亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        部署堡壘機(jī)保障運(yùn)維安全

        2017-11-22 06:03:02
        網(wǎng)絡(luò)安全和信息化 2017年2期
        關(guān)鍵詞:堡壘運(yùn)維部署

        引言:由于設(shè)備和服務(wù)器眾多,越權(quán)訪問、誤操作、濫用、惡意破壞等情況時(shí)有發(fā)生,嚴(yán)重影響了單位信息化工作的效率。如何提高信息化部門的運(yùn)維管理水平,跟蹤服務(wù)器上用戶的操作行為,防止黑客的入侵和破壞,降低運(yùn)維成本,越來越成為信息化部門關(guān)注的大事。

        隨著信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進(jìn)步,業(yè)務(wù)應(yīng)用、辦公系統(tǒng)、商務(wù)平臺不斷推出和投入運(yùn)行,信息系統(tǒng)在政務(wù)信息化的建設(shè)中全面滲透。企業(yè)的核心業(yè)務(wù)應(yīng)用系統(tǒng),使用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)來提供網(wǎng)絡(luò)服務(wù)、運(yùn)行關(guān)鍵業(yè)務(wù),提供電子政務(wù)、數(shù)據(jù)庫應(yīng)用、協(xié)同工作群件等服務(wù)。由于設(shè)備和服務(wù)器眾多,越權(quán)訪問、誤操作、濫用、惡意破壞等情況時(shí)有發(fā)生,這嚴(yán)重影響了單位信息化工作的效率,并對單位的聲譽(yù)造成了嚴(yán)重的影響。如何提高信息化部門的運(yùn)維管理水平,跟蹤服務(wù)器上用戶的操作行為,防止黑客的入侵和破壞,提供控制和審計(jì)依據(jù),降低運(yùn)維成本,滿足相關(guān)規(guī)范要求,越來越成為信息化部門關(guān)注的大事。

        伴隨著信息安全的發(fā)展,防病毒軟件、防火墻、IDS、IPS,漏掃等安全產(chǎn)品已經(jīng)得到了廣泛的應(yīng)用,雖然使用這些產(chǎn)品可以解決一些安全問題,但是對于已得到授權(quán)的人員的違規(guī)操作或誤操作卻無能為力。根據(jù)資料統(tǒng)計(jì),在對單位造成嚴(yán)重?fù)p害的案例中,有 70%是組織內(nèi)部人員所為。

        運(yùn)維工作存在的問題

        筆者單位是外網(wǎng)運(yùn)維服務(wù)的技術(shù)支撐單位,在單位的機(jī)房里,運(yùn)行著很多的業(yè)務(wù)應(yīng)用系統(tǒng),一直以來對這些與業(yè)務(wù)應(yīng)用系統(tǒng)相關(guān)的服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的維護(hù)工作都是分兩部分去做的:一部分軟件系統(tǒng)運(yùn)維工作(主要是各處室獨(dú)立分管的核心業(yè)務(wù)應(yīng)用系統(tǒng)軟件運(yùn)維工作)由各處室負(fù)責(zé)維護(hù);另一部分硬件系統(tǒng)運(yùn)維工作(包括機(jī)房中各應(yīng)用系統(tǒng)的服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等)都由運(yùn)行保障處負(fù)責(zé)維護(hù)管理。一直以來,單位的信息應(yīng)用系統(tǒng)的運(yùn)維保障工作就存在很大的安全隱患,其主要表現(xiàn)如下:

        1.帳號共享及缺乏身份識別

        在單位的機(jī)房中,存在著大量的網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和應(yīng)用系統(tǒng),分別屬于不同的部門。各應(yīng)用系統(tǒng)都有一套獨(dú)立的帳號體系,用戶為了方便登錄,經(jīng)常出現(xiàn)多人共用帳號的情況。

        多人同時(shí)使用一個(gè)系統(tǒng)帳號在帶來方便性的同時(shí),導(dǎo)致用戶身份唯一性無法確定。如果其中任何一個(gè)人離職或者將帳號告訴其他無關(guān)人員,會使這個(gè)帳號的安全性無法保證。

        由于共享帳號是多人共同使用,發(fā)生問題后,無法準(zhǔn)確定位惡意操作或誤操作的責(zé)任人。更改密碼需要通知到每一個(gè)需要使用此帳號的人員,帶來了密碼管理的復(fù)雜化。

        因?yàn)檎麄€(gè)運(yùn)維過程的不確定因素太多,所以使得整個(gè)運(yùn)維過程不可控。這不僅給運(yùn)維人員帶來了巨大的麻煩,而且讓系統(tǒng)管理人員也無法準(zhǔn)確定位故障責(zé)任人,如果長期在這種傳統(tǒng)的運(yùn)維模式下進(jìn)行運(yùn)維,這將會給單位帶來巨大的損失,甚至還無法追究相關(guān)當(dāng)事人的責(zé)任。

