基于堡垒机的运维安全管理
2021-03-04张伟林昶
张伟 林昶
关键词:堡垒机;运维安全;管理
前言:随着信息化建设的增强,安全管理成为影响信息化应用水平的重要因素,运维管理与安全管理更显动态化特征,运维效果体现多样性发展趋势。基于运维堡垒机,要发挥技术优势,多角度进行管控,营造优质的信息应用环境。
1、正确认识堡垒机运维安全管理现状
1.1、运维人员管理情况分析
1.1.1、运维人员管控不到位。立足传统信息安全建设,主要针对的是黑客,将其黑客攻击作为防范方向,同时关注网络边界的访客,忽视内部人员行为不当对系统安全造成的威胁。从内部人员角度分析,尤其是访问权限较高的运维人员,其接触信息系统核心数据、设备的几率更高,也存在恶意性质或者非恶意性质的破坏行为。另外,账号共享情况较为普遍,各种信息协议广泛存在,操作人员身份缺乏清晰性与明确性,管理透明性不足,使得整个管理行为存在不可控性。一旦发生信息安全风险,事故性质以及缘由很难准确定位。从本质上讲,内部人员的整体操作失控状态突出,面对安全事故的影响,后果无法预估。
1.1.2、账户管控漏洞较多
一方面,针对同一账号,存在多用户共同使用的情况。具体讲,对于信息部门的硬件设备以及系统软件,涉猎诸多业务内容,系统类型较多。另外,在
信息化系统建设中,内控管理本身存在不足性,经验匮乏,便利性欠缺,尤其是身份认证以及权限划分缺乏清晰性与明确性,权限关系较为混乱。与此同时,在日常操作中,系统开发与维护人员存在账号共用的问题,无法准确定位安全事故真正责任者,很难全面知晓账户所有应用人。也就是说,账号使用范围很难实现精准控制,安全隐患突出;另外,同一用户存在使用多个账户的情况。对于维护人员,一人多账户情况较多。在这种状态下,诸多口令需要进行记忆,尤其是还需要掌握多种主机系统,需要在多种设备之间进行多次转换。一旦设备规模较大,甚至超过几百台,维护人员维护操作流程与环节增加,工作量扩大,复杂性增强,很难保证较高的工作效率与工作效果,误操作几率增大,系统正常运行遭到威胁;除此之外,授权环节存在缺陷,清晰度不足。在信息管理之中,不同层级账户权限划分较为粗放,精细度不够,尚未构建科学合理的运维操作授权模式,授权粒度较粗,忽视最小权限分配原则,与业务管理存在严重脱节的问题。为此,信息系统安全性之所以较低,主要源于运维人员较高的权限以及操作的不规范性。
1.2、堡垒机运维人员优化措施
为了提升堡垒机运维人员管理水平,首要任务是合理分配账户,做好授权工作,保证清晰性与明确性,这是安全设计的重要前提。一方面,要重视对账号管理机制进行优化。基于堡垒机具备运维账号的托管功能,促使运维操作单点登录到主机系统。也就是说,借助堡垒机账号的获取,能够达到针对性运维事件的操作,省去系统账号划分的需要,同时,即便是临时性运维人员,也可以使用临时性堡垒机账号,设置一定时间实现过期,在遇到调岗问题之时,进行账号的及时删除处理。其次,做好授权管理机制的完善与优化。堡垒机制拥有黑白指令名单的功能,能实现对服务器以及交换机的的有效管理,达到对粒度划分不合理问题的处理,实现对低权限用户的限制,降低出现越权高危指令风险的几率。系统上线之后,ACL能够发挥作用,维护堡垒机功能的同时,限制相关端口互访的行为,这就大大降低越权访问风险的发生。
2、堡垒机的运维流程的改善措施
2.1、准确分析运维流程管理存在的问题
立足当前,即便应用了ITIL管理规范,但是,在运维流程方面仍存在不足。一方面,运维操作存在较大的随意性,尤其在工作中存在较高的自主性,很难实现对运维工作的全面监督,监管缺乏有效的审批,运维项目报备不及时,这些问题的存在造成较高的内控风险,极易发生对设备的不规范操作,诱发破坏行为,造成严重后果。同时,对运维工作任务工作量缺乏清晰的认识。其次,尚未构建科学高效的异常机制。针对运维操作中出现的异常情况,尚未构建有效的预警机制,很难实现对安全事件的及时、有效的处理,大大降低整体应对措施的实效性。
2.2、多角度进行运维流程管理的完善
为了切实提升堡垒机运维管理水平,要将流程管理作为切入点,整体进行分析,构建针对性应对措施。一方面,以制度以及技术为重点,对其进行全面规范,维护系统运行安全性与可靠性,同时,责任的清晰划分是根本。另外,对整个操作流程与环节进行完善,依托堡垒机制的策略性设置,将运维的时间、地点、项目等任务落到实处。面对核心性任务,一般需要设置二次审批确认。再次,对于异常事件,要保证处理流程的高效性。积极构建科学的审计流程,制定有效的预警机制,以便及时发现异常,最快进行反馈与处理。
结束语:综上,对于堡垒机而言,其在信息系统运维管理中作用日益加深,因此,要对其给予高度关注,重视运维过程记录以及责任追踪的同时,强化运维人员管理以及运维流程优化完善,保证运维管理的全面性與系统性,最大限度减少信息安全事故的发生,维护整个信息系统的稳定性与可靠性。
参考文献:
[1]匡石磊.基于堡垒机的屏幕录像系统的运维操作审计研究与实践[J].网络安全技术与应用,2021(06):7-10.
[2]刘炬宏.等保2.0下堡垒机在医院信息系统的应用[J].市场周刊,2021,34(03):41-42.
[3]黄剑韬,黄志中,王琳琳,路程伊,金鹏,吕飞,孙娜娜,王伟,侯瑞峰.基于堡垒机的智能综合运维管理系统的设计与思考[J].中国数字医学,2018,13(08):68-69+21.
