1　“双控管理”背景概述

近几年，随着《网络安全等级保护条例》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》等多项法律法规的相继出台，各大型企业因运维操作不当导致的网络安全事件逐步增多，同时影响面也逐渐扩大，信息系统运维过程中涉及的运维人员操作行为已成为新的安全风险焦点。同时烟草行业工作报告中也多次提到对运行的系统需要制定“双控管理”措施，即对人员进出机房、运维操作管控提出了相应要求。

2　运维安全隐患剖析

四川中烟运行的业务系统中涉及大量企业生产和经营相关的数据，一旦因为不当的运维操作导致业务系统异常将会对企业的正常运转造成重大影响。强化IT运维人员的安全意识，消除IT运维过程中存在的安全隐患一直是四川中烟网信部门工作中的重点。

目前各部门在运维过程中缺乏有效控制措施，具体情形可以分为下面两个方面：

（1）机房出入管控风险：

· 企业数据中心机房是信息化核心重地，没有做到严格的出入机房身份核对和运维过程的全面记录；

· 运维人员进入机房后人员运动轨迹超过授权范围，缺乏有效控制和监督运维人员在机房中的运动轨迹和操作行为的措施。

（2）运维操作过程控制风险：

· 企业内部资产承载着大量特权帐号，没有进行严格的权限划分与访问认证，管理人员无法进行有效管理；

· 特权账号存在随意使用的情况，不同角色人员同时使用高权限账户；

· 存在运维帐号共享问题，不能将运维人员与帐号一一对应，开展操作日志与安全事件审查；

· 没有技术手段可以对运维操作行为进行管控，极有可能因为误操作出现影响业务系统正常运行的问题。

3　“双控管理”建设目标及思路

3.1　建设目标

为落实国家和烟草总局相关要求，保障四川中烟人员进出数据机房的行为安全和信息系统的运维过程安全。建设目标主要有以下五点：

（1）落实机房出入管理制度

通过运维流程制度与运维管理系统相结合，机房管理员做到事前运维审批，事后反馈确认的全过程记录，形成完整的机房出入管理日志，为日后统计和追溯运维事件提供支撑。

（2）门禁及视频监控结合

通过机房门禁系统和机房视频监控系统的部署，有效识别、记录进出机房的人员身份，对运维过程中的人员行动轨迹和操作行为做到全方位的监控。

（3）多因子强身份认证

解决运维账号被他人盗用或多人共用运维账号的风险，保证运维人员的操作行为与统一安全运维管理系统记录的日志具有可追溯性。

（4）建立运维操作行为管控机制

检测各运维人员的实时运维操作行为，对运维过程中发生的越权访问、违规操作等安全事件，进行自动的告警、阻断违规的操作行为。

（5）加强人员身份管控

加强内部人员、外部人员身份的管控，自动对网络账号信息梳理，对网络中人员的身份进行管理，实现运维人员、业务人员身份的合法性，防止离职员工、离职厂家人员对业务数据进行访问、泄露。

3.2　建设思路

通过建设人员进出管控系统，实现对进出机房运维人员的身份和权限做到最小范围最小权限的的集中管控，同时实现对进入机房人员的运动轨迹全过程记录。

通过统一安全运维管理系统，实现对运维人员、资源、资源账号的集中管理，建立“运维人员账号—资源—资源账号”对应关系；实现管理人员对资源的统一授权，同时，对被授权人员的登录及操作行为进行记录、分析、展现，做到事前规划预防，事中实时监控、违规行为告警和预警，事后合规报告、事故追踪。

统一安全运维管理系统架构图如图1所示。

图1 系统架构图

· 通过门禁授权管理功能，对机房管理维护人员做到门禁与身份的绑定；

· 通过视频监控功能，将进入机房范围内的人员行动轨迹和工作范围做全方位的监控留痕；

· 通过统一账号管理功能，对运维人员主账号和运维系统账号进行集中管理和数据同步；

· 通过统一认证管理功能，向所有用户提供多种认证模式，实现登录统一安全运维管理系统，同时对业务资源登录账号提供单点登录功能；

· 通过统一授权管理功能，对资源进行管理，对所有运维账号进行授权，并可根据账号级别做到操作访问控制；

· 通过综合审计功能，负责对审计数据进行集中采集和展现，根据审计策略对审计数据进行过滤，对审计到的异常操作行为进行告警；

· 通过双机热备[1]部署的方式，在统一安全运维管理系统故障时无需人工干预即可实现业务的不间断运行，做到安全运维管控系统的服务高可用。

4　“双控管理”实践经验

4.1　“双控管理”建设方法

四川中烟网信部门的管理者要深刻认识国家相关法律法规政策制度，结合行业及公司管理要求，从意识层面增强对“双控管理”迫切性、必要性、可行性方面的全盘考虑。找出单位目前在“双控管理”方面的不足，通过梳理差距分析表，对不达标的能力通过优化、整改、强化等手段补足差距。并根据实际业务发展情况分析补足差距所需的周期，将任务进行拆解，并识别出工作任务的紧急程度，从而有序开展“双控管理”的能力建设工作，在具体执行和管理过程中同样要加强跟踪和管理，分析识别“双控管理”的落地应用成效，确保管控措施发挥应有功效。

