网络安全 频道

云时代的运维安全管理指南之一:基础篇

  【IT168 应用】进入大数据的云时代,您的网络中是否面临越来越多的服务器?您的业务系统是否频繁被第三方人员、运维工程师和未知的人员所接触?服务器宕机对业务生产造成的损失是否日益不可承受?

  面对未知的不可承受之痛,您更需要将您最关键的服务器/网络设备访问纳入统一的管理之中,运维安全管理将是云计算环境下数据安全体系极其重要的一环。本文将作为云时代运维安全管理系列文章的入门基础篇,为您阐述我们为什么需要对运维操作进行安全管理。

  1. 请知晓!什么对您的机构最重要?

  无论是政府、金融、运营商,还是能源电力、生产企业,最重要的核心必定是业务和数据资源。正因为所有的运维对象都与您的业务紧密相关,包括网络设备、服务器、各种数据等。而运维的主体——人恰恰是所有安全要素中最薄弱的一环,不仅各种恶意的操作会造成网络瘫痪、服务器宕机、数据篡改或丢失等,一些无意的误操作也很有可能导致业务的意外停滞或数据损毁。因此,您就格外需要有一种有力的技术手段,帮助您所在的机构对运维过程进行规范性控制,对操作权限进行有效的管理,对整个工作过程进行监督和指导,规范了主体,您的业务系统才能够得到更有效的安全保护。

  2. 保护您的员工

  机构最核心的竞争力,往往不在于静态的数据,而在于您宝贵的人力组成和个人的创造力。但相比机器而言,人是很难做到永远不犯错的。可是,对于核心业务而言,偶尔发生的错误也有可能导致最大规模的损失。与其在事故发生后处罚您百密一疏的员工,不如在事件发生前就采取有效的预防手段,对犯错和失误进行识别并迅速的阻止和告警。预防了那些意外发生的风险就是保护了您的员工,保护您的员工,其实就是保护了您最可贵的资产和持续发展的动力来源。

  3. 减轻您员工的操作负担和操作压力

  我们相信您的业务在全球化的浪潮下必定取得惊人的增长,我们也愿意与您共同见证从小到大的成就和巨变,但是伴随着业务量的增长,必定是信息、数据和资产的迅速扩张,以及数据中心的急剧增大。当您的IT人员面对成百上千台重要的IT设备,需要记忆数以百计的账号口令,并且承受着每月重复的维护工作的时候,犯错和失误就像是一枚定时炸弹,随时有可能在任何位置被引发,这将是管理者,员工自身,同时也是那些无辜的IT设备所不愿意见到的。

  安恒信息一直在为数据中心的安全建设提供富有成效的技术和服务,我们始终认为,将重复的人工劳动托管给机器来完成,将宝贵的人力资源解放出来从事更有创造性的工作,将是我们从始至终所努力的方向。为什么不将重复枯燥的劳动交给成熟的运维审计与风险控制系统来管理和实现呢?这将是您的员工开始乐于工作的第一步。

  4. 事件取证

  当风险或事件发生后,您是否习惯于救火队员的角色,疲于奔命,却只能毫无办法的祈祷下一次同样的事件不要再次发生?如果亡羊却不能补牢,甚至无法找到缺口和漏洞在哪,那么羊迟早会全部跑光。利用运维审计与风险控制系统实现运维管理的益处就如同安装在您业务系统内部的摄像头,由于完全记录了所有外来的访问,因此您得以再现事件发生前所发生的所有逻辑进出,详实的取证记录更有助于您了解当前真实的运维水平。缺口和漏洞是否真的发生在您的员工身上?我们可以通过运维管理来了解事情的真相。

  5. 提供有效的风险预防和评价参考

  在各种系统评测中,对于核心服务器和数据的评测都是重中之重,如果没有实施有效的运维管理,所有的运维操作都裸奔在不可控的运维者个人决定的环境下,那么内部控制又如何谈起?内部控制评价又如何让领导和管理层满意?披露出的安全评价漏洞是否会成为机构迅速成长路上的绊脚石?正因为重要,所以需要重视;正因为重视,所以必须规范。对运维操作进行安全规范的管理,将是从核心层面开展风险预防的第一步,并成为内部控制评价合格答卷的首页。

  用运维安全管理的思路实现有效的内部控制,在诸多的法律法规中都有详尽的体现,敬请关注本系列的下一篇文章:《云时代的运维安全管理指南之二:遵从性篇》。

0
相关文章