运维安全审计立项需求报告

真功夫

IT 运维安全审计体系建设

需求申请报告

1需求依据：

ISO27001

要求组织必须记录用户访问、意外和信息安全事件的日志，记录系统管理和维护人员的操作行为，并保留一定期限，以便为安全事件的调查和取证，确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。

SOX

SEC相关规定及内部控制方面的要求

企业内控管理规范

运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程

与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。

计算机等级保护

根据《国家重要信息系统等级保护条例》，对于等保二级以上的系统，应对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录，能够根据记录数据进行分析，并生成审计报表，同时对审计记录进行保护，避免受到未预期的删除、修改或覆

2项目必要性分析

2.1 内部人员安全隐患形势严峻

根据FBI 和CSI 对484 家公司进行的网络安全专项调查结果显示：超过85%的安全威

胁来自公司内部，在损失金额上，由于内部人员泄密导致了6056.5 万美元的损失，是黑客造成损失的16 倍，是病毒造成损失的12 倍。另据中国国家信息安全测评认证中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。

而在众多的内部人员中，对于系统的运维人员、第三方系统运维人员以及设备厂商维护人员，他们享有“最高权限”，一旦出现恶意操作或误操作，将会对业务系统带来巨大影响，造成不可估量的损失。

因此，对IT 系统进行有效运维，是控制内部风险、保障业务连续性的重要手段，

如何保障运维工作的有序运转、降低运维风险、提高应急响应能力，为IT 系统提供强有力的后台支撑，是当前急需解决的课题。

2.2 现有运维安全体系存在不足

随着信息化建设的快速发展，真功夫已经开始建立起一定规模的信息化系统，信息系统已经涉及公司核心数据，业务运营、日常办公等方方面面。随着系统应用范围的逐步扩大和应用层次的不断深入, 应用系统越来越多，IT 系统的构成越来越复杂，运维操作人员越来越多，IT 操作管理的难度和和面临的风险也越来越大。主要集中在以下几个问题：

一、IT 系统口令管理

IT 系统口令对IT 系统的安全是非常重要的，因此随着IT 系统数量庞大，IT 系统的口令管理工作量越来越大，复杂度也越来越高。但在实际管理中，由于安全性和可用性之间的矛盾，导致IT 系统口令管理存在很多安全隐患。主要表现如下：

1、为了满足安全管理要求，IT 系统的口令需定期修改（一般半个月或一个月），这大大加大了口令管理的工作量；

2、口令强度要满足安全要求，其复杂性也有一定要求。一方面加大了修改口令的工作量和复杂度，同时对维护人员来说也很不方便，经常是将口令记录在记事本上，造成口令泄露问题。同时在实际操作中，经常将口令设置为很有规律性，一旦知道一个口令，很容易知道其他系统的口令；

3、由于部分系统是由外包厂商提供运维服务，所以口令也容易泄露出去。

4、没有口令管理的策略，口令管理制度宽松，隐患很大。

二、多入口操作现象

随着IT 系统构成的复杂，在运维过程中可通过多种入口对IT 系统进行维护，导致无法统一管理、设置统一安全策略等而引起各种安全隐患。

三、交叉运维操作现象

在IT 系统运维过程中，存在多种管理角色，如设备管理员、系统管理员、安全管理员和应用系统管

理员等，同时对于同一个角色也同样存在多个管理员，包括来自本公司、开发人员、厂商技术人员等多种技术人员。对于这些管理员进行维护时，可能是使用IT 系统的同一个帐号，这样一旦出现问题很难定位具体某个人的操作。

四、越权和违规操作

根据最新的统计资料，11%的安全问题导致网络数据破坏，14%的安全问题导致数据失密，而从恶意攻击的特点来看，70%的攻击来自组织内部。尤其面对拥有特权的维护用户，由于以前没有一种技术手段来控制其操作，所以出现越权或违规操作的现象时有出现。

如何建立一种技术手段，能保证可信的用户才能访问其拥有权限的资源，控制这种越权或违规操作，并能对这种越权或违规操作进行告警，以便安全人员能对此类操作进行分析，避免出现严重后果的情况下才发现。

五、无详细操作记录

针对运维操作，IT 系统是靠系统日志方式进行记录的。它存在以下问题：

1、系统日志不独立，无法防止被篡改，管理人员做了违规操作后可能会删除日志，造成无法追查、无法定位等问题。

2、系统日志记录信息不全面，目前系统日志记录的信息相对简单，而且检索不方便。能否建立一种技术手段，将运维操作的所有内容进行记录，支持在事中或事后进行场景回放，并支持防篡改。

六、无法满足合规性检查

随着IT 系统的重要性和对业务系统影响越来越大，相关的法律法规对其安全性、可持续性工作、IT 操作风险以及企业内控等都有明确的要求，信息安全等级保护。目前面对这些合规性检查，只能是制度上的检查，没有有效的数据和技术来说明这些制度是如何落实的。

因此需要在IT 系统安全运维方面建立一种或多种技术手段来满足合规性要求，以满足合规性检查的需要。

七、没有运维安全分析报告

目前运维管理方面，由于没有数据，无法实现定期的运维安全情况的分析报告。对运维过程存在的问题无法有定量或定性的分析数据，只能简单从安全事件方面进行描述。

因此需要有一套系统，能从运维操作的实际数据中分析运维安全情况，定量地展现运维安全态势。并能通过安全情况分析，发现潜在安全风险，辅助企业改进IT 系统的安全建设。

3运维安全体系建设要求

针对以上的分析，目前机房维护现状在管理和的安全上都存在诸多的不便和安全引患，急需要建设运维安全审计系统，做到“什么人？什么时间？访问了什么设备？能做什么？做了什么操作？等”，通过对每个运维人员的权限进行细粒度的控制和审计，降低安全风险。具体的建设要求如下：

集中管理，提供后台设备的操作维护入口。身份管理，提供设置实名制登陆帐号，详细记录整

个运维操作过程。访问控制，提供管理员根据不同的用户配置不同的操作权限，实现命令级别