《管見(jiàn)》周立:云時(shí)代的信息安全

  • 人閱讀
  • 2020-09-08 15:46:26

  • 來(lái)源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

作者:周立

遠(yuǎn)光軟件股份有限公司產(chǎn)品和技術(shù)委員會(huì)副主任

云計(jì)算近年得到迅速發(fā)展,越來(lái)越多的用戶受云計(jì)算高可靠性和高可擴(kuò)展性等特點(diǎn)所吸引,紛紛將業(yè)務(wù)遷移上云。2020年上半年新冠疫情在全球爆發(fā),幾乎一夜之間,各個(gè)企業(yè)都在向云上遷移業(yè)務(wù),云服務(wù)相關(guān)設(shè)備產(chǎn)品一時(shí)供不應(yīng)求。

遠(yuǎn)光軟件部署云計(jì)算技術(shù)的研究工作多年,成功搭建了企業(yè)私有云并部署了部分內(nèi)部信息化業(yè)務(wù)。經(jīng)過(guò)幾年運(yùn)作,已經(jīng)形成了“私有云+公有云”的混合架構(gòu)模式,上線業(yè)務(wù)不僅包括自身的業(yè)務(wù)系統(tǒng),還包括了面向企業(yè)客戶服務(wù)的“發(fā)票云”“智稅云”等多款云產(chǎn)品。2020年初新冠肺炎疫情初露苗頭,公司管理層理性預(yù)判疫情發(fā)展態(tài)勢(shì),并迅速部署了應(yīng)對(duì)工作。當(dāng)春節(jié)假期疫情全面爆發(fā)時(shí),遠(yuǎn)光軟件已完成IT軟硬件準(zhǔn)備,并進(jìn)行了測(cè)試與宣貫。春節(jié)長(zhǎng)假后,公司全面遠(yuǎn)程復(fù)工,沒(méi)有一天停工停產(chǎn),全力支持各電力單位的正常運(yùn)轉(zhuǎn),圓滿完成各大電力央企的財(cái)務(wù)和經(jīng)營(yíng)管理信息支持任務(wù)。

在遠(yuǎn)程辦公具有許多優(yōu)點(diǎn),例如借助視頻會(huì)議等工具,同事間的溝通交流可以不受時(shí)間、地點(diǎn)、空間限制,溝通效率更高效;由于工作過(guò)程不可見(jiàn),管理者下達(dá)任務(wù)必須更明確,考核更關(guān)注結(jié)果,工作效率得到提升;企業(yè)對(duì)辦公場(chǎng)地的需求有所減少,運(yùn)營(yíng)成本降低等優(yōu)勢(shì)也非常顯著。但云計(jì)算技術(shù)支撐的遠(yuǎn)程辦公,信息安全的風(fēng)險(xiǎn)也顯而易見(jiàn),必須依靠相應(yīng)的管理機(jī)制與技術(shù)手段來(lái)保障。

遠(yuǎn)程辦公的信息安全風(fēng)險(xiǎn)

自云計(jì)算誕生起,從服務(wù)中斷到的信息泄露甚至數(shù)據(jù)丟失等安全事件時(shí)有發(fā)生,其中不乏云計(jì)算服務(wù)的大牌廠商,一些用戶對(duì)云計(jì)算安全的擔(dān)憂延遲了其向云端遷移的進(jìn)程,信息安全可能是云計(jì)算發(fā)展面臨的最大挑戰(zhàn)。遠(yuǎn)程辦公模式下面臨主要的信息安全風(fēng)險(xiǎn)有:

01 被黑客攻擊的風(fēng)險(xiǎn)

IT系統(tǒng)都存在被黑客攻擊的風(fēng)險(xiǎn),而遠(yuǎn)程辦公就必須允許通過(guò)互聯(lián)網(wǎng)訪問(wèn)。在全球互聯(lián)網(wǎng)環(huán)境下,被黑客攻擊的可能性大大增加。比如目前云環(huán)境下用戶身份的鑒別方法絕大多數(shù)使用賬號(hào)+口令的單一方式,是遭受攻擊最多的環(huán)節(jié)之一。此外,攻擊者還可以租用云平臺(tái)運(yùn)行自己的惡意程序,尋找漏洞后從內(nèi)部進(jìn)行攻擊。

02 信息泄露的風(fēng)險(xiǎn)

在集中辦公模式下,信息局限在組織的局域網(wǎng)內(nèi)部,安全防護(hù)重點(diǎn)在局域網(wǎng)的邊界,防止信息未授權(quán)流出。在遠(yuǎn)程辦公模式下,用戶分散在全國(guó)甚至世界范圍,信息不僅在終端到云端的傳輸過(guò)程中存在被截獲的風(fēng)險(xiǎn),而且對(duì)終端缺乏有效的管理手段,信息泄露風(fēng)險(xiǎn)大增。

03運(yùn)維管理的風(fēng)險(xiǎn)

IT系統(tǒng)遠(yuǎn)程運(yùn)維為維護(hù)工作提供了極大的便利,但風(fēng)險(xiǎn)也相應(yīng)增加。為了實(shí)現(xiàn)遠(yuǎn)程運(yùn)維,需要在互聯(lián)網(wǎng)上開(kāi)放相應(yīng)的端口,增加了遭受攻擊的可能性。另外IT運(yùn)維操作需要很高的權(quán)限,一旦操作失誤就可能造成嚴(yán)重的事故。

