压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

攜程事件啟發 監督和審計也是關鍵

責編:penggao |2015-06-01 20:08:54

5月28日下午2點左右,針對攜程網站無法打開的事件在朋友圈被刷屏。剛剛開始是各種調侃,其中要求對運維人員好一點的呼聲最高、傳播最廣,然后是攜程老板懸賞100萬解決問題,到了晚間央視財經網、騰訊網、新浪網、地方電臺等主流媒體都發表了該事件的看法,其中也有很多的負面信息??傮w來說這次的事件對攜程的負面影響還是比較大,也引發了很多行業專家的思考。從5月29日起行業內的一些安全專家就發布了一些深度文章,其中有幾個非常有指導意義。

  1. 阿里智錦《深入解析和反思攜程宕機事件》則認為運維應該從黑盒運維走向白盒運維,是一個轉型的最佳時機。
  2. 老王的《運維債務的剖析與解決方案》非常深入的從流程規范、工具與平臺、安全,灰度機制、意識、環境管理、數據管理、架構等多個角度來探討,然后結合最佳實踐的方法論,從各個角度提出了解決方案。
  3. 另外也有很多做數據備份的同仁提到數據備份的重要性、應急響應的重要性。

對于這些文章,筆者都一一拜讀過,也得到了很多的啟發,如果企業能夠按照這樣的方法去思考改進,相信這種災難性事件的幾率會減少很多。

但是筆者心中始終還有一些疑問,這么大一個攜程,難道其沒有配置管理、變更管理等IT管理流程?難道其沒有數據備份措施?安全防護措施還不夠完善?沒有應急響應機制?答案顯然是否定的,筆者也與攜程的安全團隊、運維團隊有過一些交流,其實攜程內部也有非常多的思考,其每年也投入了巨大的資金用于IT運維和安全建設。其安全團隊也經常性的組織安全沙龍、啟動了漏洞獎勵計劃等,積極和業內安全專家進行交流互動。那為什么事故還那是發生了呢?我們能夠從中還能夠發現什么問題嗎?

于是筆者認真學習、分析了各方面專家的觀點后,發現有個環節真被忽略了,就是”監督和審計機制”。說白了就是我們的安全管理者是否對信息系統中的IT防護措施做到可見、可控、可追溯?我們的IT管理者不防思考一下幾個問題,看看自己能否在短時間內回答這些出來。

  1. 防火墻、ips、WAF等安全控制策略是否有效、完整,上一次更新時間是多少?
  2. 應用和系統漏洞上一次修復時間點是?
  3. 有哪些業務系統和人可以調用訪問數據庫?其訪問權限是否合理、最小化?
  4. 有多少內部人員、第三方人員可以接觸核心系統?他們的開發、運維過程是否可視?
  5. 服務器的批量操作、高危命令執行是否可靠、經過不少于兩方的確認?
  6. 關鍵服務器、網絡設備的密碼什么時候修改過?
  7. 數據備份的機制什么,上一次數據恢復演練是什么時間?

筆者相信有很多人是沒法完整答復的,因為我們的管理者沒有這樣去想過,更沒有定期去系統性的梳理過。甚至還有一部分管理者認為已經有了防火墻、防病毒、WAF、備份系統、審計系統等安全措施就是安全了。所以還是要有完善的”監督與審計機制”,那么怎么來建立呢?

參考PPT(人、技術、流程)方法論,我們的觀點如下:

1、人的方面:

必須得建立獨立的審計部門,實現IT建設部門、運維部門、審計部門的分離和相互制約。

審計部門需要配備有專業的審計技術人員,至少涵蓋管理制度審計、業務流程審計等方向的人才。

審計人員也需要具備專業的IT技術,甚至審計人員技術水平要優于IT技術人員,否則審計就難以落到實處。

領導層也要足夠重視審計部門的工作,將審計成果推廣應用。

2、技術方面:

建立核心數據的訪問環節審計措施,動態了解核心數據庫、敏感文件等的訪問人員、訪問權限、流轉情況??刹捎脤I數據庫審計系統,建立敏感數據的訪問行為模型,動態掌握模型的變更,發現異常。

建立運維環節的審計防護措施,掌握運維環節的人、設備、權限、操作過程等關鍵環節??刹捎眠\維審計系統,實現運維人員實名制、雙因子認證、最小權限控制、運維過程審計等,讓整個運維環節可控、可追溯。

建立安全策略的有效性審計措施,可通過上述數據庫審計、運維審計、流量審計等日志審計系統,及時驗證防火墻等訪問控制設備的策略有效性,也可以輔以安全滲透測試、模擬攻擊等手段來驗證。比如數據中心防火墻規定僅允許了192.168.1.100-110共10個IP地址訪問數據庫,那數據庫審計系統上就可以設置相應的審計措施,來動態監測是否有查處這些IP地址范圍的人來訪問,如果有就進行實時告警。

建立綜合審計管理平臺,能夠收集數據庫審計、運維審計、系統、安全設備、網絡設備等各個方面的審計日志,然后分類進行展示,幫助審計部門全面掌握各個環節的狀況。

3、流程方面:

建立管理制度執行情況的審計,主要對公司的變更管理流程、配置管理流程、備份流程、密碼修改流程、人員權限管理流程等進行執行效果的審計。因為各單位的方式不同,可能只能由人來進行操作,主要通過查看分析其流程執行。

建立應急演練措施,需要包括網絡故障、黑客攻擊、數據庫故障、電源故障等多個方面,而且要定期進行真實演練。這一點上證券行業做的相對較好,擁有較豐富的經驗,值得大家借鑒學習。

建立審計考核機制,包括審計人員自身績效考核,以及審計部門如何制約IT建設部門、運維部門的機制。否則審計部門將永遠不能受到重視,所有的審計措施也將失去意義。

總的來說,監督和審計機制確實需要引起大家的足夠重視,要做好審計的工作,也有幾個簡單的經驗可以參考:

先簡后繁:先從領導認可的、重要性高的地方開始,比如數據庫的審計、運維的審計、管理流程審計,然后逐步覆蓋到綜合日志關聯審計、web業務審計、應急演練等。

定期開啟專項審計:比如每個季度開展一次審計專題活動,比如數據庫訪問權限審計專題、第三方外包人員管理過程審計、備份恢復有效性審計等,這樣不僅能夠幫助IT部門發現問題,還能夠起到很好的宣傳效果,有利于審計部門自身的價值呈現和團隊建設。

上一篇:美國的網絡防御保護傘將擴大至日本

下一篇:安恒信息亮相第二屆國家網絡安全宣傳周