在《云时代的运维安全管理指南之一:基础篇》中,我们对运维安全管理体系为机构所带来的基础价值进行了讨论,在本续篇中,安恒信息将对国内外各种法令法规中涉及到的层面进行引用和简要的分析,从而帮助用户对法令法规遵从性中的运维安全内容取得基本的认识和了解,并通过各类遵从性的对比使得用户能够得到运维安全建设的一些启示。
《等保》
《等保》是国内各机构(尤其是政府单位)对自身信息系统安全进行评价的主要标准,由于关键主机及业务系统对于政府单位的重要性,《等保》中以大量的章节对业务资源(主要是以主机为描述对象)的运维安全保护进行了明确的阐述和细则列举。
以第三级中的主机安全为例,包括
■ 侧重运维认证及账号管理环节的“身份鉴别”内容。如基础的身份认证“对登录和系统的用户进行身份标识和鉴别”,将运维用户与自然人进行一一对应“为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性”;
■ 侧重运维授权环节的“访问控制”内容。如防止共享账号的安全规定“及时删除多余的、过期的帐户,避免共享帐户的存在”,对重要运维节点设置标记(标签)或分类“对重要信息资源设置敏感标记”,授权模型的合理性建议“依据安全策略严格控制用户对有敏感标记重要信息资源的操作”;
■ 侧重运维审计环节的“安全审计”内容。如明确审计范围和重点的“审计范围应覆盖到和重要客户端上的每个操作系统用户和数据库用户”,明确审计内容的“审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内要的安全相关事件”,明确审计格式和有效字段的“审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等”,以及基本的审计输出“能够根据记录数据进行分析,并生成审计报表”。
在建设等保遵从性的过程中,针对主机和操作系统的运维安全管理将成为极其重要的一环,包括认证(Authentication)、账号(Account)、授权(Authorization)、审计(Audit)多个环节的运维安全4A体系建设将成为有效的参考。
《内部控制基本规范》
2008年6月,财政部、国资委、、审计署、保监会联合发表了《企业内部控制基本规范》,主要是在借鉴COSO报告的基础上,结合我国的具体情况进行了适当修改和完善,是我国企业内部控制评价的参考标准。为了体现运维安全管理在企业内部控制中的重要性,《企业内部控制基本规范》在“计算机信息系统规范”等章节中提出了大量的运维操作安全规范,包括运维操作的流程控制“企业应当对信息系统操作人员的上机、密码和使用权限进行严格规范,建立相应的操作管理制度”,账号管理“企业应当建立账号审批制度,加强对重要业务系统的访问权限管理;企业应当定期对系统中的账号进行审阅,避免有授权不当或冗余账号存在”,权限控制“对于发生岗位变化或离岗的用户,企业应当及时调整其在系统中的访问权限”,运维审计“对于特权用户,企业应该对其在系统中的操作进行监控,并定期审阅监控日志”等多个层面。
《企业内部控制基本规范》是国内上市公司所必须遵守的内控条款,由于参考了萨班斯法案中的内部控制要求,因此能够体现较为先进和全面的内控管理水平。对于国内上市公司而言,信息系统和业务资源毋庸置疑是极为重要的资产和生产资料,因此专门面向信息系统和业务资源的运维管理体系建设就必然成为保护核心竞争力和契合遵从性的重要手段。
《ISO27000》
ISO27000体系是机构建设管理体系(ISMS,Information Security Management System)的国际公认准则,由于在整个体系中涵盖了ISMS的建设目标、建设范围、建设准则、管理和评价流程,具有完善的信息安全内容,因此可以作为机构进行信息安全建设和自我评定的重要参考。
在/IEC 27001:2005中给出了ISMS的实施准则,其中多项均提出了对重要业务系统的用户管理、授权和审计等运维安全管理方面的要求,包括
“用户”层面的“A.11.2 用户访问管理”,在控制目标明确需要“确保授权的用户访问和预防非授权访问信息系统”;
“授权”层面的“A.11.5 操作系统访问控制”,在控制目标中明确需要“防止对操作系统的未授权访问”;
“审计”层面的“A.10.10 监督”,控制目标为“检测未授权的信息处理活动”;“A. 10.10.2 监控系统的使用”,控制措施为“应建立监控信息处理设施使用的程序,并定期审核监控的结果”;“A. 10.10.4 管理员和操作员日志”,控制措施为“应记录系统管理员和系统操作员的活动”;
《SOX》
2003年6月,SEC(美国证券交易委员会)就SOX法案第404节制定的“最终条例”明确表明COSO(Committee of sponsoring organizations)委员会发布的《内部控制———整合框架》可以作为评估企业内部控制的标准。
在COSO的框架中,“内控活动”部分所提出的审批、授权、资产安全、职责分离等落实在服务器及业务系统层面就体现为运维安全体系(账号、授权、运维与审计分离)的实现。
在2004年,ITGI发布了《SOX法案遵从IT控制目标》(IT Control Objectives for Sarbanes-Oxley),明确提出了IT控制环境、计算机操作、系统和数据访问、系统开发及系统变更共4个内部控制的部分,其中有3个部分都涉及到业务系统的运维安全管理,包括:
■ IT控制环境。要求提供监测与报告的措施来确保业务的有序运行;
■ 计算机操作。要求对计算机的有效访问、部署、配置和管理等进行控制;
■ 系统和数据访问。要求防止未授权的对系统和数据的访问和变更操作;
《SOX法案遵从IT控制目标》是公认的对SOX进行信息安全遵从的最合适的实施文档,由于运维安全管理在其中所占的重要比例,因此在审计、操作控制、权限变更等多个运维层面采取有效的技术管理手段将是符合SOX遵从性的最为主要的一个步骤。
通过以上篇章,我们对国内外较为典型的信息安全法令法规中与运维安全相关的内容进行了简单的梳理。在《云时代的运维安全管理指南》系列文章的下一篇中,安恒信息将进入的关键领域——技术,对虚拟化环境下的运维管理进行探讨,敬请期待。