随着全球信息技术的不断发展和信息化建设的不断进步，一些重要机构和大型企业信息化水平得到飞速提升，其办公系统、 商务平台的不断推出和投入运行，信息系统在企业的运营中全面渗透。尤其是电信、财政、税务、公安、金融、电力、石油等重要行业的大型机构和企业内网中，更是使用数量较多的服务器主机来运行关键业务。

    这种情况下，企业对IT系统的依赖程度也越来越高，各类业务系统也变得日益复杂。就一个信息化程度很高网络信息系统而言，其针对传统的信息安全问题防护，已经比较完善，其最大的威胁和破坏来自企业内部。据国内领先的专注内网安全的极地安全公司技术团队对用户调研数据显示，8.5%的安全问题导致网络数据破坏，11%的安全问题导致数据失密，23%的病毒程序感染问题导致系统短暂故障，而从恶意攻击的特点来看，70%的攻击来自组织内部。

    在所有内部隐患中，一种由IT系统“权贵”人员及其操作引出的非传统的安全隐患日益凸显，是所有安全事件中最主要的安全威胁。所谓IT系统“权贵”人员，即拥有企业内网各种IT系统软硬件设备管理权限的人员，这些人员可能包括：系统管理员、系统运维人员、系统应用高权限用户、第三方厂商的维护人员以及其他临时高权限人员等。这些人员本身所拥有的高权限账号和其在操作过程中的各种动作，都带来日益明显的安全隐患。

    这些隐患所产生的新问题，归结起来包括以下五个主要的问题。

    其一，共享账号带来的安全问题。在企业内网IT系统管理中，共享账号是很常见的管理方法，其好处显而易见，既能节约了帐号管理成本，又降低了本地溢出的风险……但是，随着IT系统复杂性几何级提升，共享账号带来明显的隐患，这是因为等。这就是说，很多人共用一个账号，就使得帐号不具有唯一性，而且密码难以有效管理，最关键的是一旦该账号出现安全问题，责任难以认定到人，这就不符合国家关于信息安全“谁使用，谁负责”的原则。

    其二，权限控制带来的安全隐患。大多数企事业单位的IT运维均采用设备、操作系统自身的授权系统，各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加。安全性无法得到充分保证。

    其三，访问控制带来的安全隐患。目前的常见对系统管理员账号管理中，没有一个清晰的访问控制列表，无法一目了然的看到什么用户能够以何种身份访问哪些关键设备，同时缺少有效的技术手段来保证访问控制策略有效地执行。尤其是针对许多外包服务商、厂商技术支持人员、项目集成商等在对企业核心服务器、网络基础设施进行现场调试或远程技术维护时，无法有效的记录其操作过程、维护内容，极容易泄露核心机密数据或遭到潜在的恶意的破坏。

    其四，系统审计带来的安全隐患。企业内网各IT系统独立运行、维护和管理，所以各系统的审计也是相互独立的。审计的机制、格式和管理都不尽相同，就会带来各种问题。例如，每个网络设备，每个主机系统分别进行审计，安全事故发生后需要排查各系统的日志，但是往往日志找到了，也不能最终定位到行为人。

    其五，面临安全合规性法规遵从的压力。为加强信息系统风险管理，政府、金融、运营商等陆续发布信息系统管理规范和要求，如“信息系统等级保护”、“商业银行信息科技风险管理指引”、“企业内部控制基本规范”等均要求采取信息系统风险内控与审计。

    这些法规的要求和遵从，对于大型企业上市或者跨国经营，有着极大的影响。2002年由美国总统布什签发的萨班斯法案（Sarbanes-Oxley Act）开始生效。其中要求企业的经营活动，企业管理、项目和投资等，都要有控制和审计手段。因此，管理人员需要有有效的技术手段和专业的技术工具和安全产品按照行业的标准来做细粒度的管理，真正做到对于内部网络的严格管理，可以控制、限制和追踪用户的行为，判定用户的行为是否对企业内部网络的安全运行带来威胁。

    综上所述，随着信息化的发展，企事业单位IT系统不断发展，网络规模迅速扩大，设备数量激增，建设重点逐步从网络平台转向深化应用、提升效益为特征的运维阶段；IT系统运维与安全管理正逐渐走向融合。面对日趋复杂的IT系统，不同背景的运维人员已经给企业信息系统安全运行带来较大的潜在风险，因此，内网信息系统安全治理在加大网络边界防护、数据通信安全、防病毒等基础上，不能忽略网络后台运维安全治理和对于系统操作人员的审计监控方面的管理，而内控堡垒主机（堡垒机）作为内网安全治理的一种有效技术手段应运而生。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。