信息“止洩”:加強數據内控是根本

發布日期:2012-03-12首頁 > 安全資(zī)訊
    在當今信息時代,企業信息系統最大(dà)的軟肋,就在内網服務器等後台系統中(zhōng)的核心數據信息,企業面臨最大(dà)信息安全威脅,依然是源自内部人員(yuán)對于内部網絡資(zī)源設備的攻擊,和對于内部機密數據文檔的竊取。據IDC一(yī)份調查統計表明,全球差不多有80%的企業存在着内網信息安全或信息風險問題,在所有被調查的公司中(zhōng),其曾經産生(shēng)過得安全隐患和事件中(zhōng),比例超過60%的,來自于内部人員(yuán)。
    從2004年軟銀内鬼洩密軟銀數百萬寬帶用戶個人資(zī)料事件,到2007年日本海上自衛隊二等士官洩漏神盾艦情報的事件,各類内網洩密事件,不勝枚舉。近日,香港銀行業又(yòu)爆出一(yī)起洩密醜聞,花旗等6家香港銀行被證實涉嫌洩露客戶資(zī)料,令香港輿論一(yī)片嘩然。而就在幾個月前,彙豐銀行15000名私人銀行客戶資(zī)料被竊案告破,一(yī)位原信息中(zhōng)心的内部員(yuán)工(gōng)曆時三年,通過各種機會在内部數據庫中(zhōng)拷貝竊取了客戶資(zī)料,直接導緻客戶從彙豐銀行轉走存款到41億美元之多,讓彙豐銀行的信譽一(yī)落千丈。
    圖注:當前企業信息系統運行與維護現狀,使得信息數據洩密渠道增多。
    随着信息化程度的一(yī)日千裏,信息數據日益成爲各企事業單位的核心資(zī)産,利益的驅使下(xià),各種洩密事件呈幾何級增長。在這樣日益嚴峻的情況下(xià),如何保護好存儲了企業全部核心機密的系統後台設備,尤其是如何更好地防範與審計内部管理人員(yuán)對這些設備的訪問和操作,成爲眼下(xià)保障内網數據信息安全最根本的環節。
    一(yī)方面,企業的核心服務器、數據庫、交換機、OA系統等設備資(zī)源,本身是企業最重要的信息資(zī)産集散地,一(yī)旦遭到攻擊、竊取,其後果不堪設想;然而,從目前情況來看,一(yī)般企業内網除了統一(yī)的整體(tǐ)安全保護體(tǐ)系,例如防火(huǒ)牆、IDS、防病毒、數據庫審計、口令密碼等,基本沒有專門的技術智能化保護措施,針對這些核心資(zī)源進行有效保護。
    另一(yī)方面,雖然日常以高權限訪問這些設備資(zī)源的人,不像一(yī)般業務系統那麽多,但其訪問人群也并不簡單,這些人員(yuán)可能包括:系統管理員(yuán)、系統運維人員(yuán)、系統應用高權限用戶、第三方廠商(shāng)的維護人員(yuán)以及其他臨時高權限人員(yuán)等。最關鍵的是,這些人員(yuán)本身所擁有最高權限賬号,一(yī)旦訪問,如果其有某種主觀的不良意圖,或者因爲其某些無意不規範的操作,則都會帶來不可挽回的損失,或者給未來埋下(xià)巨大(dà)的隐患。
    這些隐患所産生(shēng)的對于企業内部數據安全保障産生(shēng)的新威脅和挑戰,歸結起來包括以下(xià)五個主要的問題。
    第一(yī),共享賬号帶來的數據安全問題。在企業内網IT系統管理中(zhōng),共享賬号是很常見的管理方法,其好處顯而易見,既能節約了帳号管理成本,又(yòu)降低了本地溢出的風險……但是,随着IT系統複雜(zá)性幾何級提升,共享賬号給數據内控帶來明顯的隐患,這是因爲很多人共用一(yī)個賬号,就使得帳号不具有唯一(yī)性,而且密碼難以有效管理,最關鍵的是一(yī)旦有内鬼使用該賬号進行數據竊密,責任難以認定到人,這就不符合國家關于信息安全誰使用,誰負責的原則。
