近年來，由內部運維管理人員造成的信息泄露事件頻現于媒體報端，這給相關企事業單位帶來了不可計量的重大損失。尤其在海關、金融、政府、科研等對審計要求更嚴、涉密程度更高，且對網絡依賴較高的行業中，如果運維操作不能全程追蹤，則很有可能造成核心數據外泄，用戶數據丟失的風險。攘外必先安內，那么，這些涉密要求極高的行業用戶，如何降低運維操作導致的安全風險，保障數據中心運維管理的合規性呢?

外網隔離之后最大的風險在哪?

之前，國外調查機構在《調查顯示大多數的IT工作人員將竊取公司的秘密》報告中披露的數據令人驚訝：88%的IT管理人員承認，如果馬上被解雇的話，他們將帶走公司的機密。這些機密信息包括了高層管理人員的密碼、客戶數據庫、研究和發展計劃、財務報告、并購計劃以及公司最重要的權限密碼列表。在這個高危人群中，三分之一的IT管理員承認，他們曾對整個網絡進行搜索和窺探，查看包括工資的細節和其他員工個人的電子郵件在內的高度保密信息。

這份報告中的數據雖不能準確地反映全世界范圍內IT專業人士的態度，但警示作用非常明顯。對此，國內領先的應用安全解決方案與服務商國路安(GLA)認為：一般來說，在海關、政府、金融、科研行業中，多數的用戶都對外網采用了物理或邏輯隔離的方式。此時，內部數據竊取將是最大威脅，因此很多企業在內網安全軟件、防毒軟件、防泄漏(DLP)和身份審計方面投入巨大，但收效甚微。這是由于人們忽略了權限最高的IT運維審計工作，日常運維中存在著共享賬號密碼、權限混亂、職責交叉重疊的問題，會經常出現越權訪問、操作失誤、外部人員臨時賬號管理不規范等現象，在加上管理員終端可能被病毒和木馬控制的情況，這很容易給惡意泄密者制造機會，而且無法進行有效的審計、責任也難以界定。因此，要實現可信的IT運維管理平臺，就必須要滿足賬號集中管理、資源授權、操作審計，這三項要素。

“五大”創新功能支撐可信運維

一般來說，IT運維管理系統的訪問模式，是由管理員的客戶端直接發起對資源的運維請求，數據的存取不受監管和控制。為此，針對傳統運維管理中的技術架構和審計缺陷，國路安推出了GLA天璣安全運維審計系統，由運維終端通過RDP協議連接到堡壘機，再由堡壘機發起對資源的運維請求，實現了運維終端與運維資源邏輯隔離，并在全程審計中實現集中管控。

針對應用、一改傳統、技術創新之后的GLA天璣安全運維審計系統，在5大特點基礎上支撐了可信運維平臺的建立和管理，這包括：運維環境定制、運維協議無關、全面審計、數據安全、終端無需受控。

◆運維環境定制：GLA堡壘機可對用戶賬號根據不同運維角色進行統一集中管理，同時還可根據用戶運維資源的特性，在安全運維審計系統上添加用戶特有的運維工具，支持運維方式的靈活擴展。

◆ 運維協議無關：GLA堡壘機無需針對每種運維協議進行分析和控制，運維過程建立在安全運維審計系統與運維資源之間，保證了運維過程安全可靠及系統的高可擴展性。

◆全面審計：GLA堡壘機可通過文字或視頻錄制等方式，詳細記錄用戶操作過程的全部行為活動，并提供報表、回放等功能輔助管理員進行審計。

◆數據安全：GLA堡壘機將運維終端與后端資源間邏輯隔離，運維人員只能通過安全運維審計系統訪問資源數據，防止由終端病毒木馬或人為等導致的數據泄漏。

◆終端無需受控：堡壘機實現運維終端與運維資源安全分離，運維終端不進行實際的運維操作，因此無需考慮運維終端的安全問題。

據了解，GLA堡壘機所采用的面向資源和角色的運維管理方式，以及運維活動全程記錄特性，在眾多涉密行業用戶的實際應用中，全面提升降低了運維安全風險。

某科研所網絡安全負責人表示：之前，我們的網絡中存在著帳號管理混亂、權限分配不夠細致、審計信息可用價值低等一系列問題，尤其是每套系統都有獨立運行的審計系統，在安全事故發生后，即便花費了大量時間，在海量日志找到了蛛絲馬跡，但也不能最終定位到行為人。而在采用GLA天璣安全運維審計系統后，有效地杜絕了網絡管理人員直接訪問涉密資源的情況，其全程監控和錄制的功能更形成了具有震懾性和實操性的可信平臺。