信息系统运维外包的安全管理
信息化建设
• 浅谈信息系统运维外包的安全管理
文/侯永利
随着信息化技术在日常工作中的不断普及,信息系统运维已经成为信息化工作中最重要的组成之一,信息系统运维涉及数据库、中间件、硬件、存储等多个方面的专业知识,而企业内部信息化工作人员不足,专业技术能力欠缺,为保证信息系统良好、顺畅运转,需要专业化程度较高的运维服务,即信息系统运维外包服务,聘请专业技术人员对系统数据库、中间件等各个环节进行运维,随着信息系统运维外包范围的不断扩大,信息系统运维外包造成的信息安全隐患及信息安全事件不断增加,做好信息系统运维外包安全工作便成了信息化运维工作的重中之重。
主要依靠“人盯人”和运维工程师的自律实现,即指定专门人员陪同并监督运维工程师的具体操作,要求运维工程师严格遵守职业道德,达到信息系统运维外包安全管理的要求。
简单管理模式的优点是管理成本小,管理过程简单,不需要配备专门的技术人员;存在的问题主要有可操作性不强和管理效果不佳两方面:
(1)由于陪同人员的业务素养不足、技术深度不够、运维过程监管不足等原因,使得“人盯人”方法对信息系统运维外包安全管理可操作性下降,存在造成系统运维外包安全事件的隐患。
(2)信息系统运维外包工作开展过程中,基本依靠运维工程师的自律和职业操守来实现信息系统运维安全管理,难以达到信息系统运维外包安全管理要求,影响运维安全管理效果。1.2 制度管理模式
通过运维安全制度规范运维商和运维工程师的行为,降低运维风险,实现信息系统运维外包安全管理。在运维合同签订过程中明确运维安全管理制度,并其签订运维保密协议,
1 信息系统运维外包安全管理模式分析
我们先简单分析一下常见的运维外包安全管理的模式,随着信息系统运维外包范围的不断扩大,信息系统运维外包安全管理主要由简单管理模式、制度管理模式和混合管理模式三种。
1.1 简单管理模式
【关键词】信息系统 外包安全 外包安全管理 模式外
云,将是解决云计算安全问题的根本之道。 4.3 虚拟化安全
虚拟化、分布式和动态可扩展是云计算的特征,其中虚拟化是云计算一个最重要的技术特征。虚拟化是多样的,包括用户端的桌面虚拟化、数据中心的服务器虚拟化、存储空间的虚拟化,还有应用的虚拟化。所谓虚拟化安全就是采用虚拟化原理,在虚拟化数据中心内创建一个弹性的逻辑安全层的安全技术。网络虚拟化的一个核心功能是隔离,虚拟网络与其他的虚拟网络从底层物理网络隔离,提供最低权限的安全原则,可以在数据库和应用层间设置防火墙,通过隔离虚拟机实现从网络上脱机保存虚拟化环境,在安装虚拟服务器时,为了进行逻辑隔离,要为每台虚拟服务器分配一个独立的硬盘分区,并通过VLAN 和不同的IP 地址网段的方式进行逻辑隔离,其中,需要通信的虚拟服务器间通过VPN 进行网络连接;最
后,要进行有计划的备份,包括完整、增量或差量备份方式,进行虚拟化的灾难恢复。
软件无需更新病毒库, 在上网的同时, 云端杀毒软件就同时在保护着我们的电脑系统, 不再依赖更新本地的病毒库来保证防毒效果。
5 云计算技术在病毒软件的应用
6 结束语
为了系统的安全, 每台电脑都要安装保护系统, 且不得不安装杀毒软件, 每次更新病毒库都必需先解除保护系统, 升级病毒库, 再进行系统保护。这些非常繁琐的重复工作在云计算时代就变得非常简单。我们不再需要在个人电脑上升级病毒库就能达到最佳的杀毒效果。
如, 熊猫公司(Panda Security)已经将杀毒软件扩展到从未涉及过的领域——云计算。他们开发出的基于云计算的免费杀毒软件Panda Cloud Antivirus已经发布中文版, 它能够给用户带来更完美的保护系统。该程序采用Panda 公司私有的云计算技术Collective Intelligence(综合人工智能), 来检测病毒、恶意软件、rootkit, 并启发杀毒。与传统的防病毒软件不同的是,Panda Cloud Antivirus 云杀毒
以上是对云计算技术在病毒软件应用的分析与探讨,由于云计算的普及,其安全问题引起了社会各界人士的广泛关注,只有解决云计算的安全问题,才能从根本上提高云计算的服务质量,使之更多的被人们使用。
参考文献
[1]刘志军. 云计算在初中信息技术中的应用
探究[J].中国教育技术装备,2010. [2]邵泽云, 刘正岐. 云计算关键技术研究
[J].信息安全与技术,2014.
