近些年,随着我国经济的飞速发展,通信网络作为国家重要基础设施的地位越发凸显,成为关乎国计民生的关键行业。每逢节假日,保障电信企业最为核心的IDC机房安全平稳运行,确保信息联络和通讯畅通,成为电信企业的首要任务。
1 IDC机房安全运维背景
IDC机房与传统机房粗放低效式的管理不同,采用了更加科学精细的管理手段,对各种影响安全运维的风险因素都尽可能的考虑其中。先于用户发现问题解决问题,不让小隐患积累成大麻烦,是管控的主要目标和方向。笔者在某电信企业IDC机房运维过程中,经常会遇到一些可能影响IDC机房安全运维的风险因素,潜在危害不容小觑。
2 IDC机房现状问题分析
2.1 敏感操作及敏感信息风险因素
目前,某电信企业已建立起4A系统及金库模式管控,但仍不时发现某些部门网络域部分系统(如信令监测系统、客户投诉系统)未强制实现4A系统作为唯一登录入口,可以通过web链接绕行访问,部分系统前台涉敏账号查询未纳入金库模式管控,存在一定信息泄露风险。
2.2 机房管理风险因素
机房管理,涉及机房现场管理、机房出入管理、机房施工管理、机房值班、机房交接班、备品备件管理等多方面,此类风险因素是指机房管理制度执行的过程中,IDC机房进出管理存在不规范现象,例如机房进出登记不完整。
2.3 机房进出管理系统风险因素
机房进出管理系统是为提升机房进出效率,缩短处理时间而投入使用的管理软件,机房进出管理系统风险因素主要指该软件可能存在的系统漏洞。例如目前个别IDC机房进出管理系统允许从公网直接访问,系统存在未授权访问或SQL注入等漏洞。
2.4 企业员工风险因素
此类风险因素一般是个别电信企业员工安全思想意识薄弱,可能存在内网邮箱不慎点击钓鱼邮件被植入监控木马或以微信等通信工具泄露机房系统IP、账号密码等不当行为。
2.5 外来人员管理风险因素
外来人员,即外部来访需要进入IDC机房处理问题的访客。此类人员,构成复杂且流动性大,可能有集成商、施工方、IT硬件维保方、配套设施维保方、勘察设计方。假如这部分人群管理不到位,一旦被别有用心的人冒名顶替混入并实施社工攻击,后果不堪设想。同时,外来人员进入IDC机房,还可能随身携带不易察觉的小型存储介质,对于数据信息的安全性也构成了较大威胁。此外,个别外来人员为图一时维护方便,可能存在私搭路由器的行为,很容易造成网络漏洞而被外部黑客侦测并攻击。
2.6 配套设施风险因素
配套设施,是指IDC机房为确保通信设备正常运行所配套的门禁、消防、电力等系统。门禁失灵,则IDC机房门户洞开,已进入园区的外来人员可以不受限制的随意进出;消防设施若是损坏,一旦发生火灾未及扑灭可能造成无法预估的经济损失。IDC机房电力系统故障或供电出现异常,会使IT硬件宕机造成业务服务中断,同样也是电信企业无法承受之痛。
2.7 外部环境风险因素
外部环境,主要是指满足IDC机房平稳运行的温湿度正常范围。IDC机房温度过高,可能会导致IT硬件宕机或损坏,若单一硬件损坏,修复或更换该硬件还在可接受范围内。而如果因某一硬件过热影响了与之相连硬件运行,那所带来的影响对于IDC机房来讲是致命性的。IDC机房湿度过大,则会潜移默化的影响IT硬件的使用寿命,是IT硬件的隐形杀手,无形中就可导致硬件的工作异常。
3 IDC机房安全运维解决对策
3.1 敏感操作及敏感信息风险因素解决对策
对于此类风险因素,可采取的解决对策首先是编制安全应急预案,拟划处理流程,提高处理突发性安全事件的反应能力,最大限度减少或消除风险。其次要加强日常内部审计,将网络域所有系统的敏感操作全部纳入 4A系统和金库模式管控,做到涉敏操作的“限事”授权,日志可被4A系统记录,敏感信息查询账号区分用户权限级别、权限设置尽量最小化。再次是定期开展安全生产大检查,将责任落实到人、细化到点。
3.2 机房管理风险因素解决对策
对于此类风险因素,可采取的解决对策首先是完善机房管理制度,即从机房现场管理、机房出入管理、机房施工管理、机房值班、机房交接班、备品备件管理等多方面入手,查找不足,修补安全漏洞。其次,常态化培训安全管理规范,提高机房管理及值班人员的的安全思想觉悟。再次,定期开展IDC机房安全排查治理专项行动,切实化解各类安全风险隐患,尤其是重点抽检部分机房进出登记情况、机房监控设备运行情况、机房现场值守人员在岗情况等。
3.3 机房进出管理系统风险因素解决对策
防控机房进出管理系统风险因素,解决对策是要做好办公内网与公网的网络隔离,定期扫描漏洞,做好安全加固。从软硬件上物理隔离,防止机房进出管理系统被黑客控制,避免任何可能对该系统中的机房进出登记记录进行增、删、改的操作。
3.4 企业员工风险因素解决对策
对企业员工风险因素可采取解决对策如下:
3.5 外来人员管理风险因素解决对策
