隨著國(guó)內(nèi)信息化建設(shè)的逐步普及,信息技術(shù)已滲透到各個(gè)領(lǐng)域�、各個(gè)行業(yè)的各種業(yè)務(wù)體系�����,隨之而來(lái)的IT支撐系統(tǒng)也越來(lái)越多���,不同部門(mén)���、不同業(yè)務(wù)的設(shè)備與系統(tǒng)集中在同一機(jī)房或交錯(cuò)散放在不同地方���,而維護(hù)這些支撐系統(tǒng)的管理隊(duì)伍越來(lái)越龐大�,新的困擾IT部門(mén)的問(wèn)題逐漸凸顯����。IT維護(hù)人員需要面對(duì)數(shù)種不同的系統(tǒng)和數(shù)個(gè)不同權(quán)限、不同規(guī)則的管理賬戶�,而系統(tǒng)管理員則需要針對(duì)不同維護(hù)人員在不同系統(tǒng)中建立不同的賬戶�����、分配不同的權(quán)限;賬號(hào)口令管理方式越來(lái)越復(fù)雜��,而且存在較多不安全因素��。
六大運(yùn)維問(wèn)題
1管理現(xiàn)狀問(wèn)題:支撐企業(yè)業(yè)務(wù)運(yùn)行的IT系統(tǒng)主要由大量的網(wǎng)絡(luò)設(shè)備���、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)組成�,這些設(shè)備和系統(tǒng)從應(yīng)用角度來(lái)分又屬于不同的業(yè)務(wù)系統(tǒng)和部門(mén)���,網(wǎng)絡(luò)設(shè)備���、主機(jī)系統(tǒng)等具備獨(dú)立的用戶管理����、認(rèn)證授權(quán)和審計(jì)系統(tǒng),且由不同的系統(tǒng)管理員負(fù)責(zé)維護(hù)和管理���,維護(hù)人員面對(duì)這些系統(tǒng)時(shí),工作復(fù)雜程度成倍增加����。
2授權(quán)不清問(wèn)題:在這種復(fù)雜異構(gòu)的支撐體系中��,,由于各系統(tǒng)單獨(dú)授權(quán)����,無(wú)法嚴(yán)格執(zhí)行IT運(yùn)維最佳實(shí)踐的用戶最小權(quán)限分配原則����,同時(shí)���,隨著業(yè)務(wù)系統(tǒng)的增加和用戶的增加�,用戶授權(quán)管理工作也變得相當(dāng)復(fù)雜,系統(tǒng)安全性受到威脅����。
3共享賬號(hào)隱患:為了降低管理復(fù)雜度和難度�,有些賬號(hào)被多人共用�����,這些賬號(hào)的擴(kuò)散不容易控制,安全事故也多由于這種賬號(hào)共用而發(fā)生。
4密碼簡(jiǎn)單隱患:對(duì)于維護(hù)人員來(lái)講����,頻繁地切換系統(tǒng)���,需要輸入不同系統(tǒng)的用戶名和口令進(jìn)行登錄���,為了便于記憶�,常有維護(hù)人員會(huì)采用比較簡(jiǎn)單的口令��,或多個(gè)系統(tǒng)使用同樣的口令�����,緊急情況下還可能將自己的用戶名和口令共享給他人使用,這些都對(duì)整個(gè)系統(tǒng)的安全性產(chǎn)生極大威脅����。
5缺乏集中日志審計(jì):由于各個(gè)系統(tǒng)獨(dú)立運(yùn)行���,對(duì)于系統(tǒng)運(yùn)行日志���、維護(hù)人員操作審計(jì)也只能分系統(tǒng)獨(dú)立進(jìn)行�,系統(tǒng)發(fā)生故障時(shí)���,必須逐個(gè)系統(tǒng)去排查問(wèn)題�����,無(wú)法進(jìn)行統(tǒng)一集中的問(wèn)題排查,極大地降低了工作效率��,也造成了損失擴(kuò)大的可能性。
