返回
运维安全系统审计立项需求报告材料

运维安全系统审计立项需求报告材料

ID:35689960

大小:59.48 KB

页数:10页

时间:2019-04-12

运维安全系统审计立项需求报告材料_第1页
运维安全系统审计立项需求报告材料_第2页
运维安全系统审计立项需求报告材料_第3页
运维安全系统审计立项需求报告材料_第4页
运维安全系统审计立项需求报告材料_第5页
资源描述:

《运维安全系统审计立项需求报告材料》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、真功夫IT运维安全审计体系建设需求申请报告第10页共10页1需求依据:lISO27001要求组织必须记录用户访问、意外和信息安全事件的日志,记录系统管理和维护人员的操作行为,并保留一定期限,以便为安全事件的调查和取证,确保所有负责的安全过程都在正确执行,符合安全策略和标准的要求。lSOXSEC相关规定及内部控制方面的要求l企业内控管理规范运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。l计算机等级保护根据《国家重要信息系统等级保护条例》,对于等保二级以上的系统,应对网络系统中的设

2、备运行状况、网络流量、用户行为等进行日志记录,能够根据记录数据进行分析,并生成审计报表,同时对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。2项目必要性分析2.1内部人员安全隐患形势严峻根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。而在众多的内部人员中,对于系统的运维人员、第三方系统运维人员以及设

3、备厂商维护人员,他们享有“最高权限”,一旦出现恶意操作或误操作,将会对业务系统带来巨大影响,造成不可估量的损失。因此,对IT系统进行有效运维,是控制内部风险、保障业务连续性的重要手段,如何保障运维工作的有序运转、降低运维风险、提高应急响应能力,为IT系统提供强有力的后台支撑,是当前急需解决的课题。2.2现有运维安全体系存在不足第10页共10页随着信息化建设的快速发展,真功夫已经开始建立起一定规模的信息化系统,信息系统已经涉及公司核心数据,业务运营、日常办公等方方面面。随着系统应用范围的逐步扩大和应用层次的不断深入,应用系统越来越多,IT系统的构成越来越复杂,运维操作人员越来越多

4、,IT操作管理的难度和和面临的风险也越来越大。主要集中在以下几个问题:一、IT系统口令管理IT系统口令对IT系统的安全是非常重要的,因此随着IT系统数量庞大,IT系统的口令管理工作量越来越大,复杂度也越来越高。但在实际管理中,由于安全性和可用性之间的矛盾,导致IT系统口令管理存在很多安全隐患。主要表现如下:1、为了满足安全管理要求,IT系统的口令需定期修改(一般半个月或一个月),这大大加大了口令管理的工作量;2、口令强度要满足安全要求,其复杂性也有一定要求。一方面加大了修改口令的工作量和复杂度,同时对维护人员来说也很不方便,经常是将口令记录在记事本上,造成口令泄露问题。同时在实

5、际操作中,经常将口令设置为很有规律性,一旦知道一个口令,很容易知道其他系统的口令;3、由于部分系统是由外包厂商提供运维服务,所以口令也容易泄露出去。4、没有口令管理的策略,口令管理制度宽松,隐患很大。二、多入口操作现象随着IT系统构成的复杂,在运维过程中可通过多种入口对IT系统进行维护,导致无法统一管理、设置统一安全策略等而引起各种安全隐患。三、交叉运维操作现象在IT系统运维过程中,存在多种管理角色,如设备管理员、系统管理员、安全管理员和应用系统管理员等,同时对于同一个角色也同样存在多个管理员,包括来自本公司、开发人员、厂商技术人员等多种技术人员。对于这些管理员进行维护时,可能

6、是使用IT系统的同一个帐号,这样一旦出现问题很难定位具体某个人的操作。四、越权和违规操作根据最新的统计资料,11%的安全问题导致网络数据破坏,14%的安全问题导致数据失密,而从恶意攻击的特点来看,70%的攻击来自组织内部。尤其面对拥有特权的维护用户,由于以前没有一种技术手段来控制其操作,所以出现越权或违规操作的现象时有出现。如何建立一种技术手段,能保证可信的用户才能访问其拥有权限的资源,控制这种越权或违规操作,并能对这种越权或违规操作进行告警,以便安全人员能对此类操作进行分析,避免出现严重后果的情况下才发现。五、无详细操作记录针对运维操作,IT系统是靠系统日志方式进行记录的。它

7、存在以下问题:1、系统日志不独立,无法防止被篡改,管理人员做了违规操作后可能会删除日志,造成无法追查、无法定位等问题。第10页共10页2、系统日志记录信息不全面,目前系统日志记录的信息相对简单,而且检索不方便。能否建立一种技术手段,将运维操作的所有内容进行记录,支持在事中或事后进行场景回放,并支持防篡改。一、无法满足合规性检查随着IT系统的重要性和对业务系统影响越来越大,相关的法律法规对其安全性、可持续性工作、IT操作风险以及企业内控等都有明确的要求,信息安全等级保护。目前面对这些合规性检查

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。