進入大數(shù)據(jù)的云時代，您的網絡中是否面臨越來越多的服務器？您的業(yè)務系統(tǒng)是否頻繁被第三方人員、運維工程師和未知的人員所接觸？服務器宕機對業(yè)務生產造成的損失是否日益不可承受？

面對未知的不可承受之痛，您更需要將您最關鍵的服務器/網絡設備訪問納入統(tǒng)一的管理之中，運維安全管理將是云計算環(huán)境下數(shù)據(jù)安全體系極其重要的一環(huán)。本文將作為云時代運維安全管理系列文章的入門基礎篇，為您闡述我們?yōu)槭裁葱枰獙\維操作進行安全管理。

1.請知曉！什么對您的機構最重要？

無論是政府、金融、運營商，還是能源電力、生產企業(yè)，最重要的核心必定是業(yè)務和數(shù)據(jù)資源。正因為所有的運維對象都與您的業(yè)務緊密相關，包括網絡設備、服務器、各種數(shù)據(jù)等。而運維的主體——人恰恰是所有安全要素中最薄弱的一環(huán)，不僅各種惡意的操作會造成網絡癱瘓、服務器宕機、數(shù)據(jù)篡改或丟失等，一些無意的誤操作也很有可能導致業(yè)務的意外停滯或數(shù)據(jù)損毀。因此，您就格外需要有一種有力的技術手段，幫助您所在的機構對運維過程進行規(guī)范性控制，對操作權限進行有效的管理，對整個工作過程進行監(jiān)督和指導，規(guī)范了主體，您的業(yè)務系統(tǒng)才能夠得到更有效的安全保護。

2.保護您的員工

機構最核心的競爭力，往往不在于靜態(tài)的數(shù)據(jù)，而在于您寶貴的人力組成和個人的創(chuàng)造力。但相比機器而言，人是很難做到永遠不犯錯的?？墒?，對于核心業(yè)務而言，偶爾發(fā)生的錯誤也有可能導致最大規(guī)模的損失。與其在事故發(fā)生后處罰您百密一疏的員工，不如在事件發(fā)生前就采取有效的預防手段，對犯錯和失誤進行識別并迅速的阻止和告警。預防了那些意外發(fā)生的風險就是保護了您的員工，保護您的員工，其實就是保護了您最可貴的資產和持續(xù)發(fā)展的動力來源。

3.減輕您員工的操作負擔和操作壓力

我們相信您的業(yè)務在全球化的浪潮下必定取得驚人的增長，我們也愿意與您共同見證從小到大的成就和巨變，但是伴隨著業(yè)務量的增長，必定是信息、數(shù)據(jù)和資產的迅速擴張，以及數(shù)據(jù)中心的急劇增大。當您的IT人員面對成百上千臺重要的IT設備，需要記憶數(shù)以百計的賬號口令，并且承受著每月重復的維護工作的時候，犯錯和失誤就像是一枚定時炸彈，隨時有可能在任何位置被引發(fā)，這將是管理者，員工自身，同時也是那些無辜的IT設備所不愿意見到的。

安恒信息一直在為數(shù)據(jù)中心的安全建設提供富有成效的技術和服務，我們始終認為，將重復的人工勞動托管給機器來完成，將寶貴的人力資源解放出來從事更有創(chuàng)造性的工作，將是我們從始至終所努力的方向。為什么不將重復枯燥的勞動交給成熟的運維審計與風險控制系統(tǒng)來管理和實現(xiàn)呢？這將是您的員工開始樂于工作的第一步。

4.事件取證

當風險或事件發(fā)生后，您是否習慣于救火隊員的角色，疲于奔命，卻只能毫無辦法的祈禱下一次同樣的事件不要再次發(fā)生？如果亡羊卻不能補牢，甚至無法找到缺口和漏洞在哪，那么羊遲早會全部跑光。利用運維審計與風險控制系統(tǒng)實現(xiàn)運維管理的益處就如同安裝在您業(yè)務系統(tǒng)內部的攝像頭，由于完全記錄了所有外來的訪問，因此您得以再現(xiàn)事件發(fā)生前所發(fā)生的所有邏輯進出，詳實的取證記錄更有助于您了解當前真實的運維水平。缺口和漏洞是否真的發(fā)生在您的員工身上？我們可以通過運維管理來了解事情的真相。

5.提供有效的風險預防和評價參考

在各種系統(tǒng)評測中，對于核心服務器和數(shù)據(jù)的評測都是重中之重，如果沒有實施有效的運維管理，所有的運維操作都裸奔在不可控的運維者個人決定的環(huán)境下，那么內部控制又如何談起？內部控制評價又如何讓領導和管理層滿意？披露出的安全評價漏洞是否會成為機構迅速成長路上的絆腳石？正因為重要，所以需要重視；正因為重視，所以必須規(guī)范。對運維操作進行安全規(guī)范的管理，將是從核心層面開展風險預防的第一步，并成為內部控制評價合格答卷的首頁。

用運維安全管理的思路實現(xiàn)有效的內部控制，在諸多的法律法規(guī)中都有詳盡的體現(xiàn)，敬請關注本系列的下一篇文章：《云時代的運維安全管理指南之二：遵從性篇》。

(責任編輯：鉬鐵)