袁慧萍， 董貞良

(中國人民銀行金融信息中心，北京 100800)

銀行數(shù)據(jù)中心運(yùn)維安全審計(jì)實(shí)踐探析

袁慧萍， 董貞良

(中國人民銀行金融信息中心，北京 100800)

隨著銀行業(yè)務(wù)對(duì)信息技術(shù)依賴程度不斷加深，銀行數(shù)據(jù)中心運(yùn)維系統(tǒng)數(shù)量不斷增加，運(yùn)維人員日趨復(fù)雜，急需不斷完善銀行數(shù)據(jù)中心信息安全保障體系，加強(qiáng)運(yùn)維操作風(fēng)險(xiǎn)防范。構(gòu)建運(yùn)維安全審計(jì)體系可有效加強(qiáng)內(nèi)部控制、實(shí)現(xiàn)合規(guī)運(yùn)維和精細(xì)化安全管理。本文結(jié)合作者所在單位工作實(shí)踐分析了數(shù)據(jù)中心應(yīng)用運(yùn)維審計(jì)系統(tǒng)的目標(biāo)，交流了推進(jìn)運(yùn)維審計(jì)的工作體會(huì)，提出了運(yùn)維審計(jì)系統(tǒng)和其他安全系統(tǒng)綜合運(yùn)用等現(xiàn)實(shí)思考。

信息技術(shù)審計(jì)；操作風(fēng)險(xiǎn)；銀行信息安全保障

0 引言

隨著金融業(yè)務(wù)對(duì)信息技術(shù)依賴程度的不斷加深，全面支撐業(yè)務(wù)或辦公處理的網(wǎng)絡(luò)信息系統(tǒng)數(shù)量不斷擴(kuò)大、規(guī)模急劇增長、架構(gòu)日趨成熟、交易急劇擴(kuò)張，急需進(jìn)一步健全銀行數(shù)據(jù)中心信息安全保障體系。與此同時(shí)，信息系統(tǒng)運(yùn)維人員的構(gòu)成日趨復(fù)雜，既有內(nèi)部員工承擔(dān)的一線、二線運(yùn)維任務(wù)，也有技術(shù)服務(wù)提供商提供的三線支持服務(wù)以及上線、應(yīng)急、調(diào)試等服務(wù)，科學(xué)開展合規(guī)運(yùn)維審計(jì)成為名副其實(shí)的管理難題。

1 傳統(tǒng)運(yùn)維模式面臨的挑戰(zhàn)

過去，大多系統(tǒng)管理員的傳統(tǒng)運(yùn)維習(xí)慣可能是自己動(dòng)手在面積不大的數(shù)據(jù)中心機(jī)房內(nèi)直接進(jìn)行必要的服務(wù)器配置、備份、變更、維修等操作。而今，數(shù)據(jù)中心機(jī)房動(dòng)輒超過一萬平方米，完全依靠內(nèi)部員工完成所有運(yùn)維操作成為一件困難的事，直接在機(jī)房完成所有運(yùn)維操作也變得越來越不科學(xué)。傳統(tǒng)運(yùn)維模式面臨的主要挑戰(zhàn)是:

1.1 賬號(hào)管理不清晰及缺乏身份認(rèn)證

數(shù)據(jù)中心運(yùn)維著大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)，可能分屬不同的運(yùn)行部門，有時(shí)會(huì)出現(xiàn)同一個(gè)人員使用多個(gè)賬號(hào)或者多個(gè)人員使用同一賬號(hào)的情況，使得整個(gè)運(yùn)維過程的不確定因素增多，應(yīng)急、問題排查中無法準(zhǔn)確定位到人，事后責(zé)任不清，存在較大隱患。

1.2 授權(quán)管理相對(duì)薄弱

權(quán)限管理是信息安全領(lǐng)域中一個(gè)重要的原則，在實(shí)際信息系統(tǒng)運(yùn)維中，讓每個(gè)運(yùn)維人員在自己權(quán)限范圍內(nèi)開展運(yùn)維操作關(guān)乎運(yùn)維安全核心底線。傳統(tǒng)運(yùn)維模式存在部分授權(quán)不明晰甚至沒有嚴(yán)格授權(quán)機(jī)制的問題，可能會(huì)使得部分人員登錄了超過自己權(quán)限的服務(wù)器或者在登錄的服務(wù)器上開展違規(guī)操作等，導(dǎo)致不可控風(fēng)險(xiǎn)。

