張偉 林昶

關(guān)鍵詞：堡壘機(jī);運(yùn)維安全;管理

前言：隨著信息化建設(shè)的增強(qiáng)，安全管理成為影響信息化應(yīng)用水平的重要因素，運(yùn)維管理與安全管理更顯動(dòng)態(tài)化特征，運(yùn)維效果體現(xiàn)多樣性發(fā)展趨勢(shì)?；谶\(yùn)維堡壘機(jī)，要發(fā)揮技術(shù)優(yōu)勢(shì)，多角度進(jìn)行管控，營(yíng)造優(yōu)質(zhì)的信息應(yīng)用環(huán)境。

1、正確認(rèn)識(shí)堡壘機(jī)運(yùn)維安全管理現(xiàn)狀

1.1、運(yùn)維人員管理情況分析

1.1.1、運(yùn)維人員管控不到位。立足傳統(tǒng)信息安全建設(shè)，主要針對(duì)的是黑客，將其黑客攻擊作為防范方向，同時(shí)關(guān)注網(wǎng)絡(luò)邊界的訪客，忽視內(nèi)部人員行為不當(dāng)對(duì)系統(tǒng)安全造成的威脅。從內(nèi)部人員角度分析，尤其是訪問權(quán)限較高的運(yùn)維人員，其接觸信息系統(tǒng)核心數(shù)據(jù)、設(shè)備的幾率更高，也存在惡意性質(zhì)或者非惡意性質(zhì)的破壞行為。另外，賬號(hào)共享情況較為普遍，各種信息協(xié)議廣泛存在，操作人員身份缺乏清晰性與明確性，管理透明性不足，使得整個(gè)管理行為存在不可控性。一旦發(fā)生信息安全風(fēng)險(xiǎn)，事故性質(zhì)以及緣由很難準(zhǔn)確定位。從本質(zhì)上講，內(nèi)部人員的整體操作失控狀態(tài)突出，面對(duì)安全事故的影響，后果無(wú)法預(yù)估。

1.1.2、賬戶管控漏洞較多

一方面，針對(duì)同一賬號(hào)，存在多用戶共同使用的情況。具體講，對(duì)于信息部門的硬件設(shè)備以及系統(tǒng)軟件，涉獵諸多業(yè)務(wù)內(nèi)容，系統(tǒng)類型較多。另外，在

信息化系統(tǒng)建設(shè)中，內(nèi)控管理本身存在不足性，經(jīng)驗(yàn)匱乏，便利性欠缺，尤其是身份認(rèn)證以及權(quán)限劃分缺乏清晰性與明確性，權(quán)限關(guān)系較為混亂。與此同時(shí)，在日常操作中，系統(tǒng)開發(fā)與維護(hù)人員存在賬號(hào)共用的問題，無(wú)法準(zhǔn)確定位安全事故真正責(zé)任者，很難全面知曉賬戶所有應(yīng)用人。也就是說，賬號(hào)使用范圍很難實(shí)現(xiàn)精準(zhǔn)控制，安全隱患突出;另外，同一用戶存在使用多個(gè)賬戶的情況。對(duì)于維護(hù)人員，一人多賬戶情況較多。在這種狀態(tài)下，諸多口令需要進(jìn)行記憶，尤其是還需要掌握多種主機(jī)系統(tǒng)，需要在多種設(shè)備之間進(jìn)行多次轉(zhuǎn)換。一旦設(shè)備規(guī)模較大，甚至超過幾百臺(tái)，維護(hù)人員維護(hù)操作流程與環(huán)節(jié)增加，工作量擴(kuò)大，復(fù)雜性增強(qiáng)，很難保證較高的工作效率與工作效果，誤操作幾率增大，系統(tǒng)正常運(yùn)行遭到威脅;除此之外，授權(quán)環(huán)節(jié)存在缺陷，清晰度不足。在信息管理之中，不同層級(jí)賬戶權(quán)限劃分較為粗放，精細(xì)度不夠，尚未構(gòu)建科學(xué)合理的運(yùn)維操作授權(quán)模式，授權(quán)粒度較粗，忽視最小權(quán)限分配原則，與業(yè)務(wù)管理存在嚴(yán)重脫節(jié)的問題。為此，信息系統(tǒng)安全性之所以較低，主要源于運(yùn)維人員較高的權(quán)限以及操作的不規(guī)范性。

