一、带外运维的风险所在

带外管理大量应用于设备的初始配置、设备的升级、设备的故障维护。带外管理使用网线或串口线连接被管理设备，管理设备(如笔记本)通过telnet、SSH、FTP等软件对被运维设备进行管理。

带外管理主要应用场景是在计算机机房对设备进行管理，在这种情况下，机房中的核心设备直接暴露在运维人员面前，没有任何安全监控、安全防护措施;而且核心设备自身也比较脆弱，由于服务器承载着重要业务，一般都不会安装杀毒软件和及时打补丁。

在这种情况下，运维人员在不同网络交叉使用的笔记本或移动存储介质，如果感染恶意代码，则很快会在核心服务器区域传播开来，造成信息系统核心资产和业务应用的损失。其次，现场运维人员所做的配置工作，都是IT基础设施关键的配置，如果配置失误或恶意配置核心设备，都会给信息系统带来严重的安全隐患。再次，运维人员在现场运维的过程中，免不了要进行数据的上传和下载，如何保证其上传和下载的数据是干净的、授权允许的、非敏感的?

因此，尽管通过带外管理设备的频率比较低，但造成的风险几率远远大于通过带内进行管理的风险;而且，一旦发生安全事件，直接遭到破坏的是核心资产和核心业务，会造成严重的损失。

　　二、带外管理安全解决方案

目前，启明星辰推出的现场运维审计与管理系统综合采用了安全隔离技术、数据摆渡技术、网络行为审计技术等技术，具有运维行为审计、运维设备隔离、运维数据管理、运维人员管理等功能。可以帮助客户解决如下问题：

(一)解决现场运维管理与技术漏洞

现场运维管理无论在管理上，还是在技术上，都长期存在监控不到的漏洞，通过现场运维审计与管理系统，不仅可以对运维人员进行管理，还可以对运维行为进行安全隔离和全程记录，对现场运维安全形成完整的闭环。

(二)落实国家和行业对现场运维的要求

现场运维是工业控制系统引入风险的主要原因之一，如何对工业控制系统现场运维人员进行有效的安全管理，在技术上一直是个空白。同时，工信部协[2011]451号《关于加强工业控制系统信息安全管理的通知》，也对现场运维安全提出了具体的要求。也就是说，现场运维审计与管理系统，不仅可以解决运维安全管理上技术措施的空白，而且可以落实国家的要求。

(三)落实IT系统对运维人员的管理要求

信息系统安全等级保护和涉密信息系统安全分级保护，都对现场运维管理提出了要求。但没有承载现场运维安全管理的技术，那么现场运维管理就不能够很好的落地，对操作人员的人工审计也是不客观的，借助现场运维审计与管理系统可以有效落实IT系统对运维分域的管理要求。

(四)促进行业现场运维管理规范的落地

管理措施再全面细致，没有相应的技术手段来支撑，也很难有效落地。那么现场运维管理同样面临着这样的困境，运维人员的现场操作，在某些行业需要安排专人进行监督，如此操作一方面不人性化，另一方面也不客观。那么通过现场运维审计与管理系统，使现场运维管理可以有效的执行。

现场运维审计与管理系统可以广泛应用于军工、军队、电信运营商、银行、交通、涉密行业、央企重要生产企业等行业。针对带外运维的安全风险，给予了全面的解决。

　　三、总结

从整个安全防御体系来看，带外管理安全属于比较小的安全范畴，但带来的安全威胁，已经成为军工、电力、电信运营商、工业控制系统等封闭系统引入风险的重要途径之一。启明星辰公司秉承诚信和创新精神，继续致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能，为打造和提升国际化的民族信息安全产业第一品牌而不懈努力。

(责任编辑：安博涛)