1　“雙控管理”背景概述

近幾年，隨著(zhù)《網(wǎng)絡(luò )安全等級保護條例》、《中華人民共和國網(wǎng)絡(luò )安全法》、《中華人民共和國數據安全法》、《中華人民共和國個(gè)人信息保護法》、《關(guān)鍵信息基礎設施安全保護條例》等多項法律法規的相繼出臺，各大型企業(yè)因運維操作不當導致的網(wǎng)絡(luò )安全事件逐步增多，同時(shí)影響面也逐漸擴大，信息系統運維過(guò)程中涉及的運維人員操作行為已成為新的安全風(fēng)險焦點(diǎn)。同時(shí)煙草行業(yè)工作報告中也多次提到對運行的系統需要制定“雙控管理”措施，即對人員進(jìn)出機房、運維操作管控提出了相應要求。

2　運維安全隱患剖析

四川中煙運行的業(yè)務(wù)系統中涉及大量企業(yè)生產(chǎn)和經(jīng)營(yíng)相關(guān)的數據，一旦因為不當的運維操作導致業(yè)務(wù)系統異常將會(huì )對企業(yè)的正常運轉造成重大影響。強化IT運維人員的安全意識，消除IT運維過(guò)程中存在的安全隱患一直是四川中煙網(wǎng)信部門(mén)工作中的重點(diǎn)。

目前各部門(mén)在運維過(guò)程中缺乏有效控制措施，具體情形可以分為下面兩個(gè)方面：

（1）機房出入管控風(fēng)險：

· 企業(yè)數據中心機房是信息化核心重地，沒(méi)有做到嚴格的出入機房身份核對和運維過(guò)程的全面記錄；

· 運維人員進(jìn)入機房后人員運動(dòng)軌跡超過(guò)授權范圍，缺乏有效控制和監督運維人員在機房中的運動(dòng)軌跡和操作行為的措施。

（2）運維操作過(guò)程控制風(fēng)險：

· 企業(yè)內部資產(chǎn)承載著(zhù)大量特權帳號，沒(méi)有進(jìn)行嚴格的權限劃分與訪(fǎng)問(wèn)認證，管理人員無(wú)法進(jìn)行有效管理；

· 特權賬號存在隨意使用的情況，不同角色人員同時(shí)使用高權限賬戶(hù)；

· 存在運維帳號共享問(wèn)題，不能將運維人員與帳號一一對應，開(kāi)展操作日志與安全事件審查；

· 沒(méi)有技術(shù)手段可以對運維操作行為進(jìn)行管控，極有可能因為誤操作出現影響業(yè)務(wù)系統正常運行的問(wèn)題。

3　“雙控管理”建設目標及思路

3.1　建設目標

為落實(shí)國家和煙草總局相關(guān)要求，保障四川中煙人員進(jìn)出數據機房的行為安全和信息系統的運維過(guò)程安全。建設目標主要有以下五點(diǎn)：

（1）落實(shí)機房出入管理制度

通過(guò)運維流程制度與運維管理系統相結合，機房管理員做到事前運維審批，事后反饋確認的全過(guò)程記錄，形成完整的機房出入管理日志，為日后統計和追溯運維事件提供支撐。

（2）門(mén)禁及視頻監控結合

通過(guò)機房門(mén)禁系統和機房視頻監控系統的部署，有效識別、記錄進(jìn)出機房的人員身份，對運維過(guò)程中的人員行動(dòng)軌跡和操作行為做到全方位的監控。

（3）多因子強身份認證

解決運維賬號被他人盜用或多人共用運維賬號的風(fēng)險，保證運維人員的操作行為與統一安全運維管理系統記錄的日志具有可追溯性。

（4）建立運維操作行為管控機制

檢測各運維人員的實(shí)時(shí)運維操作行為，對運維過(guò)程中發(fā)生的越權訪(fǎng)問(wèn)、違規操作等安全事件，進(jìn)行自動(dòng)的告警、阻斷違規的操作行為。

（5）加強人員身份管控

加強內部人員、外部人員身份的管控，自動(dòng)對網(wǎng)絡(luò )賬號信息梳理，對網(wǎng)絡(luò )中人員的身份進(jìn)行管理，實(shí)現運維人員、業(yè)務(wù)人員身份的合法性，防止離職員工、離職廠(chǎng)家人員對業(yè)務(wù)數據進(jìn)行訪(fǎng)問(wèn)、泄露。

3.2　建設思路

通過(guò)建設人員進(jìn)出管控系統，實(shí)現對進(jìn)出機房運維人員的身份和權限做到最小范圍最小權限的的集中管控，同時(shí)實(shí)現對進(jìn)入機房人員的運動(dòng)軌跡全過(guò)程記錄。

