可信可控的IT运维监管

传统的IT运维管理存在以下问题：

l   第三方运维人员缺乏管控                 l   运维人员操作权限缺乏限制

l   运维人员操作过程缺乏监管             l   运维操作出现问题缺乏审计

l   运维操作出现问题无法追责到人

    基于对信息系统运维管理的实线经验以及对行业用户的深入了解，我们认为：保证信息系统运维的可信、可控的关键在于以“管理制度+技术手段”对参与运维工作的“人”和“行为”进行有效管控，对运维风险实行事前防范、事中控制、事后监督和纠正的组合管理。

    目前，有很多针对IT运维管理的解决方案，都是针对运维行为的管控，缺失了对实施运维行为的“人”的管理。久安世纪以“创新”的安全运维管控理念，将“指纹生物特征识别技术”与“运维管理审计系统”相结合，用指纹识别技术管控实施运维行为的“人”、用运维管理审计系统管控实施运维行为的“人”的行为。

久安世纪统一安全运维平台（LS-SOP）由管理控制台、应用代理服务器、客户端安全插件和数据库四大部分构成。运维人员通过指纹身份认证登录运维平台；平台根据预先设定好的权限策略为其分配操作权限；并对基于Telnet、SSH、RDP、VNC等协议的访问操作进行过程的抓取，以录象方式对运维人员的所有操作进行记录；平台具备强大的搜索功能，可对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取，实现对运维行为的审计。部署网络拓扑架构如图所示：

 采用“久安世纪统一安全运维平台”对IT运维进行管控，可以获得以下收益：

l   人员管控：指纹身份证解决了运维人员的身份管控问题

l  帐号管控：运维人员→运维帐号→授权→设备管理帐号→目标设备；运维人员无须知道被管设备的管理帐号和口令，解决了管理帐号和口令外泄问题。

l   权限管控：针对运维人员、设备、应用等多个因素提供解决了运维人员越权操作问题细粒度的命令级授权策略；解决了运维人员权限不明晰及越权操作的问题。

l  行为管控：通过可执行命令集或不可执行命令集，限制运维人员的操作行为；降低了误操作的风险，提高了系统的安全性。

l  全程审计：全程审计运维人员从登录到退出的操作行为；即可实时非现场监控、也可事后回溯。

l  追责到人：由于采用了他人无法替代的指纹身份认证，出现问题可以做到追责到人。