        2.授權(quán)不清晰引發(fā)的問題

        領(lǐng)導(dǎo)者如何進(jìn)行授權(quán),是企業(yè)管理的一個(gè)深刻命題。做過管理的人都應(yīng)該知道,授權(quán)在企業(yè)管理中是非常重要的。但是,很多企業(yè)管理者在授權(quán)時(shí),要么顧慮重重,對誰也不放心;要么授權(quán)不當(dāng),缺乏監(jiān)督制度,造成企業(yè)管理混亂。

        筆者單位的信息化運(yùn)維工作也存在著類似的問題,讓每個(gè)運(yùn)維人員在自己責(zé)任范圍內(nèi)正確安全的使用自己的每一個(gè)權(quán)限十分重要。在筆者單位的運(yùn)維模式中,授權(quán)是不清晰的,例如:運(yùn)維人員登錄某臺服務(wù)器或核心交換機(jī)等關(guān)鍵性設(shè)備時(shí),擁有很高的或者是超越自己權(quán)限范圍的權(quán)限,一旦執(zhí)行了非法操作或是誤操作,都會導(dǎo)致嚴(yán)重的后果。

        面對上述運(yùn)維模式中存在授權(quán)不清晰的問題,也引起了我們的足夠重視。我們一直在尋找一個(gè)理想的運(yùn)維模式,在這個(gè)模式下,可以對我們運(yùn)維人員的訪問操作權(quán)限進(jìn)行精確的劃分。

        3.運(yùn)維人員操作過程無審計(jì)

        因?yàn)楦鞑块T獨(dú)立運(yùn)維和管理自己的業(yè)務(wù)應(yīng)用信息系統(tǒng),所以各系統(tǒng)的審計(jì)也是相互獨(dú)立的。每個(gè)網(wǎng)絡(luò)設(shè)備,每個(gè)主機(jī)系統(tǒng)都分別進(jìn)行審計(jì),安全事故發(fā)生后需要排查各系統(tǒng)的日志,但是系統(tǒng)本身記錄的日志,不能最終定位到具體的操作人員。

        另外各系統(tǒng)的日志記錄能力各不相同,例如對于Linux系統(tǒng)來說,日志記錄就存在以下問題:

        Linux系統(tǒng)中,用戶在服務(wù)器上的操作有一個(gè)歷史命令記錄的文件,但是root用戶不僅僅可以修改自己的歷史記錄,甚至還可以修改他人的歷史記錄,系統(tǒng)本身的歷史記錄文件已經(jīng)變的不可信;無法記錄操作人員、操作時(shí)間、操作結(jié)果等。

        4.第三方人員管理隱患

        目前,筆者單位各部門已經(jīng)將一些業(yè)務(wù)應(yīng)用系統(tǒng)外包給代維公司,在享受便利的同時(shí),也帶來了很大的安全問題:代維人員流動(dòng)性大、缺少操作行為監(jiān)控、代維人員的權(quán)限過大等等,這些問題帶來的安全風(fēng)險(xiǎn)日益凸現(xiàn)。因此,我們需要通過嚴(yán)格的權(quán)限控制和操作行為審計(jì),加強(qiáng)對代維人員的行為管理,從而達(dá)到消除隱患、規(guī)避風(fēng)險(xiǎn)的目的。

        如何解決單位在運(yùn)維管理過程中存在的上述問題呢?經(jīng)過與多位信息安全專家和廠商工程師溝通后,最終決定采取部署堡壘機(jī)解決上述問題。

        堡壘機(jī)部署實(shí)施

        針對單位在運(yùn)維過程中存在的上述安全隱患,我們決定在數(shù)據(jù)中心機(jī)房部署一臺堡壘機(jī),通過部署這臺堡壘機(jī),解決了在運(yùn)維工作中一些比較棘手的問題,取得了一定的成效。

