见招拆招 六招轻松抓住代维违规的“黑手”

所谓“代维”,是指企业将自己的IT系统外包给第三方进行包括系统配置、日常运维、系统管理等管理权限的操作。让专业的人干专业的事,这可以使企业本身从繁重的IT运维中解脱出来。然而,这种基于第三方的运维管理还是多多少少给企业带来了一些风险,下面笔者通过一则案例来为大家讲述代维违规所带来的安全隐患。

某公安车管系统软件供应商通过在车管所软件系统内植入恶意程序,暗中进行着代人删除交通违章记录的违规操作。作案者利用为车管所软件系统提供运维技术支持的便利条件,躲避现场监管,将事先编好的删除程序输入,再通过修改公安内网服务器的网络配置,避开公安内网报警体系,从互联网远程入侵公安网络系统非法删除车辆违章记录上万余条。截止到案发,公安机关查明共计非法删除交通违章记录14000余条,涉案金额1800余万元。

代维面临的六大挑战

通过上面案例的描述我们看到,代维确实给用户带来了一定的安全隐患,由于用户对第三方企业的了解不充分,对第三方员工的权限管控力度不足等原因,对于这些本可轻松避免的问题却力不从心。而试想一下,如果用户拥有对第三方的运维进行审计和风险控制的能力,就可以在很大程度上避免这一尴尬。

首先我们分析用户所面临的运维风险,主要包含了以下几大方面:一是第三方人员可能利用职务之便随时登录用户的内网和业务系统;二是对权限的控制不够严谨,对于什么人在什么时间可以访问哪些系统定义模糊;三是监管措施不严密,对于熟悉用户系统的运维老手来说可以很清楚的知道怎样绕过监管;四是对于运维人员从IT系统上上传下载文件内容没有很好的管控措施;五是缺乏更加有效的事后追踪溯源的能力;六是对于运维人员的非法操作不能做到实时的告警。

下面,就让我们实际来看一看如何通过运维审计和风险控制来进行更加规范的运维管理,有效杜绝这些安全风险:

规范管理4W模式:通过运维协议代理的方式实现对集中管理、身份认证、权限分配、行为控制、操作审计等功能进行规范管理。

六招抓住代维违规的幕后黑手

No.1:“身份确认”拆招“职务之便”

通过集中身份管理,为每个运维人员分配一个用户ID,每个用户ID都是关联到每个运维人员,运维人员都必须先登录身份管理平台后才可以访问用户的IT系统。

No.2:“权限控制”拆招“越权操作”

通过细粒度的权限控制手段,实现对运维人员的账户授权,未授权的运维人员则无法访问系统,而且实现对时间范围的控制,例如上班时间允许访问,下班时间则禁止访问。

No.3:“实时监控”拆招“躲避监管”

通过运维操作会话的实时监控,当运维人员在访问系统时,管理人员可以通过管理平台对其操作过程进行实时监控,一旦发现违规操作,可以立即切断其操作行为。

No.4:“文件记录”拆招“上传程序”

通过对传输的文件进行原始记录,运维人员无论是上传/下载还是修改文件,都可以完整的记录下来,管理人员可以查看文件的原始内容。

No.5:“操作审计”拆招“避开追踪”

通过更加详细的审计手段,不放过任何一个信息:起止时间、来源IP、来源用户、来源MAC、系统IP、系统帐户、系统MAC、操作视频、命令记录、文件记录等等;用户可以通过这些关键信息进行事后定位追踪。

No.6:“行为告警”拆招“非法删违”

通过实时的违规告警,运维人员一旦触发了修改网络配置、删除系统信息等行为,实时告警就会在第一时间通过邮件告知管理人员。

总结的话

当然,我们并不是说所有的第三方代维都存在这样的问题,但用户还是需要修炼好“内功”才能更有底气。安恒信息安全专家建议广大用户,打铁还需自身硬,企业要时刻想着加强自身的安全意识,脑子里要时刻都绷着安全这根弦,只有居安思危才能防患于未然。在提升安全意识的基础上,通过运维审计和风险管控可在很大程度减少信息泄露的风险。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2015-04-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏沃趣科技

错过“kubernetes存储系列”这门课,你肯定会后悔

前几天,我们就有说过,沃趣科技将陆续推出多系列特别值得期待的课程。今天,我们终于可以让第一个系列的第一期课程与你正式见面了。

1032
来自专栏月牙寂

本人公众号文章目录

以太坊源码分析---go-ethereum之MPT(Merkle-Patricia Trie)

3474
来自专栏罗超频道

入口之争:浏览器的战史与未来

在上一篇文章里,笔者分析了国内浏览器的竞争状况。这篇文章,我们不妨将视线从“泥浆”中抽出来,了望下历史与远方。 一、浏览器世界战争史 第一次浏览器大战微软IE通...

3027
来自专栏BIT泽清

收起装13的苹果审核指南,就告诉你到底怎么能过!

本文为作者在遍览诸多苹果商店审核指南文后愤然写下,以最容易被拒的地方房卡麻将闲游(无版权号)移动端手游APP为例。

3335
来自专栏互联港湾

双活数据中心南北互通 互联港湾立足全国

1572
来自专栏coding

初识opensuse

1413
来自专栏飞总聊IT

从GitLab事件谈我的经历

先上个图,给各位程序猿们拜个年 ? 悲剧年年有,今年到GitLab家。著名的GitLab这几天在Tech界登上了头条,登上的原因是因为运维人员使用了rm -rf...

40410
来自专栏维恩的派VNPIE

2018年vn.py项目计划(下)

2017年完成了大部分计划中的上层应用模块开发,剩余部分将在今年上半年加速推进,争取早日发布v2.0稳定版,为量化交易员提供一套完整成熟的交易系统解决方案。 D...

4798
来自专栏斑斓

【系统架构】遗留系统的技术栈迁移

什么是遗留系统(Legacy System)?根据维基百科的定义,遗留系统是一种旧的方法、旧的技术、旧的计算机系统或应用程序[1]。这一定义事实上并没有很好地揭...

3807
来自专栏Java架构

两个月拿到N个offer,看看我是如何做到的

北京-三年经验-Java,在金三银四这两个月期间(在五月初还去面试了几家,主要是三四月份期面试剧居多),我跳槽面试,前前后后我面试十五家公司,最终,成功拿到了o...

2685

扫码关注云+社区

领取腾讯云代金券