《管見》周立:云時代的信息安全

  • 人閱讀
  • 2020-09-08 15:46:26

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

作者:周立

遠光軟件股份有限公司產(chǎn)品和技術(shù)委員會副主任

云計算近年得到迅速發(fā)展,越來越多的用戶受云計算高可靠性和高可擴展性等特點所吸引,紛紛將業(yè)務(wù)遷移上云。2020年上半年新冠疫情在全球爆發(fā),幾乎一夜之間,各個企業(yè)都在向云上遷移業(yè)務(wù),云服務(wù)相關(guān)設(shè)備產(chǎn)品一時供不應(yīng)求。

遠光軟件部署云計算技術(shù)的研究工作多年,成功搭建了企業(yè)私有云并部署了部分內(nèi)部信息化業(yè)務(wù)。經(jīng)過幾年運作,已經(jīng)形成了“私有云+公有云”的混合架構(gòu)模式,上線業(yè)務(wù)不僅包括自身的業(yè)務(wù)系統(tǒng),還包括了面向企業(yè)客戶服務(wù)的“發(fā)票云”“智稅云”等多款云產(chǎn)品。2020年初新冠肺炎疫情初露苗頭,公司管理層理性預(yù)判疫情發(fā)展態(tài)勢,并迅速部署了應(yīng)對工作。當(dāng)春節(jié)假期疫情全面爆發(fā)時,遠光軟件已完成IT軟硬件準(zhǔn)備,并進行了測試與宣貫。春節(jié)長假后,公司全面遠程復(fù)工,沒有一天停工停產(chǎn),全力支持各電力單位的正常運轉(zhuǎn),圓滿完成各大電力央企的財務(wù)和經(jīng)營管理信息支持任務(wù)。

在遠程辦公具有許多優(yōu)點,例如借助視頻會議等工具,同事間的溝通交流可以不受時間、地點、空間限制,溝通效率更高效;由于工作過程不可見,管理者下達任務(wù)必須更明確,考核更關(guān)注結(jié)果,工作效率得到提升;企業(yè)對辦公場地的需求有所減少,運營成本降低等優(yōu)勢也非常顯著。但云計算技術(shù)支撐的遠程辦公,信息安全的風(fēng)險也顯而易見,必須依靠相應(yīng)的管理機制與技術(shù)手段來保障。

遠程辦公的信息安全風(fēng)險

自云計算誕生起,從服務(wù)中斷到的信息泄露甚至數(shù)據(jù)丟失等安全事件時有發(fā)生,其中不乏云計算服務(wù)的大牌廠商,一些用戶對云計算安全的擔(dān)憂延遲了其向云端遷移的進程,信息安全可能是云計算發(fā)展面臨的最大挑戰(zhàn)。遠程辦公模式下面臨主要的信息安全風(fēng)險有:

01 被黑客攻擊的風(fēng)險

IT系統(tǒng)都存在被黑客攻擊的風(fēng)險,而遠程辦公就必須允許通過互聯(lián)網(wǎng)訪問。在全球互聯(lián)網(wǎng)環(huán)境下,被黑客攻擊的可能性大大增加。比如目前云環(huán)境下用戶身份的鑒別方法絕大多數(shù)使用賬號+口令的單一方式,是遭受攻擊最多的環(huán)節(jié)之一。此外,攻擊者還可以租用云平臺運行自己的惡意程序,尋找漏洞后從內(nèi)部進行攻擊。

02 信息泄露的風(fēng)險

在集中辦公模式下,信息局限在組織的局域網(wǎng)內(nèi)部,安全防護重點在局域網(wǎng)的邊界,防止信息未授權(quán)流出。在遠程辦公模式下,用戶分散在全國甚至世界范圍,信息不僅在終端到云端的傳輸過程中存在被截獲的風(fēng)險,而且對終端缺乏有效的管理手段,信息泄露風(fēng)險大增。

03運維管理的風(fēng)險

IT系統(tǒng)遠程運維為維護工作提供了極大的便利,但風(fēng)險也相應(yīng)增加。為了實現(xiàn)遠程運維,需要在互聯(lián)網(wǎng)上開放相應(yīng)的端口,增加了遭受攻擊的可能性。另外IT運維操作需要很高的權(quán)限,一旦操作失誤就可能造成嚴(yán)重的事故。

