保障入口與訪問者的數據安全

2018年高考前夕，鋪天蓋地的是考生和考生家長的緊張，在這看得見的緊張的背后，看不見的是相關教育部門開展的完善的安全督查，各地自查、督查組抽查，力求為全國考生營造公平公正的安全考試環境。其中網絡信息安全的檢查是之中重要環節之一。考生和考生家長隨著考試結束而解放，考生信息安全保護卻還在繼續，甚至檢查更為嚴格。網絡信息安全檢查的重點是：計算機系統和數據安全防護以及其他相關安全保障措施落實情況，目的是嚴防考生信息泄露。

距離網絡安全法發布已經一年了，網絡安全法第四十條、四十二條第二款明確規定了網絡運營者對個人信息或者說用戶信息有保密、保證信息不被泄露、毀損與丟失的責任。但近一年來，雖然用戶信息保護制度一直在健全完善中，但數據泄露事件依然不時地發生。

高考已經過去，但是對考生信息的保護卻絲毫不能放松，個人信息安全保護容不得半點松懈。對目前個人信息泄露的案例進行分析，數據庫中的信息泄露大多是外部人員或內部人員竊取所致。

針對這兩種情況，其實等級保護安全設計已經給出了考慮，我們需要做的是嚴格按照等級保護安全設計要求運行與維護。

觀察網絡安全法實施一年來的變化，可以發現，各單位都主動或被動的進行了等級保護測評，并去公安部門進行了備案，但被公安機關、單位、管理人員和大眾普遍忽略的一點是：備案僅僅是開始，還遠遠沒有結束，也永遠不會結束。在此基礎上的持續整改、安全運行與維護才是根本。

跟蹤等級保護測評過程，各單位普遍存在這樣的情況：等級保護中一些重要的、有意義的安全設計，網絡管理人員為了自身維護管理方便直接棄之不用。

本文就從最典型的入口與訪問者角度，談一下現存較為普遍的、保障數據安全必須要更改完善的幾個問題，并針對對應問題給出修正建議與解決方案。

訪問者管理

1.用戶身份與權限管理

以最明顯也是最普遍的是對交換機的訪問為例來說明，特別是對核心交換機的訪問。

一般而言，管理交換機的用戶有幾類：正式的網絡運維人員、廠商的駐場或遠程技術支持人員、臨時的操作人員。按等級保護制度的要求，不同的用戶（而不是不同類）登錄關鍵設備，應該是不同賬號對應不同權限、訪問者只擁有必要的權限。

但在實際的管理中，所有人員都使用admin賬號的現象非常普遍，權限毫無疑問是最高的管理員權限，可以進行任何操作，這種對賬號、權限不進行任何區分的方式對數據的保護無疑是非常不利的。

針對這個問題，大連理工大學的方案還是值得借鑒的，比如廠商的所有操作都只能在確定的某一臺機器上進行操作修改，對該機器進行完全監控：錄屏、操作記錄存檔、操作者出入進行視頻錄像等，不僅可以保證關鍵設備的操作有據可查、無法抵賴，而且在一定程度上可以威懾意圖竊取信息的訪問者。

但上面的方法只對外部竊取人員有用。內部人員都是在單位內部計算機上直接遠程登錄并進行操作，執行類似上述錄屏、視頻錄像等安全措施明顯是不合適也做不到的。

因此，對內部人員的防范還是要針對每個運維人員區分賬號、密碼和權限，這才是根本。

2.密碼管理

依然用對交換機訪問的例子，以一個普通院校為例，交換機臺數動輒幾十上百甚至上千。為每一個交換機配置不同的用戶名、密碼的管理難度可想而知；對于網絡運維人員，每日登錄交換機的次數多、操作頻繁，每次都要過幾次認證才能進行操作，無疑是一種工作負擔。于是無密碼登錄、弱口令登錄、單因素認證等的普遍存在也就不難理解了。

實際上根據等保要求，不僅要求是強口令，而且對密碼的更改期限也有一定限制，比如根據設備重要性程度不同，強制要求一個月更改一次密碼，三個月或者半年密碼不允許重復等。

最近頻繁出現郵箱平臺用戶密碼泄露事件，廣大管理人員應從安全事件中汲取教訓：關鍵設備復用密碼、密碼組合規律性太強或者更換頻率較低等都是極其危險的，必須養成定期修改密碼、堅決不復用密碼的安全習慣。