1.3 運(yùn)維操作無過程審計(jì)

各個(gè)系統(tǒng)分別運(yùn)行、維護(hù)和管理，盡管基本都記錄日志，但是系統(tǒng)本身的日志不能最終具體定位到操作人員，此外，各個(gè)系統(tǒng)的日志記錄粒度也不同。例如:在Unix系統(tǒng)中，用戶在服務(wù)器上的操作有一個(gè)歷史命令記錄文件，但是root用戶不僅能夠修改自己的歷史記錄，還可以修改他人的歷史記錄，系統(tǒng)本身的歷史記錄文件已變得不可信。因此，需要專門的操作行為審計(jì)記錄，查看運(yùn)維人員究竟做過什么，防范操作風(fēng)險(xiǎn)。

1.4 對(duì)第三方人員的操作缺乏有效控制

隨著運(yùn)維工作量的不斷擴(kuò)大和使用的設(shè)備品牌不斷繁多，不可避免地會(huì)有第三方技術(shù)服務(wù)提供商人員對(duì)其產(chǎn)品進(jìn)行定期巡檢等日常運(yùn)維操作，如何控制第三方人員的操作風(fēng)險(xiǎn)、監(jiān)控其操作行為、審計(jì)其操作記錄也成為亟待解決的問題。

綜上，傳統(tǒng)運(yùn)維模式中面臨事前身份不明確、授權(quán)不清晰，事中操作不透明、過程不可控，事后操作無法審計(jì)、問責(zé)追究不明確等現(xiàn)實(shí)問題，對(duì)7?24高可用性運(yùn)維要求的銀行信息系統(tǒng)形成巨大挑戰(zhàn)，急需建設(shè)運(yùn)維安全審計(jì)系統(tǒng)。

2 運(yùn)維安全審計(jì)的基本目標(biāo)

聚焦傳統(tǒng)運(yùn)維短板，運(yùn)維安全審計(jì)成為銀行數(shù)據(jù)中心實(shí)現(xiàn)以下安全管理的便捷途徑:

2.1 加強(qiáng)內(nèi)控

運(yùn)維安全審計(jì)系統(tǒng)(堡壘機(jī))可以針對(duì)用戶核心資產(chǎn)的運(yùn)維操作實(shí)施審計(jì)。基本設(shè)計(jì)思路是:以操作為核心，從操作層入手，實(shí)現(xiàn)對(duì)人、設(shè)備、操作的統(tǒng)一管理，做到事前防范、事中控制、事后監(jiān)督和糾正，從而幫助用戶最小化人為操作風(fēng)險(xiǎn)[1]。通過堡壘機(jī)切斷訪問操作終端和運(yùn)維資源的直接訪問，采用與傳統(tǒng)運(yùn)維協(xié)議匹配的代理方式，接管運(yùn)維終端對(duì)運(yùn)維資源的訪問，運(yùn)維終端對(duì)運(yùn)維資源的訪問均需要通過堡壘機(jī)開展。通過記錄或重放關(guān)鍵行為軌跡，探索操作意圖，集全局實(shí)時(shí)監(jiān)控與敏感過程回放等功能特點(diǎn)，有效解決信息系統(tǒng)運(yùn)維操作合規(guī)性問題。

圖1 運(yùn)維審計(jì)示意圖

2.2 合規(guī)運(yùn)維

新巴塞爾協(xié)議提出“操作風(fēng)險(xiǎn)”理念，ISO/IEC 27001要求“組織必須記錄系統(tǒng)管理和維護(hù)人員的操作行為”[2]，《金融行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)指引》對(duì)等級(jí)保護(hù)三級(jí)以上(含)信息系統(tǒng)提出明確的安全審計(jì)要求，“審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用、賬號(hào)的分配、創(chuàng)建與變更、審計(jì)策略的調(diào)整、審計(jì)系統(tǒng)功能的關(guān)閉與啟動(dòng)等系統(tǒng)內(nèi)重要的安全相關(guān)事件等”[3]。數(shù)據(jù)中心運(yùn)維安全審計(jì)系統(tǒng)主要參考等級(jí)保護(hù)三級(jí)有關(guān)規(guī)定如下表所示:

