所謂“代維”，是指企業(yè)將自己的IT系統(tǒng)外包給第三方進(jìn)行包括系統(tǒng)配置、日常運(yùn)維、系統(tǒng)管理等管理權(quán)限的操作。讓專業(yè)的人干專業(yè)的事，這可以使企業(yè)本身從繁重的IT運(yùn)維中解脫出來。然而，這種基于第三方的運(yùn)維管理還是多多少少給企業(yè)帶來了一些風(fēng)險(xiǎn)，下面筆者通過一則案例來為大家講述代維違規(guī)所帶來的安全隱患。

某公安車管系統(tǒng)軟件供應(yīng)商通過在車管所軟件系統(tǒng)內(nèi)植入惡意程序，暗中進(jìn)行著代人刪除交通違章記錄的違規(guī)操作。作案者利用為車管所軟件系統(tǒng)提供運(yùn)維技術(shù)支持的便利條件，躲避現(xiàn)場(chǎng)監(jiān)管，將事先編好的刪除程序輸入，再通過修改公安內(nèi)網(wǎng)服務(wù)器的網(wǎng)絡(luò)配置，避開公安內(nèi)網(wǎng)報(bào)警體系，從互聯(lián)網(wǎng)遠(yuǎn)程入侵公安網(wǎng)絡(luò)系統(tǒng)非法刪除車輛違章記錄上萬余條。截止到案發(fā)，公安機(jī)關(guān)查明共計(jì)非法刪除交通違章記錄14000余條，涉案金額1800余萬元。

代維面臨的六大挑戰(zhàn)

通過上面案例的描述我們看到，代維確實(shí)給用戶帶來了一定的安全隱患，由于用戶對(duì)第三方企業(yè)的了解不充分，對(duì)第三方員工的權(quán)限管控力度不足等原因，對(duì)于這些本可輕松避免的問題卻力不從心。而試想一下，如果用戶擁有對(duì)第三方的運(yùn)維進(jìn)行審計(jì)和風(fēng)險(xiǎn)控制的能力，就可以在很大程度上避免這一尷尬。

首先我們分析用戶所面臨的運(yùn)維風(fēng)險(xiǎn)，主要包含了以下幾大方面：一是第三方人員可能利用職務(wù)之便隨時(shí)登錄用戶的內(nèi)網(wǎng)和業(yè)務(wù)系統(tǒng)；二是對(duì)權(quán)限的控制不夠嚴(yán)謹(jǐn)，對(duì)于什么人在什么時(shí)間可以訪問哪些系統(tǒng)定義模糊；三是監(jiān)管措施不嚴(yán)密，對(duì)于熟悉用戶系統(tǒng)的運(yùn)維老手來說可以很清楚的知道怎樣繞過監(jiān)管；四是對(duì)于運(yùn)維人員從IT系統(tǒng)上上傳下載文件內(nèi)容沒有很好的管控措施；五是缺乏更加有效的事后追蹤溯源的能力；六是對(duì)于運(yùn)維人員的非法操作不能做到實(shí)時(shí)的告警。

下面，就讓我們實(shí)際來看一看如何通過運(yùn)維審計(jì)和風(fēng)險(xiǎn)控制來進(jìn)行更加規(guī)范的運(yùn)維管理，有效杜絕這些安全風(fēng)險(xiǎn)：

規(guī)范管理4W模式：通過運(yùn)維協(xié)議代理的方式實(shí)現(xiàn)對(duì)集中管理、身份認(rèn)證、權(quán)限分配、行為控制、操作審計(jì)等功能進(jìn)行規(guī)范管理。

六招抓住代維違規(guī)的幕后黑手

No.1：“身份確認(rèn)”拆招“職務(wù)之便”

通過集中身份管理，為每個(gè)運(yùn)維人員分配一個(gè)用戶ID，每個(gè)用戶ID都是關(guān)聯(lián)到每個(gè)運(yùn)維人員，運(yùn)維人員都必須先登錄身份管理平臺(tái)后才可以訪問用戶的IT系統(tǒng)。

No.2：“權(quán)限控制”拆招“越權(quán)操作”

通過細(xì)粒度的權(quán)限控制手段，實(shí)現(xiàn)對(duì)運(yùn)維人員的賬戶授權(quán)，未授權(quán)的運(yùn)維人員則無法訪問系統(tǒng)，而且實(shí)現(xiàn)對(duì)時(shí)間范圍的控制，例如上班時(shí)間允許訪問，下班時(shí)間則禁止訪問。

No.3：“實(shí)時(shí)監(jiān)控”拆招“躲避監(jiān)管”

通過運(yùn)維操作會(huì)話的實(shí)時(shí)監(jiān)控，當(dāng)運(yùn)維人員在訪問系統(tǒng)時(shí)，管理人員可以通過管理平臺(tái)對(duì)其操作過程進(jìn)行實(shí)時(shí)監(jiān)控，一旦發(fā)現(xiàn)違規(guī)操作，可以立即切斷其操作行為。

No.4：“文件記錄”拆招“上傳程序”

通過對(duì)傳輸?shù)奈募M(jìn)行原始記錄，運(yùn)維人員無論是上傳/下載還是修改文件，都可以完整的記錄下來，管理人員可以查看文件的原始內(nèi)容。

No.5：“操作審計(jì)”拆招“避開追蹤”

通過更加詳細(xì)的審計(jì)手段，不放過任何一個(gè)信息：起止時(shí)間、來源IP、來源用戶、來源MAC、系統(tǒng)IP、系統(tǒng)帳戶、系統(tǒng)MAC、操作視頻、命令記錄、文件記錄等等；用戶可以通過這些關(guān)鍵信息進(jìn)行事后定位追蹤。

No.6：“行為告警”拆招“非法刪違”

通過實(shí)時(shí)的違規(guī)告警，運(yùn)維人員一旦觸發(fā)了修改網(wǎng)絡(luò)配置、刪除系統(tǒng)信息等行為，實(shí)時(shí)告警就會(huì)在第一時(shí)間通過郵件告知管理人員。

總結(jié)的話

當(dāng)然，我們并不是說所有的第三方代維都存在這樣的問題，但用戶還是需要修煉好“內(nèi)功”才能更有底氣。安恒信息安全專家建議廣大用戶，打鐵還需自身硬，企業(yè)要時(shí)刻想著加強(qiáng)自身的安全意識(shí)，腦子里要時(shí)刻都繃著安全這根弦，只有居安思危才能防患于未然。在提升安全意識(shí)的基礎(chǔ)上，通過運(yùn)維審計(jì)和風(fēng)險(xiǎn)管控可在很大程度減少信息泄露的風(fēng)險(xiǎn)。