IT风险,祸起萧墙
当今,信息化建设已成为企业和政府部门提高市场竞争力、完善管理模式、改进业务流程、提升工作效率的有效手段。然而,随着社会对信息系统的依赖性普遍增强,利用计算机犯罪的案件也不断增多,事实上,IT风险已经成为业务风险的一部分,这一点目前已经引起企业管理者和CIO们的广泛关注,任何注重IT与业务融合的企业,都在寻求像管理其他业务风险一样管理IT风险的解决方案。
那么如何有效的管理和控制IT风险呢?一些专家的观点认为,IT风险主要包括系统的风险、人员的风险和IT投入的风险等方面。在国内知名的IT设施运营管理解决方案提供商德讯公司眼里,内部人员的风险才是信息化系统中潜伏最深、危害最大、后果最严重的风险,而IT运维的风险一定是IT风险中极其重要的环节。
对于一个数据中心来说,机房规模的扩大、系统的增加,都意味着运维人员数量的增加,权限的增加,这又导致管理的复杂度和运维过程风险也在级数的增加。而当前市场上IT服务、安全管理产品都需要IT运维人员来使用,这些产品常常赋予IT运维人员特别的操作权限,却极少有全面的审计手段。因此若不能在制度上进行约束,仅靠IT运维人员自觉自愿的恪守职业道德,显然只能是美好愿望,有着极大的风险。
因此,对IT运维人员的越权访问、权限滥用、误操作、盗用数据、篡改数据行为的防范,已经成了任何企业必须应对的重要问题。
以人为本,“控”“审”并举
内部IT运维人员一般应用命令行方式(Telnet、SSH)、和图形化方式(RDP、VNC)、HTTP方式或客户端软件等方式对数据中心的服务器进行管理,这些方式虽然方便、灵活,但接入点多,存在重大安全隐患,并难于管理。最令管理者力不从心的是,面对成千上万台的设备,一个IT经理或者一个CIO如何能确保所有IT运维人员的操作都是安全的呢?倘若有违规操作,如果能及时发现并有效阻止;若阻止不及,又如何认定事故责任呢?
近日,德讯推出了IT运维风险控制解决方案,其基本功能就是对内部IT运维人员的操作监控及审计,圆满的解决了上述的难题。系统正是遵循了“以人为本”的原则,着眼于研究人的行为、规范人的行为、防范人的行为,并对违规事件采取事前防范、事中实时控制并阻止、事后取证的措施来进行内部风险防控。
该系统的组成包括了采用嵌入式系统结构的旁路阻断审计设备(即网络风险监控系统,ICA)和应用代理服务器(即网络运维安全网关,ICS)硬件设备,以及管理控制台(ICView)和数据库软件系统,具有软硬件一体化结构设计。作为网内运维审计系统,它还可以与德讯DCLive IT设施运营管理平台进行集成,集中审计的同时,与带外(KVM、串口)运维、电源、环境等管理内容形成数据中心运维管理的全面的风险控制解决方案,从而使得用户实现“一站式”的IT基础设施运营管理,更加便捷、安全。
系统可以对基于Telnet、SSH、RDP、VNC等协议的访问操作进行过程的抓取,从而可以录像方式对所有运维人员的全部操作进行记录并存入到文件数据库中,同时具备强大的搜索功能,可对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取——从而达到真正意义上的审计与风险控制。
轻松请来IT运维审计师
部署了德讯IT运维风险控制系统的企业数据中心,仿佛请来了一位威严公正、忠于职守的IT运维审计师。无论企业的数据中心规模有多么庞大、分支有多么繁多、系统有多么复杂,管理者或CIO仅需要坐在电脑前,便能轻松地听取它的汇报并进行决策。
审计师的“威严”体现在对所有的本地或者远程用户进行集中管理和权限分配,并确保让所有的用户清楚其责任和角色。同时,他会协助管理者制定出有效的控制策略,即代理访问控制策略和阻断控制策略,能够终止非法、异常的用户活动,将风险远远阻在门外。
审计师的“公正”在于他日常使用的两大工具,网络运维安全网关ICS和网络风险监控系统ICA,这两个工具都能提供TCP阻断功能,对于非法网络连接可以根据阻断策略自动实施阻断操作。不同的是,ICS用于实现代理应用的集中管理,对用户和客户机进行合法性校验,只有符合策略要求的代理应用连接请求才能通过。而ICA主要用于网络侦听、TCP协议阻断和Telnet协议报文捕获,既可以与ICS进行联合部署,也可以部署在网内,通过旁路侦听的方式监控内网中的连接请求。这样一来,所有发生在网络中的异常、可疑现象均能被他发现并一一化解,对数据中心有效的进行了安全防护。
对于发生的这些网络风险如何处理呢?这位审计师的“忠于职守”便体现出来了。他可以对通过应用代理服务器访问的负载的操作信息进行如实全面的记录,并对所有通过基于Telnet、SSH、RDP、VNC等协议的访问操作进行全生命周期录像,可实现对历史操作过程的真实再现。这样,管理者便可以进行此类审计信息的查询检索,并对查询的结果进行回放,再现历史操作画面。在如此确凿的证据面前,威胁的制造者定会无所遁形。
当然,信息系统建设的同时把很多风险管理和内部控制的内容考虑进去的做法,比起系统完成再去考虑风险和内控、进而对IT进行改造的做法,显然要更有优势。对于前者,德讯IT运维风险控制解决方案不失为未雨绸缪之举;而对于后者,如果有了这样一位优秀的IT运维审计师前来加盟,就算是亡羊补牢,也能达到预期的效果,何乐而不为呢。