技術干貨 | 數(shù)據(jù)安全：如何提升企業(yè)運維安全

當今互聯(lián)網技術不斷更新?lián)Q代，也帶來了各種各樣的安全隱患。而如何保障企業(yè)數(shù)據(jù)的安全，也成了IT運維工作的生命線。一次偶然的機會與一位珠寶行業(yè)CIO（A總）聊起運維安全的話題，令我記憶深刻。

記得當時去拜訪A總，交流到IT運維人員如何管理問題，于是有了下面番對話。

據(jù)有關權威機構統(tǒng)計，運維安全突出問題如下：

? 87% 的內部事故都源于特權用戶

? 許多事故是玩忽職守所致：

? 更改管理流程

? 違反使用制度

? 還有一些事故是精心策劃的：

?  報復 (84%)

? “蓄意破壞” (92%)

? 無論有意還是無意，事故的代價都不容忽視：

? 內部攻擊成本占到年毛收入的6%

? 僅美國就高達 4000 億美元

? 政府關于安全監(jiān)管，行業(yè)安全法規(guī)要求：

? SOX法案

? 網絡安全法

? 國家等保

針對運維安全管控，應當滿足以下五個維度的目標：

一個成熟的運維安全解決方案，應當實現(xiàn)對自然人的管控，強化對特權賬號的管理。

運維安全管理平臺應當包括：

特權管理——由運維管理系統(tǒng)統(tǒng)一接管企業(yè)中所有的特權賬號，進行集中化管理。

統(tǒng)一認證——通過不同強度的認證策略，提升安全等級。

身份及賬號管理——維護身份信息，主從賬號單獨管理。

集成接口——對于各類資源、不同接口進行適配接入。

安全審計——從安全管控監(jiān)督，對不同行為進行審計。

從提高IT運維管理效率的角度來看：

1. 減少企業(yè)運維成本；

2. 集中管理運維設施，減少安全漏洞；

3. 集中存儲、保護設備特權賬號及密碼、實現(xiàn)統(tǒng)一認證和單點登錄，提高運維人員工作效率；

4. 逐級審批，做到特權權限收放可控；

5. 細粒度的權限訪問控制、集中審計，做到有依可查；

6. 集中管理、集中授權、分權管理。

從法律法規(guī)角度來看：

1. 遵守Sarbanes-Oxley法案第404條款要求加強企業(yè)內控管理；

2. 遵從國內《企業(yè)內部控制規(guī)范》、《國家信息安全等級保護管理規(guī)定》關于內部管理、項目和投資管理控制和審計要求；

3. 減少企業(yè)IT環(huán)境中的缺陷，建立強健的安全策略；

4. 實現(xiàn)一個主動、端到端的IT法規(guī)從性計劃，以提供更安全的IT安全性。