遠(yuǎn)光的信息安全解決之道

面對(duì)遠(yuǎn)程辦公這一新工作模式下的信息安全風(fēng)險(xiǎn),遠(yuǎn)光軟件的解決之道就是堅(jiān)持基于PDCA管理模型建立的信息安全管理體系。IT體系的安全需求與設(shè)計(jì)依照國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)要求,從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等層面應(yīng)用技術(shù)手段或管理制度加以保護(hù)。通過(guò)定期的檢查、演練以及搜集業(yè)界發(fā)現(xiàn)的漏洞,及時(shí)進(jìn)行安全整改,使得系統(tǒng)安全得到不斷提升。針對(duì)工作模式變化帶來(lái)的新增安全風(fēng)險(xiǎn),遠(yuǎn)光軟件采取了如下的技術(shù)手段和管理措施來(lái)增強(qiáng)體系安全性:

01 加強(qiáng)系統(tǒng)安全防護(hù)

1、實(shí)施安全防護(hù)系統(tǒng)

安全防護(hù)系統(tǒng)強(qiáng)制為每臺(tái)設(shè)備掃描病毒、木馬,升級(jí)操作系統(tǒng)與病毒庫(kù),報(bào)告軟件異?;顒?dòng)。

對(duì)少數(shù)遠(yuǎn)程辦公使用的個(gè)人設(shè)備,定期對(duì)其個(gè)人設(shè)備進(jìn)行安全檢查,幫助升級(jí)操作系統(tǒng)及防護(hù)軟件。

2、定期進(jìn)行設(shè)備安全檢查、網(wǎng)絡(luò)異常行為審計(jì)、安全對(duì)抗演練。

定期檢查核心IT設(shè)備的端口開(kāi)放、資源消耗、操作系統(tǒng)和中間件升級(jí)等情況并作相應(yīng)整改。

通過(guò)網(wǎng)絡(luò)安全設(shè)備監(jiān)控網(wǎng)絡(luò),對(duì)傳輸敏感內(nèi)容等異常行為進(jìn)行事后審核。

由公司安全團(tuán)隊(duì)扮演“藍(lán)軍”從外部實(shí)施模擬攻擊,查找系統(tǒng)薄弱環(huán)節(jié)。

通過(guò)工具嘗試發(fā)現(xiàn)域賬戶弱口令,并進(jìn)行整改。

3、加強(qiáng)員工信息安全防護(hù)意識(shí)

舉辦員工遠(yuǎn)程辦公安全意識(shí)教育培訓(xùn),提升企業(yè)員工的網(wǎng)絡(luò)安全意識(shí)。

02 防止信息泄露

1、使用安全的接入通道與傳輸協(xié)議

遠(yuǎn)程辦公必須通過(guò)VPN通道接入公司內(nèi)網(wǎng);應(yīng)用服務(wù)傳輸協(xié)議使用HTTPS協(xié)議。

2、配備工作桌面設(shè)備

在公司內(nèi)網(wǎng)為每名員工配備桌面設(shè)備(PC機(jī)或虛擬機(jī)),員工通過(guò)遠(yuǎn)程登錄該設(shè)備工作。工作涉及到的信息實(shí)際在桌面設(shè)備內(nèi),并未傳輸?shù)竭h(yuǎn)程終端,傳到遠(yuǎn)程終端的只是桌面設(shè)備的屏幕圖像。

3、實(shí)施文檔安全系統(tǒng)

文檔安全系統(tǒng)自動(dòng)加密受控文檔,用戶通過(guò)域賬號(hào)可以獲得相應(yīng)的查看、編輯權(quán)限,但無(wú)權(quán)解密。如果受控文檔意外流出公司,因?yàn)槭芗用鼙Wo(hù),無(wú)法查看。

03 實(shí)行安全運(yùn)維

1、不支持遠(yuǎn)程運(yùn)維,運(yùn)維必須在公司內(nèi)網(wǎng)進(jìn)行。

2、運(yùn)維堡壘機(jī)是唯一能接入服務(wù)器進(jìn)行運(yùn)維操作的設(shè)備,堡壘機(jī)記錄所有的操作,用于事后審計(jì)。

3、服務(wù)器、數(shù)據(jù)庫(kù)的超級(jí)管理員等特權(quán)賬號(hào)實(shí)行保管與使用分離。機(jī)要員掌管特權(quán)賬號(hào),不能操作;運(yùn)維人員不掌管賬號(hào),運(yùn)維操作在運(yùn)維工單通過(guò)審批后進(jìn)行。

4、定期進(jìn)行數(shù)據(jù)備份與災(zāi)難恢復(fù)演練。在線數(shù)據(jù)備份每日1次,離線數(shù)據(jù)備份每周1次,并異地存放備份介質(zhì);各子系統(tǒng)每6個(gè)月進(jìn)行1次災(zāi)難恢復(fù)演練。

結(jié)語(yǔ)

截止目前,遠(yuǎn)光軟件遠(yuǎn)程辦公模式已運(yùn)行6個(gè)多月了,IT系統(tǒng)運(yùn)行穩(wěn)定,未發(fā)生過(guò)信息安全事故。各業(yè)務(wù)部門(mén)和職能部門(mén)積極探索在新工作模式下的業(yè)務(wù)改進(jìn)工作,效率得到了提升,比如產(chǎn)品研發(fā)效率提高了15%。對(duì)客戶的一部分服務(wù)通過(guò)遠(yuǎn)程方式進(jìn)行,大大提高了響應(yīng)速度。

當(dāng)前,云計(jì)算行業(yè)高速發(fā)展,市場(chǎng)前景廣闊,但唯有正視信息安全問(wèn)題,運(yùn)用合理、有效的管理方法和技術(shù)手段來(lái)加強(qiáng)云計(jì)算服務(wù)的安全性,才能充分發(fā)揮云計(jì)算的巨大效益和優(yōu)勢(shì)。遠(yuǎn)光軟件將一如既往把安全放在第一位,為客戶提供安全、持續(xù)的服務(wù)。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )