《信息“止泄”：加强数据内控是根本》

信息信息 止泄止泄 加强数据内控是根本 加强数据内控是根本 2012 03 08 11 44 比特网李群 关键字 数据安全 信息化 A A 在当今信息时代 企业信息系统最大的软肋 就在内网服务器等后台系统中的核 心数据信息 企业面临最大信息安全威胁 依然是源自内部人员对于内部网络资源设备的 攻击 和对于内部机密数据文档的窃取 据 IDC 一份调查统计表明 全球差不多有 80 的 企业存在着内网信息安全或信息风险问题 在所有被调查的公司中 其曾经产生过得安全 隐患和事件中 比例超过 60 的 来自于内部人员 从 2004 年软银 内鬼 泄密软银数百万宽带用户个人资料事件 到 2007 年日本海上自卫 队二等士官泄漏神盾舰情报的事件 各类内网泄密事件 不胜枚举 近日 香港银行业又 爆出一起泄密丑闻 花旗等 6 家香港银行被证实涉嫌泄露客户资料 令香港舆论一片哗然 而就在几个月前 汇丰银行 15000 名私人银行客户资料被窃案告破 一位原信息中心的内 部员工历时三年 通过各种机会在内部数据库中拷贝窃取了客户资料 直接导致客户从汇 丰银行转走存款到 41 亿美元之多 让汇丰银行的信誉一落千丈 图注 当前企业信息系统运行与维护现状 使得信息数据泄密渠道增多 随着信息化程度的一日千里 信息数据日益成为各企事业单位的核心资产 利益的驱 使下 各种泄密事件呈几何级增长 在这样日益严峻的情况下 如何保护好存储了企业全 部核心机密的系统后台设备 尤其是如何更好地防范与审计内部管理人员对这些设备的访 问和操作 成为眼下保障内网数据信息安全最根本的环节 一方面 企业的核心服务器 数据库 交换机 OA 系统等设备资源 本身是企业最重 要的信息资产集散地 一旦遭到攻击 窃取 其后果不堪设想 然而 从目前情况来看 一 般企业内网除了统一的整体安全保护体系 例如防火墙 IDS 防病毒 数据库审计 口令 密码等 基本没有专门的技术智能化保护措施 针对这些核心资源进行有效保护 另一方面 虽然日常以高权限访问这些设备资源的人 不像一般业务系统那么多 但 其访问人群也并不简单 这些人员可能包括 系统管理员 系统运维人员 系统应用高权 限用户 第三方厂商的维护人员以及其他临时高权限人员等 最关键的是 这些人员本身 所拥有最高权限账号 一旦访问 如果其有某种主观的不良意图 或者因为其某些无意不 规范的操作 则都会带来不可挽回的损失 或者给未来埋下巨大的隐患 这些隐患所产生的对于企业内部数据安全保障产生的新威胁和挑战 归结起来包括以 下五个主要的问题 第一 共享账号带来的数据安全问题 在企业内网 IT 系统管理中 共享账号是很常见 的管理方法 其好处显而易见 既能节约了帐号管理成本 又降低了本地溢出的风险 但是 随着 IT 系统复杂性几何级提升 共享账号给数据内控带来明显的隐患 这是因为很 多人共用一个账号 就使得帐号不具有唯一性 而且密码难以有效管理 最关键的是一旦 有 内鬼 使用该账号进行数据窃密 责任难以认定到人 这就不符合国家关于信息安全 谁使用 谁负责 的原则 第二 权限控制带来的安全隐患 大多数企事业单位的 IT 运维均采用设备 操作系统 自身的授权系统 各系统分别管理所属的系统资源 为本系统的用户分配权限 无法严格 按照最小权限原则分配权限 另外 随着用户数量的增加 权限管理任务越来越重 当维 护人员同时对多个系统进行维护时 工作复杂度会成倍增加 安全性无法得到充分保证 第三 访问控制带来的安全隐患 目前的常见对系统管理员账号管理中 没有一个清 晰的访问控制列表 无法一目了然的看到什么用户能够以何种身份访问哪些关键设备 上 传下载了哪些数据文档 同时缺少有效的技术手段来保证访问控制策略有效地执行 尤其 是针对许多外包服务商 厂商技术支持人员 项目集成商等在对企业核心服务器 网络基 础设施进行现场调试或远程技术维护时 无法有效的记录其操作过程 维护内容 极容易 泄露核心机密数据或遭到潜在的恶意的破坏 第四 系统审计带来的安全隐患 企业内网各 IT 系统独立运行 维护和管理 所以各 系统的审计也是相互独立的 审计的机制 格式和管理都不尽相同 就会带来各种问题 例如 每个网络设备 每个主机系统分别进行审计 安全事故发生后需要排查各系统的日 志 但是往往日志找到了 也不能最终定位到行为人 第五 面临安全合规性法规遵从的压力 为加强信息系统风险管理 政府 金融 运 营商等陆续发布信息系统管理规范和要求 如 信息系统等级保护 商业银行信息科技 风险管理指引 企业内部控制基本规范 等均要求采取信息系统风险内控与审计 这些 法规的要求和遵从 对于大型企业上市或者跨国经营 