1.2、堡壘機(jī)運(yùn)維人員優(yōu)化措施

為了提升堡壘機(jī)運(yùn)維人員管理水平，首要任務(wù)是合理分配賬戶，做好授權(quán)工作，保證清晰性與明確性，這是安全設(shè)計(jì)的重要前提。一方面，要重視對(duì)賬號(hào)管理機(jī)制進(jìn)行優(yōu)化?；诒緳C(jī)具備運(yùn)維賬號(hào)的托管功能，促使運(yùn)維操作單點(diǎn)登錄到主機(jī)系統(tǒng)。也就是說，借助堡壘機(jī)賬號(hào)的獲取，能夠達(dá)到針對(duì)性運(yùn)維事件的操作，省去系統(tǒng)賬號(hào)劃分的需要，同時(shí)，即便是臨時(shí)性運(yùn)維人員，也可以使用臨時(shí)性堡壘機(jī)賬號(hào)，設(shè)置一定時(shí)間實(shí)現(xiàn)過期，在遇到調(diào)崗問題之時(shí)，進(jìn)行賬號(hào)的及時(shí)刪除處理。其次，做好授權(quán)管理機(jī)制的完善與優(yōu)化。堡壘機(jī)制擁有黑白指令名單的功能，能實(shí)現(xiàn)對(duì)服務(wù)器以及交換機(jī)的的有效管理，達(dá)到對(duì)粒度劃分不合理問題的處理，實(shí)現(xiàn)對(duì)低權(quán)限用戶的限制，降低出現(xiàn)越權(quán)高危指令風(fēng)險(xiǎn)的幾率。系統(tǒng)上線之后，ACL能夠發(fā)揮作用，維護(hù)堡壘機(jī)功能的同時(shí)，限制相關(guān)端口互訪的行為，這就大大降低越權(quán)訪問風(fēng)險(xiǎn)的發(fā)生。

2、堡壘機(jī)的運(yùn)維流程的改善措施

2.1、準(zhǔn)確分析運(yùn)維流程管理存在的問題

立足當(dāng)前，即便應(yīng)用了ITIL管理規(guī)范，但是，在運(yùn)維流程方面仍存在不足。一方面，運(yùn)維操作存在較大的隨意性，尤其在工作中存在較高的自主性，很難實(shí)現(xiàn)對(duì)運(yùn)維工作的全面監(jiān)督，監(jiān)管缺乏有效的審批，運(yùn)維項(xiàng)目報(bào)備不及時(shí)，這些問題的存在造成較高的內(nèi)控風(fēng)險(xiǎn)，極易發(fā)生對(duì)設(shè)備的不規(guī)范操作，誘發(fā)破壞行為，造成嚴(yán)重后果。同時(shí)，對(duì)運(yùn)維工作任務(wù)工作量缺乏清晰的認(rèn)識(shí)。其次，尚未構(gòu)建科學(xué)高效的異常機(jī)制。針對(duì)運(yùn)維操作中出現(xiàn)的異常情況，尚未構(gòu)建有效的預(yù)警機(jī)制，很難實(shí)現(xiàn)對(duì)安全事件的及時(shí)、有效的處理，大大降低整體應(yīng)對(duì)措施的實(shí)效性。

2.2、多角度進(jìn)行運(yùn)維流程管理的完善

為了切實(shí)提升堡壘機(jī)運(yùn)維管理水平，要將流程管理作為切入點(diǎn)，整體進(jìn)行分析，構(gòu)建針對(duì)性應(yīng)對(duì)措施。一方面，以制度以及技術(shù)為重點(diǎn)，對(duì)其進(jìn)行全面規(guī)范，維護(hù)系統(tǒng)運(yùn)行安全性與可靠性，同時(shí)，責(zé)任的清晰劃分是根本。另外，對(duì)整個(gè)操作流程與環(huán)節(jié)進(jìn)行完善，依托堡壘機(jī)制的策略性設(shè)置，將運(yùn)維的時(shí)間、地點(diǎn)、項(xiàng)目等任務(wù)落到實(shí)處。面對(duì)核心性任務(wù)，一般需要設(shè)置二次審批確認(rèn)。再次，對(duì)于異常事件，要保證處理流程的高效性。積極構(gòu)建科學(xué)的審計(jì)流程，制定有效的預(yù)警機(jī)制，以便及時(shí)發(fā)現(xiàn)異常，最快進(jìn)行反饋與處理。

結(jié)束語(yǔ)：綜上，對(duì)于堡壘機(jī)而言，其在信息系統(tǒng)運(yùn)維管理中作用日益加深，因此，要對(duì)其給予高度關(guān)注，重視運(yùn)維過程記錄以及責(zé)任追蹤的同時(shí)，強(qiáng)化運(yùn)維人員管理以及運(yùn)維流程優(yōu)化完善，保證運(yùn)維管理的全面性與系統(tǒng)性，最大限度減少信息安全事故的發(fā)生，維護(hù)整個(gè)信息系統(tǒng)的穩(wěn)定性與可靠性。

參考文獻(xiàn)：

[1]匡石磊.基于堡壘機(jī)的屏幕錄像系統(tǒng)的運(yùn)維操作審計(jì)研究與實(shí)踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（06）：7-10.

[2]劉炬宏.等保2.0下堡壘機(jī)在醫(yī)院信息系統(tǒng)的應(yīng)用[J].市場(chǎng)周刊，2021，34（03）：41-42.

[3]黃劍韜，黃志中，王琳琳，路程伊，金鵬，呂飛，孫娜娜，王偉，侯瑞峰.基于堡壘機(jī)的智能綜合運(yùn)維管理系統(tǒng)的設(shè)計(jì)與思考[J].中國(guó)數(shù)字醫(yī)學(xué)，2018，13（08）：68-69+21.