Enterprise 系統安全方案 確保系統存取符合審計原則的安全方案

現代大部分僱員都必須透過不同形式的 IT 系統工作，而且為了管理上的個別原因，企業不得不給予某些用戶掌握存取關鍵系統的特權。當這些員工轉換崗位、離職或遭解僱時，如何確保每位員工獲分配合乎身份的系統權限，成為了企業必須面對的課題，這時企業便需要擁有一個具備全面功能的權限管理系統。

「用戶管理絕對是一門學問。」CA Technologies 亞太及日本區保安方案主管戴文忠表示。「用戶在何時登入系統？登入之後做了些什麼？一個優秀的權限管理機制，必須通過嚴格的條件對用戶的存取作出限制。例如限制用戶只能在某些指定時間登入、只能使用某些應用程式，並確保用戶無法存取他們沒有瀏覽權限的文件內容。用戶密碼的日常管理也很重要，據統計不少企業單是為用戶更改密碼，就已經佔用了 1% 的營運成本。如何將用戶管理自動化，成為了節省成本的關鍵。」

CA ControlMinder 可以管理任何系統用戶，包括特權用戶的系統存取權限，並取得用戶在登入期間的活動記錄。不論是伺服器、應用程式或是系統資源，CA ControlMinder 都可以授予用戶在指定時間內擁有一定的權限，而且是業界唯一可以通過單一平台，對 Windows、UNIX 和 Linux 等不同系統用戶進行管理的用戶管理方案。

密碼管理自動化
用戶的密碼是最煩瑣、但又必須處理的管理工作之一。「銀行等大機構都會把重要密碼鎖在保險庫內，需要使用時必須向高級職員申請。這種做法有三個問題，首先是事後必須人手改動密碼，否則密碼有被盜用的可能。其次是由申請到取得密碼必須經過多重步驟，無法快速針對狀況作出反應。第三是遇上午夜或公眾假期，要聯絡管理密碼的負責人便會更加困難。」戴文忠說。「CA ControlMinder 可以將申請密碼、更改密碼等流程自動化，一定期間沒有被使用的帳號可自動無效化、並強制用戶自行定時更改密碼，免除非必要的人手工作，並提高系統整體的安全性。」

特權用戶的存取管理
不論任何系統，都總會存在一個擁有系統最高權限的管理員，一如 Windows 的 Administrator 或 UNIX/Linux 的 root。此等用戶對系統擁有絕對的權限，但往往亦造成不少安全漏洞。「系統管理員權力過大，不但有可能錯誤地刪除系統檔案令系統無法啟動，亦會更加容易令帳號成為黑客目標。」戴文忠說。「CA ControlMinder 重點功能之一的 Privileged User Password Management (PUPM) 可以針對系統管理員帳號的權限，實施與一般用戶相同的限制，令該用戶只能存取合乎其權限的檔案，或提供臨時工作用的帳號，萬一其帳號被意外奪取，也可將受破壞的範圍減至最小。」

跨平台用戶管理
企業在用戶管理方面十分費神，其中一個原因是系統環境的複雜性。「今時今日很多企業都有 Windows、UNIX 和 Linux 等不同系統同時存在，由於每個系統都採用不同的用戶認證機制，加重了系統管理員的負擔。CA ControlMinder 重點功能之一的 UNIX Authentication Broker (UNAB) 可以透過 Active Directory 管理 UNIX 和 Linux 的帳號，令 Windows、UNIX 和 Linux 可使用單一的界面實施用戶認證管理，減少重複的作業。」戴文忠說。

用戶活動監察
查看系統日誌檔不但是管理人員的日常工作之一，更加是發現和修正問題的有效方法。要達到最佳效果，平時就必須了解哪一位用戶在什麼時候登入系統，從何處登入，曾經進行什麼操作，存取過什麼檔案。「UNIX/Linux 系統雖然有提供類似功能，但要從大量的日誌檔中找出有用的資訊卻非易事。」戴文忠說。「藉著 CA ControlMinder 管理人員可以透過瀏覽器，以元數據 (Metadata) 查看用戶的相關活動。並根據管理人員的習慣，在命令行查看有關結果，甚至生成 CSV 檔案作進一步分析。」

