网络通信 频道

数据安全:要审计更要建“堡垒”

  在当今信息时代,企业信息系统最大的软肋,就在内网服务器等后台系统中的核心数据信息,企业面临最大信息安全威胁,依然是源自内部人员对于内部网络资源设备的攻击,和对于内部机密数据文档的窃取。据IDC一份调查统计表明,全球差不多有80%的企业存在着内网信息安全或信息风险问题,在所有被调查的公司中,其曾经产生过得安全隐患和事件中,比例超过60%的,来自于内部人员。
  从2004年软银“内鬼”泄密软银数百万宽带用户个人资料事件,到2007年日本海上自卫队二等士官泄漏神盾舰情报的事件,各类内网泄密事件,不胜枚举。近日,香港银行业又爆出一起泄密丑闻,花旗等6家香港银行被证实涉嫌泄露客户资料,令香港舆论一片哗然。而就在几个月前,汇丰银行15000名私人银行客户资料被窃案告破,一位原信息中心的内部员工历时三年,通过各种机会在内部数据库中拷贝窃取了客户资料,直接导致客户从汇丰银行转走存款到41亿美元之多,让汇丰银行的信誉一落千丈。

数据安全:要审计更要建“堡垒”

  图注:当前企业信息系统运行与维护现状,使得信息数据泄密渠道增多。
  
  随着信息化程度的一日千里,信息数据日益成为各企事业单位的核心资产,利益的驱使下,各种泄密事件呈几何级增长。在这样日益严峻的情况下,如何保护好存储了企业全部核心机密的系统后台设备,尤其是如何更好地防范与审计内部管理人员对这些设备的访问和操作,成为眼下保障内网数据信息安全最根本的环节。
  一方面,企业的核心服务器、数据库、交换机、OA系统等设备资源,本身是企业最重要的信息资产集散地,一旦遭到攻击、窃取,其后果不堪设想;然而,从目前情况来看,一般企业内网除了统一的整体安全保护体系,例如防火墙、IDS、防病毒、数据库审计、口令密码等,基本没有专门的技术智能化保护措施,针对这些核心资源进行有效保护。
  另一方面,虽然日常以高权限访问这些设备资源的人,不像一般业务系统那么多,但其访问人群也并不简单,这些人员可能包括:系统管理员、系统运维人员、系统应用高权限用户、第三方厂商的维护人员以及其他临时高权限人员等。最关键的是,这些人员本身所拥有最高权限账号,一旦访问,如果其有某种主观的不良意图,或者因为其某些无意不规范的操作,则都会带来不可挽回的损失,或者给未来埋下巨大的隐患。
  这些隐患所产生的对于企业内部数据安全保障产生的新威胁和挑战,归结起来包括以下五个主要的问题。
  第一,共享账号带来的数据安全问题。在企业内网IT系统管理中,共享账号是很常见的管理方法,其好处显而易见,既能节约了帐号管理成本,又降低了本地溢出的风险……但是,随着IT系统复杂性几何级提升,共享账号给数据内控带来明显的隐患,这是因为很多人共用一个账号,就使得帐号不具有唯一性,而且密码难以有效管理,最关键的是一旦有“内鬼”使用该账号进行数据窃密,责任难以认定到人,这就不符合国家关于信息安全“谁使用,谁负责”的原则。
  第二,权限控制带来的安全隐患。大多数企事业单位的IT运维均采用设备、操作系统自身的授权系统,各系统分别管理所属的系统资源,为本系统的用户分配权限,无法严格按照最小权限原则分配权限。另外,随着用户数量的增加,权限管理任务越来越重,当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加。安全性无法得到充分保证。
  第三,访问控制带来的安全隐患。目前的常见对系统管理员账号管理中,没有一个清晰的访问控制列表,无法一目了然的看到什么用户能够以何种身份访问哪些关键设备,上传下载了哪些数据文档,同时缺少有效的技术手段来保证访问控制策略有效地执行。尤其是针对许多外包服务商、厂商技术支持人员、项目集成商等在对企业核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效的记录其操作过程、维护内容,极容易泄露核心机密数据或遭到潜在的恶意的破坏。
  第四,系统审计带来的安全隐患。企业内网各IT系统独立运行、维护和管理,所以各系统的审计也是相互独立的。审计的机制、格式和管理都不尽相同,就会带来各种问题。例如,每个网络设备,每个主机系统分别进行审计,安全事故发生后需要排查各系统的日志,但是往往日志找到了,也不能最终定位到行为人。
  第五,面临安全合规性法规遵从的压力。为加强信息系统风险管理,政府、金融、运营商等陆续发布信息系统管理规范和要求,如“信息系统等级保护”、“商业银行信息科技风险管理指引”、“企业内部控制基本规范”等均要求采取信息系统风险内控与审计。这些法规的要求和遵从,对于大型企业上市或者跨国经营,有着极大的影响。2002年由美国总统布什签发的萨班斯法案(Sarbanes-Oxley Act)开始生效。其中要求企业的经营活动,企业管理、项目和投资等,都要有控制和审计手段。因此,管理人员需要有有效的技术手段和专业的技术工具和安全产品按照行业的标准来做细粒度的管理,真正做到对于内部网络的严格管理,可以控制、限制和追踪用户的行为,判定用户的行为是否对企业内部网络的安全运行带来威胁。
