構建安全、高效的遠程運維管理模式

韓楊 孫寶紅 徐永海

【摘? 要】安全、高效的遠程運維管理模式通過對遠程運維系統的梳理，改變原有管理方式，以運維可視化為支撐，通過建立準入規則、遠程運維的跟蹤審計等方式，實現“訪問范圍最小化，遠程運維無差錯、系統運行無中斷，運維行為可審計”運維目標。

【關鍵詞】信息安全;運維審計;可追溯;管理體系

1.研究背景

1.1安全、高效的遠程運維管理模式是實現企業生產可靠性和連續性的重要保證

當前企業的運維主要面臨四個方面的挑戰：（1）業務可靠性、連續性需要運維服務進行7x24小時保障;（2）自建運維團隊，編制和人力成本都不堪負重;（3）運維技能不足、故障處理效率低;（4）業務環境復雜、新產品、新技術支持難度大，人員運維技能要求高。以上挑戰的根本原因是運維人員、流程、平臺三個要素的能力欠缺。遠程運維服務具有“智能”和“共享”特點：通過遠程運維服務提供網絡、計算、存儲、安全和OS、數據庫、應用等全棧監控;7x24小時實時運行狀態監控、問題秒級感知，主動分析隱患和預警，提供連續性的高效運維保障。

1.2安全、高效的遠程運維管理模式是保障供系統安全穩定運行的重要手段

系統運維的目標是保障工業控制系統和應用系統的安全穩定運行。從圖1：工控系統高危漏洞分布圖可以看出，設計錯誤占比58.6%，輸入驗證錯誤占比28.9%，意外情況處理錯誤占比3.8%，這三種情況占系統運維的91.3%。運維主要集中在系統設計方面，由于設計單位在地理位置等方面的原因不能做到現場維護，主要是通過遠程運維對系統進行設計和修改。而使用傳統的第三方遠程軟件TeamViewer和QQ等進行系統維護時，時效性很難得到保證。安全、高效的遠程運維模式不但可以避免運維過程中可能出現的信息安全風險，而且還能提高處理問題的時效性。

1.3安全、高效的遠程運維管理模式是保障企業工控系統安全的重要條件

近年來國內外工控系統安全事件頻頻發生，國家越來越重視提高企業工控系統的安全防護能力，保障工業控制系統持續安全穩定運行的重要性。根據國家信息安全漏洞共享平臺的追蹤和統計，自2011年起，工控領域發現和發布的漏洞呈現逐年遞增趨勢。工業控制系統是企業的重要基礎設施，亦是制造企業重要的生產控制、監測和管理系統。企業的遠程運維操作主要集中在生產環境中的應用系統和服務器等方面，企業保障信息安全的核心就是保障工業控制系統的安全運行。

2.研究內容

安全、高效的遠程運維管理模式包括以下幾部分：（1）將遠程運維模式由使用第三方軟件改變為通過VPN設備建立專屬通道進行維護;（2）通過對遠程運維系統的梳理，將企業內部員工與外協單位運維分開管理;（3）遠程運維的數據全部通過堡壘機進行審計記錄;（4）修訂《網絡安全管理規定》，對遠程運維管理進一步細化。

2.1創建安全通道，保障運維安全

通過VPN設備建立運維通道，對接入的運維操作進行有效的管理和監控，避免非法入侵和惡意攻擊。采用加密及身份驗證等安全技術，保證連接用戶的可靠性及傳輸數據的安全性和保密性，保障數據傳輸過程的安全可靠。

2.2以網絡安全準入系統為基礎，開展流程設計

網絡安全準入系統為企業運維接入內網全過程提供了完整的端點安全準入控制解決方案，可以針對復雜的網絡現狀，提供多種準入模式混合應用，并根據不同的運維需求分配不同的網絡區域和訪問權限。同時，可以對入網請求運維用戶的終端做健康評估，并根據管理員配置的評估策略，對不滿足條件的終端進行隔離和提供修復向導，從而確保用戶內部網絡安全性，實現入網必可信。

2.3內外分離，軟硬結合，保障運維系統安全

為提高遠程運維的規范性和有效性，對企業內部需要遠程運維的信息系統進行梳理。按先急后緩的原則梳理企業工控及信息系統26個，建立信息系統清單及運維審批機制，并編制了運維要求告知書：（1）不將使用權限（賬戶、證書、密碼等）轉給他人使用;（2）確保自己的主機無病毒、木馬等惡意軟件;（3）嚴守商業秘密，做好網絡安全保密措施;（4）對自己的網絡行為負責，不做任何有害網絡安全的操作;（5）工作完畢后，立即斷開VPN連接;（6）遵守國家網絡安全管理的相關規定;（7）如有違反上述行為，VPN用戶承擔全部責任。按照訪問最小化原則，設立最小化運維范圍，對運維的權限進行控制，避免因為誤操作等因素對信息系統造成的不良影響。針對企業內部運維人員和外協運維人員建立梯次管理，如企業內部運維人員使用USBKEY硬件密鑰、外協人員使用軟證書版密鑰進行遠程維護等。使用賬號和證書雙因子認證保障遠程運維的安全性，避免使用第三方軟件遠程運維造成的多個端口暴露在互聯網上的安全隱患。建立堡壘機全程審計機制，實現操作過程的可視化追溯和審計，提高運維過程的操作質量，提升運維效率。

3.結語

安全、高效的遠程運維管理模式實現了運維過程事前告知-運維審批-事中管控-事后追溯的運維管理閉環，企業基礎管理水平與遠程運維的安全性、可靠性顯著提升。實現了“訪問范圍最小化，遠程運維無差錯、系統運行無中斷，運維行為可審計”的運維目標。

參考文獻

[1]武偉，郝振華，劉洪高.基于ITSS標準的遠程醫療運維服務持續改進[J].信息技術與信息化，2018（4）：33-34.

[2]王萍，方圓，楊宗躍.一種桌面遠程運維管理工具實現[J].數字技術與應用，2016（11）：220-220.

[3]陳煒智， 張曉春， 梁偉， etal.關于變電站綜合自動化設備遠程運維管理系統應用[J].消費電子， 2014 （20） ：19-20.

作者簡介：韓楊（1993-），男，漢族，山東濰坊人，學士，研究方向為計算機類。

孫寶紅（1988-），女，漢族，山東濰坊人，碩士，研究方向為計算機類、統計類。

徐永海（1979-），男，漢族，山東濰坊人，工程師，學士，研究方向為通信工程類。