SaaS的安全之痛给了他们什么启发( 三 ) _SaaS

其实，RPA最早主要服务于运维的定时处理等工作，比如处理服务器上运行的日志。未来，我认为RPA不会仅限于企业白领桌面办公的需求，在运维这个场景也能发挥巨大作用。
近年来，明略科技先后成立了数据安全委员会、数据安全部门和数据安全应急响应中心，并构建了信息安全规章体系、数据安全服务平台，力求逐步完善企业在数据安全管理上的治理。
针对于如何对运维人员进行权限管理和对生产系统的访问控制上，明略科技告诉雷锋网：

我司一向重视数据安全，在多年前就开始运维人员的审核机制，政策上要求每个运维人员的线上操作均有对应的电子工单记录，每个工单在业务、研发以及运维部门三个部门的负责人审批后，才可以操作。并且运维操作必须通过堡垒机进行，所有操作均有详细的日志记录，堡垒机的日志由运维之外的专人定期进行检查核对。
所以每个运维线上的操作，都是具备“操作前有审批”、“操作中有记录”、“操作后有核对” 。另外，我司重要数据的备份做了权责分离，没有一个单人同时具备操作生产库、备份库的权限，避免了个别人员对数据的删除等意外事件发生后，无法及时复原重要数据。

堡垒机，具备身份管理、角色分配、集中管控、资源改密、资源访问跟踪、全称审计等各类功能，可以说可以说在运维管理中有至关重要的作用。
但有了堡垒机就能高枕无忧吗？提供企业级安全服务的奇安信，正寻求自动化/智能化的解决方案以解决安全运维效率低下的问题。
奇安信数据安全子公司副总经理刘宏志表示：

从运维的角度来看，真正的堡垒机是不敢托管密码的，万一工控机或硬盘坏了，目标服务器就再也登录不上了。但是，从另一方面来说，若没有做密码托管，密码还是会被以某种方式记录在别的设备或场景中，那堡垒机将形同虚设。因此，堡垒机的密码托管安全可信显得尤为重要。

正如安全不是一个产品，也不是一套方案，而是一整套架构，一个风险控制体系，首先要做风险评估，风险定位，然后思考安全架构，最后才是用哪种安全技术和产品来实现。
据了解，不少企业服务公司在微盟事件发生后，纷纷组织内部安全培训活动，并要求团队定期执行安全演练以应对突发状况。
在安全这条路上，我们究竟还需要经历多少次亡羊补牢？（雷锋网）锋网）

【SaaS的安全之痛给了他们什么启发】