如何做好配置管理过程中的信息安全保障

陈小宝

" V' |  d0 O1 B! `

{定义}  在配置管理中所提及的安全性原则，通常是指对于配置项数据层面的保护和控制，以确保数据本身的准确性和有效性。

{分析}  安全是系统正常运行的保证，建成后的配置管理系统的综合安全体系体现在：

+ c/ Z. e2 n2 C, O

• 拥有完善的身份认证和授权，使各类功能具有完善的访问授权安全机制；
• 设计数据备份、应急处理与灾难恢复等技术措施；
• 防止和恢复由内在因素和危机环境造成的错误和灾难性故障、确保系统数据获取可靠性；
• 通过完整的安全体系，保障数据安全和系统安全；
• 在应用一级，建立完善的包含“用户、角色、对象、动作、许可证”的权限策略库，其中，对象的颗粒度为：功能模块、记录（以及记录内的信息域）、知识库信息栏目（以及某个信息记录）。
  , U- z: f4 S$ g

1 J$ U7 `# H* a$ c% e

{实践}  良好的安全保障应建立在分权控制的基础之上，配置管理数据库的分权访问最佳实践如下：

/ C3 l# P; h! T# g

• 普通IT服务人员：可以通过在事件单、请求单、问题单和变更单关联CI而查看CI信息和CI关系，也可以通过业务影响分析功能输出BIA报告；
• 分项配置管理员：可以维护分配给他管理的CI属性，但不能创建新CI和维护CI关系；
• 全局配置管理员：可以维护所有信息，包括调整CMDB模型、定义CI属性项、创建新CI、维护CI的属性、创建和调整CI关系、创建和调整影响分析模型、定义调和规则、批量导入数据、定义审计规则等；
• 另外，在通过API向其他系统提供数据接口时，可以定义白名单。
• CMDB对于一些敏感数据，如IP地址，路由信息，可以采用加密形式存储在DB中，在需要展示的界面再还原回来。
  ! E! z  S- l% }& Y* T8 n% F