通過(guò)統一安全運維管理系統，實(shí)現對運維人員、資源、資源賬號的集中管理，建立“運維人員賬號—資源—資源賬號”對應關(guān)系；實(shí)現管理人員對資源的統一授權，同時(shí)，對被授權人員的登錄及操作行為進(jìn)行記錄、分析、展現，做到事前規劃預防，事中實(shí)時(shí)監控、違規行為告警和預警，事后合規報告、事故追蹤。

統一安全運維管理系統架構圖如圖1所示。

圖1 系統架構圖

· 通過(guò)門(mén)禁授權管理功能，對機房管理維護人員做到門(mén)禁與身份的綁定；

· 通過(guò)視頻監控功能，將進(jìn)入機房范圍內的人員行動(dòng)軌跡和工作范圍做全方位的監控留痕；

· 通過(guò)統一賬號管理功能，對運維人員主賬號和運維系統賬號進(jìn)行集中管理和數據同步；

· 通過(guò)統一認證管理功能，向所有用戶(hù)提供多種認證模式，實(shí)現登錄統一安全運維管理系統，同時(shí)對業(yè)務(wù)資源登錄賬號提供單點(diǎn)登錄功能；

· 通過(guò)統一授權管理功能，對資源進(jìn)行管理，對所有運維賬號進(jìn)行授權，并可根據賬號級別做到操作訪(fǎng)問(wèn)控制；

· 通過(guò)綜合審計功能，負責對審計數據進(jìn)行集中采集和展現，根據審計策略對審計數據進(jìn)行過(guò)濾，對審計到的異常操作行為進(jìn)行告警；

· 通過(guò)雙機熱備[1]部署的方式，在統一安全運維管理系統故障時(shí)無(wú)需人工干預即可實(shí)現業(yè)務(wù)的不間斷運行，做到安全運維管控系統的服務(wù)高可用。

4　“雙控管理”實(shí)踐經(jīng)驗

4.1　“雙控管理”建設方法

四川中煙網(wǎng)信部門(mén)的管理者要深刻認識國家相關(guān)法律法規政策制度，結合行業(yè)及公司管理要求，從意識層面增強對“雙控管理”迫切性、必要性、可行性方面的全盤(pán)考慮。找出單位目前在“雙控管理”方面的不足，通過(guò)梳理差距分析表，對不達標的能力通過(guò)優(yōu)化、整改、強化等手段補足差距。并根據實(shí)際業(yè)務(wù)發(fā)展情況分析補足差距所需的周期，將任務(wù)進(jìn)行拆解，并識別出工作任務(wù)的緊急程度，從而有序開(kāi)展“雙控管理”的能力建設工作，在具體執行和管理過(guò)程中同樣要加強跟蹤和管理，分析識別“雙控管理”的落地應用成效，確保管控措施發(fā)揮應有功效。

4.2　“雙控管理”的效益

（1）對所有進(jìn)出機房的運維人員均做到全過(guò)程的記錄和留痕。

提升了進(jìn)出機房流程的規范性，杜絕了非法人員進(jìn)入機房的可能性，保障了核心IT資產(chǎn)的物理安全性。

（2）對統一安全運維管理系統的運維人員、資產(chǎn)、權限、以及告警信息集中管控。

實(shí)現了對運維人員和業(yè)務(wù)資源服務(wù)器、對應人員權限、以及系統告警信息、安全策略等進(jìn)行集中管理和展現，方便管理人員對運維人員開(kāi)展相關(guān)操作統計和審查。

（3）使用多因子強身份認證，確保了只有合法的用戶(hù)才能登錄系統。

統一安全運維管理系統與國密動(dòng)態(tài)口令卡對接，啟用多因子強身份認證，保證了運維人員的合法性，只有通過(guò)實(shí)名認證后的合法用戶(hù)才能登錄到系統中。

（4）對所有運維人員操作進(jìn)行管控，如：發(fā)現高危命令進(jìn)行阻斷、丟棄和二次審批。

有效避免由于人員操作失誤給業(yè)務(wù)帶來(lái)?yè)p失，同時(shí)全程審計記錄運維人員的所有操作，當事件發(fā)生后可快速溯源、定位、定責。

統一安全運維管理系統最終效果：

（1）非法用戶(hù)進(jìn)不來(lái)

· 控人員進(jìn)出：非授權人員識別告警；

· 控運維操作：身份管理、身份認證（多因子-國密動(dòng)態(tài)口令卡）。

（2）合法用戶(hù)管得住

· 控人員進(jìn)出：人員運動(dòng)軌跡呈現；

·控運維操作：資源管理、授權管理、運維審計、高危命令管控（增、刪、查、改等高危命令的二次審批、命令阻斷、對話(huà)中斷、高危命令告警）、非運維時(shí)間登錄告警。

