云时代的运维安全管理指南之二遵从性篇.pdfVIP

云时代的运维安全管理指南之二：遵从性篇 在《云时代的运维安全管理指南之一：基础篇》中，我们对运维安全管理体系为机构所带来 的基础价值进行了讨论，在本续篇中，安恒信息将对国内外各种法令法规中涉及到运维管理 的层面进行引用和简要的分析，从而帮助用户对法令法规遵从性中的运维安全内容取得基本 的认识和了解，并通过各类遵从性的对比使得用户能够得到运维安全建设的一些启示。 《等保》 《等保》是国内各机构（尤其是政府单位）对自身信息系统安全进行评价的 主要标准，由于关键主机及业务系统对于政府单位的重要性，《等保》中以大量的章节对业 务资源（主要是以主机为述对象）的运维安全保护进行了明确的阐述和细则列举。 以第三级中的主机安全为例，包括 ■ 侧重运维认证及账号管理环节的“身份鉴别”内容。如基础的身份认证“对登录操作系 统和数据库系统的用户进行身份标识和鉴别”，将运维用户与自然人进行一一对应 “为 操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性”; ■ 侧重运维授权环节的“访问控制”内容。如防止共享账号的安全规定“及时删除多余的、 过期的帐户，避免共享帐户的存在”，对重要运维节点设置标记（标签）或分类“对重 要信息资源设置敏感标记”，授权模型的合理性建议“依据安全策略严格控制用户对有 敏感标记重要信息资源的操作”； ■ 侧重运维审计环节的“安全审计”内容。如明确审计范围和重点的“审计范围应覆盖到 服务器和重要客户端上的每个操作系统用户和数据库用户”，明确审计内容的“审计内 容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内要的安全 相关事件”，明确审计格式和有效字段的“审计记录应包括事件的日期、时间、类型、 主体标识、客体标识和结果等”，以及基本的审计输出“能够根据记录数据进行分析， 并生成审计报表”。 在建设等保遵从性的过程中，针对主机和操作系统的运维安全管理将成为极其重要的一环， 包括认证（Authentication ）、账号（Account ）、授权（Authorization ）、审计（Audit ）多个环 节的运维安全4A 体系建设将成为有效的参考。 《企业内部控制基本规范》 2008 年 6 月，财政部、国资委、证监会、审计署、保监会联合发表了《企业内部控制基本 规范》，主要是在借鉴 COSO 报告的基础上，结合我国的具体情况进行了适当修改和完善， 是我国企业内部控制评价的参考标准。为了体现运维安全管理在企业内部控制中的重要性， 《企业内部控制基本规范》在“计算机信息系统规范”等章节中出了大量的运维操作安全 规范，包括运维操作的流程控制“企业应当对信息系统操作人员的上机、密码和使用权限进 行严格规范，建立相应的操作管理制度”，账号管理“企业应当建立账号审批制度，加强对 重要业务系统的访问权限管理；企业应当定期对系统中的账号进行审阅，避免有授权不当或 冗余账号存在”，权限控制“对于发生岗位变化或离岗的用户，企业应当及时调整其在系统 中的访问权限”，运维审计 “对于特权用户，企业应该对其在系统中的操作进行监控，并定 期审阅监控日志”等多个层面。 《企业内部控制基本规范》是国内上市公司所必须遵守的内控条款，由于参考了萨班斯法案 中的内部控制要求，因此能够体现较为先进和全面的内控管理水平。对于国内上市公司而言， 信息系统和业务资源毋庸置疑是极为重要的资产和生产资料，因此专门面向信息系统和业务 资源的运维管理体系建设就必然成为保护核心竞争力和契合遵从性的重要手段。 《ISO27000》 ISO27000 体系是机构建设信息安全管理体系（ISMS ，Information Security Management System ）的国际公认准则，由于在整个体系中涵盖了ISMS 的建设目标、建设范围、建设准 则、管理和评价流程，具有完善的信息安全内容，因此可以作为机构进行信息安全建设和自 我评定的重要参考。 在 ISO/ IEC 27001:2005 中给出了ISMS 的实施准则，其中多项均出了对重要业务系统的用 户管理、授权和审计等运维安全管理方面的要求，包括 “用户”层面的“A.11.2 用户访问管理”，在控制目标明确需要“确保授权的用户访问和预 防非授权访问信息系统”； “授权”层面的“A.11.5 操作系统访问控制”，在控制目标中明确需要“