4.2　“双控管理”的效益

（1）对所有进出机房的运维人员均做到全过程的记录和留痕。

提升了进出机房流程的规范性，杜绝了非法人员进入机房的可能性，保障了核心IT资产的物理安全性。

（2）对统一安全运维管理系统的运维人员、资产、权限、以及告警信息集中管控。

实现了对运维人员和业务资源服务器、对应人员权限、以及系统告警信息、安全策略等进行集中管理和展现，方便管理人员对运维人员开展相关操作统计和审查。

（3）使用多因子强身份认证，确保了只有合法的用户才能登录系统。

统一安全运维管理系统与国密动态口令卡对接，启用多因子强身份认证，保证了运维人员的合法性，只有通过实名认证后的合法用户才能登录到系统中。

（4）对所有运维人员操作进行管控，如：发现高危命令进行阻断、丢弃和二次审批。

有效避免由于人员操作失误给业务带来损失，同时全程审计记录运维人员的所有操作，当事件发生后可快速溯源、定位、定责。

统一安全运维管理系统最终效果：

（1）非法用户进不来

· 控人员进出：非授权人员识别告警；

· 控运维操作：身份管理、身份认证（多因子-国密动态口令卡）。

（2）合法用户管得住

· 控人员进出：人员运动轨迹呈现；

·控运维操作：资源管理、授权管理、运维审计、高危命令管控（增、删、查、改等高危命令的二次审批、命令阻断、对话中断、高危命令告警）、非运维时间登录告警。

4.3　“双控管理”取得的经验

随着四川中烟信息化应用的迅速发展，信息系统的外协单位人员存在不稳定性，内部的各种业务和经营支撑系统不断增加，网络规模也迅速扩大。由于信息系统的运维人员和业务系统的管理人员掌握着系统资源管理的最高权限，存在因维护工作需要出入数据机房的情况，一旦因运维人员的不当操作出现安全问题将会给企业带来巨大的损失，加强对运维人员操作行为的监管与审计成为信息安全发展的必然趋势。在此背景之下，四川中烟针对公司总部和各工厂的运维操作、业务管理与审计需求，开展了统一安全运维管理项目建设。通过一套多维度的运维操作管控与审计解决方案，使得管理人员可以对网络设备、服务器、安全设备、数据库等资源进行集中账号管理、细粒度的权限管理和访问审计，帮助各部门提升内部风险控制水平[2]，实现各个系统资源的单点登录、统一认证、统一授权、审计等信息的集中统一管理。通过人员进出管控系统完成了数据机房出入人员身份鉴别和人员运动轨迹操作行为的集中授权和集中监控。满足“双控管理”要求中的“控人员进出”和“控运维操作”。

4.4　运维安全管控方面的思考

将双控管理的要求严格落实到实际业务流程中。在日常运维操作执行中落实安全生产管控流程，确保操作标准规范风险可控。例如，统一身份及授权管理、关键业务系统及数据操作审计管理等。在运维安全管控中遵循“最小、必要”原则，通过建立完善的授权管理机制，将用户和资产、权限进行管控，提前将运维中可能存在的高危操作风险纳入系统自动阻断规则，最大限度降低运维过程中的安全风险。同时也需要对系统的高可用纳入考虑范围，以保障日常运维工作的连续性。

5　结语

随着国家及行业的法律法规和政策要求的逐步完善，对四川中烟公司的网信工作提出了更高的要求，也指明了新的方向。我们将继续深入贯彻执行国家及行业相关要求，切实履行职能职责，在已建成的门禁系统和视频监控系统以及统一安全运维管理系统基础上，持续完善优化机房出入管理流程和制度，细化对生产环境与测试环境中业务系统的运维管控能力，扩展对数据安全管控的安全建设和信息安全管理制度建设、安全意识教育等工作，助推四川中烟运维管理工作的标准化和数据生命周期的场景化管控，从根本上落实烟草行业的“双控管理”要求，促进四川中烟“双控管理”措施的落实到位，保障四川中烟数字化与安全协同的持续发展，实现企业数字化转型过程中日常运维和数据使用的可视、可控、可信。

参考文献：

[1] 张剑, 万里冰, 钱伟中. 信息安全技术（第2版）上册[M]. 电子科技大学出版社, 2015.

[2] 浅析堡垒机概念及工作原理[EB/OL]. https://www.2cto.com/article/201301/186936.html, 2022 - 2 - 18.

作者简介：

石　洁（1982-)，女，四川成都人，工程师，硕士，现就职于四川中烟工业有限责任公司信息中心，主要研究方向为网络系统、信息安全系统工程等基础设施类项目技术方案制定与项目实施，基础设施系统运行维护与技术支持。

摘自《自动化博览》2022年4月刊