进入大数据的云时代,您的网络中是否面临越来越多的服务器?您的业务系统是否频繁被第三方人员、运维工程师和未知的人员所接触?服务器宕机对业务生产造成的损失是否日益不可承受?
面对未知的不可承受之痛,您更需要将您最关键的服务器/网络设备访问纳入统一的管理之中,运维安全管理将是云计算环境下数据安全体系极其重要的一环。本文将作为云时代运维安全管理系列文章的入门基础篇,为您阐述我们为什么需要对运维操作进行安全管理。
1.请知晓!什么对您的机构最重要
无论是政府、金融、运营商,还是能源电力、生产企业,最重要的核心必定是业务和数据资源。正因为所有的运维对象都与您的业务紧密相关,包括网络设备、服务器、各种数据等。而运维的主体——人恰恰是所有安全要素中最薄弱的一环,不仅各种恶意的操作会造成网络瘫痪、服务器宕机、数据篡改或丢失等,一些无意的误操作也很有可能导致业务的意外停滞或数据损毁。因此,您就格外需要有一种有力的技术手段,帮助您所在的机构对运维过程进行规范性控制,对操作权限进行有效的管理,对整个工作过程进行监督和指导,规范了主体,您的业务系统才能够得到更有效的安全保护。
2.保护您的员工
机构最核心的竞争力,往往不在于静态的数据,而在于您宝贵的人力组成和个人的创造力。但相比机器而言,人是很难做到永远不犯错的。可是,对于核心业务而言,偶尔发生的错误也有可能导致最大规模的损失。与其在事故发生后处罚您百密一疏的员工,不如在事件发生前就采取有效的预防手段,对犯错和失误进行识别并迅速的阻止和告警。预防了那些意外发生的风险就是保护了您的员工,保护您的员工,其实就是保护了您最可贵的资产和持续发展的动力来源。
3.减轻您员工的操作负担和操作压力
我们相信您的业务在全球化的浪潮下必定取得惊人的增长,我们也愿意与您共同见证从小到大的成就和巨变,但是伴随着业务量的增长,必定是信息、数据和资产的迅速扩张,以及数据中心的急剧增大。当您的IT人员面对成百上千台重要的IT设备,需要记忆数以百计的账号口令,并且承受着每月重复的维护工作的时候,犯错和失误就像是一枚定时炸弹,随时有可能在任何位置被引发,这将是管理者,员工自身,同时也是那些无辜的IT设备所不愿意见到的。
安恒信息一直在为数据中心的安全建设提供富有成效的技术和服务,我们始终认为,将重复的人工劳动托管给机器来完成,将宝贵的人力资源解放出来从事更有创造性的工作,将是我们从始至终所努力的方向。为什么不将重复枯燥的劳动交给成熟的运维审计与风险控制系统来管理和实现呢?这将是您的员工开始乐于工作的第一步。
4.事件取证
当风险或事件发生后,您是否习惯于救火队员的角色,疲于奔命,却只能毫无办法的祈祷下一次同样的事件不要再次发生?如果亡羊却不能补牢,甚至无法找到缺口和漏洞在哪,那么羊迟早会全部跑光。利用运维审计与风险控制系统实现运维管理的益处就如同安装在您业务系统内部的摄像头,由于完全记录了所有外来的访问,因此您得以再现事件发生前所发生的所有逻辑进出,详实的取证记录更有助于您了解当前真实的运维水平。缺口和漏洞是否真的发生在您的员工身上?我们可以通过运维管理来了解事情的真相。
5.提供有效的风险预防和评价参考
在各种系统评测中,对于核心服务器和数据的评测都是重中之重,如果没有实施有效的运维管理,所有的运维操作都裸奔在不可控的运维者个人决定的环境下,那么内部控制又如何谈起?内部控制评价又如何让领导和管理层满意?披露出的安全评价漏洞是否会成为机构迅速成长路上的绊脚石?正因为重要,所以需要重视;正因为重视,所以必须规范。对运维操作进行安全规范的管理,将是从核心层面开展风险预防的第一步,并成为内部控制评价合格答卷的首页。
我们对运维安全管理体系为机构所带来的基础价值进行了讨论,在本续篇中,安恒信息将对国内外各种法令法规中涉及到运维管理的层面进行引用和简要的分析,从而帮助用户对法令法规遵从性中的运维安全内容取得基本的认识和了解,并通过各类遵从性的对比使得用户能够得到运维安全建设的一些启示。
《等保》
《等保》是国内各机构(尤其是政府单位)对自身信息系统安全进行评价的主要标准,由于关键主机及业务系统对于政府单位的重要性,《等保》中以大量的章节对业务资源(主要是以主机为描述对象)的运维安全保护进行了明确的阐述和细则列举。
以第三级中的主机安全为例,包括
- 侧重运维认证及账号管理环节的“身份鉴别”内容。如基础的身份认证“对登录操作系统和数据库系统的用户进行身份标识和鉴别”,将运维用户与自然人进行一一对应
“为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性”;
- 侧重运维授权环节的“访问控制”内容。如防止共享账号的安全规定“及时删除多余的、过期的帐户,避免共享帐户的存在”,对重要运维节点设置标记(标签)或分类“对重要信息资源设置敏感标记”,授权模型的合理性建议“依据安全策略严格控制用户对有敏感标记重要信息资源的操作”;