表1 等級(jí)保護(hù)三級(jí)審計(jì)要求表

2.3 落實(shí)實(shí)名制、雙因子認(rèn)證要求

不少老舊信息系統(tǒng)很難直接改造支持實(shí)名制賬號(hào)運(yùn)維、雙因子認(rèn)證等，通過壁壘主機(jī)則可以統(tǒng)一認(rèn)證入口、兼容多種訪問協(xié)議，落實(shí)實(shí)名制、雙因子認(rèn)證的合規(guī)要求。

2.4 整合管理流程

通過運(yùn)維安全審計(jì)系統(tǒng)，實(shí)現(xiàn)了以統(tǒng)一身份管理為基礎(chǔ)、以訪問控制管理為手段，以權(quán)限管理為核心，以操作行為審計(jì)為保障，從而幫助我們整合安全控制全過程，實(shí)現(xiàn)全流程、精細(xì)化安全管理[4]。

圖2 運(yùn)維安全審計(jì)全流程管理示意圖

3 運(yùn)維安全審計(jì)系統(tǒng)實(shí)施的幾點(diǎn)體會(huì)

構(gòu)建運(yùn)維安全審計(jì)體系，絕不僅僅是采購一個(gè)安全產(chǎn)品，也不是既有安全基礎(chǔ)設(shè)施的簡單堆砌，而是結(jié)合運(yùn)維風(fēng)險(xiǎn)控制要求和安全管理需求不斷探索完善。部署應(yīng)用運(yùn)維安全審計(jì)系統(tǒng)只是走完萬里長征的第一步。我們?cè)趯?shí)施中的主要體會(huì)是:

3.1 協(xié)調(diào)比技術(shù)難

強(qiáng)運(yùn)維審計(jì)可能會(huì)招致被審計(jì)部門的抵觸，需要高層重視和驅(qū)動(dòng)，需要加強(qiáng)跨部門溝通，扭轉(zhuǎn)審計(jì)目標(biāo)為運(yùn)維服務(wù)，需要強(qiáng)調(diào)運(yùn)維審計(jì)在澄清運(yùn)維操作正確性方面的作用，引導(dǎo)用戶和用戶部門自覺自愿納入審計(jì)軌道。

3.2 量身定做

考慮到數(shù)據(jù)中心多個(gè)運(yùn)維部門協(xié)同工作特點(diǎn)，我們提出集中管理、多級(jí)授權(quán)的理念，在方便運(yùn)維部門添加運(yùn)維資源的同時(shí)加強(qiáng)集中審計(jì)展現(xiàn)；結(jié)合人民銀行公鑰基礎(chǔ)設(shè)施數(shù)字證書認(rèn)證平臺(tái)特點(diǎn)統(tǒng)一認(rèn)證模式，設(shè)置雙因子認(rèn)證開關(guān)，而不是一味跟著廠商技術(shù)條線去走；結(jié)合運(yùn)維需求，提出中文用戶名展現(xiàn)、IP與主機(jī)名對(duì)應(yīng)替換，實(shí)現(xiàn)設(shè)備、用戶、權(quán)限多對(duì)多映射管理；結(jié)合網(wǎng)管3A認(rèn)證平臺(tái)，實(shí)現(xiàn)協(xié)同認(rèn)證管理；結(jié)合運(yùn)維部門特殊的系統(tǒng)運(yùn)維關(guān)鍵操作記錄輸出要求，定制記錄模板，方便錄入和導(dǎo)出。

