原创 齐治科技 2025-08-26 08:45 中国香港
意义重大
一、安全挑战
证券行业的IT系统安全及数据资产安全意义重大,关系到业务的稳定运行。当前,证券行业信息系统正在经历几个方面的转型:从传统的集中式系统架构转为分布式架构,从依赖国外技术转为全面自主可控,从封闭式架构转为开放式架构。
随着新技术的不断涌现,系统复杂度的不断增加,IT系统所面临的安全威胁与挑战也随之发生了变化。根据近期安全事件统计,0day漏洞攻击、弱口令攻击、端口扫描攻击等已经成为当前的主流攻击手段。
二、齐治立体化运维安全解决方案
如何通过有效的技术或管理手段,防范上述攻击行为,提升系统安全性,避免或减少安全事故,成为了当前的一项重要研究课题。齐治科技针对当前IT系统面临的安全挑战,结合多年运维安全工作经验,提出立体化的统一运维安全解决方案,从系统、数据库、应用安全管理和特权账号管理多个角度、层次出发,管控IT运维的各个维度,构建完整的运维安全管理体系解决方案。
方案整体架构设计如下:
首先,通过系统层堡垒机、数据库层堡垒机、应用层堡垒机三个维度,构建安全访问通道,通过身份认证、动态授权、访问控制、运维审计等手段,实现对网络设备、操作系统、主机、云上云下资产、数据库、应用系统等各类IT资产的全量纳管,支持各类信创、非信创环境,通过最小化权限控制,提升系统安全性,使运维管理事前可预测,事中可防范,事后可追溯;
其次,通过特权账号管理系统,实现对各类资产用户名口令的统一管控,主动发现如弱口令账号、幽灵账号、提权账号、长期未改密账号等账号风险,并通过主动处置手段,避免账号问题带来的安全隐患;
最后,在应用堡垒机中使用“单包授权”技术,实现系统“隐身”,不对外暴露堡垒机、云管平台等集权系统及应用堡垒机自身的IP地址和端口,避免0day漏洞攻击、端口扫描攻击等安全威胁,收敛攻击面,提升系统安全。
三、方案验证及收益
1、方案实施背景
某证券企业数据中心沿用“两地三中心”架构,IT资产规模数万台,且分布在私有云、虚拟化、容器平台等不同环境中。原本采购的堡垒机产品已经无法满足当前运维安全的需要,主要体现在以下几个方面:
一是原有堡垒机产品为多年前采购的老旧产品,无法满足当前国产化、国密改造、容器化管理的相关要求;
二是原有堡垒机在数据库资产全面安全管理方面,存在一定困难,无法实现库表列级精准权限控制,不支持数据脱敏、数字水印等功能;
三是原有堡垒机在账号管理方面能力不足,无法支持资产账号主动发现能力,在进行批量改密时也存在性能瓶颈,改密速度慢,同时影响堡垒机运行性能;
四是在出现0day漏洞时,堡垒机、云管平台等各类集权系统只能在漏洞发生之后,对已知漏洞进行修复,但对于未来可能发生的0day漏洞以及因此而带来的安全风险无能为力。
2、实施过程
大型攻防演练在即,为一次性解决上述问题,经充分沟通了解后,该证券企业决定采用齐治统一运维安全管理解决方案,在某一数据中心内部进行部署验证。项目实施过程坚持“集中管理是前提,身份管理是基础,访问控制是手段,操作控制是核心,事后审计是保证”的核心思想,以最小化权限为目标,分别部署、配置新一代堡垒机(即系统层堡垒机)、数据库安全网关(即数据库层堡垒机)、应用安全网关(即应用层堡垒机)、特权账号管理系统等产品。为使产品在攻防演练中发挥作用,齐治科技做了充分的调研、沟通、配置、推广等工作,解决了众多影响项目收益的难题。
首先是项目组低估了特权账号系统建设的复杂性,仍然使用堡垒机建设的思路进行项目建设规划,出现了诸如资产信息不全面、账号收集速度慢、批量改密成功率低、系统使用率不高等情况。针对以上问题,该证券企业和齐治科技进行深入探讨并提出了以下解决办法:
1)针对资产信息不全、使用率不高的问题,对各运维团队进行了系统化培训,介绍产品方案和具体使用方法,强调项目建设对于运维安全重要性,明确试点目标及资产纳管范围,确保信息提供的准确性与及时性;
