欢迎来到天天文库
浏览记录
ID:26049792
大小:56.50 KB
页数:9页
时间:2018-11-24
《高校运维安全审计系统建设及应用》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、高校运维安全审计系统建设及应用高校运维安全审计系统建设及应用高校信息化经过多年的迅速发展,建成了大量的校务管理信息系统及相对完善的校园网络环境,建设成果在高校校务管理中发挥了重要作用,积累了丰富的系统建设及运维经验,同时这些系统的充分应用集聚了大量的学生、教学、科研、人事、财务等业务数据和工作成果。信息已成为高校组织业务至关重要的资产,信息的安全对高校的管理乃至今后的发展至关重要,一旦发生信息数据泄露和信息安全事件,将对高校造成不可估量的损失。因此,保障关键信息的安全成为高校信息化建设新的挑战。 1高校运维安全审计系统建设的必要性 1.1高校高度依赖信息系统,必须杜绝信息
2、安全事件发生 高校信息化经历了初创期,发展期,目前已进入成熟期,学校师生及各级管理层、各职能管理部门对信息化给高校教学、科研、管理带来的变革及效应充分肯定,对管理信息系统建设热情高涨,摒弃原有落后的办公模式,全面基于信息平台开展日常办公,学校各个方面的管理业务都建设相应的管理信息系统,特别是移动应用的开发,更是给师生带来全新的人性化服务和体验,所以高校已经对信息系统应用产生前所未有的依赖。一旦由于管理或技术原因发生信息泄露或信息安全事件,将对师生及学校造成不可估量的损失。近年来,高校的各种信息安全事故不断见诸报端,充分说明高校必须提升信息安全保障工作的水平。 1.2运维人
3、员管理权限过高,内部安全威胁日益突出 上海财经大学管理信息系统所有应用系统、数据库及服务器等IT资源全部由一两个后台系统管理员集中管理,部分信息系统建设及运维采用服务外包模式,服务承包方技术人员也掌握后台服务器部分操作权限,包括应用服务及本文由论文联盟.L.cOm收集整理业务数据库操作权限。这种管理模式,势必导致来自单位内部的安全威胁日益增多,学校信息化管理层已经意识到综合防护、防范内部威胁的重要性,同时,信息化领域相关管理规范,如信息系统等级保护等也对运维人员的操作行为审计提出明确要求。因此,如何化解后台系统管理员过高的管理权限带来的内部信息安全风险,是高校信息化技术管理
4、层必须解决的问题。 1.3粗放式IT资源管理方式,导致安全事故责任难以追究 高校信息化的多年建设,积累了大量的各类软硬件IT资源,如操作系统、数据库、网络设备、应用服务等,管理庞大的IT资源库对后台系统管理员来讲,是一项复杂的工程,管理不善,容易出错,甚至造成严重后果,手段不先进,容易造成管理漏洞。特别是运维服务承包方技术人员掌握着学校的相当一部分IT资源的访问权,这些技术人员经常频繁流动,往往已经离开公司的技术人员权限不能及时清理,对学校造成极大信息安全隐患。同时,后台运维人员由于业务能力或责任心等原因导致误操作也时有发生。因此,对IT资源进行精细化管理,做到安全事故责
5、任可追究,成为高校提升IT运维管理水平的必由之路[1]。 1.4完善运维安全技术体系,适应新形势发展要求 上海财经大学经过几年的努力,已经在信息安全管理体系方面形成了一系列管理规范,组织体系方面设立了具有一定层次关系的信息安全虚拟组织机构及人员安排,负责全校信息安全工作的正常开展。在技术体系方面虽建立并加固了安全防护网,初步开展了一些安全常规工作。但新形势下,国家、教育部及上海市等上级主管部门在信息安全方面不断提出更高的要求,特别是美国斯诺登事件之后,信息安全形势严峻,学校需根据这些新的要求进一步完善运维安全软硬件建设,完善相关管理体系和技术体系。据此,建设并实施运维安全
6、审计系统作为完善信息安全管理与技术体系的手段之一,显得尤为重要[2]。 针对以上问题,上海财经大学历时几个月,经过充分的调研与分析,在全校层面设计并建设了运维安全审计系统,从而达到监控正在运维的会话及后台资源被访问情况,实时监控在线运维操作,实施细粒度的安全管控策略,实时告警与阻断违规操作,拦截非法访问、恶意攻击,阻断不合法命令,过滤所有对目标设备的非法访问行为的目的。 2运维安全审计系统解决方案 上海财经大学运维安全审计系统的整体建设目标是通过构建统一的运维安全审计平台,集中解决敏感IT资源及数据安全问题,同时为后期统一安全管理平台建设打好基础。 2.1系统审计原理
7、 运维安全审计系统之所以能够达到审计目的,主要是依靠截获运维人员的操作,并能够分析出其操作的内容。特殊的部署方式,确保系统能够截获运维人员的所有操作行为,分析出其中的操作内容以实现权限控制和行为审计的目的。同时该类系统还采用了应用代理的技术,对于运维操作人员来说运维审计型系统相当于一台代理服务器(ProxyServer)。因此,运维安全审计系统访问的基本原理是,运维人员在操作过程中首先连接到审计系统,然后向审计系统提交操作请求;该请求通过系统的权限审核后,系统的应用代理模块以用户身份连接到目标设备并完
此文档下载收益归作者所有