6臨時(shí)賬號(hào)管理及審計(jì)問(wèn)題:IT支撐系統(tǒng)逐漸增多�,涉及到硬件廠商進(jìn)行服務(wù)或IT項(xiàng)目外包服務(wù)商需要進(jìn)行系統(tǒng)維護(hù)的情況���,臨時(shí)賬號(hào)的管理得不到及時(shí)準(zhǔn)確的開(kāi)啟�����、關(guān)閉或合適授權(quán)時(shí),會(huì)對(duì)系統(tǒng)運(yùn)行變相地產(chǎn)生威脅因素�����,同時(shí)第三方廠商或服務(wù)商對(duì)系統(tǒng)進(jìn)行的操作也不易記錄���,問(wèn)題發(fā)生時(shí)無(wú)法進(jìn)行舉證與追溯����。
內(nèi)控管理平臺(tái)顯身手
針對(duì)以上六大運(yùn)維問(wèn)題,如何有效解決系統(tǒng)增加帶來(lái)的用戶管理、權(quán)限管理的復(fù)雜性�����,是降低運(yùn)維成本的關(guān)鍵����;有效進(jìn)行用戶授權(quán),完成用戶安全認(rèn)證是提升運(yùn)維安全之所在�����;而集中審計(jì)�����、有效地還原維護(hù)過(guò)程則是規(guī)范運(yùn)維過(guò)程和提升運(yùn)維安全性的有力手段。如何滿足這些IT運(yùn)維需求��,企業(yè)IT部門(mén)亟需集中管理����、統(tǒng)一認(rèn)證、全面審計(jì)型的解決方案��。
LanSecS(堡壘主機(jī))內(nèi)控管理平臺(tái)是一款集中式的管理工具��,提供了集中賬號(hào)管理���、集中認(rèn)證�、集中授權(quán)��、集中訪問(wèn)控制�����、集中安全審計(jì),對(duì)困擾IT管理員的運(yùn)維問(wèn)題逐一擊破�����。
1集中賬號(hào)管理���,降低運(yùn)維成本�����。
集中賬號(hào)管理建立一套新的用戶體系��,完全替代原有各系統(tǒng)獨(dú)立管理的用戶體系��,前端用戶直接對(duì)應(yīng)到維護(hù)人員�����,后端用戶直接對(duì)應(yīng)到原各個(gè)系統(tǒng)用戶,提供集中可實(shí)名的用戶管理機(jī)制����。通過(guò)統(tǒng)一用戶信息維護(hù)入口�����,保證各系統(tǒng)的用戶賬號(hào)信息的唯一性和同步更新�。
集中認(rèn)證實(shí)現(xiàn)用戶訪問(wèn)IT系統(tǒng)的認(rèn)證入口集中化和統(tǒng)一化���,并采用高強(qiáng)度的認(rèn)證方式���,使整個(gè)IT系統(tǒng)的登錄和認(rèn)證行為可控制及可管理�����,從而提升業(yè)務(wù)連續(xù)性和系統(tǒng)安全性。
集中訪問(wèn)控制為維護(hù)人員提供統(tǒng)一的系統(tǒng)和設(shè)備入口,提供訪問(wèn)控制功能,有效地解決了運(yùn)維人員的操作問(wèn)題,降低了相關(guān)IT系統(tǒng)的安全風(fēng)險(xiǎn)��。
3集中授權(quán)與安全審計(jì)��,規(guī)范運(yùn)維過(guò)程。
集中授權(quán)提供統(tǒng)一的IT系統(tǒng)授權(quán)管理����,對(duì)所有被管IT資源授權(quán)進(jìn)行標(biāo)準(zhǔn)化的管理����,精細(xì)的權(quán)限分配策略保證管理員可以授予不同用戶合適的權(quán)限�����,最大程度地符合最小權(quán)限分配原則���,保護(hù)了IT支撐系統(tǒng)資源的安全�����。
集中安全審計(jì)提供集中的日志審計(jì),能關(guān)聯(lián)用戶的操作行為,對(duì)非法登錄和非法操作能快速發(fā)現(xiàn)��、分析����、定位和響應(yīng),為安全審計(jì)和追蹤提供依據(jù)�����。