4.3　“雙控管理”取得的經(jīng)驗

隨著(zhù)四川中煙信息化應用的迅速發(fā)展，信息系統的外協(xié)單位人員存在不穩定性，內部的各種業(yè)務(wù)和經(jīng)營(yíng)支撐系統不斷增加，網(wǎng)絡(luò )規模也迅速擴大。由于信息系統的運維人員和業(yè)務(wù)系統的管理人員掌握著(zhù)系統資源管理的最高權限，存在因維護工作需要出入數據機房的情況，一旦因運維人員的不當操作出現安全問(wèn)題將會(huì )給企業(yè)帶來(lái)巨大的損失，加強對運維人員操作行為的監管與審計成為信息安全發(fā)展的必然趨勢。在此背景之下，四川中煙針對公司總部和各工廠(chǎng)的運維操作、業(yè)務(wù)管理與審計需求，開(kāi)展了統一安全運維管理項目建設。通過(guò)一套多維度的運維操作管控與審計解決方案，使得管理人員可以對網(wǎng)絡(luò )設備、服務(wù)器、安全設備、數據庫等資源進(jìn)行集中賬號管理、細粒度的權限管理和訪(fǎng)問(wèn)審計，幫助各部門(mén)提升內部風(fēng)險控制水平[2]，實(shí)現各個(gè)系統資源的單點(diǎn)登錄、統一認證、統一授權、審計等信息的集中統一管理。通過(guò)人員進(jìn)出管控系統完成了數據機房出入人員身份鑒別和人員運動(dòng)軌跡操作行為的集中授權和集中監控。滿(mǎn)足“雙控管理”要求中的“控人員進(jìn)出”和“控運維操作”。

4.4　運維安全管控方面的思考

將雙控管理的要求嚴格落實(shí)到實(shí)際業(yè)務(wù)流程中。在日常運維操作執行中落實(shí)安全生產(chǎn)管控流程，確保操作標準規范風(fēng)險可控。例如，統一身份及授權管理、關(guān)鍵業(yè)務(wù)系統及數據操作審計管理等。在運維安全管控中遵循“最小、必要”原則，通過(guò)建立完善的授權管理機制，將用戶(hù)和資產(chǎn)、權限進(jìn)行管控，提前將運維中可能存在的高危操作風(fēng)險納入系統自動(dòng)阻斷規則，最大限度降低運維過(guò)程中的安全風(fēng)險。同時(shí)也需要對系統的高可用納入考慮范圍，以保障日常運維工作的連續性。

5　結語(yǔ)

隨著(zhù)國家及行業(yè)的法律法規和政策要求的逐步完善，對四川中煙公司的網(wǎng)信工作提出了更高的要求，也指明了新的方向。我們將繼續深入貫徹執行國家及行業(yè)相關(guān)要求，切實(shí)履行職能職責，在已建成的門(mén)禁系統和視頻監控系統以及統一安全運維管理系統基礎上，持續完善優(yōu)化機房出入管理流程和制度，細化對生產(chǎn)環(huán)境與測試環(huán)境中業(yè)務(wù)系統的運維管控能力，擴展對數據安全管控的安全建設和信息安全管理制度建設、安全意識教育等工作，助推四川中煙運維管理工作的標準化和數據生命周期的場(chǎng)景化管控，從根本上落實(shí)煙草行業(yè)的“雙控管理”要求，促進(jìn)四川中煙“雙控管理”措施的落實(shí)到位，保障四川中煙數字化與安全協(xié)同的持續發(fā)展，實(shí)現企業(yè)數字化轉型過(guò)程中日常運維和數據使用的可視、可控、可信。

參考文獻：

[1] 張劍, 萬(wàn)里冰, 錢(qián)偉中. 信息安全技術(shù)（第2版）上冊[M]. 電子科技大學(xué)出版社, 2015.

[2] 淺析堡壘機概念及工作原理[EB/OL]. https://www.2cto.com/article/201301/186936.html, 2022 - 2 - 18.

作者簡(jiǎn)介：

石　潔（1982-)，女，四川成都人，工程師，碩士，現就職于四川中煙工業(yè)有限責任公司信息中心，主要研究方向為網(wǎng)絡(luò )系統、信息安全系統工程等基礎設施類(lèi)項目技術(shù)方案制定與項目實(shí)施，基礎設施系統運行維護與技術(shù)支持。

摘自《自動(dòng)化博覽》2022年4月刊