進(jìn)入大數(shù)據(jù)的云時代，您的網(wǎng)絡(luò)中是否面臨越來越多的服務(wù)器？您的業(yè)務(wù)系統(tǒng)是否頻繁被第三方人員、運(yùn)維工程師和未知的人員所接觸？服務(wù)器宕機(jī)對業(yè)務(wù)生產(chǎn)造成的損失是否日益不可承受？

面對未知的不可承受之痛，您更需要將您最關(guān)鍵的服務(wù)器/網(wǎng)絡(luò)設(shè)備訪問納入統(tǒng)一的管理之中，運(yùn)維安全管理將是云計算環(huán)境下數(shù)據(jù)安全體系極其重要的一環(huán)。本文將作為云時代運(yùn)維安全管理系列文章的入門基礎(chǔ)篇，為您闡述我們?yōu)槭裁葱枰獙\(yùn)維操作進(jìn)行安全管理。

1.請知曉！什么對您的機(jī)構(gòu)最重要？

無論是政府、金融、運(yùn)營商，還是能源電力、生產(chǎn)企業(yè)，最重要的核心必定是業(yè)務(wù)和數(shù)據(jù)資源。正因為所有的運(yùn)維對象都與您的業(yè)務(wù)緊密相關(guān)，包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、各種數(shù)據(jù)等。而運(yùn)維的主體——人恰恰是所有安全要素中最薄弱的一環(huán)，不僅各種惡意的操作會造成網(wǎng)絡(luò)癱瘓、服務(wù)器宕機(jī)、數(shù)據(jù)篡改或丟失等，一些無意的誤操作也很有可能導(dǎo)致業(yè)務(wù)的意外停滯或數(shù)據(jù)損毀。因此，您就格外需要有一種有力的技術(shù)手段，幫助您所在的機(jī)構(gòu)對運(yùn)維過程進(jìn)行規(guī)范性控制，對操作權(quán)限進(jìn)行有效的管理，對整個工作過程進(jìn)行監(jiān)督和指導(dǎo)，規(guī)范了主體，您的業(yè)務(wù)系統(tǒng)才能夠得到更有效的安全保護(hù)。

2.保護(hù)您的員工

機(jī)構(gòu)最核心的競爭力，往往不在于靜態(tài)的數(shù)據(jù)，而在于您寶貴的人力組成和個人的創(chuàng)造力。但相比機(jī)器而言，人是很難做到永遠(yuǎn)不犯錯的?？墒?，對于核心業(yè)務(wù)而言，偶爾發(fā)生的錯誤也有可能導(dǎo)致最大規(guī)模的損失。與其在事故發(fā)生后處罰您百密一疏的員工，不如在事件發(fā)生前就采取有效的預(yù)防手段，對犯錯和失誤進(jìn)行識別并迅速的阻止和告警。預(yù)防了那些意外發(fā)生的風(fēng)險就是保護(hù)了您的員工，保護(hù)您的員工，其實就是保護(hù)了您最可貴的資產(chǎn)和持續(xù)發(fā)展的動力來源。

3.減輕您員工的操作負(fù)擔(dān)和操作壓力

我們相信您的業(yè)務(wù)在全球化的浪潮下必定取得驚人的增長，我們也愿意與您共同見證從小到大的成就和巨變，但是伴隨著業(yè)務(wù)量的增長，必定是信息、數(shù)據(jù)和資產(chǎn)的迅速擴(kuò)張，以及數(shù)據(jù)中心的急劇增大。當(dāng)您的IT人員面對成百上千臺重要的IT設(shè)備，需要記憶數(shù)以百計的賬號口令，并且承受著每月重復(fù)的維護(hù)工作的時候，犯錯和失誤就像是一枚定時炸彈，隨時有可能在任何位置被引發(fā)，這將是管理者，員工自身，同時也是那些無辜的IT設(shè)備所不愿意見到的。

安恒信息一直在為數(shù)據(jù)中心的安全建設(shè)提供富有成效的技術(shù)和服務(wù)，我們始終認(rèn)為，將重復(fù)的人工勞動托管給機(jī)器來完成，將寶貴的人力資源解放出來從事更有創(chuàng)造性的工作，將是我們從始至終所努力的方向。為什么不將重復(fù)枯燥的勞動交給成熟的運(yùn)維審計與風(fēng)險控制系統(tǒng)來管理和實現(xiàn)呢？這將是您的員工開始樂于工作的第一步。

4.事件取證

當(dāng)風(fēng)險或事件發(fā)生后，您是否習(xí)慣于救火隊員的角色，疲于奔命，卻只能毫無辦法的祈禱下一次同樣的事件不要再次發(fā)生？如果亡羊卻不能補(bǔ)牢，甚至無法找到缺口和漏洞在哪，那么羊遲早會全部跑光。利用運(yùn)維審計與風(fēng)險控制系統(tǒng)實現(xiàn)運(yùn)維管理的益處就如同安裝在您業(yè)務(wù)系統(tǒng)內(nèi)部的攝像頭，由于完全記錄了所有外來的訪問，因此您得以再現(xiàn)事件發(fā)生前所發(fā)生的所有邏輯進(jìn)出，詳實的取證記錄更有助于您了解當(dāng)前真實的運(yùn)維水平。缺口和漏洞是否真的發(fā)生在您的員工身上？我們可以通過運(yùn)維管理來了解事情的真相。

5.提供有效的風(fēng)險預(yù)防和評價參考

在各種系統(tǒng)評測中，對于核心服務(wù)器和數(shù)據(jù)的評測都是重中之重，如果沒有實施有效的運(yùn)維管理，所有的運(yùn)維操作都裸奔在不可控的運(yùn)維者個人決定的環(huán)境下，那么內(nèi)部控制又如何談起？內(nèi)部控制評價又如何讓領(lǐng)導(dǎo)和管理層滿意？披露出的安全評價漏洞是否會成為機(jī)構(gòu)迅速成長路上的絆腳石？正因為重要，所以需要重視；正因為重視，所以必須規(guī)范。對運(yùn)維操作進(jìn)行安全規(guī)范的管理，將是從核心層面開展風(fēng)險預(yù)防的第一步，并成為內(nèi)部控制評價合格答卷的首頁。

用運(yùn)維安全管理的思路實現(xiàn)有效的內(nèi)部控制，在諸多的法律法規(guī)中都有詳盡的體現(xiàn)，敬請關(guān)注本系列的下一篇文章：《云時代的運(yùn)維安全管理指南之二：遵從性篇》。

(責(zé)任編輯：鉬鐵)