運(yùn)維人員身兼多職，安全管理壓力山大

唐楠，浪潮公司資深工程師。他還有兩個(gè)頭銜：白帽黑客+運(yùn)維大師。不過(guò)很多人只知道他曾經(jīng)加入過(guò)中美黑客大戰(zhàn)、中日黑客大戰(zhàn)的經(jīng)歷，并不清楚他還是一位頂級(jí)的運(yùn)維高手。

“我們經(jīng)常聽(tīng)說(shuō)某個(gè)大型企業(yè)擁有上百人的運(yùn)維團(tuán)隊(duì)，數(shù)十位信息安全專(zhuān)家，擁有強(qiáng)大的運(yùn)維能力，部署一層層的威脅防御系統(tǒng)、順利地挺住了某次流量高峰、化解了黑客攻擊。但是，客戶(hù)不是個(gè)個(gè)如此土豪，‘人手少、一人身兼多職’的情況大有人在。最新接觸的這個(gè)客戶(hù)就是這種情況，由于編制問(wèn)題，他們并沒(méi)有專(zhuān)門(mén)設(shè)置網(wǎng)絡(luò)安全的崗位。工作中我們接觸的都是網(wǎng)絡(luò)運(yùn)維人員，所以幫助他們解決IT運(yùn)維故障，共同梳理一個(gè)恰當(dāng)?shù)腎T管理流程，將日常運(yùn)維與主機(jī)安全工作合并到一起，才適合客戶(hù)的實(shí)際情況。”唐楠談到了主機(jī)加固項(xiàng)目中遇到的具體情況。

唐楠談到，“與這個(gè)客戶(hù)接觸是因?yàn)?51計(jì)劃，這項(xiàng)工作包括了面向100個(gè)重點(diǎn)城市、培訓(xùn)出500名 ISCE工程師，并為1000名用戶(hù)的數(shù)據(jù)中心提供免費(fèi)漏掃及測(cè)試，協(xié)助用戶(hù)落實(shí)等保的一項(xiàng)核心工作。我在現(xiàn)場(chǎng)利用WVS、NetSparker這些工具掃描用戶(hù)主機(jī)漏洞時(shí)，正趕上用戶(hù)OA系統(tǒng)出現(xiàn)故障，憑借經(jīng)驗(yàn)很快找到了這次故障的原因，耗時(shí)2個(gè)小時(shí)后，最終解除了故障。”

當(dāng)時(shí)，客戶(hù)主管信息化的副部長(zhǎng)也在現(xiàn)場(chǎng)，他對(duì)唐楠的技術(shù)能力十分欽佩，并且希望他傾囊相贈(zèng)，解決主機(jī)安全管理和運(yùn)維管理工作中人手不足的難題。溝通中，唐楠了解到用戶(hù)信息中心總共有9個(gè)人，不僅需要負(fù)責(zé)總部的業(yè)務(wù)系統(tǒng)，還要負(fù)責(zé)轄區(qū)內(nèi)21個(gè)地市級(jí)的網(wǎng)絡(luò)統(tǒng)一管理和信息安全規(guī)劃。由于人手少，業(yè)務(wù)范圍廣，設(shè)備巡檢壓力超出了手工檢測(cè)的極限，導(dǎo)致了IT故障和網(wǎng)絡(luò)安全事件頻頻出現(xiàn)。

解決問(wèn)題的關(guān)鍵：自動(dòng)運(yùn)維、自動(dòng)安全

“IT運(yùn)維和網(wǎng)絡(luò)安全都是在為業(yè)務(wù)系統(tǒng)服務(wù)，系統(tǒng)故障或遭遇黑客攻擊的結(jié)果都是應(yīng)用無(wú)法使用，甚至造成數(shù)據(jù)丟失或被非法利用。但由于編制問(wèn)題，客戶(hù)無(wú)法在短時(shí)間增加人手，所制只能從工具方面入手。因此，我推薦用戶(hù)試裝一下浪潮的安全應(yīng)用監(jiān)管系統(tǒng)SSM和主機(jī)安全加固系統(tǒng)SSR，這兩款產(chǎn)品結(jié)合恰恰可以以主動(dòng)、自動(dòng)的方式解決安全和運(yùn)維的問(wèn)題，可以滿足用戶(hù)的需求。”唐楠回憶說(shuō)。

