谈到计算机的系统运维,大部分人哪怕一开始并不知道具体是些什么,但是多多少少也能从名字上得到一星半点的提示,知道它约莫是关于计算机系统的运行维护的。
对比起网络安全服务的窘境,虽说最终还是难逃“修电脑”的怪圈,但至少不用有要厚着脸皮回去找小学语文老师重学一下遣词造句的担忧。
但是跟单纯的“哪里坏了修哪里”的修电脑服务,系统运维更关注计算机软硬件的系统性和整体性,这是由信息系统本身构成的复杂性决定的。
一个高效运行的信息系统,必然包含了庞大的终端设备、网络系统、服务器系统、存储系统、数据库系统和机房系统。
通讯介质把分布在不同的地理位置的计算机、计算机系统和其他网络设备连接起来,以完整和完善信息系统的各项功能,系统间的关系因此变得交错复杂,任何一个系统出现问题都可能对整个信息系统的运行带来中断和数据丢失的风险。
系统故障的确认诊断和恢复也随之变得困难,需要专业的维修人员反复摸索判断,这无疑加重了系统故障对客户机构单位形象的负面影响。
而就是最专业的维修人员,面对陌生的信息系统,一时也是难以上手的,他最起码得对整个信息系统的结构有基础的了解,才能更好地下判断,对故障进行后续处理。
这也是为什么,在等保体系建设中,运维管理都是作为一个独立篇章被着重强调,需要配备专门人员进行日常管理维护的原因之一。
随着计算机网络技术的飞速发展,人们对于网络安全的定义已经从80-90年代的:
保证信息为授权者想用而不泄露给未经授权者,保证数据未被未授权篡改或者损坏,系统未被非授权操纵,按既定功能运行,保证信息和信息系统随时为授权者提供服务,而不要出现非授权者滥用却对授权者决绝服务的情况
拓展成为
网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断,兼具保密性、完整性、可控性和可审查性。
网络安全不仅仅是防范外部的恶意病毒、代码攻击,同时也要注意内部的运行维护管理,以保证信息系统的高效正常运转。
我国公安部门在2019年颁布的《网络安全等级保护条例》中更是明确规定网络运营者应当依法履行以下安全管理运维义务和责任:
建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;
落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;
落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施;
落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志;
落实数据分类、重要数据备份和加密等措施;
但即便如此,在网络安全这一块,人们还是把更多的注意力放在了诸如病毒、木马等外部攻击之上,对于内部系统的日常运维和管理难免有点忽略。
在这一点上,银保监会在2020年给中国农业银行开出的“一号”罚单便是最好的例子。
2020年1月19日,因为“发生重要信息系统突发事件为报告、制卡数据违规明文留存、生产网络、分行无线互联网络保护不当、数据安全管理较粗放、存在数据泄露风险、网络信息系统存在较多漏洞、互联网门户网站泄露敏感信息”,中国农业银行被银保监会处以罚款420万元。
在农业银行被处以罚款的“七宗罪”里面,其中“发生重要信息系统突发事件为报告、制卡数据违规明文留存、数据安全管理较粗放、存在数据泄露风险”等三项,都属于运维管理的范畴。
农业银行是折在运维管理这块被忽略的“木板”上的一个例子,却不是唯一的个例。
2020年2月,网警工作发现,固原市西吉某供热公司未落实网络安全等级保护制度,相关系统未进行网络安全定级备案、机房建设不符合标准、业务终端及服务器未加固等问题,存在重大安全风险隐患。西吉网警依据《网络安全法》第21条、第59条规定,给予该公司责令限期整改并行政警告。
同样是2020年2月,中卫网警工作发现,中卫市某局网络安全等级保护制度落实不到位、管理制度和技术防护措施严重缺失,导致本单位网站遭受攻击破坏。中卫网警依据《中华人民共和国网络安全法》第21条、第25条和第59条,对该单位予以行政警告。
无论是中国农业银行,还是固原市西吉某供热公司,抑或是中卫市某局,网络安全事件的发生背后总少不了系统运维管理缺失的影子。
代表着外部防御的网络安全服务和倾向于内部的系统运维管理,就像是网络安全这个木桶上边的两块木板,谁也不比谁显得更重要或者更渺小些。