　　摘要：通过可信运维管理技术（堡垒主机），构建绿色运维环境。从运维人员的账号管理、登陆认证、授权管理、安全审计四个方位全面提升运维的安全性，规范运维过程，为内网核心服务器、数据库等重要资源的运维，提供全方位的监控和保护。关键字：集中帐号管理、集中认证、集中授权、安全审计中图分类号：G250.74文献标识码：A随着信息化技术的日新月异，信息化建设也取得了飞速发展，系统核心业务大多应用采用集中化的数据处理中心运行模式，设立相对集中的数据处理中心，伴随信息化的不断推进，业务应用、办公系统不断被推出和投入运行，大量的服务器主机来运行关键业务，提供业务应用、数据库应用、运维管理等服务。5 由于运行着大量的网络设备、主机系统、数据库系统和WEB中间件，它们分别属于不同的部门和不同的业务系统。目前各IT系统都有一套独立的认证、授权和审计体系，并且由相应的系统管理员负责维护和管理。当维护人员同时对多个系统进行维护时，工作复杂度成倍增加。另外管理员给用户分配权限，缺乏集中统一的资源授权平台，无法严格按照最小权限原则分配权限。随着用户数量的增加，权限管理任务越来越重，系统的安全性无法得到充分保证，给业务系统带来重大的安全隐患，甚至影响业务系统运行效能。具体体现在如下几个方面：1、账号共用问题网络中网络设备、主机系统和数据库系统众多，有些帐号多人共用，不仅在发生安全事故时，难于确定帐号的实际使用者，而且难于对帐号的扩散范围进行控制，存在安全隐患。2、资源使用问题系统的增多，使运维人员经常需要在各个系统之间切换，每次从一个系统切换到另一系统时，都需要输入用户名和口令进行登录，给运维人员的工作带来不便，影响了工作效率。运维人员为便于记忆，会采用较简单的口令或将在多个系统间使用相同的口令，弱口令和相同口令危害到系统的安全性。3、授权力度问题在这种复杂异构的支撑体系中，IT运维最佳实践是用户最小权限分配原则，由于各系统单独授权，无法严格执行，同时，随着业务系统的增加，用户的增加，用户授权管理工作也变得相当复杂，系统安全性受到威胁。4、资源审计问题5 由于各IT系统独立运行、维护和管理，所以各系统的审计也是相互独立的，不但各个系统单独审计，即使同一系统中的每个网络设备，每个主机系统都要分别进行审计，缺乏集中统一的访问审计平台。无法对IT系统进行综合分析，不能及时发现内部破坏和外部入侵行为。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上运维人员的操作行为，降低运维成本，提供控制和审计依据，成为一个单位或公司越来越关心的问题。可信运维管理技术作为目前内网安全最前沿、最核心和最全面的技术趋势，可以针对核心服务器、数据库等资源的运维，提供了最核心的监控和保护，通过部署该技术进行运维管理，实现了运维人员集中的账号管理，提高了管理的有效性；实现了集中认证与访问控制，提高运维安全性；实现了集中授权、安全审计，规范运维过程。1、集中帐号管理，提高管理有效性通过可信运维管理会建立一套新的用户体系，完全替代原有各系统独立管理的用户体系，前端用户直接对应到维护人员，后端用户直接对应到原各个系统用户，提供集中可实名的用户管理机制。通过统一用户信息维护入口，保证各系统的用户帐号信息的唯一性和同步更新；2、集中认证与访问控制，提高运维安全5 集中认证实现用户访问信息系统的认证入口集中化和统一化，并采用高强度的认证方式，使整个信息系统的登录和认证行为可控制及可管理，从而提升业务连续性和系统安全性。集中访问控制为维护人员提供统一的系统和设备入口，提供访问控制功能，有效的解决运维人员的操作问题，降低相关信息系统的安全风险。3、集中授权、安全审计，规范运维过程集中授权提供统一的信息系统授权管理，对所有被管信息资源授权进行标准化的管理，精细的权限分配策略保证管理员可以授予不同用户合适的权限，最大程度的符合最小权限分配原则，极大限度的保护了信息支撑系统资源的安全。集中安全审计提供集中的日志审计，能关联用户的操作行为，对非法登录和非法操作快速发现、分析、定位和响应，为安全审计和追踪提供依据。5 随着应用不断增加，人员同时对多个系统进行维护时，工作复杂度成倍增加。另一方面为了规范管理，防止一些误操作，如何跟踪服务器上管理人员的操作行为，降低运维成本，提供控制和审计依据，我们在内外网各上一套堡垒机系统，它可以针对核心服务器、数据库等资源的运维，提供了最核心的监控和保护，通过部署该技术进行运维管理，实现了运维人员集中的账号管理，提高了管理的有效性；实现了集中认证与访问控制，提高运维安全性；实现了集中授权、安全审计，规范运维过程。目前外网已投入使用，内网由于软件科人员众多，操作流程需要进一步规范，内网堡垒机还在测试运行阶段。5'