        因?yàn)榭紤]到堡壘機(jī)一般采取旁路方式,所以我們決定采取旁路部署。以下是筆者單位增加堡壘機(jī)后的網(wǎng)絡(luò)拓樸圖,如圖1所示。

        圖1 堡壘機(jī)部署拓樸圖

        將堡壘機(jī)部署到安全接入?yún)^(qū),為什么要采取這樣的部署方式呢?主要是針對單位運(yùn)維操作中,最迫切需要解決的安全隱患,即:各部門運(yùn)維人員或第三方代維公司服務(wù)人員頻繁通過RDP(遠(yuǎn)程桌面)方式訪問各自業(yè)務(wù)應(yīng)用系統(tǒng)的服務(wù)器(主要是Windows系統(tǒng)服務(wù)器),進(jìn)行遠(yuǎn)程維護(hù)操作。我們最先需要保障這方面運(yùn)維服務(wù)的安全。經(jīng)過與廠家工程師溝通,并將堡壘機(jī)親自安裝到數(shù)據(jù)中心機(jī)房現(xiàn)場測試其功能后,我們決定按照以下方案先期部署堡壘機(jī):首先將堡壘機(jī)以旁路方式安裝部署到安全接入?yún)^(qū),并在邊界防火墻的“訪問控制”策略上,配置為只允許從外到內(nèi)訪問這臺唯一堡壘機(jī)本身IP地址的RDP(遠(yuǎn)程桌面)協(xié)議和端口,禁用除了堡壘機(jī)本身IP地址以外的其他任何地址從外到內(nèi)訪問的RDP(遠(yuǎn)程桌面)協(xié)議及端口。

        按照上述方式部署完成之后,就可以登錄堡壘機(jī)了,堡壘機(jī)是通過Web界面登錄進(jìn)行管理的,此時(shí)還需在堡壘機(jī)上進(jìn)行設(shè)置,主要是按照業(yè)務(wù)類別添加不同的組別和用戶。

        組別建立完成后,還要添加設(shè)備,以上操作完成后,還要按照各部門不同用戶的角色權(quán)限添加不同的用戶,在堡壘機(jī)上,用戶按照角色主要分成管理員、運(yùn)維用戶、審計(jì)員等。管理員具有最高的權(quán)限,運(yùn)維用戶可以登錄堡壘機(jī)對業(yè)務(wù)應(yīng)用服務(wù)器進(jìn)行RDP(遠(yuǎn)程桌面)維護(hù),審計(jì)員可以查看統(tǒng)計(jì)報(bào)表,進(jìn)行操作審計(jì)。

        運(yùn)維用戶(運(yùn)維用戶角色)登錄堡壘機(jī)后可以對需要管理的應(yīng)用服務(wù)器進(jìn)行RDP遠(yuǎn)程桌面操作,審計(jì)員登陸堡壘機(jī)后,可以查看到審計(jì)事件的統(tǒng)計(jì)報(bào)表,同時(shí)審計(jì)員還可以查看到的終端用戶登錄服務(wù)器的錄像回放。

        取得的成果

        通過部署堡壘機(jī),筆者單位對于各部門運(yùn)維人員或第三方代維公司服務(wù)人員頻繁通過RDP(遠(yuǎn)程桌面)方式訪問各自業(yè)務(wù)應(yīng)用系統(tǒng)服務(wù)器進(jìn)行遠(yuǎn)程維護(hù)的方式進(jìn)行了有效的管理?,F(xiàn)在,如果各部門人員需要登錄各自的業(yè)務(wù)應(yīng)用服務(wù)器,那么都必須先登錄這臺堡壘機(jī),然后通過這臺堡壘機(jī)再登錄各自的應(yīng)用服務(wù)器進(jìn)行運(yùn)維操作。這樣就徹底的規(guī)避了一些潛在的安全風(fēng)險(xiǎn),真正做到了事前授權(quán)、事中監(jiān)控、事后審計(jì)。

        下一步,我們準(zhǔn)備將一些網(wǎng)絡(luò)設(shè)備(例如路由器、交換機(jī))、安全設(shè)備(例如防火墻、IDS)、Linux服務(wù)器等,也統(tǒng)一納入堡壘機(jī)的安全運(yùn)維管理。利用這臺堡壘機(jī),可以對終端用戶通過Telnet、SSH、VNC、X11等協(xié)議遠(yuǎn)程登錄設(shè)備的方式,進(jìn)行有效的安全運(yùn)維審計(jì)管理。

        信息安全加固

        信息安全從來都是一把雙刃劍,我們在部署堡壘機(jī)保證運(yùn)維系統(tǒng)安全審計(jì)的同時(shí),也帶來了一定的安全隱患,比如,如果一旦堡壘機(jī)被黑客攻破,那么堡壘機(jī)將形同虛設(shè),帶來的后果將是災(zāi)難性的;另外如果堡壘機(jī)出現(xiàn)自身硬件故障(例如宕機(jī)),那么就會形成單點(diǎn)故障,將會影響整個(gè)遠(yuǎn)程運(yùn)維的操作。

        對于以上的問題,將從兩個(gè)方面去解決:

