5月28日下午2點左右,針對攜程網站無法打開的事件在朋友圈被刷屏。剛剛開始是各種調侃,其中要求對運維人員好一點的呼聲最高、傳播最廣,然後是攜程老闆懸賞100萬解決問題,到了晚間央視財經網、騰訊網、新浪網、地方電臺等主流媒體都發表了該事件的看法,其中也有很多的負面信息。總體來說這次的事件對攜程的負面影響還是比較大,也引發了很多行業專家的思考。從5月29日起行業內的一些安全專家就發佈了一些深度文章,其中有幾個非常有指導意義。
1、阿里智錦《深入解析和反思攜程宕機事件》則認爲運維應該從黑盒運維走向白盒運維,是一個轉型的最佳時機。
2、老王的《運維債務的剖析與解決方案》非常深入的從流程規範、工具與平臺、安全,灰度機制、意識、環境管理、數據管理、架構等多個角度來探討,然後結合最佳實踐的方法論,從各個角度提出瞭解決方案。
3、另外也有很多做數據備份的同仁提到數據備份的重要性、應急響應的重要性。
對於這些文章,筆者都一一拜讀過,也得到了很多的啓發,如果企業能夠按照這樣的方法去思考改進,相信這種災難性事件的機率會減少很多。
但是筆者心中始終還有一些疑問,這麼大一個攜程,難道其沒有配置管理、變更管理等IT管理流程?難道其沒有數據備份措施?安全防護措施還不夠完善?沒有應急響應機制?答案顯然是否定的,筆者也與攜程的安全團隊、運維團隊有過一些交流,其實攜程內部也有非常多的思考,其每年也投入了巨大的資金用於IT運維和安全建設。其安全團隊也經常性的組織安全沙龍、啓動了漏洞獎勵計劃等,積極和業內安全專家進行交流互動。那爲什麼事故還那是發生了呢?我們能夠從中還能夠發現什麼問題嗎?
於是筆者認真學習、分析了各方面專家的觀點後,發現有個環節真被忽略了,就是“監督和審計機制”。說白了就是我們的安全管理者是否對信息系統中的IT防護措施做到可見、可控、可追溯?我們的IT管理者不防思考一下幾個問題,看看自己能否在短時間內回答這些出來。
1、防火牆、ips、WAF等安全控制策略是否有效、完整,上一次更新時間是多少?
2、應用和系統漏洞上一次修復時間點是?
3、有哪些業務系統和人可以調用訪問數據庫?其訪問權限是否合理、最小化?
4、有多少內部人員、第三方人員可以接觸核心系統?他們的開發、運維過程是否可視?
5、服務器的批量操作、高危命令執行是否可靠、經過不少於兩方的確認?
6、關鍵服務器、網絡設備的密碼什麼時候修改過?
7、數據備份的機制什麼,上一次數據恢復演練是什麼時間?
筆者相信有很多人是沒法完整答覆的,因爲我們的管理者沒有這樣去想過,更沒有定期去系統性的梳理過。甚至還有一部分管理者認爲已經有了防火牆、防病毒、WAF、備份系統、審計系統等安全措施就是安全了。所以還是要有完善的“監督與審計機制”,那麼怎麼來建立呢?
參考PPT(人、技術、流程)方法論,我們的觀點如下:
1、人的方面:
必須得建立獨立的審計部門,實現IT建設部門、運維部門、審計部門的分離和相互制約。
審計部門需要配備有專業的審計技術人員,至少涵蓋管理制度審計、業務流程審計等方向的人才。
審計人員也需要具備專業的IT技術,甚至審計人員技術水平要優於IT技術人員,否則審計就難以落到實處。
領導層也要足夠重視審計部門的工作,將審計成果推廣應用。
2、技術方面:
建立核心數據的訪問環節審計措施,動態瞭解核心數據庫、敏感文件等的訪問人員、訪問權限、流轉情況。可採用專業數據庫審計系統,建立敏感數據的訪問行爲模型,動態掌握模型的變更,發現異常。
建立運維環節的審計防護措施,掌握運維環節的人、設備、權限、操作過程等關鍵環節。可採用運維審計系統,實現運維人員實名制、雙因子認證、最小權限控制、運維過程審計等,讓整個運維環節可控、可追溯。
建立安全策略的有效性審計措施,可通過上述數據庫審計、運維審計、流量審計等日誌審計系統,及時驗證防火牆等訪問控制設備的策略有效性,也可以輔以安全***測試、模擬***等手段來驗證。比如數據中心防火牆規定僅允許了192.168.1.100-110共10個IP地址訪問數據庫,那數據庫審計系統上就可以設置相應的審計措施,來動態監測是否有查處這些IP地址範圍的人來訪問,如果有就進行實時告警。
建立綜合審計管理平臺,能夠收集數據庫審計、運維審計、系統、安全設備、網絡設備等各個方面的審計日誌,然後分類進行展示,幫助審計部門全面掌握各個環節的狀況。
3、流程方面:
建立管理制度執行情況的審計,主要對公司的變更管理流程、配置管理流程、備份流程、密碼修改流程、人員權限管理流程等進行執行效果的審計。因爲各單位的方式不同,可能只能由人來進行操作,主要通過查看分析其流程執行。
建立應急演練措施,需要包括網絡故障、******、數據庫故障、電源故障等多個方面,而且要定期進行真實演練。這一點上證券行業做的相對較好,擁有較豐富的經驗,值得大家借鑑學習。
建立審計考覈機制,包括審計人員自身績效考覈,以及審計部門如何制約IT建設部門、運維部門的機制。否則審計部門將永遠不能受到重視,所有的審計措施也將失去意義。
總的來說,監督和審計機制確實需要引起大家的足夠重視,要做好審計的工作,也有幾個簡單的經驗可以參考:
先簡後繁:先從領導認可的、重要性高的地方開始,比如數據庫的審計、運維的審計、管理流程審計,然後逐步覆蓋到綜合日誌關聯審計、web業務審計、應急演練等。
定期開啓專項審計:比如每個季度開展一次審計專題活動,比如數據庫訪問權限審計專題、第三方外包人員管理過程審計、備份恢復有效性審計等,這樣不僅能夠幫助IT部門發現問題,還能夠起到很好的宣傳效果,有利於審計部門自身的價值呈現和團隊建設。
安恆信息堡壘機、web業務審計產品經理——鄭赳JOJO