作者单位
国网杭州供电公司 浙江省杭州市 310009
244 •电子技术与软件工程 Electronic Technology & Software Engineering
Information Construction 信息化建设
共同建立违反制度的处罚机制,明确约定处罚内容,在运维工程师入场工作之前先宣布管理制度和惩罚机制,用以约束其运维操作。
制度管理模式的优点是管理成本小,管理过程较为简单,管理体系相对成熟;存在的问题主要有管理可操作性不强和属于事后管理两个方面:
(1)运维管理制度的执行情况不易监控,2.3 外包工程师在信息系统中植入病毒或预留后门
部分外包工程师由于利益驱动在信息系统中植入病毒或预留后门,方便其日后获取信息系统的各类资源和数据,造成信息系统运行隐患,甚至导致企业触犯国家相关法律、法规,给企业造成名誉或经济损失。应包括操作内容、涉及信息系统、预计完成时间、可能出现的风险及风险等级预估。
(2)针对预估等级较高的风险应充分预估发生机率、影响范围等内容,拟定应急措施,确保及时解决。
(3)制定回退方案并预留充足的回退时间,针对运维过程中发生的不可预期或难以解决的问题,确保能够及时回退,保证信息系统•
可能造成管理制度、保密要求和惩罚机制形同虚设,不能够有效地发挥作用,降低运维系统安全管理的可操作性。
(2)制度管理模式属于事后管理范畴,即只能在事故发生后按照管理制度、保密协议和处罚机制进行追责,且追责过程中提取相关证据较为困难,追讨损失过程较为复杂。1.3 混合管理模式
通过制度和运维安全管理设备(如堡垒机)相结合进行信息系统运维外包安全管理,即在制度管理模式的基础上,增加运维管理设备,该设备具有操作命令记录、操作过程录屏、操作权限管理、访问范围管理和访问时效管理等几个基本的功能,实现对信息系统运维外包安全的有效管理,
混合管理模式的优点是管理的可操作性强,管理体系较为成熟,属于对信息系统运维过程既有事前、事中管理,又有事后审计管理;存在的问题主要有管理成本较大和管理过程复杂两个方面:
(1)运维安全管理设备需要单独购买且需要专人进行维护,这加大了企业信息系统运维安全管理的成本。
(2)运维安全管理设备需要依据实际运维情况进行配置变更,要求设备管理人员充分了解企业网络架构、业务系统构成等内容,结合运维人员的实际情况进行操作权限、访问范围、访问时限等内容的管理,使得信息外包安全管理过程变得较为复杂。
2 信息系统运维外包安全隐患分析
依据对信息系统运维外包安全管理模式的分析,信息系统运维外包存在以下几点隐患:2.1 信息系统运维外包造成泄密
随着企业日常工作对信息化的依赖不断加大,企业销售、财务、人力资源等重要信息均通过信息系统进行管理,如果对信息系统运维外包过程管理不严,极有可能造成重要数据泄密,对企业的发展壮大和日常工作开展造成影响。
2.2 外包工程师操作失误造成信息系统瘫痪运维工程师技术水平良莠不齐,如不对外包工程师的运维操作进行严格规范,有可能由于操作不谨慎或误操作造成重要信息数据丢失、损坏,导致信息系统异常,甚至造成信息系统瘫痪,影响正常业务开展。
2.4 运维外包造成过度依赖
正常运行。
大量信息系统运维外包,造成企业内部3.3 测评系统安全,定期扫描漏洞,降低系统信息化机构学习意愿下降,专业技术素养增长运行隐患