有着极大的影响 2002 年由美国总 统布什签发的萨班斯法案 Sarbanes Oxley Act 开始生效 其中要求企业的经营活动 企业管 理 项目和投资等 都要有控制和审计手段 因此 管理人员需要有有效的技术手段和专 业的技术工具和安全产品按照行业的标准来做细粒度的管理 真正做到对于内部网络的严 格管理 可以控制 限制和追踪用户的行为 判定用户的行为是否对企业内部网络的安全 运行带来威胁 综上所述 随着信息化的发展 企事业单位 IT 系统不断发展 网络规模迅速扩大 设 备数量激增 建设重点逐步从网络平台转向深化应用 提升效益为特征的运维阶段 IT 系统 运维与安全管理正逐渐走向融合 面对日趋复杂的 IT 系统 不同背景的运维人员已经给企 业信息系统数据内控和安全运行带来较大的潜在风险 如何加固企业内网堡垒的 内防 建立起稳固的数据内控体系 有效防范打击 内鬼 成为近年内国际信息安全业界在数据安全领域的新课题 堡垒机技术 就是在这样的时 代呼唤下 成为数据内控安全舞台新星 所谓堡垒机 其全称为 内控堡垒主机 它综合 了运维管理和安全性的融合 切断了终端计算机对网络和服务器资源的直接访问 而是采 用协议代理的方式 接管了终端计算机对网络和服务器的访问 形象地说 终端计算机对 目标的访问 均需要经过堡垒主机的翻译 打了一个比方 内控堡垒主机扮演着看门者的 工作 所有对网络设备和服务器的请求都要从这扇大门经过 因此堡垒机能够拦截非法访 问 和恶意攻击 对不合法命令进行命令阻断 过滤掉所有对目标设备的非法访问行为 堡垒机技术主要帮助内网信息系统管理者 实现六大方面智能化支撑和高安全性防护 包 括 单点登录 帐号管理 身份认证 资源授权 访问控制 操作审计 那么 堡垒机技术究竟具有什么优势功性能呢 以国内领先的一款 JD FORT 数据内控 堡垒机为例 首先 SSO 单点登录功能 JD FORT 数据内控堡垒机提供了基于 B S 的单点登录系统 用户通过访问 WEB 页面一 次登录系统后 就可以无需认证的访问被授权的多种基于 B S 和 C S 的应用系统 单点登 录可以实现与用户授权管理的无缝链接 可以通过对用户 角色 行为和资源的授权 增 加对资源的保护和对用户行为的监控及审计 其次 集中账号管理功能 JD FORT 数据内控堡垒机的集中账号管理包含对所有服务器 网络设备账号的集中管 理 账号和资源的集中管理是集中授权 认证和审计的基础 通过建立集中账号管理 单 位可以实现将账号与具体的自然人相关联 通过这种关联 可以实现多级的用户管理和细 粒度的用户授权 而且 还可以实现针对自然人的行为审计 以满足审计的需要 第三 集中身份认证功能 用户提供统一的认证接口 采用统一的认证接口不但便于对用户认证的管理 而且能 够采用更加安全的认证模式 提高认证的安全性和可靠性 第四 统一资源授权功能 JD FORT 数据内控堡垒机提供统一的界面 对用户 角色及行为和资源进行授权 以 达到对权限的细粒度控制 最大限度保护用户资源的安全 通过集中访问授权和访问控制 可以对用户通过 B S C S 对服务器主机 网络设备的访问进行审计和阻断 第五 细粒度访问控制功能 JD FORT 数据内控堡垒机能够提供细粒度的访问控制 最大限度保护用户资源的安全 细粒度的命令策略是命令的集合 可以是一组可执行命令 也可以是一组非可执行的命令 该命令集合用来分配给具体的用户 来限制其系统行为 管理员会根据其自身的角色为其 指定相应的控制策略来限定用户 第六 运维操作审计功能 操作审计管理主要审计操作人员的账号使用 登录 资源访问 情况 资源使用情况等 在各服务器主机 网络设备的访问日志记录都采用统一的账号 资源进行标识后 操作审 计能更好地对账号的完整使用过程进行追踪 以上是国际上标准堡垒机的基本功能 但一般知名品牌和有一定技术实力的堡垒机产 品 还会有些个性化的服务或特色功能 例如 JD FORT 数据内控堡垒机 其特色功能还包 括 智能运维脚本 运维工作站的安全检查 文件共享管理 共享资源的单点登录 共享 软件的单点登录 管理多种运维操作方式 真正意义的智能负载均衡等等 总而言之 堡垒 往往从内部攻破 数据 大多是存放于内部被人泄密 当我们加大 力气 筑高墙 抵御外来黑客进入窃密的同时 我们也应加大构造数据内控体系的高精尖 程度 严防 内鬼 泄密 让之拿不到 带不走 露马脚 从而在堡垒内部树立一道顽强 的数据安全保障体系 相关链接 1 国内堡垒机企业市场浅析 目前国内堡垒机技术和产品提供厂商究竟是什么布局呢 由于堡垒机是近年内出现的 新技术和产品 并且国内行业用户大多还处于