2)利用“自动复核”功能对纳管的资产情况进行自动复核检查,统计异常数据并责令具体负责人限期修改;
3)针对批量改密失败率高的问题,先对现有改密情况进行分类,发现主要是录入信息异常或网络策略问题导致密码错误、网络异常,同时针对部分脚本问题、权限问题进行逐一修复,最终确保所纳管资产100%成功改密。
其次,为实现数据库访问的安全管控,在系统上线前,与该证券企业数据库运维团队进行深入探讨,并根据中国证券监督管理委员会颁发的《证券期货业网络和信息安全管理办法》,对数据访问和运维过程进行规范化、标准化,确保数据访问安全可靠。
数据库安全网关建设思路是以网关形式向前兼容各种数据库主流C/S客户端,向后兼容各种数据库类型,中间做管控的方式,可以在不改变数据库操作员使用C/S客户端工具习惯的前提下,提供Web-IDE的统一数据库管理界面。同时网关形式还可以保证,不论操作员使用的是C/S客户端访问数据库,还是使用Web-IDE访问,都可以实现多因素的身份认证能力,并提供高危命令阻断及告警、库表列级数据权限管理、数据脱敏、数字水印、访问审计等功能,在满足日常数据库运维便利性的同时,全面提升数据库访问安全性,避免删库、数据泄露等风险事件发生。
同时,应用安全网关主要面向堡垒机、云管等集权系统,提供应用层安全防护能力。应用安全网关使用了单包授权技术,用户在通过应用安全网关访问堡垒机、云管平台时,需要先下载客户端软件并申请SPA访问权限,在管理员对终端访问授权之后,才能通过客户端软件登录到应用安全网关平台,并进一步访问被应用安全网关保护的如堡垒机、云管等集权业务系统。为平衡系统使用复杂性和便利性,本次应用安全网关主要用于防护堡垒机自身安全,如有显著效果再考虑对其他应用系统的纳管与防护。
最后,在落地新一代堡垒机系统建设时,除了进行原有堡垒机数据迁移之外,还同时考虑了与现有身份认证平台对接,确保用户身份统一;与ITSM、统一告警平台集成,确保工作流程的一致性和系统安全问题告警的及时性;与特权账号系统联动,确保系统账号密码托管、使用、改密等业务的顺利进行,使相关复杂功能对运维操作人员透明;实现与应用安全网关的一键登录能力,简化运维访问过程。
3、实施收益
齐治统一运维安全管理方案的实施落地,确保了该证券企业数据中心关键业务系统的运维安全,构建了从系统层到数据库层,再到应用层的完整安全防护体系,并建立账号安全管理基线。相关收益具体体现在以下几个方面:
一是在大型攻防演练期间,通过应用安全网关的使用,实现了堡垒机平台的网络隐身。在攻防过程中,攻击者始终未能找到堡垒机这类集权系统,因此也无从利用0day漏洞、口令暴力破解、SQL注入等攻击手段;而日常运维工作人员,通过SPA授权,确保可正常访问堡垒机系统进行运维管理操作;
二是通过本次数据库安全网关建设,对数据库访问行为进行了精细化管理,确保了各类数据库运维用户的访问权限,确保数据库运维操作可审计到每一个具体操作人员和每一条数据库运维指令,真正实现数据库运维可管理、可控制、可追溯,确保数据库访问符合《证券期货业网络和信息安全管理办法》的相关要求;
三是通过特权账号系统建设,有效避免了弱口令账号、长期未改密账号、幽灵账号、提权账号等安全隐患,建立并落实了账号纳管立即改密、周期性自动改密、账号风险自动发现、账号密码工单等账号管理规范,提升系统账号安全。
作者介绍
张俊峰,齐治科技售前技术总监,从事运维安全工作超过 20 年,专注解决用户业务需求和痛点,为用户提供专业运维安全解决方案,有丰富的银行、证券及其他头部客户项目咨询和建设经验。
关于 安全村文集·证券行业专刊
证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案,为大家分享一线安全规划、运营、建设的心得和实践经验。
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:info@sec-un.org
