云計算是IT產業的第三次變革，架構的創新不只帶來了降本增效、彈性擴展等技術層面的價值，更已成為企業加速形成差異化，保持競爭優勢的關鍵。然而，許多企業在云計算平臺實施之后，IT運維管理自身的安全性并沒有因為云得以改善，“賬號、權限、審計”三大問題漸漸成為了云中風險***的運維隱患。

而以下這家單位的情況卻十分不同，他們與國內領先的應用安全解決方案與服務商國路安聯手，在部署GLA天璣安全運維審計系統之后，其可信的運維管理平臺不但確保了云端數據的安全，更在服務水平上步步提升。

云端存在“三大”安全短板 運維管理危機重重

“自從云計算技術在我們這里‘安家’之后，大力推動了戰略性變革，實現了更精準的決策，并在協作方面獲得了更深入的競爭優勢。”——以上是某單位在云計算全新應用體系架構實現后，對其在辦公應用、項目管理及項目申報應用工作總結時，該單位領導對云計算的評價。

云計算不僅可以提高信息系統資源利用率、減少系統建設和運維成本、提高系統集中管控能力，而且它們在系統高可靠性、高性能和高可擴展性等方面的保證也有著極大的優勢。然而，與傳統計算模式不同，在云計算模式下，業務應用都運行在抽象的資源平臺之上，而不是直接運行在物理硬件平臺上，而這種變化帶來的問題是：傳統的信息安全機制和技術可能會失去部分或全部安全功效，從而需要引入新的安全技術和管理機制，而整個安全體制中，一個非常重要的環節，就是運維安全。

通過對云計算平臺進行安全風險評估之后發現，日趨復雜的IT系統與不同背景的運維人員的行為造成了三處風險短板，具體表現為：“賬號、權限、審計”。

◆賬號問題：同一工作組多人共用一個賬號，一旦有安全事故發生，不僅難以定位賬號的實際使用者和責任人，而且無法對賬號的使用范圍進行有效控制，存在較大安全風險和隱患。而一個維護人員，使用多個賬號也是普遍現象，這導致運維人員在日常的工作中，需記憶多套口令同時在多套主機系統、網絡設備之間切換，增加了工作的復雜度，工作效率不高。

◆權限問題：由于缺少統一的權限管理平臺，而且維護人員的權限多數大于實際工作需要，無法基于“最小權限原則”分配用戶權限，難以實現更細粒度的命令級權限控制，IT特權濫用、誤操作等事件時有發生。

◆審計問題：各網絡設備、主機系統、數據庫各自采用了獨立的審計系統，由于沒有統一審計策略，并且各系統自身審計日志內容深淺不一，難以及時通過系統自身審計發現違規操作行為和追查取證。

“與協議無關”解難題 “隔離、阻斷、回放”圍繞數據安全

為此，單位網絡安全負責人對市場上的網絡安全審計系統和運維軟件進行了深入的調查。他發現：傳統的網絡安全審計系統無法對維護人員經常使用的SSH、RDP等加密、圖形操作協議進行內容審計;并且，大部分的運維管理軟件都未能包含審計和權限分配功能，運維人員的權利仍然“高高在上”。

偶然的機會，在一次網絡安全研討會上，他了解到了國路安推出的GLA天璣安全運維審計系統很“特別”，與協議無關。而針對傳統運維管理中的技術架構和審計缺陷，GLA天璣安全運維審計系統可實現運維終端通過RDP協議連接到堡壘機，再由堡壘機發起對資源的運維請求，形成了運維終端與運維資源邏輯隔離，并在全程審計中實現了集中管控。隨后，雙方還在GLA“云縱深防御”架構的溝通中再次“碰撞出火花”，因為這款堡壘機產品不但可以有效控制系統內部眾多敏感信息的泄漏問題，還可以避免因管理員終端被病毒和木馬控制后，引發更嚴重的泄密事件發生。

最終，該單位以“云縱深防御”結構為基礎，部屬了GLA天璣安全運維審計系統，對現有的云計算模式形成了全新的安全運維架構。實施效果如下：

◆邏輯上將運維人員與目標設備安全分離，防止由終端傳入病毒/木馬或人為原因導致的數據泄露;

◆基于角色或崗位進行統一集中管理，實現系統的安全授權和認證;

◆依據最小權限分配原則，***限度保護資源安全，通過可執行命令或不可執行命令集合來實時阻斷運維用戶的非法操作;

◆通過統一的安全管理平臺對該單位信息系統中的安全設備、主機或軟件進行安全管理，保證安全管理過程的合法合規;

◆提供基于Web接口的單點登錄，定期自動更新賬戶口令，使得繁雜的賬號和口令不再依托個人“記憶”，使運維工作更便捷;

◆對所有的管理動作進行全程的審計和監控，保證整個系統中運維管理操作上的可追溯性。

單位網絡安全負責人表示：“之前，我們在內網安全軟件、防毒軟件和身份審計方面投入巨大，但收效甚微。而GLA天璣安全運維審計系統，可以有效地杜絕網絡管理人員直接訪問涉密資源的情況，其全程監控和錄制的功能更形成了具有震懾性和實操性的可信平臺。”安全有效、靈活管理、簡便運維、運維活動全紀錄是可信運維管控的基礎，目前該單位的運維工作也已經開始引入國際上標準化的運維流程，服務水平大幅提升。