        一是加強(qiáng)管理,重新制定適合本單位數(shù)據(jù)中心設(shè)備運(yùn)行維護(hù)的規(guī)范,前些年有“一流設(shè)備,三流管理”的說法,目前信息系統(tǒng)安全運(yùn)維工作越來越受重視,這種狀況正在改變。我們將根據(jù)實(shí)際情況詳細(xì)制定機(jī)房(數(shù)據(jù)中心)信息安全運(yùn)行維護(hù)規(guī)范,加強(qiáng)設(shè)備巡檢制度建設(shè),加強(qiáng)機(jī)房(數(shù)據(jù)中心)信息安全系統(tǒng)應(yīng)急措施規(guī)范的制定。

        二是增加安全設(shè)備,進(jìn)一步保障在現(xiàn)有網(wǎng)絡(luò)拓樸架構(gòu)下,各運(yùn)維系統(tǒng)設(shè)備安全穩(wěn)定的運(yùn)行。雖然堡壘機(jī)系統(tǒng)的內(nèi)核是基于Linux架構(gòu)的,但是為了安全起見,我們準(zhǔn)備再購置一臺IPS(入侵防御系統(tǒng))設(shè)備和一臺抗DDoS攻擊的設(shè)備,并將其部署在安全接入?yún)^(qū),安裝在邊界防火墻的后面,以起到及時(shí)的中斷、調(diào)整或隔離一些不正?;蚴蔷哂形:π跃W(wǎng)絡(luò)數(shù)據(jù)包傳輸?shù)男袨椤?/p>

        另外,為了避免堡壘機(jī)宕機(jī)所帶來的單點(diǎn)故障,我們準(zhǔn)備再購置一臺相同型號,相同版本的堡壘機(jī),并將其也部署到安全接入?yún)^(qū),與之前的堡壘機(jī)設(shè)置為在雙機(jī)熱備方式下工作,保持這兩臺堡壘機(jī)的配置策略一致,并為這兩臺堡壘機(jī)分配一個(gè)浮動(dòng)的IP地址,設(shè)置好主、從關(guān)系。

        總結(jié)

        通過以上堡壘機(jī)部署方案的實(shí)施,筆者單位在各業(yè)務(wù)應(yīng)用系統(tǒng)的運(yùn)維審計(jì)安全監(jiān)管的工作得到了很大的改善。各部門人員對于各自業(yè)務(wù)應(yīng)用系統(tǒng)安全運(yùn)維的意識得到了提高,信息安全運(yùn)維審計(jì)監(jiān)管工作本身就是持續(xù)改進(jìn)的過程,我們只有緊跟信息安全新技術(shù)發(fā)展的形勢,才能與時(shí)俱進(jìn)。在能夠保證信息安全的前提下,更好的為單位運(yùn)維服務(wù)做好保障工作。

        猜你喜歡
        堡壘運(yùn)維部署
        開心堡壘2
        開心堡壘
        一種基于Kubernetes的Web應(yīng)用部署與配置系統(tǒng)
        開心堡壘
        最后的堡壘T-84
        晉城:安排部署 統(tǒng)防統(tǒng)治
        部署
        運(yùn)維技術(shù)研發(fā)決策中ITSS運(yùn)維成熟度模型應(yīng)用初探
        風(fēng)電運(yùn)維困局
        能源(2018年8期)2018-09-21 07:57:24
        雜亂無章的光伏運(yùn)維 百億市場如何成長
        能源(2017年11期)2017-12-13 08:12:25
        日本伦理精品一区二区三区| 国产成人cao在线| 国产毛片一区二区三区| av天堂最新在线播放| 777米奇色8888狠狠俺去啦| 免费人成年小说在线观看| 亚洲精品动漫免费二区| 麻豆视频av在线观看| 色欲人妻aaaaaaa无码| 长腿校花无力呻吟娇喘的视频| 久久亚洲午夜牛牛影视| 日本一区二区三区精品不卡| 成年美女黄网站色大免费视频| a级毛片100部免费看| 久久福利青草精品资源| 亚洲国产av精品一区二| 亚洲最大成人网站| 国内老熟妇对白xxxxhd| AⅤ无码精品视频| av免费一区二区久久| 无码人妻一区二区三区免费视频| 国产又黄又猛又粗又爽的a片动漫| 高清高速无码一区二区| 激情都市亚洲一区二区| 狠狠躁日日躁夜夜躁2020| 成在人线av无码免费| 岛国视频在线无码| 国产精品成人av一区二区三区| 中文字幕久久熟女蜜桃 | 少妇人妻无奈的跪趴翘起| 国产精品亚洲а∨天堂2021| 国产曰批免费视频播放免费s| 亚洲春色视频在线观看| 婷婷亚洲岛国热超碰中文字幕| 国产亚洲精品久久久久婷婷瑜伽| аⅴ天堂一区视频在线观看| 在线视频观看一区二区| 少妇高潮一区二区三区99| 黄色毛片视频免费| 日本一区二区偷拍视频| 天堂国产一区二区三区|