    第二,權限控制帶來的安全隐患。大(dà)多數企事業單位的IT運維均采用設備、操作系統自身的授權系統,各系統分(fēn)别管理所屬的系統資(zī)源,爲本系統的用戶分(fēn)配權限,無法嚴格按照最小(xiǎo)權限原則分(fēn)配權限。另外(wài),随着用戶數量的增加,權限管理任務越來越重,當維護人員(yuán)同時對多個系統進行維護時,工(gōng)作複雜(zá)度會成倍增加。安全性無法得到充分(fēn)保證。
    第三,訪問控制帶來的安全隐患。目前的常見對系統管理員(yuán)賬号管理中(zhōng),沒有一(yī)個清晰的訪問控制列表,無法一(yī)目了然的看到什麽用戶能夠以何種身份訪問哪些關鍵設備,上傳下(xià)載了哪些數據文檔,同時缺少有效的技術手段來保證訪問控制策略有效地執行。尤其是針對許多外(wài)包服務商(shāng)、廠商(shāng)技術支持人員(yuán)、項目集成商(shāng)等在對企業核心服務器、網絡基礎設施進行現場調試或遠程技術維護時,無法有效的記錄其操作過程、維護内容,極容易洩露核心機密數據或遭到潛在的惡意的破壞。
    第四,系統審計帶來的安全隐患。企業内網各IT系統獨立運行、維護和管理,所以各系統的審計也是相互獨立的。審計的機制、格式和管理都不盡相同,就會帶來各種問題。例如,每個網絡設備,每個主機系統分(fēn)别進行審計,安全事故發生(shēng)後需要排查各系統的日志(zhì),但是往往日志(zhì)找到了,也不能最終定位到行爲人。
    第五,面臨安全合規性法規遵從的壓力。爲加強信息系統風險管理,政府、金融、運營商(shāng)等陸續發布信息系統管理規範和要求,如信息系統等級保護商(shāng)業銀行信息科技風險管理指引企業内部控制基本規範等均要求采取信息系統風險内控與審計。這些法規的要求和遵從,對于大(dà)型企業上市或者跨國經營,有着極大(dà)的影響。2002年由美國總統布什簽發的薩班斯法案(Sarbanes-Oxley Act)開(kāi)始生(shēng)效。其中(zhōng)要求企業的經營活動,企業管理、項目和投資(zī)等,都要有控制和審計手段。因此,管理人員(yuán)需要有有效的技術手段和專業的技術工(gōng)具和安全産品按照行業的标準來做細粒度的管理,真正做到對于内部網絡的嚴格管理,可以控制、限制和追蹤用戶的行爲,判定用戶的行爲是否對企業内部網絡的安全運行帶來威脅。
    綜上所述,随着信息化的發展,企事業單位IT系統不斷發展,網絡規模迅速擴大(dà),設備數量激增,建設重點逐步從網絡平台轉向深化應用、提升效益爲特征的運維階段;IT系統運維與安全管理正逐漸走向融合。面對日趨複雜(zá)的IT系統,不同背景的運維人員(yuán)已經給企業信息系統數據内控和安全運行帶來較大(dà)的潛在風險。
    如何加固企業内網堡壘的内防,建立起穩固的數據内控體(tǐ)系,有效防範打擊内鬼,成爲近年内國際信息安全業界在數據安全領域的新課題。堡壘機技術,就是在這樣的時代呼喚下(xià),成爲數據内控安全舞台新星。所謂堡壘機,其全稱爲内控堡壘主機,它綜合了運維管理和安全性的融合,切斷了終端計算機對網絡和服務器資(zī)源的直接訪問,而是采用協議代理的方式,接管了終端計算機對網絡和服務器的訪問。形象地說,終端計算機對目标的訪問,均需要經過堡壘主機的翻譯。打了一(yī)個比方,内控堡壘主機扮演着看門者的工(gōng)作,所有對網絡設備和服務器的請求都要從這扇大(dà)門經過。因此堡壘機能夠攔截非法訪問,和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目标設備的非法訪問行爲。堡壘機技術主要幫助内網信息系統管理者,實現六大(dà)方面智能化支撐和高安全性防護,包括:單點登錄、帳号管理、身份認證、資(zī)源授權、訪問控制、操作審計。
