自动化运维平台在等保管理中的应用

2018-04-04   出处:大商所行业测试中心  作/译者:大连飞创  

摘要

信息安全等级保护是国家信息安全保障领域的基本要求,是解决企业安全问题的根本之道。本文结合工作实际,从非法外联监测、配置检查、补丁管理、密码定期修改、资产管理自动更新等五个方面阐述自动化运维平台在等保管理中的运用,为实现持续监测和管理重要信息系统的安全策略,提高信息系统安全保障能力提供了一种新的思路。

一、背景

    实行信息安全等级保护,是解决企业信息安全问题、加强信息安全保障的一条重要途径。但随着互联网的快速发展和信息化程度的不断提高,企业将不得不面对网络及安全设备、服务器、存储等各类硬件数量迅速增长以及大规模集群部署应用的严峻挑战,这对企业信息部门的系统维护及安全运营提出了更高要求,因此采用自动化运维平台已是势在必行。

二、自动化运维平台概述

    随着自动化技术的日益成熟,自动化运维平台已实现日常运维工作的自动化、流程化、标准化,并可减少运维过程中人工干预,降低操作风险。针对日常信息安全管理,自动化运维平台也可以发挥其优势,协助加强信息安全监控及管理,减少重复劳动,节省人力成本。

    自动化运维平台采用C/S架构进行构建,分为受控端(Client)、主控端(Server)、控制系统(Control),系统架构如图1所示。自动化运维平台以每一个受控端为管理对象,每个受控端对应的服务器都需在本地以系统管理员权限安装Agent程序,确保最高权限对受控端进行控制和访问。主控端(Server)包含接入中间件、功能处理模块和后台数据库,负责流程处理、任务调度和消息收集功能。控制系统用于管理员进行流程和脚本定义,并对收集的信息提供监控和报表展示界面。

受控端的Agent程序、主控端内部各处理模块、控制系统均连接主控端接入中间件,之间通讯均采用加密协议封装,防止通信过程被窃听,保证运维平台的安全性。

图1  自动化运维平台架构

系统支持定期监控、配置管理、远程执行等功能,具体如下:

(一) 搜集系统状态信息

受控端定期采集操作系统类型、CPU、内存、磁盘利用率、进程状态、补丁安装状态、IP等信息,并向主控端返回节点信息。

(二) 执行检查命令

主控端会向全部或指定受控端下发命令执行计划,受控端根据计划运行相关命令,并向主控端反馈执行结果。

三、自动化运维平台在等保管理中的应用

利用平台受控端分布式运行命令并向主控端主动反馈结果的机制,可以有效解决等级保护中有关网络、主机关键项检查和安全管理等难题。

(一)检查网络非法外联情况

《等级保护基本要求》6.1.2.4要求“应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查”[1]。针对此要求,通过安全管理制度、规范及流程可以在一定程度上降低安全风险,如规定公司内部网络严禁接入互联网、外部网络应与内部网络隔离、严禁设备跨接内部和外部网络或交叉使用内外部网络资源、外部人员进入机房内部需要专人陪同以防止非授权设备接入到内部网络等。但是如果缺乏监控手段,网络安全始终存在风险隐患。

通过自动化运维平台,可以有效解决以上问题。原理为受控端定期执行检查命令,获取本地网卡状态和网络连接情况,同时将检查结果发送至主控端,由主控端进行处理分析,判断是否内部网络用户采用双网卡跨接外部网络或采用电话拨号、ADSL拨号、手机、无线上网卡等无线拨号方式连接其他外部网络等异常外联情况,从而锁定异常节点,触发安全报警,协助安全管理人员发现网络非法外联情况,消除安全盲点。

(二)实现安全配置监控

等保要求严格管理操作系统及应用系统的各种配置,因此配置管理也是安全检查的重点。通过平台受控端定期执行对应等保要求的配置检查脚本,检查本地相关安全基线配置,如系统注册表、管理策理、密码策略等信息,对密码复杂度、密码修改有效时间、用户登陆错误锁定时间等安全策略配置进行核查,检查结果自动上报给主控端分析,并供安全管理员统一检查,从而形成有效的安全配置基线检测与控制闭环处理机制,防止非法更改安全配置。

(三)补丁安装管理

2017年5月爆发的勒索病毒事件影响范围广、程度深,该事件给运维管理带来警示——如何有效进行补丁管理。面对成百上千台服务器,如果靠运维人员人工逐台去修复补丁,工作量大、容易出现疏漏,质量将无法保证。借助自动化运维平台,受控端可以对Windows 安全更新补丁自动修复、自动重启和修复结果检查,完成后受控端将关键安全补丁更新情况反馈给主控端,运维人员再对修复结果进行统一检查,提高了补丁更新的效率及有效性。

(四)密码定期修改

《等级保护基本要求》6.1.3.11要求“操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换”[1]

   日常运维过程中,系统运维人员需要定期登陆上千台服务器修改密码,工作内容单一枯燥,同时占用大量时间、人力、物力。但是引入自动化技术后,管理员可以批量导入指定操作系统的用户与密码信息,通过自动化运维平台的主控端向受控端发起执行指令,由受控端本地执行密码修改操作,从而提升工作效率,释放人力资源。对于数据库密码的修改,因涉及周边多个系统连接,是否启用自动修改策略需要慎重评估,否则容易引起业务风险。

(五)资产管理自动更新

《等级保护基本要求》7.2.5.2资产管理要求“应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容”[1]

随着服务器数量激增,变动周期缩短,资产管理工作变得日益繁杂,增加了管理和维护成本。基于自动化运维平台,可以构建自动上报系统,减少人工干预,完成资产自动更新。具体实现流程为:

1、受控端自动收集本机硬件和系统信息,包括CPU、内存、MAC、硬盘序列号、系统版本等固化信息,将这些信息置于数据的最底层,同时增加时间戳和业务名称,定期上传至主控端;当业务发生变更时,运维人员只需修改本地业务名称、IP、变动标识等信息;

2、主控端监听接收所有有关受控端的固化信息,与已存在的数据进行对比,自动识别增删改的情况,定期更新资产管理数据信息。

四、结语

信息安全等级保护工作应该贯穿于企业日常工作之中。通过自动化运维平台,可以有效实现检查网络非法外联情况、配置检查、补丁管理、密码定期修改、资产管理自动更新,从而提升系统化的基础环境管理能力和大规模集群快速自动化部署的能力,提高了等保管理工作的效率和规范性,进一步保障了企业信息安全。



欢迎给测试窝投稿或参与内容翻译工作,请邮件至editors@testwo.com。也欢迎大家通过新浪微博(@测试窝)或微信公众号(测试窝)关注我们,并与我们的编辑和其他窝友交流。
131°|1319 人阅读|0 条评论

登录 后发表评论