3.3 精細(xì)管理

運(yùn)維安全審計(jì)系統(tǒng)上線的同時(shí)，發(fā)布相關(guān)管理制度界定和約束各方職責(zé)，讓運(yùn)維安全審計(jì)走向制度約束的軌道；定期發(fā)布審計(jì)報(bào)告，梳理審計(jì)運(yùn)行狀態(tài)，分析可能的運(yùn)維風(fēng)險(xiǎn)苗頭，發(fā)布相關(guān)預(yù)警信息。重點(diǎn)提升堡壘主機(jī)自身高可用性，加強(qiáng)運(yùn)維狀態(tài)監(jiān)控。

3.4 慎防繞行

從推廣應(yīng)用規(guī)律和穩(wěn)定運(yùn)行方面考慮，我們采取了“兩步走”審計(jì)防繞行策略，在系統(tǒng)建設(shè)初期沒有選擇固定路由的方式阻斷繞行運(yùn)維操作，而是通過管理制度的宣貫達(dá)到替代目的；后期將實(shí)施壁壘主機(jī)路由限制策略，需要設(shè)置“逃生置”管理客戶端。

3.5 以人為本

堅(jiān)持“不改變或少改變應(yīng)用系統(tǒng)”原則，采用全透明部署理念，采用B/S架構(gòu)代替客戶端代理模式提供服務(wù)，減少對(duì)運(yùn)維部門的干擾；統(tǒng)一審計(jì)記錄格式和報(bào)警說明，將繁瑣復(fù)雜的審計(jì)進(jìn)行可視化展現(xiàn)，使IT審計(jì)不再依賴專家的逆向推演；審計(jì)記錄和回放記錄為事后取證服務(wù)，同步引入類似Auditscript功能指針，方便地在事中進(jìn)行快速定位，減少遺漏可疑或威脅操作的可能性。

3.6 多網(wǎng)趨同

不論內(nèi)網(wǎng)、外網(wǎng)還是專網(wǎng)，都有審計(jì)相關(guān)需求，從管理員操作的便利性和定制化開發(fā)的時(shí)間要求等綜合考慮，多網(wǎng)審計(jì)趨同是現(xiàn)實(shí)需求。

3.7 屬地限制

運(yùn)維安全審計(jì)實(shí)現(xiàn)對(duì)運(yùn)維人員、運(yùn)維資源的合規(guī)審計(jì)，應(yīng)該和運(yùn)維部門的管理責(zé)權(quán)掛鉤，不包辦、不干預(yù)其他部門的審計(jì)活動(dòng)。

3.8 加強(qiáng)通報(bào)

一份審計(jì)報(bào)告不僅只反映運(yùn)維安全審計(jì)系統(tǒng)運(yùn)行狀態(tài)、用戶使用情況等統(tǒng)計(jì)信息，更需要通過多個(gè)維度鉆取挖掘運(yùn)維風(fēng)險(xiǎn)信息，輔以跨平臺(tái)日志的關(guān)聯(lián)分析，避免繞行運(yùn)維訪問，及時(shí)進(jìn)行預(yù)警通報(bào)。

3.9 持續(xù)改進(jìn)

運(yùn)維安全審計(jì)是一項(xiàng)長期工作，一旦基本配置測試好，最好先快速普及推廣以便盡早落實(shí)運(yùn)維審計(jì)目標(biāo)；經(jīng)過一段時(shí)間運(yùn)維后，開始進(jìn)一步優(yōu)化，增加復(fù)雜雙因子認(rèn)證、增加防繞行技術(shù)壁壘。

4 提升審計(jì)效果的進(jìn)一步思考

為提升運(yùn)維安全審計(jì)效果，全面提高信息系統(tǒng)安全運(yùn)維保障水平，我們將進(jìn)一步挖掘運(yùn)維安全審計(jì)系統(tǒng)的潛力，嘗試與其他安全防護(hù)系統(tǒng)聯(lián)動(dòng)應(yīng)用，兩個(gè)典型的思考如下:

4.1 與IDS、日志審計(jì)系統(tǒng)聯(lián)動(dòng)