    那麽,堡壘機技術究竟具有什麽優勢功性能呢?以國内領先的一(yī)款JD-FORT數據内控堡壘機爲例。
    首先,SSO單點登錄功能。
    JD-FORT數據内控堡壘機提供了基于B/S的單點登錄系統,用戶通過訪問WEB頁面一(yī)次登錄系統後,就可以無需認證的訪問被授權的多種基于B/SC/S的應用系統。單點登錄可以實現與用戶授權管理的無縫鏈接,可以通過對用戶、角色、行爲和資(zī)源的授權,增加對資(zī)源的保護和對用戶行爲的監控及審計。
    其次,集中(zhōng)賬号管理功能。
    JD-FORT數據内控堡壘機的集中(zhōng)賬号管理包含對所有服務器、網絡設備賬号的集中(zhōng)管理。賬号和資(zī)源的集中(zhōng)管理是集中(zhōng)授權、認證和審計的基礎。通過建立集中(zhōng)賬号管理,單位可以實現将賬号與具體(tǐ)的自然人相關聯。通過這種關聯,可以實現多級的用戶管理和細粒度的用戶授權。而且,還可以實現針對自然人的行爲審計,以滿足審計的需要。
    第三,集中(zhōng)身份認證功能。
    用戶提供統一(yī)的認證接口。采用統一(yī)的認證接口不但便于對用戶認證的管理,而且能夠采用更加安全的認證模式,提高認證的安全性和可靠性。
    第四,統一(yī)資(zī)源授權功能。
    JD-FORT數據内控堡壘機提供統一(yī)的界面,對用戶、角色及行爲和資(zī)源進行授權,以達到對權限的細粒度控制,最大(dà)限度保護用戶資(zī)源的安全。通過集中(zhōng)訪問授權和訪問控制可以對用戶通過B/SC/S對服務器主機、網絡設備的訪問進行審計和阻斷。
    第五,細粒度訪問控制功能。
    JD-FORT數據内控堡壘機能夠提供細粒度的訪問控制,最大(dà)限度保護用戶資(zī)源的安全。細粒度的命令策略是命令的集合,可以是一(yī)組可執行命令,也可以是一(yī)組非可執行的命令,該命令集合用來分(fēn)配給具體(tǐ)的用戶,來限制其系統行爲,管理員(yuán)會根據其自身的角色爲其指定相應的控制策略來限定用戶。
    第六,運維操作審計功能。
    操作審計管理主要審計操作人員(yuán)的賬号使用(登錄、資(zī)源訪問)情況、資(zī)源使用情況等。在各服務器主機、網絡設備的訪問日志(zhì)記錄都采用統一(yī)的賬号、資(zī)源進行标識後,操作審計能更好地對賬号的完整使用過程進行追蹤。
    以上是國際上标準堡壘機的基本功能,但一(yī)般知(zhī)名品牌和有一(yī)定技術實力的堡壘機産品,還會有些個性化的服務或特色功能。例如JD-FORT數據内控堡壘機,其特色功能還包括:智能運維腳本、運維工(gōng)作站的安全檢查、文件共享管理、共享資(zī)源的單點登錄、共享軟件的單點登錄、管理多種運維操作方式、真正意義的智能負載均衡等等。
   總而言之,堡壘,往往從内部攻破,數據,大(dà)多是存放(fàng)于内部被人洩密,當我(wǒ)們加大(dà)力氣築高牆抵禦外(wài)來黑客進入竊密的同時,我(wǒ)們也應加大(dà)構造數據内控體(tǐ)系的高精尖程度,嚴防内鬼洩密,讓之拿不到、帶不走、露馬腳。從而在堡壘内部樹(shù)立一(yī)道頑強的數據安全保障體(tǐ)系。