存取規則的管理
用戶管理其中一個難題，便是如何定義什麼用戶可以存取什麼資源。CA ControlMinder 令管理人員透過瀏覽器直覺地設定用戶對不同伺服器、應用程式、檔案和設備設定不同的存取規則，而且不需要專業知識也可以實施大規模環境的存取規則管理，透過追加專用伺服器，更可以對不同版本的存取規則進行管理。「CA ControlMinder 更可從不同伺服器抽出有關的存取規則，然後生成報告。縱使管理人員沒有這方面的專業知識，也可透過圖表，即時把握企業當前的安全狀況。」戴文忠說。

限制用戶的遠端存取
利用 SSH 等工具從遠端管理伺服器，是很多系統管理人員的習慣。但如果沒清楚界定允許的連線來源、連線方法和指定可作遠端登入的帳號，便會引發不必要的連線和登入，間接形成安全漏洞。CA ControlMinder可限制從外部連線的 IP 位址、連線方法 (TCP/IP) 和帳號的行動範圍，以及帳號的有效期間，方便邀請合作夥伴和技術人員登入工作，萬一帳號被盜用，損失也可以減至最少。

加強虛擬化環境下的安全性
虛擬化在企業提升營運效率的同時，也為企業帶來潛在威脅。「2011年藥廠前僱員 Jason Cornish 為了報復被解僱，登入了鹽野義製藥的基建系統，刪除了提供郵件、貨物追蹤和財政服務等 88 台虛擬機器 (VM)，藥廠在數天內完全無法運作，估計損失達 80 萬美元，突顯管理人員權力過大造成漏洞。」戴文忠說。VM 只要一按鍵就可以啟用、移動和刪除，隨時都可能出現或消失的 VM 令管理時更為困難。加上要追蹤 Hypervisor 管理員的活動亦不容易，令企業基建安全性面對重大挑戰。「為此我們推出了專門保護虛擬化架構的版本 CA ControlMinder for Virtual Environments，可分散 Hypervisor 管理員的權限
、提供管理員活動記錄，並限制管理員只能對生產環境下的 VM 進行有限的操作。」

符合審計原則的方案
對公營機構、銀行及大型企業來說，一個符合審計原則的用戶管理方案，絕對有其必要。「國際標準的 ISO27001 資訊安全管理認證，規定任何機構都必須保留用戶記錄，以保證系統的安全性，免受損失、竊盜和破壞。香港的金融管理局在 2008 年起更規定所有金融機構都必須保留用戶監管記錄。CA ControlMinder 可讓管理人員生成多達 36 種用戶安全性的報告給管理層，更可攫取用戶在登入期間的一舉一動，其畫面可被錄製成影片儲存方便追查。」戴文忠說。「CA ControlMinder 已經支援高可用性 (HA) 和虛擬化架構，目前 CA ControlMinder 已經被政府機構和保險公司所廣泛採用，未來將擴展至更多行業。」

公司名稱：CA Technologies
連絡電話：02 2700 9218
網址：http://www.ca.com

    ．【電信】 中華電信發布5G白皮書並攜手產業展示5G企業應用 廣結盟迎接5G元年
．【硬體】 技嘉為NVIDIA A100 PCIe GPU推出眾多G系列伺服器產品組合
．【趨勢】 臺灣金融科技協會就「金融科技發展座談會」之建言
．【網路】 思科提供先進網路見解 實現更具智慧自動化系統
．【資訊安全】 思科為現今迅速發展的資訊科技環境 徹底簡化網路資安
．【解決方案】 EVERY8D獨家「互動回覆雙向簡訊」，助攻各產業振興拼經濟
．【硬體】 宏正捐贈多功能直播機協助汐止秀峰高中直播畢業典禮 家長透過直播觀禮彷彿親臨
．【資訊安全】 遠距辦公盛行及大量過時設備 致使企業面臨網際安全風險
．【軟體】 訊連科技「U」服務持續進化 協助企業於後防疫時代積極布局數位轉型
．【趨勢】 大世科20周年 線上騎跑走公益活動創紀錄熱絡達標