同理，面對龐大的服務器群、海量的軟件系統，遠程登錄服務器的方式包括用戶名、密碼、無操作時限等各方面也存在同樣問題。

訪問途徑管理

對于結構化數據與部分非結構化數據，數據庫是他們最終的存放地，因此數據庫的重要性不言而喻。要獲取數據只有兩個途徑：直接訪問數據庫，經由軟件系統訪問數據庫。不論哪種方式，終點都是對數據庫的訪問。

經由軟件系統訪問數據庫的方式，除了對系統用戶名密碼的分配外，還需要特別關注權限。曾經某地政府部門網站發生越權漏洞，任何訪問者登錄該網站注冊任意賬號后可以給任意角色分配權限，成為“管理員”，并可以對系統的個人信息數據進行查看與篡改，該漏洞被攻擊者利用，造成了非常惡劣的影響。

實際上這種問題只要通過進行一般的測試就可以避免，軟件系統上線前對訪問者的權限測試是必須的也是基本的。

直接訪問數據庫是指直接登錄到服務器上打開DBMS，這是極其危險的操作，而這部分恰恰是管理人員經常忽略的危險區。

一般而言一個軟件誕生與成長的流程是這樣的：單位購買軟件系統與服務器，提供軟件系統所需的原始數據，然后全權委托廠商或代理商去安裝部署，最后交付給單位的是系統登錄用戶名與密碼，軟件操作與功能說明文檔。而很少告知關于數據庫、日志等部署或維護細節。根本原因當然是單位并不關心這些“關鍵的”細節，甚至都不清楚數據庫與日志的存在。對單位而言，他更關心的是軟件的使用說明文檔與項目驗收與通過與否；對部署工程師而言，數據庫是屬于“后臺”，用戶只需要知道如何使用系統即可，不用關心“后臺”的部署。

這種現狀產生的另一個重要原因是購買的軟件系統一般是有維保期的，在維保期內系統發生任何問題都是由廠商或代理商的工程師去處理，比如當初部署軟件的工程師。在這種情況下，為了后期維護方便，部署工程師不為數據庫設置密碼或者使用通用用戶名與密碼也就不難理解了。

然而，從系統安全角度來講，數據庫作為數據的倉庫，是最后一道防線，應該引起足夠的重視，對它進行任何程度的保護都不為過。正確的做法應該是根據不同的用戶級，訪問權限與操作權限包括創建、讀、寫、修改、刪除等，細化到表級，甚至細化到記錄或者字段級。

設立數據保護官

隨著東航任命公司總法律顧問為公司“數據保護官”的“創舉”，個人信息安全的保護措施被提到新的高度。實際上“數據保護官”并不是一個新的概念，網絡安全法第二十一條、第三十四條明確規定要設置專門安全管理機構和安全管理負責人。在等保測評管理部分的安全管理機構中“人員配備”明確要求應配備專職安全管理員，不可兼任。

不管是訪問者管理還是訪問途徑管理，要保證入口與訪問者這一關的絕對安全，“數據保護官”的設立是必須的。因為這是一個持久而彌新的過程，需要專人專責，持續的不間斷的運行維護，否則就是一句空話。

不論是大量的網絡交換設備、服務設備、軟件系統，或者是同等甚至翻倍數量級的數據庫，即使單單從入口與訪問者這冰山一角考量，需要涉及的人員類別與細化、權限等級與分配、密碼更新與保存等工作量就不是簡單輕松的管理二字可以概括的。

結語

網絡安全法的亮點之一是將數據安全寫入法律，關于個人信息保護，很多公司與單位都從技術角度進行檢測、防御，這樣在很大程度上讓管理員誤認為保障數據安全只是技術公司的事情。

鮮有文獻從管理者角度剖析，如何對入口與訪問者把關。誠然，目前有非常多的技術手段可以幫助我們提高數據的安全行與系統的健壯性，有越來越完善的法律法規監督單位完善安全設施。但“三分技術、七分管理”，再先進的技術沒有管理人員的有效使用與也是枉然。

本文正是從這個角度出發，探討如何通過加強入口與訪問者管理為數據安全增加一道屏障。