【51CTO.com 綜合消息】在《云時(shí)代的運(yùn)維安全管理指南之一：基礎(chǔ)篇》中，我們對(duì)運(yùn)維安全管理體系為機(jī)構(gòu)所帶來的基礎(chǔ)價(jià)值進(jìn)行了討論，在本續(xù)篇中，安恒信息將對(duì)國內(nèi)外各種法令法規(guī)中涉及到運(yùn)維管理的層面進(jìn)行引用和簡(jiǎn)要的分析，從而幫助用戶對(duì)法令法規(guī)遵從性中的運(yùn)維安全內(nèi)容取得基本的認(rèn)識(shí)和了解，并通過各類遵從性的對(duì)比使得用戶能夠得到運(yùn)維安全建設(shè)的一些啟示。

《等保》

《等?！肥菄鴥?nèi)各機(jī)構(gòu)（尤其是政府單位）對(duì)自身信息系統(tǒng)安全進(jìn)行評(píng)價(jià)的主要標(biāo)準(zhǔn)，由于關(guān)鍵主機(jī)及業(yè)務(wù)系統(tǒng)對(duì)于政府單位的重要性，《等?！分幸源罅康恼鹿?jié)對(duì)業(yè)務(wù)資源（主要是以主機(jī)為描述對(duì)象）的運(yùn)維安全保護(hù)進(jìn)行了明確的闡述和細(xì)則列舉。

以第三級(jí)中的主機(jī)安全為例，包括

◆側(cè)重運(yùn)維認(rèn)證及賬號(hào)管理環(huán)節(jié)的“身份鑒別”內(nèi)容。如基礎(chǔ)的身份認(rèn)證“對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別”，將運(yùn)維用戶與自然人進(jìn)行一一對(duì)應(yīng) “為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有***性”;

◆側(cè)重運(yùn)維授權(quán)環(huán)節(jié)的“訪問控制”內(nèi)容。如防止共享賬號(hào)的安全規(guī)定“及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在”，對(duì)重要運(yùn)維節(jié)點(diǎn)設(shè)置標(biāo)記（標(biāo)簽）或分類“對(duì)重要信息資源設(shè)置敏感標(biāo)記”，授權(quán)模型的合理性建議“依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作”；

◆側(cè)重運(yùn)維審計(jì)環(huán)節(jié)的“安全審計(jì)”內(nèi)容。如明確審計(jì)范圍和重點(diǎn)的“審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶”，明確審計(jì)內(nèi)容的“審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)要的安全相關(guān)事件”，明確審計(jì)格式和有效字段的“審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等”，以及基本的審計(jì)輸出“能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表”。

在建設(shè)等保遵從性的過程中，針對(duì)主機(jī)和操作系統(tǒng)的運(yùn)維安全管理將成為極其重要的一環(huán)，包括認(rèn)證（Authentication）、賬號(hào)（Account）、授權(quán)（Authorization）、審計(jì)（Audit）多個(gè)環(huán)節(jié)的運(yùn)維安全4A體系建設(shè)將成為有效的參考。

《企業(yè)內(nèi)部控制基本規(guī)范》

2008年6月，財(cái)政部、國資委、證監(jiān)會(huì)、審計(jì)署、保監(jiān)會(huì)聯(lián)合發(fā)表了《企業(yè)內(nèi)部控制基本規(guī)范》，主要是在借鑒COSO報(bào)告的基礎(chǔ)上，結(jié)合我國的具體情況進(jìn)行了適當(dāng)修改和完善，是我國企業(yè)內(nèi)部控制評(píng)價(jià)的參考標(biāo)準(zhǔn)。為了體現(xiàn)運(yùn)維安全管理在企業(yè)內(nèi)部控制中的重要性，《企業(yè)內(nèi)部控制基本規(guī)范》在“計(jì)算機(jī)信息系統(tǒng)規(guī)范”等章節(jié)中提出了大量的運(yùn)維操作安全規(guī)范，包括運(yùn)維操作的流程控制“企業(yè)應(yīng)當(dāng)對(duì)信息系統(tǒng)操作人員的上機(jī)、密碼和使用權(quán)限進(jìn)行嚴(yán)格規(guī)范，建立相應(yīng)的操作管理制度”，賬號(hào)管理“企業(yè)應(yīng)當(dāng)建立賬號(hào)審批制度，加強(qiáng)對(duì)重要業(yè)務(wù)系統(tǒng)的訪問權(quán)限管理；企業(yè)應(yīng)當(dāng)定期對(duì)系統(tǒng)中的賬號(hào)進(jìn)行審閱，避免有授權(quán)不當(dāng)或冗余賬號(hào)存在”，權(quán)限控制“對(duì)于發(fā)生崗位變化或離崗的用戶，企業(yè)應(yīng)當(dāng)及時(shí)調(diào)整其在系統(tǒng)中的訪問權(quán)限”，運(yùn)維審計(jì)“對(duì)于特權(quán)用戶，企業(yè)應(yīng)該對(duì)其在系統(tǒng)中的操作進(jìn)行監(jiān)控，并定期審閱監(jiān)控日志”等多個(gè)層面。