缓慢,发生突发事件且运维商无法及时到场,(1)运维工程师对信息系统进行升级后,可能造成信息系统长时间停止服务,甚至长时及时聘请拥有安全评估资质的第三方进行应用间瘫痪,影响企业正常业务,给企业造成经济系统安全评估,评估后出具有效的评估报告,损失。
依据评估结果要求运维商进行整改,直至所有3 信息系统运维外包安全管理方法
问题被解决。
(2)定期对网络设备、服务器操作系统针对信息系统运维安全隐患分析中提到等进行漏洞扫描,有效防止系统被植入病毒或的问题,我们从强化运维过程管理、加强操作预留后门,针对新发现的漏洞及时联系运维商风险管理、降低系统运行隐患、增强事件处理进行处理,确保信息系统安全运行。
能力等四个方面进行分析,发掘出信息系统运3.4 提升业务素养,组织应急演练,增强事件维外包安全管理方法,用以提高信息系统运维处理能力
外包安全管理水平。
3.1 完善制度管理,增加硬件保障,强化运维(1)通过专项业务培训、自主学习等方过程管理
法,不断加强信息化工作人员业务素养,学习内容不仅包括数据库、信息化设备硬件维护等(1)系统运维管理制度是信息系统运维专业知识,还应包括管理学、统筹学、统计学外包安全管理工作的基础,只有拥有科学、完等方面的知识,才能真正做到“管的高效、管整、自成体系的管理制度,才有可能真正的做的明白、管的合理”,才能促进信息系统运维好信息系统运维外包安全管理工作,而制度的外包安全管理工作朝着正确的方向发展。
建立是一个长期的动态过程,即针对新的技术(2)强化应急预案演练工作,定期组织和管理要求要及时修订制度,将其纳入管理范信息化应急预案演练。演练前认真筹备,拟写畴,确保制度能够完全覆盖信息系统运维过程,演练方案,联系运维上进行应急演练技术支持;同时认真落实制度,使其充分发挥规范运维商演练过程中严格按照方案进行演练,切实提高和运维工程师的作用,否则完善的制度仅仅是演练效果;演练后针对演练中发现的问题及时“一纸空文”。
汇总、总结,逐步提高信息化工作人员处理突(2)建立并认真执行安全事件惩罚机制,发事件的能力。
签订信息安全保密协议,加大对运维商运维过程中发生事故的处罚力度,提高运维商在出现4 结束语
事故后的处理成本,能够促使运维商主动加强信息系统运维安全管理工作是信息系统对其人员的管理,减少信息系统运维安全事故运维工作的重要环节,做好此项工作,即能使的发生机率。
得信息系统得到更专业、更良好的运维服务,(3)引入运维安全管理类设备(如堡垒又能最大限度的保证企业数据安全,系统稳定机),加强对运维人员运维过程的管理,该类运行。
设备能够全面记录运维操作、统一分配运维权限、细化管理访问范围和精确控制运维时效等方面的功能,属于信息系统运维事中管理和事作者单位
内蒙古自治区烟草公司乌海市公司 内蒙古自后审计设备,充分利用该类设备的各项功能,治区乌海市 016000
对运维工程师运维操作情况进行有效规范、记录,确保对运维工程师的操作“有迹可寻”。3.2 规范运维操作,拟定应急措施,加强操作风险管理
(1)运维工程师在进行重要操作(如数据库参数配置等)时必须出具书面告知书,经双方签字确认后方可进行操作,告知书中至少
Electronic Technology & Software Engineering 电子技术与软件工程• 245