其中，浪潮SSM應(yīng)用監(jiān)管系統(tǒng)采用了分布式監(jiān)測(cè)采集部署與集中式配置管理模式，能夠有效提升數(shù)據(jù)中心的運(yùn)維管理效率以及對(duì)外服務(wù)的可視性、可靠性和穩(wěn)定性。而部署浪潮SSM之后，用戶(hù)的信息系統(tǒng)可以告別純?nèi)斯さ膽?yīng)用監(jiān)管，自動(dòng)巡檢不僅提高了工作效率，系統(tǒng)安全性也得到大幅度提升。而SSM還具有自動(dòng)化的事件處理能力，當(dāng)故障產(chǎn)生時(shí)，可以快速定位故障，很快發(fā)現(xiàn)問(wèn)題根源并找到相應(yīng)的解決方案，從而縮短故障解決時(shí)間，減少維護(hù)成本。

緩解人力壓力的方法就是實(shí)現(xiàn)IT運(yùn)維管理自動(dòng)化，SSM可謂對(duì)癥下藥。不過(guò)，這個(gè)“自動(dòng)化”概念，在主機(jī)安全加固方面也適用嗎？

為了找到這個(gè)問(wèn)題的答案，唐楠對(duì)部署在用戶(hù)涉密業(yè)務(wù)系統(tǒng)上的SSR進(jìn)行了詳細(xì)介紹。他說(shuō)，“SSR采用了ROST內(nèi)核加固技術(shù)，可以為核心業(yè)務(wù)服務(wù)器構(gòu)建一個(gè)自身免疫的系統(tǒng)，能夠?qū)χ鳈C(jī)的核心文件、核心進(jìn)程、核心注冊(cè)表、核心賬戶(hù)進(jìn)行主動(dòng)防護(hù)，有效抵御來(lái)自病毒、黑客的威脅。從漏洞防護(hù)來(lái)看，信息中心運(yùn)維人員采用手工的漏洞修補(bǔ)方式，不僅工作量巨大、容易出現(xiàn)疏漏，還會(huì)由于漏洞修補(bǔ)的‘真空期’被黑客抓住機(jī)會(huì)。而SSR的自動(dòng)加固的特性則可以縮小‘真空期’的范圍，降低負(fù)面影響。”

自動(dòng)化解決了客戶(hù)信息中心人員不足的問(wèn)題，但事情并非一帆風(fēng)順。

從總部“自動(dòng)化”到地方“自動(dòng)化”

由于年初的預(yù)算有限，客戶(hù)只能將IT運(yùn)維和主機(jī)加固項(xiàng)目分成兩期，先總部、后地方。那么，由浪潮SSM+SSR的解決方案能否滿足這種分步實(shí)施、分級(jí)部屬、統(tǒng)一監(jiān)管的需求嗎？

“SSM支持分級(jí)部署、分布式部署功能在溝通中用戶(hù)就已經(jīng)十分清楚了，這是產(chǎn)品吸引他們的關(guān)鍵點(diǎn)之一。二期項(xiàng)目實(shí)施后，通過(guò)級(jí)聯(lián)管理，客戶(hù)省廳下屬的21個(gè)單位可以按照策略定期將監(jiān)控?cái)?shù)據(jù)上報(bào)到總部，由廳信息中心進(jìn)行統(tǒng)一處理并展現(xiàn)。而最新版本的SSR增加了集中管理模式、不僅能夠同時(shí)管理Windows、Linux、AIX，還能通過(guò)Web瀏覽器界面管理全省業(yè)務(wù)系統(tǒng)上所有部署SSR的主機(jī)，將日志匯聚到省數(shù)據(jù)中心自動(dòng)分析出可疑事件。”對(duì)于項(xiàng)目分期唐楠建議用戶(hù)在總部先總結(jié)出經(jīng)驗(yàn)，便于地方推廣和落地。他表示：“IT運(yùn)維的流程是關(guān)鍵，這就像新產(chǎn)品要經(jīng)過(guò)嚴(yán)格的檢驗(yàn)程序一樣，流程也需要測(cè)試以證明它們能夠經(jīng)受住操作環(huán)境的壓力和考驗(yàn)。另一方面，就是SSR中的‘三權(quán)分立’，在人手有限的情況下也要把權(quán)限分散設(shè)置成系統(tǒng)操作員、安全管理員和審計(jì)管理員，讓系統(tǒng)管理員‘身兼多職’行駛?cè)齻€(gè)權(quán)限，培養(yǎng)操作習(xí)慣，達(dá)成‘最小授權(quán)’的安全原則。”

因?yàn)槔顺钡?ldquo;151計(jì)劃”，唐楠與許多客戶(hù)逐漸成為了朋友，常常幫著客戶(hù)，、客戶(hù)的客戶(hù)救火救急。在微信群里，有人管唐楠叫“安全專(zhuān)家”，還有人叫他“運(yùn)維專(zhuān)家”。唐楠自己則希望把“專(zhuān)家”兩字去掉，就叫“安全運(yùn)維”，因?yàn)檫@四個(gè)字代表了業(yè)務(wù)高效運(yùn)行基本條件，也是用戶(hù)的期盼。