  综上所述,随着信息化的发展,企事业单位IT系统不断发展,网络规模迅速扩大,设备数量激增,建设重点逐步从网络平台转向深化应用、提升效益为特征的运维阶段;IT系统运维与安全管理正逐渐走向融合。面对日趋复杂的IT系统,不同背景的运维人员已经给企业信息系统数据内控和安全运行带来较大的潜在风险,
  如何加固企业内网堡垒的“内防”,建立起稳固的数据内控体系,有效防范打击“内鬼”,成为近年内国际信息安全业界在数据安全领域的新课题。堡垒机技术,就是在这样的时代呼唤下,成为数据内控安全舞台新星。所谓堡垒机,其全称为“内控堡垒主机”,它综合了运维管理和安全性的融合,切断了终端计算机对网络和服务器资源的直接访问,而是采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过堡垒主机的翻译。打了一个比方,内控堡垒主机扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此堡垒机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为。堡垒机技术主要帮助内网信息系统管理者,实现六大方面智能化支撑和高安全性防护,包括:单点登录、帐号管理、身份认证、资源授权、访问控制、操作审计。
  那么,堡垒机技术究竟具有什么优势功性能呢?以国内领先的一款JD-FORT数据内控堡垒机为例。
  首先,SSO单点登录功能。
  JD-FORT数据内控堡垒机提供了基于B/S的单点登录系统,用户通过访问WEB页面一次登录系统后,就可以无需认证的访问被授权的多种基于B/S和C/S的应用系统。单点登录可以实现与用户授权管理的无缝链接,可以通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计。
  其次,集中账号管理功能。
  JD-FORT数据内控堡垒机的集中账号管理包含对所有服务器、网络设备账号的集中管理。账号和资源的集中管理是集中授权、认证和审计的基础。通过建立集中账号管理,单位可以实现将账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足审计的需要。
   第三,集中身份认证功能。
  用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。
  第四,统一资源授权功能。
  JD-FORT数据内控堡垒机提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。
  第五,细粒度访问控制功能。
  JD-FORT数据内控堡垒机能够提供细粒度的访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。
  第六,运维操作审计功能。
  操作审计管理主要审计操作人员的账号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后,操作审计能更好地对账号的完整使用过程进行追踪。
  以上是国际上标准堡垒机的基本功能,但一般知名品牌和有一定技术实力的堡垒机产品,还会有些个性化的服务或特色功能。例如JD-FORT数据内控堡垒机,其特色功能还包括:智能运维脚本、运维工作站的安全检查、文件共享管理、共享资源的单点登录、共享软件的单点登录、管理多种运维操作方式、真正意义的智能负载均衡等等。
  总而言之,堡垒,往往从内部攻破,数据,大多是存放于内部被人泄密,当我们加大力气“筑高墙”抵御外来黑客进入窃密的同时,我们也应加大构造数据内控体系的高精尖程度,严防“内鬼”泄密,让之拿不到、带不走、露马脚。从而在堡垒内部树立一道顽强的数据安全保障体系。
  
  
  
  相关链接1:国内堡垒机企业市场浅析
  
  目前国内堡垒机技术和产品提供厂商究竟是什么布局呢?由于堡垒机是近年内出现的新技术和产品,并且国内行业用户大多还处于信息化应用建设的高潮,还没有到堡垒机需求期,因此,堡垒机市场需求规模和产品提供商都有限。国内很大一部分信息安全综合厂商都陆续推出许多有着与堡垒机部分功能相近的产品,例如单点登录产品,内网准入产品、系统审计产品等,但是真正能够提供完整独立堡垒机技术和产品的并不是很多,国内堡垒机技术和市场规模较为知名的包括以下五家:网御神州(www.legendsec.com)、绿盟科技(www.nsfocus.com)、极地安全(www.jidisec.com)、方正安全(www.foundersec.com)和捷成世纪(www.jetsen.cn) 。
  

0
相关文章