浅谈信息系统运维外包安全管理.docVIP

浅谈信息系统运维外包安全管理 　　摘要随着信息系统外包的逐步推广，做好信息系统运维外包的安全工作已成为信息化运维工作的重中之重，信息系统运维外包安全管理模式主要有简单管理模式、制度管理模式和混合管理模式三种，信息系统运维外包工作在日常开展中存在泄密、操作失误造成系统瘫痪、植入病毒或预留后门、对外包商过渡依赖等安全隐患，最后从强化运维过程管理、加强操作风险管理、降低系统运行隐患、增强事件处理能力等几个方面进行分析，发掘出信息系统运维外包安全管理的方法，用以提高信息系统运维外包安全管理水平。 　　【关键词】信息系统 外包安全 外包安全管理模式外 　　随着信息化技术在日常工作中的不断普及，信息系统运维已经成为信息化工作中最重要的组成之一，信息系统运维涉及数据库、中间件、硬件、存储等多个方面的专业知识，而企业内部信息化工作人员不足，专业技术能力欠缺，为保证信息系统良好、顺畅运转，需要专业化程度较高的运维服务，即信息系统运维外包服务，聘请专业技术人员对系统数据库、中间件等各个环节进行运维，随着信息系统运维外包范围的不断扩大，信息系统运维外包造成的信息安全隐患及信息安全事件不断增加，做好信息系统运维外包安全工作便成了信息化运维工作的重中之重。 　　1 信息系统运维外包安全管理模式分析 　　我们先简单分析一下常见的运维外包安全管理的模式，随着信息系统运维外包范围的不断扩大，信息系统运维外包安全管理主要由简单管理模式、制度管理模式和混合管理模式三种。 　　1.1 简单管理模式 　　主要依靠“人盯人”和运维工程师的自律实现，即指定专门人员陪同并监督运维工程师的具体操作，要求运维工程师严格遵守职业道德，达到信息系统运维外包安全管理的要求。 　　简单管理模式的优点是管理成本小，管理过程简单，不需要配备专门的技术人员；存在的问题主要有可操作性不强和管理效果不佳两方面： 　　（1）由于陪同人员的业务素养不足、技术深度不够、运维过程监管不足等原因，使得“人盯人”方法对信息系统运维外包安全管理可操作性下降，存在造成系统运维外包安全事件的隐患。 　　（2）信息系统运维外包工作开展过程中，基本依靠运维工程师的自律和职业操守来实现信息系统运维安全管理，难以达到信息系统运维外包安全管理要求，影响运维安全管理效果。 　　1.2 制度管理模式 　　通过运维安全制度规范运维商和运维工程师的行为，降低运维风险，实现信息系统运维外包安全管理。在运维合同签订过程中明确运维安全管理制度，并其签订运维保密协议，共同建立违反制度的处罚机制，明确约定处罚内容，在运维工程师入场工作之前先宣布管理制度和惩罚机制，用以约束其运维操作。 　　制度管理模式的优点是管理成本小，管理过程较为简单，管理体系相对成熟；存在的问题主要有管理可操作性不强和属于事后管理两个方面： 　　（1）运维管理制度的执行情况不易监控，可能造成管理制度、保密要求和惩罚机制形同虚设，不能够有效地发挥作用，降低运维系统安全管理的可操作性。 　　（2）制度管理模式属于事后管理范畴，即只能在事故发生后按照管理制度、保密协议和处罚机制进行追责，且追责过程中提取相关证据较为困难，追讨损失过程较为复杂。 　　1.3 混合管理模式 　　通过制度和运维安全管理设备（如堡垒机）相结合进行信息系统运维外包安全管理，即在制度管理模式的基础上，增加运维管理设备，该设备具有操作命令记录、操作过程录屏、操作权限管理、访问范围管理和访问时效管理等几个基本的功能，实现对信息系统运维外包安全的有效管理， 　　混合管理模式的优点是管理的可操作性强，管理体系较为成熟，属于对信息系统运维过程既有事前、事中管理，又有事后审计管理；存在的问题主要有管理成本较大和管理过程复杂两个方面： 　　（1）运维安全管理设备需要单独购买且需要专人进行维护，这加大了企业信息系统运维安全管理的成本。 　　（2）运维安全管理设备需要依据实际运维情况进行配置变更，要求设备管理人员充分了解企业网络架构、业务系统构成等内容，结合运维人员的实际情况进行操作权限、访问范围、访问时限等内容的管理，使得信息外包安全管理过程变得较为复杂。 　　2 信息系统运维外包安全隐患分析 　　依据对信息系统运维外包安全管理模式的分析，信息系统运维外包存在以下几点隐患： 　　2.1 信息系统运维外包造成泄密 　　随着企业日常工作对信息化的依赖不断加大，企业销售、财务、人力资源等重要信息均通过信息系统进行管理，如果对信息系统运维外包过程管理不严，极有可能造成重要数据泄密，对企业的发展壮大和日常工作开展造成影响。 　　2.2 外包工程师操作失误造成信息系统瘫痪 　　运维工程师技术水平良莠不齐，如不对外包工程师的运维操作进行严格规范，有可能由于操作不谨慎或误操作造成重要信息数据丢失、损坏，导致信息系统异常，甚至造成信息