通過新增IDS系統(tǒng)報(bào)警策略，篩查通過Telnet、SSH等協(xié)議直連服務(wù)器事件的報(bào)警日志，將結(jié)果自動(dòng)發(fā)送至日志審計(jì)平臺(tái)。通過堡壘機(jī)與日志審計(jì)平臺(tái)進(jìn)行必要的關(guān)聯(lián)，定期發(fā)布預(yù)警通報(bào)以減少“繞行堡壘機(jī)行為”。

4.2 與安全配置核查系統(tǒng)聯(lián)動(dòng)

通過堡壘機(jī)授權(quán)配置安全核查系統(tǒng)，允許授權(quán)用戶登錄運(yùn)維資源設(shè)備，依據(jù)數(shù)據(jù)中心操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備安全配置規(guī)范，實(shí)施在線核查，通過堡壘機(jī)和安全配置核查聯(lián)動(dòng)實(shí)現(xiàn)系統(tǒng)配置變更的閉環(huán)管理和全過程審計(jì)。安全管理員一旦發(fā)現(xiàn)系統(tǒng)配置異常，可通過堡壘機(jī)進(jìn)行定位，輔以通報(bào)、督促整改。安全配置完善的整改過程也是一類配置變更，其實(shí)又可通過堡壘機(jī)進(jìn)行全程跟蹤審計(jì)，直至信息系統(tǒng)的全部配置符合安全配置規(guī)范的要求。

4 結(jié)語

一個(gè)良好的運(yùn)維安全審計(jì)體系的建立對(duì)于銀行業(yè)機(jī)構(gòu)數(shù)據(jù)中心切實(shí)防范操作風(fēng)險(xiǎn)、提高合規(guī)運(yùn)維水平和信息安全保障能力具有重要現(xiàn)實(shí)意義。運(yùn)維安全審計(jì)體系發(fā)揮作用需要管理層、運(yùn)維人員、運(yùn)維安全審計(jì)員的共同努力。運(yùn)維安全審計(jì)體系與其他安全類信息系統(tǒng)的綜合使用將有助于提高信息安全精細(xì)化管理水平，需要在實(shí)踐中繼續(xù)探索完善。

[1] 信息系統(tǒng)審計(jì)和控制聯(lián)合會(huì)(ISACA).COBIT5，Control Objectives for Information and Related Technology Fifth Edition [S].ISACA，2013.

[2] 國際標(biāo)準(zhǔn)化組織(ISO).ISO/IEC 27001:2013，Information Technology—Security Techniques—Information Security Management Systems—Requirements[S].ISO，2013.

[3] 金融標(biāo)準(zhǔn)化技術(shù)委員會(huì).JR/0071－2012，金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引[S].中國人民銀行，2012.

[4] 黃作明.信息系統(tǒng)審計(jì)[M].胡記兵余小兵.東北財(cái)經(jīng)大學(xué)出版社，2012.

Discussion on System Operation and M aintenance Security Audit in Banking Data Center

YUAN Hui－ping，DONG Zhenliang
(Financial Information Center，People′s Bank of China，Beijing 100800，China)

With the incrasing reliance of banking businesses on information technology，the number of operation－and－maintenance systems in banking data center grows steadily and the composition ofoperation－and－maintenance personnelbecomes increasingly complicated.In light of this，the enhancementof infosec assurance system and the operation－and－maintenance risk prevention of bank data center are indispensable.Therefore，the construction of operation－and－maintenance security audit system could effectively strengthen the inner control and realize normal operation－and－maintenance and refined information management.Combined with the working practice，the object aim of operation－and－maintenance security audit system in data center is analyzed，the understanding in promoting the work of operation and maintenance audit system discussed，and realistic consideration on comprehensive application between operation and maintenance audit system and other security systems also presented.

information technology audit；operating risk；information security assurance of banks

TP39

A

1009－8054(2015)04－0093－03

袁慧萍(1969—)，女，博士，高級(jí)工程師，CISP，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、信息安全、涉密管理、信息技術(shù)審計(jì)；

2014－12－20

董貞良(1983—)，女，碩士，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、信息安全、信息技術(shù)審計(jì)、操作風(fēng)險(xiǎn)管理?！?/p>