遠光的信息安全解決之道

面對遠程辦公這一新工作模式下的信息安全風(fēng)險,遠光軟件的解決之道就是堅持基于PDCA管理模型建立的信息安全管理體系。IT體系的安全需求與設(shè)計依照國家信息系統(tǒng)安全等級保護三級標(biāo)準(zhǔn)要求,從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等層面應(yīng)用技術(shù)手段或管理制度加以保護。通過定期的檢查、演練以及搜集業(yè)界發(fā)現(xiàn)的漏洞,及時進行安全整改,使得系統(tǒng)安全得到不斷提升。針對工作模式變化帶來的新增安全風(fēng)險,遠光軟件采取了如下的技術(shù)手段和管理措施來增強體系安全性:

01 加強系統(tǒng)安全防護

1、實施安全防護系統(tǒng)

安全防護系統(tǒng)強制為每臺設(shè)備掃描病毒、木馬,升級操作系統(tǒng)與病毒庫,報告軟件異?;顒?。

對少數(shù)遠程辦公使用的個人設(shè)備,定期對其個人設(shè)備進行安全檢查,幫助升級操作系統(tǒng)及防護軟件。

2、定期進行設(shè)備安全檢查、網(wǎng)絡(luò)異常行為審計、安全對抗演練。

定期檢查核心IT設(shè)備的端口開放、資源消耗、操作系統(tǒng)和中間件升級等情況并作相應(yīng)整改。

通過網(wǎng)絡(luò)安全設(shè)備監(jiān)控網(wǎng)絡(luò),對傳輸敏感內(nèi)容等異常行為進行事后審核。

由公司安全團隊扮演“藍軍”從外部實施模擬攻擊,查找系統(tǒng)薄弱環(huán)節(jié)。

通過工具嘗試發(fā)現(xiàn)域賬戶弱口令,并進行整改。

3、加強員工信息安全防護意識

舉辦員工遠程辦公安全意識教育培訓(xùn),提升企業(yè)員工的網(wǎng)絡(luò)安全意識。

02 防止信息泄露

1、使用安全的接入通道與傳輸協(xié)議

遠程辦公必須通過VPN通道接入公司內(nèi)網(wǎng);應(yīng)用服務(wù)傳輸協(xié)議使用HTTPS協(xié)議。

2、配備工作桌面設(shè)備

在公司內(nèi)網(wǎng)為每名員工配備桌面設(shè)備(PC機或虛擬機),員工通過遠程登錄該設(shè)備工作。工作涉及到的信息實際在桌面設(shè)備內(nèi),并未傳輸?shù)竭h程終端,傳到遠程終端的只是桌面設(shè)備的屏幕圖像。

3、實施文檔安全系統(tǒng)

文檔安全系統(tǒng)自動加密受控文檔,用戶通過域賬號可以獲得相應(yīng)的查看、編輯權(quán)限,但無權(quán)解密。如果受控文檔意外流出公司,因為受加密保護,無法查看。

03 實行安全運維

1、不支持遠程運維,運維必須在公司內(nèi)網(wǎng)進行。

2、運維堡壘機是唯一能接入服務(wù)器進行運維操作的設(shè)備,堡壘機記錄所有的操作,用于事后審計。

3、服務(wù)器、數(shù)據(jù)庫的超級管理員等特權(quán)賬號實行保管與使用分離。機要員掌管特權(quán)賬號,不能操作;運維人員不掌管賬號,運維操作在運維工單通過審批后進行。

4、定期進行數(shù)據(jù)備份與災(zāi)難恢復(fù)演練。在線數(shù)據(jù)備份每日1次,離線數(shù)據(jù)備份每周1次,并異地存放備份介質(zhì);各子系統(tǒng)每6個月進行1次災(zāi)難恢復(fù)演練。

結(jié)語

截止目前,遠光軟件遠程辦公模式已運行6個多月了,IT系統(tǒng)運行穩(wěn)定,未發(fā)生過信息安全事故。各業(yè)務(wù)部門和職能部門積極探索在新工作模式下的業(yè)務(wù)改進工作,效率得到了提升,比如產(chǎn)品研發(fā)效率提高了15%。對客戶的一部分服務(wù)通過遠程方式進行,大大提高了響應(yīng)速度。

當(dāng)前,云計算行業(yè)高速發(fā)展,市場前景廣闊,但唯有正視信息安全問題,運用合理、有效的管理方法和技術(shù)手段來加強云計算服務(wù)的安全性,才能充分發(fā)揮云計算的巨大效益和優(yōu)勢。遠光軟件將一如既往把安全放在第一位,為客戶提供安全、持續(xù)的服務(wù)。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )