所謂“代維”，是指企業(yè)將自己的IT系統(tǒng)外包給第三方進(jìn)行包括系統(tǒng)配置、日常運(yùn)維、系統(tǒng)管理等管理權(quán)限的操作。讓專業(yè)的人干專業(yè)的事，這可以使企業(yè)本身從繁重的IT運(yùn)維中解脫出來(lái)。然而，這種基于第三方的運(yùn)維管理還是多多少少給企業(yè)帶來(lái)了一些風(fēng)險(xiǎn)，下面筆者通過(guò)一則案例來(lái)為大家講述代維違規(guī)所帶來(lái)的安全隱患。

某公安車管系統(tǒng)軟件供應(yīng)商通過(guò)在車管所軟件系統(tǒng)內(nèi)植入惡意程序，暗中進(jìn)行著代人刪除交通違章記錄的違規(guī)操作。作案者利用為車管所軟件系統(tǒng)提供運(yùn)維技術(shù)支持的便利條件，躲避現(xiàn)場(chǎng)監(jiān)管，將事先編好的刪除程序輸入，再通過(guò)修改公安內(nèi)網(wǎng)服務(wù)器的網(wǎng)絡(luò)配置，避開(kāi)公安內(nèi)網(wǎng)報(bào)警體系，從互聯(lián)網(wǎng)遠(yuǎn)程入侵公安網(wǎng)絡(luò)系統(tǒng)非法刪除車輛違章記錄上萬(wàn)余條。截止到案發(fā)，公安機(jī)關(guān)查明共計(jì)非法刪除交通違章記錄14000余條，涉案金額1800余萬(wàn)元。

代維面臨的六大挑戰(zhàn)

通過(guò)上面案例的描述我們看到，代維確實(shí)給用戶帶來(lái)了一定的安全隱患，由于用戶對(duì)第三方企業(yè)的了解不充分，對(duì)第三方員工的權(quán)限管控力度不足等原因，對(duì)于這些本可輕松避免的問(wèn)題卻力不從心。而試想一下，如果用戶擁有對(duì)第三方的運(yùn)維進(jìn)行審計(jì)和風(fēng)險(xiǎn)控制的能力，就可以在很大程度上避免這一尷尬。

首先我們分析用戶所面臨的運(yùn)維風(fēng)險(xiǎn)，主要包含了以下幾大方面：一是第三方人員可能利用職務(wù)之便隨時(shí)登錄用戶的內(nèi)網(wǎng)和業(yè)務(wù)系統(tǒng)；二是對(duì)權(quán)限的控制不夠嚴(yán)謹(jǐn)，對(duì)于什么人在什么時(shí)間可以訪問(wèn)哪些系統(tǒng)定義模糊；三是監(jiān)管措施不嚴(yán)密，對(duì)于熟悉用戶系統(tǒng)的運(yùn)維老手來(lái)說(shuō)可以很清楚的知道怎樣繞過(guò)監(jiān)管；四是對(duì)于運(yùn)維人員從IT系統(tǒng)上上傳下載文件內(nèi)容沒(méi)有很好的管控措施；五是缺乏更加有效的事后追蹤溯源的能力；六是對(duì)于運(yùn)維人員的非法操作不能做到實(shí)時(shí)的告警。

下面，就讓我們實(shí)際來(lái)看一看如何通過(guò)運(yùn)維審計(jì)和風(fēng)險(xiǎn)控制來(lái)進(jìn)行更加規(guī)范的運(yùn)維管理，有效杜絕這些安全風(fēng)險(xiǎn)：

規(guī)范管理4W模式：通過(guò)運(yùn)維協(xié)議代理的方式實(shí)現(xiàn)對(duì)集中管理、身份認(rèn)證、權(quán)限分配、行為控制、操作審計(jì)等功能進(jìn)行規(guī)范管理。

六招抓住代維違規(guī)的幕后黑手

No.1：“身份確認(rèn)”拆招“職務(wù)之便”

通過(guò)集中身份管理，為每個(gè)運(yùn)維人員分配一個(gè)用戶ID，每個(gè)用戶ID都是關(guān)聯(lián)到每個(gè)運(yùn)維人員，運(yùn)維人員都必須先登錄身份管理平臺(tái)后才可以訪問(wèn)用戶的IT系統(tǒng)。

No.2：“權(quán)限控制”拆招“越權(quán)操作”

通過(guò)細(xì)粒度的權(quán)限控制手段，實(shí)現(xiàn)對(duì)運(yùn)維人員的賬戶授權(quán)，未授權(quán)的運(yùn)維人員則無(wú)法訪問(wèn)系統(tǒng)，而且實(shí)現(xiàn)對(duì)時(shí)間范圍的控制，例如上班時(shí)間允許訪問(wèn)，下班時(shí)間則禁止訪問(wèn)。

No.3：“實(shí)時(shí)監(jiān)控”拆招“躲避監(jiān)管”

通過(guò)運(yùn)維操作會(huì)話的實(shí)時(shí)監(jiān)控，當(dāng)運(yùn)維人員在訪問(wèn)系統(tǒng)時(shí)，管理人員可以通過(guò)管理平臺(tái)對(duì)其操作過(guò)程進(jìn)行實(shí)時(shí)監(jiān)控，一旦發(fā)現(xiàn)違規(guī)操作，可以立即切斷其操作行為。

No.4：“文件記錄”拆招“上傳程序”

通過(guò)對(duì)傳輸?shù)奈募M(jìn)行原始記錄，運(yùn)維人員無(wú)論是上傳/下載還是修改文件，都可以完整的記錄下來(lái)，管理人員可以查看文件的原始內(nèi)容。

No.5：“操作審計(jì)”拆招“避開(kāi)追蹤”

通過(guò)更加詳細(xì)的審計(jì)手段，不放過(guò)任何一個(gè)信息：起止時(shí)間、來(lái)源IP、來(lái)源用戶、來(lái)源MAC、系統(tǒng)IP、系統(tǒng)帳戶、系統(tǒng)MAC、操作視頻、命令記錄、文件記錄等等；用戶可以通過(guò)這些關(guān)鍵信息進(jìn)行事后定位追蹤。

No.6：“行為告警”拆招“非法刪違”

通過(guò)實(shí)時(shí)的違規(guī)告警，運(yùn)維人員一旦觸發(fā)了修改網(wǎng)絡(luò)配置、刪除系統(tǒng)信息等行為，實(shí)時(shí)告警就會(huì)在第一時(shí)間通過(guò)郵件告知管理人員。

總結(jié)的話

當(dāng)然，我們并不是說(shuō)所有的第三方代維都存在這樣的問(wèn)題，但用戶還是需要修煉好“內(nèi)功”才能更有底氣。安恒信息安全專家建議廣大用戶，打鐵還需自身硬，企業(yè)要時(shí)刻想著加強(qiáng)自身的安全意識(shí)，腦子里要時(shí)刻都繃著安全這根弦，只有居安思危才能防患于未然。在提升安全意識(shí)的基礎(chǔ)上，通過(guò)運(yùn)維審計(jì)和風(fēng)險(xiǎn)管控可在很大程度減少信息泄露的風(fēng)險(xiǎn)。