進(jìn)入大數(shù)據(jù)的云時(shí)代，您的網(wǎng)絡(luò)中是否面臨越來(lái)越多的服務(wù)器？您的業(yè)務(wù)系統(tǒng)是否頻繁被第三方人員、運(yùn)維工程師和未知的人員所接觸？服務(wù)器宕機(jī)對(duì)業(yè)務(wù)生產(chǎn)造成的損失是否日益不可承受？

面對(duì)未知的不可承受之痛，您更需要將您最關(guān)鍵的服務(wù)器/網(wǎng)絡(luò)設(shè)備訪(fǎng)問(wèn)納入統(tǒng)一的管理之中，運(yùn)維安全管理將是云計(jì)算環(huán)境下數(shù)據(jù)安全體系極其重要的一環(huán)。本文將作為云時(shí)代運(yùn)維安全管理系列文章的入門(mén)基礎(chǔ)篇，為您闡述我們?yōu)槭裁葱枰獙?duì)運(yùn)維操作進(jìn)行安全管理。

1.請(qǐng)知曉！什么對(duì)您的機(jī)構(gòu)最重要？

無(wú)論是政府、金融、運(yùn)營(yíng)商，還是能源電力、生產(chǎn)企業(yè)，最重要的核心必定是業(yè)務(wù)和數(shù)據(jù)資源。正因?yàn)樗械倪\(yùn)維對(duì)象都與您的業(yè)務(wù)緊密相關(guān)，包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、各種數(shù)據(jù)等。而運(yùn)維的主體——人恰恰是所有安全要素中最薄弱的一環(huán)，不僅各種惡意的操作會(huì)造成網(wǎng)絡(luò)癱瘓、服務(wù)器宕機(jī)、數(shù)據(jù)篡改或丟失等，一些無(wú)意的誤操作也很有可能導(dǎo)致業(yè)務(wù)的意外停滯或數(shù)據(jù)損毀。因此，您就格外需要有一種有力的技術(shù)手段，幫助您所在的機(jī)構(gòu)對(duì)運(yùn)維過(guò)程進(jìn)行規(guī)范性控制，對(duì)操作權(quán)限進(jìn)行有效的管理，對(duì)整個(gè)工作過(guò)程進(jìn)行監(jiān)督和指導(dǎo)，規(guī)范了主體，您的業(yè)務(wù)系統(tǒng)才能夠得到更有效的安全保護(hù)。

2.保護(hù)您的員工

機(jī)構(gòu)最核心的競(jìng)爭(zhēng)力，往往不在于靜態(tài)的數(shù)據(jù)，而在于您寶貴的人力組成和個(gè)人的創(chuàng)造力。但相比機(jī)器而言，人是很難做到永遠(yuǎn)不犯錯(cuò)的。可是，對(duì)于核心業(yè)務(wù)而言，偶爾發(fā)生的錯(cuò)誤也有可能導(dǎo)致最大規(guī)模的損失。與其在事故發(fā)生后處罰您百密一疏的員工，不如在事件發(fā)生前就采取有效的預(yù)防手段，對(duì)犯錯(cuò)和失誤進(jìn)行識(shí)別并迅速的阻止和告警。預(yù)防了那些意外發(fā)生的風(fēng)險(xiǎn)就是保護(hù)了您的員工，保護(hù)您的員工，其實(shí)就是保護(hù)了您最可貴的資產(chǎn)和持續(xù)發(fā)展的動(dòng)力來(lái)源。

3.減輕您員工的操作負(fù)擔(dān)和操作壓力

我們相信您的業(yè)務(wù)在全球化的浪潮下必定取得驚人的增長(zhǎng)，我們也愿意與您共同見(jiàn)證從小到大的成就和巨變，但是伴隨著業(yè)務(wù)量的增長(zhǎng)，必定是信息、數(shù)據(jù)和資產(chǎn)的迅速擴(kuò)張，以及數(shù)據(jù)中心的急劇增大。當(dāng)您的IT人員面對(duì)成百上千臺(tái)重要的IT設(shè)備，需要記憶數(shù)以百計(jì)的賬號(hào)口令，并且承受著每月重復(fù)的維護(hù)工作的時(shí)候，犯錯(cuò)和失誤就像是一枚定時(shí)炸彈，隨時(shí)有可能在任何位置被引發(fā)，這將是管理者，員工自身，同時(shí)也是那些無(wú)辜的IT設(shè)備所不愿意見(jiàn)到的。

安恒信息一直在為數(shù)據(jù)中心的安全建設(shè)提供富有成效的技術(shù)和服務(wù)，我們始終認(rèn)為，將重復(fù)的人工勞動(dòng)托管給機(jī)器來(lái)完成，將寶貴的人力資源解放出來(lái)從事更有創(chuàng)造性的工作，將是我們從始至終所努力的方向。為什么不將重復(fù)枯燥的勞動(dòng)交給成熟的運(yùn)維審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)來(lái)管理和實(shí)現(xiàn)呢？這將是您的員工開(kāi)始樂(lè)于工作的第一步。

4.事件取證

當(dāng)風(fēng)險(xiǎn)或事件發(fā)生后，您是否習(xí)慣于救火隊(duì)員的角色，疲于奔命，卻只能毫無(wú)辦法的祈禱下一次同樣的事件不要再次發(fā)生？如果亡羊卻不能補(bǔ)牢，甚至無(wú)法找到缺口和漏洞在哪，那么羊遲早會(huì)全部跑光。利用運(yùn)維審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)實(shí)現(xiàn)運(yùn)維管理的益處就如同安裝在您業(yè)務(wù)系統(tǒng)內(nèi)部的攝像頭，由于完全記錄了所有外來(lái)的訪(fǎng)問(wèn)，因此您得以再現(xiàn)事件發(fā)生前所發(fā)生的所有邏輯進(jìn)出，詳實(shí)的取證記錄更有助于您了解當(dāng)前真實(shí)的運(yùn)維水平。缺口和漏洞是否真的發(fā)生在您的員工身上？我們可以通過(guò)運(yùn)維管理來(lái)了解事情的真相。

5.提供有效的風(fēng)險(xiǎn)預(yù)防和評(píng)價(jià)參考

在各種系統(tǒng)評(píng)測(cè)中，對(duì)于核心服務(wù)器和數(shù)據(jù)的評(píng)測(cè)都是重中之重，如果沒(méi)有實(shí)施有效的運(yùn)維管理，所有的運(yùn)維操作都裸奔在不可控的運(yùn)維者個(gè)人決定的環(huán)境下，那么內(nèi)部控制又如何談起？?jī)?nèi)部控制評(píng)價(jià)又如何讓領(lǐng)導(dǎo)和管理層滿(mǎn)意？披露出的安全評(píng)價(jià)漏洞是否會(huì)成為機(jī)構(gòu)迅速成長(zhǎng)路上的絆腳石？正因?yàn)橹匾?，所以需要重視；正因?yàn)橹匾?，所以必須?guī)范。對(duì)運(yùn)維操作進(jìn)行安全規(guī)范的管理，將是從核心層面開(kāi)展風(fēng)險(xiǎn)預(yù)防的第一步，并成為內(nèi)部控制評(píng)價(jià)合格答卷的首頁(yè)。

用運(yùn)維安全管理的思路實(shí)現(xiàn)有效的內(nèi)部控制，在諸多的法律法規(guī)中都有詳盡的體現(xiàn)，敬請(qǐng)關(guān)注本系列的下一篇文章：《云時(shí)代的運(yùn)維安全管理指南之二：遵從性篇》。

(責(zé)任編輯：鉬鐵)