《企業(yè)內(nèi)部控制基本規(guī)范》是國內(nèi)上市公司所必須遵守的內(nèi)控條款，由于參考了薩班斯法案中的內(nèi)部控制要求，因此能夠體現(xiàn)較為先進(jìn)和全面的內(nèi)控管理水平。對(duì)于國內(nèi)上市公司而言，信息系統(tǒng)和業(yè)務(wù)資源毋庸置疑是極為重要的資產(chǎn)和生產(chǎn)資料，因此專門面向信息系統(tǒng)和業(yè)務(wù)資源的運(yùn)維管理體系建設(shè)就必然成為保護(hù)核心競(jìng)爭(zhēng)力和契合遵從性的重要手段。

《ISO27000》

ISO27000體系是機(jī)構(gòu)建設(shè)信息安全管理體系（ISMS，Information Security Management System）的國際公認(rèn)準(zhǔn)則，由于在整個(gè)體系中涵蓋了ISMS的建設(shè)目標(biāo)、建設(shè)范圍、建設(shè)準(zhǔn)則、管理和評(píng)價(jià)流程，具有完善的信息安全內(nèi)容，因此可以作為機(jī)構(gòu)進(jìn)行信息安全建設(shè)和自我評(píng)定的重要參考。

在 ISO/IEC 27001:2005中給出了ISMS的實(shí)施準(zhǔn)則，其中多項(xiàng)均提出了對(duì)重要業(yè)務(wù)系統(tǒng)的用戶管理、授權(quán)和審計(jì)等運(yùn)維安全管理方面的要求，包括

“用戶”層面的“A.11.2 用戶訪問管理”，在控制目標(biāo)明確需要“確保授權(quán)的用戶訪問和預(yù)防非授權(quán)訪問信息系統(tǒng)”；

“授權(quán)”層面的“A.11.5 操作系統(tǒng)訪問控制”，在控制目標(biāo)中明確需要“防止對(duì)操作系統(tǒng)的未授權(quán)訪問”；

“審計(jì)”層面的“A.10.10 監(jiān)督”，控制目標(biāo)為“檢測(cè)未授權(quán)的信息處理活動(dòng)”；“A. 10.10.2 監(jiān)控系統(tǒng)的使用”，控制措施為“應(yīng)建立監(jiān)控信息處理設(shè)施使用的程序，并定期審核監(jiān)控的結(jié)果”；“A. 10.10.4 管理員和操作員日志”，控制措施為“應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作員的活動(dòng)”；

《SOX》

2003年6月，SEC（美國證券交易委員會(huì)）就SOX法案第404節(jié)制定的“最終條例”明確表明COSO（Committee of sponsoring organizations）委員會(huì)發(fā)布的《內(nèi)部控制———整合框架》可以作為評(píng)估企業(yè)內(nèi)部控制的標(biāo)準(zhǔn)。

在COSO的框架中，“內(nèi)控活動(dòng)”部分所提出的審批、授權(quán)、資產(chǎn)安全、職責(zé)分離等落實(shí)在服務(wù)器及業(yè)務(wù)系統(tǒng)層面就體現(xiàn)為運(yùn)維安全體系（賬號(hào)、授權(quán)、運(yùn)維與審計(jì)分離）的實(shí)現(xiàn)。

在2004年，ITGI發(fā)布了《SOX法案遵從IT控制目標(biāo)》(IT Control Objectives for Sarbanes-Oxley),明確提出了IT控制環(huán)境、計(jì)算機(jī)操作、系統(tǒng)和數(shù)據(jù)訪問、系統(tǒng)開發(fā)及系統(tǒng)變更共4個(gè)內(nèi)部控制的部分，其中有3個(gè)部分都涉及到業(yè)務(wù)系統(tǒng)的運(yùn)維安全管理，包括：

◆IT控制環(huán)境。要求提供監(jiān)測(cè)與報(bào)告的措施來確保業(yè)務(wù)的有序運(yùn)行；

◆計(jì)算機(jī)操作。要求對(duì)計(jì)算機(jī)的有效訪問、部署、配置和管理等進(jìn)行控制；

◆系統(tǒng)和數(shù)據(jù)訪問。要求防止未授權(quán)的對(duì)系統(tǒng)和數(shù)據(jù)的訪問和變更操作；

《SOX法案遵從IT控制目標(biāo)》是公認(rèn)的對(duì)SOX進(jìn)行信息安全遵從的最合適的實(shí)施文檔，由于運(yùn)維安全管理在其中所占的重要比例，因此在審計(jì)、操作控制、權(quán)限變更等多個(gè)運(yùn)維層面采取有效的技術(shù)管理手段將是符合SOX遵從性的最為主要的一個(gè)步驟。

通過以上篇章，我們對(duì)國內(nèi)外較為典型的信息安全法令法規(guī)中與運(yùn)維安全相關(guān)的內(nèi)容進(jìn)行了簡(jiǎn)單的梳理。在《云時(shí)代的運(yùn)維安全管理指南》系列文章的下一篇中，安恒信息將進(jìn)入云計(jì)算的關(guān)鍵領(lǐng)域——虛擬化技術(shù)，對(duì)虛擬化環(huán)境下的運(yùn)維管理進(jìn)行探討，敬請(qǐng)期待。