堡壘主機(jī)介入IT運(yùn)維����,提供統(tǒng)一的用戶維護(hù)入口,集中認(rèn)證授權(quán)����,通過(guò)對(duì)各種協(xié)議的代理與還原,實(shí)現(xiàn)IT運(yùn)維用戶集中管理���、集中授權(quán)、集中審計(jì)���。
另外,LanSecS(堡壘主機(jī))內(nèi)控管理平臺(tái)具備良好的擴(kuò)展性�。在與4A產(chǎn)品的整合方面��,產(chǎn)品從4A解決方案中抽象出來(lái),可提供最便捷的4A系統(tǒng)項(xiàng)目集成方案��;在程序結(jié)構(gòu)上�,充分考慮到4A項(xiàng)目的使用場(chǎng)景,在4A項(xiàng)目中�,堡壘主機(jī)提供整合方案與接口���,將賬號(hào)�����、認(rèn)證���、授權(quán)的集中管理功能轉(zhuǎn)移到4A產(chǎn)品中來(lái)做���,提供執(zhí)行單元��,完成訪問(wèn)控制和操作審計(jì)功能;在用戶認(rèn)證這個(gè)關(guān)鍵環(huán)節(jié)上��,堡壘主機(jī)可支持基于生物特征認(rèn)證��、基于PKI的數(shù)字證書(shū)認(rèn)證���、智能卡認(rèn)證���、動(dòng)態(tài)口令認(rèn)證等多種認(rèn)證方式。
實(shí)際應(yīng)用效果
某保險(xiǎn)公司數(shù)據(jù)中心機(jī)房有數(shù)以百計(jì)各類業(yè)務(wù)的服務(wù)器和網(wǎng)絡(luò)設(shè)備��,包括30多臺(tái)類Unix主機(jī)(SCO Unix����、RedHat Linux、Solaris����、AIX等)�、20多臺(tái)Windows主機(jī)(操作系統(tǒng)為windows 2003/2000和少數(shù)XP)���,以及60多臺(tái)核心交換和路由器��,這些主機(jī)和設(shè)備分屬不同的系統(tǒng)管理員負(fù)責(zé)管理�。
由于缺乏先進(jìn)的管理工具和手段���,無(wú)法保證系統(tǒng)管理員嚴(yán)格按照規(guī)范來(lái)進(jìn)行操作�,也無(wú)法保證系統(tǒng)管理員的操作行為和管理報(bào)告一致。另外�,由于服務(wù)器眾多�����,系統(tǒng)管理員壓力太大等因素,人為誤操作的可能性時(shí)有發(fā)生����,嚴(yán)重影響其經(jīng)濟(jì)運(yùn)行效能���,同時(shí)會(huì)對(duì)部門(mén)或者企業(yè)聲譽(yù)造成重大影響��。黑客/惡意訪問(wèn)也有可能獲取系統(tǒng)權(quán)限,闖入部門(mén)或企業(yè)內(nèi)部網(wǎng)絡(luò)���,任意篡改數(shù)據(jù)或盜用機(jī)密數(shù)據(jù)�,給該公司造成不可估量的損失。
如何提高系統(tǒng)運(yùn)維管理水平,滿足相關(guān)標(biāo)準(zhǔn)要求���,防止黑客的入侵和惡意訪問(wèn),跟蹤服務(wù)器上用戶行為等,成為保障該企業(yè)業(yè)務(wù)正常發(fā)展迫切需要解決的問(wèn)題�。
通過(guò)部署堡壘主機(jī)解決方案����,建立了實(shí)名制的運(yùn)維人員賬號(hào)集中管理���,運(yùn)維人員只需通過(guò)一組用戶名口令即可訪問(wèn)不同的設(shè)備與主機(jī)�,通過(guò)集中授權(quán)管理,管理員很方便地定義了不同用戶對(duì)應(yīng)不同設(shè)備或主機(jī)的不同訪問(wèn)權(quán)限,而集中審計(jì)則解決了事中監(jiān)控���、事后審查的需求,總體上規(guī)范了運(yùn)維過(guò)程,降低了運(yùn)維成本�����,提升了運(yùn)維安全����。
圖注:堡壘主機(jī)介入IT運(yùn)維基本原理圖
短波通信在邊防部隊(duì)的應(yīng)用與發(fā)展