- 侧重运维审计环节的“安全审计”内容。如明确审计范围和重点的“审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户”,明确审计内容的“审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内要的安全相关事件”,明确审计格式和有效字段的“审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等”,以及基本的审计输出“能够根据记录数据进行分析,并生成审计报表”。
在建设等保遵从性的过程中,针对主机和操作系统的运维安全管理将成为极其重要的一环,包括认证(Authentication)、账号(Account)、授权(Authorization)、审计(Audit)多个环节的运维安全4A体系建设将成为有效的参考。
《企业内部控制基本规范》
2008年6月,财政部、国资委、证监会、审计署、保监会联合发表了《企业内部控制基本规范》,主要是在借鉴COSO报告的基础上,结合我国的具体情况进行了适当修改和完善,是我国企业内部控制评价的参考标准。为了体现运维安全管理在企业内部控制中的重要性,《企业内部控制基本规范》在“计算机信息系统规范”等章节中提出了大量的运维操作安全规范,包括运维操作的流程控制“企业应当对信息系统操作人员的上机、密码和使用权限进行严格规范,建立相应的操作管理制度”,账号管理“企业应当建立账号审批制度,加强对重要业务系统的访问权限管理;企业应当定期对系统中的账号进行审阅,避免有授权不当或冗余账号存在”,权限控制“对于发生岗位变化或离岗的用户,企业应当及时调整其在系统中的访问权限”,运维审计“对于特权用户,企业应该对其在系统中的操作进行监控,并定期审阅监控日志”等多个层面。
《企业内部控制基本规范》是国内上市公司所必须遵守的内控条款,由于参考了萨班斯法案中的内部控制要求,因此能够体现较为先进和全面的内控管理水平。对于国内上市公司而言,信息系统和业务资源毋庸置疑是极为重要的资产和生产资料,因此专门面向信息系统和业务资源的运维管理体系建设就必然成为保护核心竞争力和契合遵从性的重要手段。
《ISO27000》
ISO27000体系是机构建设信息安全管理体系(ISMS,Information
Security Management System)的国际公认准则,由于在整个体系中涵盖了ISMS的建设目标、建设范围、建设准则、管理和评价流程,具有完善的信息安全内容,因此可以作为机构进行信息安全建设和自我评定的重要参考。
在 ISO/IEC 27001:2005中给出了ISMS的实施准则,其中多项均提出了对重要业务系统的用户管理、授权和审计等运维安全管理方面的要求,包括
“用户”层面的“A.11.2 用户访问管理”,在控制目标明确需要“确保授权的用户访问和预防非授权访问信息系统”;
“授权”层面的“A.11.5 操作系统访问控制”,在控制目标中明确需要“防止对操作系统的未授权访问”;
“审计”层面的“A.10.10 监督”,控制目标为“检测未授权的信息处理活动”;“A.
10.10.2 监控系统的使用”,控制措施为“应建立监控信息处理设施使用的程序,并定期审核监控的结果”;“A.
10.10.4 管理员和操作员日志”,控制措施为“应记录系统管理员和系统操作员的活动”;
《SOX》
2003年6月,SEC(美国证券交易委员会)就SOX法案第404节制定的“最终条例”明确表明COSO(Committee
of sponsoring organizations)委员会发布的《内部控制———整合框架》可以作为评估企业内部控制的标准。
在COSO的框架中,“内控活动”部分所提出的审批、授权、资产安全、职责分离等落实在服务器及业务系统层面就体现为运维安全体系(账号、授权、运维与审计分离)的实现。
在2004年,ITGI发布了《SOX法案遵从IT控制目标》(IT Control
Objectives for Sarbanes-Oxley),明确提出了IT控制环境、计算机操作、系统和数据访问、系统开发及系统变更共4个内部控制的部分,其中有3个部分都涉及到业务系统的运维安全管理,包括:
- IT控制环境。要求提供监测与报告的措施来确保业务的有序运行;
- 计算机操作。要求对计算机的有效访问、部署、配置和管理等进行控制;
- 系统和数据访问。要求防止未授权的对系统和数据的访问和变更操作;
《SOX法案遵从IT控制目标》是公认的对SOX进行信息安全遵从的最合适的实施文档,由于运维安全管理在其中所占的重要比例,因此在审计、操作控制、权限变更等多个运维层面采取有效的技术管理手段将是符合SOX遵从性的最为主要的一个步骤。 |