某公安車管系統軟件供應商(shāng)通過在車管所軟件系統内植入惡意程序，暗中進行着代人(rén)删除交通違章記錄的違規操作(zuò)。作(zuò)案者利用為(wèi)車管所軟件系統提供運維技術支持的便利條件，躲避現(xiàn)場(chǎng)監管，将事(shì)先編好(hǎo)(hǎo)的删除程序輸入，再通過修改公安内網服務(wù)器(qì)的網絡配置，避開公安内網報(bào)警體(tǐ)系，從互聯網遠(yuǎn)程入侵公安網絡系統非法删除車輛違章記錄上(shàng)萬餘條。截止到案發，公安機關(guān)查明共計非法删除交通違章記錄14000餘條，涉案金(jīn)額1800餘萬元。

代維面臨的六大挑戰

　 　通過上(shàng)面案例的描述我們看到，代維确實給用戶帶來(lái)了(le)一(yī)定的安全隐患，由于用戶對第三方企業的了(le)解不充分(fēn)，對第三方員(yuán)工的權限管控力度不足等原因，對于這(zhè) 些(xiē)本可輕松避免的問題卻力不從心。而試想一(yī)下(xià)，如(rú)果用戶擁有對第三方的運維進行審計和風(fēng)險控制的能(néng)力，就(jiù)可以在很大程度上(shàng)避免這(zhè)一(yī)尴尬。

　 　首先我們分(fēn)析用戶所面臨的運維風(fēng)險，主要包含了(le)以下(xià)幾大方面：一(yī)是第三方人(rén)員(yuán)可能(néng)利用職務(wù)之便随時(shí)登錄用戶的内網和業務(wù)系統;二是對權限的控制不夠嚴 謹，對于什(shén)麽人(rén)在什(shén)麽時(shí)間(jiān)可以訪問哪些(xiē)系統定義模糊;三是監管措施不嚴密，對于熟悉用戶系統的運維老手來(lái)說(shuō)可以很清楚的知道怎樣繞過監管;四是對于運維人(rén) 員(yuán)從IT系統上(shàng)上(shàng)傳下(xià)載文件内容沒有很好(hǎo)(hǎo)的管控措施;五是缺乏更加有效的事(shì)後追蹤溯源的能(néng)力;六是對于運維人(rén)員(yuán)的非法操作(zuò)不能(néng)做到實時(shí)的告警。

　　下(xià)面，就(jiù)讓我們實際來(lái)看一(yī)看如(rú)何通過運維審計和風(fēng)險控制來(lái)進行更加規範的運維管理(lǐ)，有效杜絕這(zhè)些(xiē)安全風(fēng)險：

規範管理(lǐ)4W模式：通過運維協議(yì)代理(lǐ)的方式實現(xiàn)對集中管理(lǐ)、身(shēn)份認證、權限分(fēn)配、行為(wèi)控制、操作(zuò)審計等功能(néng)進行規範管理(lǐ)。

六招抓住代維違規的幕後黑手

　　No.1：“身(shēn)份确認”拆招“職務(wù)之便”

　　通過集中身(shēn)份管理(lǐ)，為(wèi)每個(gè)運維人(rén)員(yuán)分(fēn)配一(yī)個(gè)用戶ID，每個(gè)用戶ID都是關(guān)聯到每個(gè)運維人(rén)員(yuán)，運維人(rén)員(yuán)都必須先登錄身(shēn)份管理(lǐ)平台後才可以訪問用戶的IT系統。

　　No.2：“權限控制”拆招“越權操作(zuò)”

　　通過細粒度的權限控制手段，實現(xiàn)對運維人(rén)員(yuán)的賬戶授權，未授權的運維人(rén)員(yuán)則無法訪問系統，而且實現(xiàn)對時(shí)間(jiān)範圍的控制，例如(rú)上(shàng)班時(shí)間(jiān)允許訪問，下(xià)班時(shí)間(jiān)則禁止訪問。

　　No.3：“實時(shí)監控”拆招“躲避監管”

　　通過運維操作(zuò)會話(huà)的實時(shí)監控，當運維人(rén)員(yuán)在訪問系統時(shí)，管理(lǐ)人(rén)員(yuán)可以通過管理(lǐ)平台對其操作(zuò)過程進行實時(shí)監控，一(yī)旦發現(xiàn)違規操作(zuò)，可以立即切斷其操作(zuò)行為(wèi)。

　　No.4：“文件記錄”拆招“上(shàng)傳程序”

　　通過對傳輸的文件進行原始記錄，運維人(rén)員(yuán)無論是上(shàng)傳/下(xià)載還是修改文件，都可以完整的記錄下(xià)來(lái)，管理(lǐ)人(rén)員(yuán)可以查看文件的原始内容。

　　No.5：“操作(zuò)審計”拆招“避開追蹤”

　　通過更加詳細的審計手段，不放(fàng)過任何一(yī)個(gè)信息：起止時(shí)間(jiān)、來(lái)源IP、來(lái)源用戶、來(lái)源MAC、系統IP、系統帳戶、系統MAC、操作(zuò)視(shì)頻、命令記錄、文件記錄等等;用戶可以通過這(zhè)些(xiē)關(guān)鍵信息進行事(shì)後定位追蹤。

　　No.6：“行為(wèi)告警”拆招“非法删違”

　　通過實時(shí)的違規告警，運維人(rén)員(yuán)一(yī)旦觸發了(le)修改網絡配置、删除系統信息等行為(wèi)，實時(shí)告警就(jiù)會在第一(yī)時(shí)間(jiān)通過郵件告知管理(lǐ)人(rén)員(yuán)。

　　總結的話(huà)

　 　當然，我們并不是說(shuō)所有的第三方代維都存在這(zhè)樣的問題，但(dàn)用戶還是需要修煉好(hǎo)(hǎo)“内功”才能(néng)更有底氣。安恒信息安全專家建議(yì)廣大用戶，打鐵還需自身(shēn)硬，企 業要時(shí)刻想着加強自身(shēn)的安全意識，腦子(zǐ)裏要時(shí)刻都繃着安全這(zhè)根弦，隻有居安思危才能(néng)防患于未然。在提升安全意識的基礎上(shàng)，通過運維審計和風(fēng)險管控可在很大 程度減少信息洩露的風(fēng)險。

掃描二維碼

關(guān)注昊雲訂閱号