所謂“代維”，是指企業(yè)將自己的IT系統(tǒng)外包給第三方進行包括系統(tǒng)配置、日常運維、系統(tǒng)管理等管理權(quán)限的操作。讓專業(yè)的人干專業(yè)的事，這可以使企業(yè)本身從繁重的IT運維中解脫出來。然而，這種基于第三方的運維管理還是多多少少給企業(yè)帶來了一些風(fēng)險，下面筆者通過一則案例來為大家講述代維違規(guī)所帶來的安全隱患。

某公安車管系統(tǒng)軟件供應(yīng)商通過在車管所軟件系統(tǒng)內(nèi)植入惡意程序，暗中進行著代人刪除交通違章記錄的違規(guī)操作。作案者利用為車管所軟件系統(tǒng)提供運維技術(shù)支持的便利條件，躲避現(xiàn)場監(jiān)管，將事先編好的刪除程序輸入，再通過修改公安內(nèi)網(wǎng)服務(wù)器的網(wǎng)絡(luò)配置，避開公安內(nèi)網(wǎng)報警體系，從互聯(lián)網(wǎng)遠程入侵公安網(wǎng)絡(luò)系統(tǒng)非法刪除車輛違章記錄上萬余條。截止到案發(fā)，公安機關(guān)查明共計非法刪除交通違章記錄14000余條，涉案金額1800余萬元。

代維面臨的六大挑戰(zhàn)

通過上面案例的描述我們看到，代維確實給用戶帶來了一定的安全隱患，由于用戶對第三方企業(yè)的了解不充分，對第三方員工的權(quán)限管控力度不足等原因，對于這些本可輕松避免的問題卻力不從心。而試想一下，如果用戶擁有對第三方的運維進行審計和風(fēng)險控制的能力，就可以在很大程度上避免這一尷尬。

首先我們分析用戶所面臨的運維風(fēng)險，主要包含了以下幾大方面：一是第三方人員可能利用職務(wù)之便隨時登錄用戶的內(nèi)網(wǎng)和業(yè)務(wù)系統(tǒng)；二是對權(quán)限的控制不夠嚴謹，對于什么人在什么時間可以訪問哪些系統(tǒng)定義模糊；三是監(jiān)管措施不嚴密，對于熟悉用戶系統(tǒng)的運維老手來說可以很清楚的知道怎樣繞過監(jiān)管；四是對于運維人員從IT系統(tǒng)上上傳下載文件內(nèi)容沒有很好的管控措施；五是缺乏更加有效的事后追蹤溯源的能力；六是對于運維人員的非法操作不能做到實時的告警。

下面，就讓我們實際來看一看如何通過運維審計和風(fēng)險控制來進行更加規(guī)范的運維管理，有效杜絕這些安全風(fēng)險：

規(guī)范管理4W模式：通過運維協(xié)議代理的方式實現(xiàn)對集中管理、身份認證、權(quán)限分配、行為控制、操作審計等功能進行規(guī)范管理。

六招抓住代維違規(guī)的幕后黑手

No.1：“身份確認”拆招“職務(wù)之便”

通過集中身份管理，為每個運維人員分配一個用戶ID，每個用戶ID都是關(guān)聯(lián)到每個運維人員，運維人員都必須先登錄身份管理平臺后才可以訪問用戶的IT系統(tǒng)。

No.2：“權(quán)限控制”拆招“越權(quán)操作”

通過細粒度的權(quán)限控制手段，實現(xiàn)對運維人員的賬戶授權(quán)，未授權(quán)的運維人員則無法訪問系統(tǒng)，而且實現(xiàn)對時間范圍的控制，例如上班時間允許訪問，下班時間則禁止訪問。

No.3：“實時監(jiān)控”拆招“躲避監(jiān)管”

通過運維操作會話的實時監(jiān)控，當(dāng)運維人員在訪問系統(tǒng)時，管理人員可以通過管理平臺對其操作過程進行實時監(jiān)控，一旦發(fā)現(xiàn)違規(guī)操作，可以立即切斷其操作行為。

No.4：“文件記錄”拆招“上傳程序”

通過對傳輸?shù)奈募M行原始記錄，運維人員無論是上傳/下載還是修改文件，都可以完整的記錄下來，管理人員可以查看文件的原始內(nèi)容。

No.5：“操作審計”拆招“避開追蹤”

通過更加詳細的審計手段，不放過任何一個信息：起止時間、來源IP、來源用戶、來源MAC、系統(tǒng)IP、系統(tǒng)帳戶、系統(tǒng)MAC、操作視頻、命令記錄、文件記錄等等；用戶可以通過這些關(guān)鍵信息進行事后定位追蹤。

No.6：“行為告警”拆招“非法刪違”

通過實時的違規(guī)告警，運維人員一旦觸發(fā)了修改網(wǎng)絡(luò)配置、刪除系統(tǒng)信息等行為，實時告警就會在第一時間通過郵件告知管理人員。

總結(jié)的話

當(dāng)然，我們并不是說所有的第三方代維都存在這樣的問題，但用戶還是需要修煉好“內(nèi)功”才能更有底氣。安恒信息安全專家建議廣大用戶，打鐵還需自身硬，企業(yè)要時刻想著加強自身的安全意識，腦子里要時刻都繃著安全這根弦，只有居安思危才能防患于未然。在提升安全意識的基礎(chǔ)上，通過運維審計和風(fēng)險管控可在很大程度減少信息泄露的風(fēng)險。