对于外来人员管理的风险因素解决对策,首先,要抽查当班值班人员是否严格执行外来人员进入IDC机房的资质审核,通过建立白名单制度,只有在白名单内的外来人员经核验身份证无误后方可放行。检查值班、非值班人员是否将自己的门禁卡交给其他人员使用,杜绝没有经过资质审核的持卡、非持卡人员进入园区和 IDC 机房。其次,检查外来人员是否有携带违禁物品进入,有无使用任何存储介质设备,在机房内的一切行为是否在值班人员的监督下完成。最后,检查值班人员是否让 IDC 机房机房门常开,对于需要离开 IDC 机房的外来人员,对其工作场所有无进行验收。如发现外来人员有任何不法行为,应第一时间联系安保处置。
3.6 配套设施风险因素解决对策
对于配套设备的风险因素解决对策,首先,检查门禁开关是否正常。其次,检查IDC机房机房顶部消防、烟感是否完好,告警灯以及手动灭火器具是否齐全、完好。再次,检查列头柜电源是否符合规格,是否会有引起设备短路、火灾的风险。各列头柜端子连接和接线是否正常,主、备路电源合闸是否正常。如有异常,应及时向维保方报修。
3.7 外部环境风险因素解决对策
对于外部环境风险因素解决对策,首先,检查IDC机房机房温湿度传感器和温湿度监控系统运行是否正常,其次,检查机房空调送风口、回风口,空调冷热风循环情况,空调设施是否完好。如有异常,应及时向维保方报修。
4 IDC机房安全运维优化举措
敏感操作或敏感信息泄露、机房管理缺位、机房进出管理系统漏洞、企业员工不当操作、外来人员管理漏洞、配套设施故障、外部环境隐患等风险因素,都会对IDC机房安全运维产生较大影响。安全无小事,从全局的高度和视野出发,需要对IDC机房安全运维防控措施进行整体优化,提出如下优化举措:
首先,定期发布安全预警信息公告,漏洞预警部分包括预警操作系统安全漏洞、数据库系统漏洞、网络设备安全漏洞、应用程序漏洞、WEB应用程序漏洞、DNS应用安全漏洞、邮件系统以及邮件服务器漏洞、其他应用漏洞、计算机病毒类安全漏洞、手机病毒类安全预警漏洞。补丁通告部分包括操作系统补丁、数据库系统补丁、网络设备补丁、其他应用程序补丁。通过下发相关预警及补丁,使内网及生产网设备、员工电脑都可以及时得到安全加固。
其次,每半个月发布一次安全监控双周报,包括全网安全漏洞风险评估、APT攻击排查处置情况、CNVD漏洞处置整改情况、僵木蠕日志分析情况、安全审计情况。建议附上TOP20登录详单及绕行登录详单,方便查出安全问题的部门或者个人整改。
再次,定期对自有IP进行互联网暴露面端口的排查,发现涉及互联网各类暴露端口,及时组织整改,关闭非必须对公网开放的端口或及时接入4A。
从次,对各业务接口人、系统负责人及IT运维人员,要加强安全技能培训的常态化,提高各系统日常安全监测的力度和突发问题的排障分析能力。日常采取的监测和排查措施具体如下:
最后,对于安全风险因素防范措施,总结概况如图 1:
另外,IDC机房安全运维经常遇到节日或重大事件保障这一场景。网络质量是电信企业的生命线,IDC 机房则是电信企业保障网络质量的主战场。节日或重大事件保障有其特殊性,节日或重大事件保障期间,用户外出游玩和出行的需求增多了,对网络质量的要求也水涨船高。节日或重大事件保障安全运维做的扎实,安全隐患会消弭于无形。反之,影响安全的因素只要未及时发现并处理,由此引发的任何故障都可能造成设备宕机甚至网络、业务服务中断,连带用户的投诉和企业的巨额经济损失,更会导致品牌美誉度等无形资产受损和用户满意度、忠诚度下降。近年来随着工信部携号转网方案的逐步成熟,运营商对用户的约束越来越小,网络故障或服务质量问题极易影响客户满意度,进而造成客户流失。
一年中法定节日需要保障的有7个(元旦、春节、清明节、劳动节、端午节、中秋节、国庆节),涉及到需要按节日要求进行保障的重大事件也不在少数(如全国两会、大型体育赛事)。鉴于不同节日或重大事件的保障特点略有差别,某电信企业在制定节日或重大事件保障安全运维方案时,总是会尽可能的将各种风险因素都考虑在内。例如清明节、春节,火灾、烟花爆炸等灾害事故频发,防火防爆炸物自然成为节日保障安全运维的重点。对于节日或重大事件保障这一特殊场景,节前或重大事件保障前的安全隐患排查,则是提早发现隐患并将隐患消灭在萌芽状态的关键优化举措,将安全隐患排查任务分解为如图2所示的任务子项:IDC机房内IT硬件检查、空调运行情况检查、IDC机房温湿度指标情况检查、UPS工作情况检查、走线布线检查、施工情况检查、办公区域检查:
5 结语
在外部环境复杂多变的当下,某电信企业对 IDC机房安全运维的重视程度已提到极高位置。要做到 IDC机房中各运行系统不被入侵控制,就需要全体IT运维人防微杜渐、并肩奋战,需要各业务接口人、系统负责人的全力配合。对于 IDC机房安全运维风险因素,电信企业不仅要对症下药,更要标本兼治。因本文所提解决对策均建立在应对各种安全运维风险因素基础上,所以可有效的在源头上避免安全运维风险点,从而确保 IDC机房持续稳定运行。展望未来,IT运维人及各相关责任方应以确保 IDC机房安全运维为己任,为我国通信业的健康发展凝心聚力、砥砺前行。
暂无评论内容