《等?！肥菄鴥雀鳈C構（尤其是政府單位）對自身信息系統安全進行評價的主要標準，由于關鍵主機及業務系統對于政府單位的重要性，《等?！分幸源罅康恼鹿潓I務資源（主要是以主機為描述對象）的運維安全保護進行了明確的闡述和細則列舉。

以第三級中的主機安全為例，包括

◆側重運維認證及賬號管理環節的“身份鑒別”內容。如基礎的身份認證“對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別”，將運維用戶與自然人進行一一對應 “為操作系統和數據庫系統的不同用戶分配不同的用戶名，確保用戶名具有***性”;

◆側重運維授權環節的“訪問控制”內容。如防止共享賬號的安全規定“及時刪除多余的、過期的帳戶，避免共享帳戶的存在”，對重要運維節點設置標記（標簽）或分類“對重要信息資源設置敏感標記”，授權模型的合理性建議“依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作”；

◆側重運維審計環節的“安全審計”內容。如明確審計范圍和重點的“審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶”，明確審計內容的“審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內要的安全相關事件”，明確審計格式和有效字段的“審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等”，以及基本的審計輸出“能夠根據記錄數據進行分析，并生成審計報表”。

在建設等保遵從性的過程中，針對主機和操作系統的運維安全管理將成為極其重要的一環，包括認證（Authentication）、賬號（Account）、授權（Authorization）、審計（Audit）多個環節的運維安全4A體系建設將成為有效的參考。

《企業內部控制基本規范》

2008年6月，財政部、國資委、證監會、審計署、保監會聯合發表了《企業內部控制基本規范》，主要是在借鑒COSO報告的基礎上，結合我國的具體情況進行了適當修改和完善，是我國企業內部控制評價的參考標準。為了體現運維安全管理在企業內部控制中的重要性，《企業內部控制基本規范》在“計算機信息系統規范”等章節中提出了大量的運維操作安全規范，包括運維操作的流程控制“企業應當對信息系統操作人員的上機、密碼和使用權限進行嚴格規范，建立相應的操作管理制度”，賬號管理“企業應當建立賬號審批制度，加強對重要業務系統的訪問權限管理；企業應當定期對系統中的賬號進行審閱，避免有授權不當或冗余賬號存在”，權限控制“對于發生崗位變化或離崗的用戶，企業應當及時調整其在系統中的訪問權限”，運維審計“對于特權用戶，企業應該對其在系統中的操作進行監控，并定期審閱監控日志”等多個層面。

《企業內部控制基本規范》是國內上市公司所必須遵守的內控條款，由于參考了薩班斯法案中的內部控制要求，因此能夠體現較為先進和全面的內控管理水平。對于國內上市公司而言，信息系統和業務資源毋庸置疑是極為重要的資產和生產資料，因此專門面向信息系統和業務資源的運維管理體系建設就必然成為保護核心競爭力和契合遵從性的重要手段。

《ISO27000》

ISO27000體系是機構建設信息安全管理體系（ISMS，Information Security Management System）的國際公認準則，由于在整個體系中涵蓋了ISMS的建設目標、建設范圍、建設準則、管理和評價流程，具有完善的信息安全內容，因此可以作為機構進行信息安全建設和自我評定的重要參考。

在 ISO/IEC 27001:2005中給出了ISMS的實施準則，其中多項均提出了對重要業務系統的用戶管理、授權和審計等運維安全管理方面的要求，包括

“用戶”層面的“A.11.2 用戶訪問管理”，在控制目標明確需要“確保授權的用戶訪問和預防非授權訪問信息系統”；

“授權”層面的“A.11.5 操作系統訪問控制”，在控制目標中明確需要“防止對操作系統的未授權訪問”；

“審計”層面的“A.10.10 監督”，控制目標為“檢測未授權的信息處理活動”；“A. 10.10.2 監控系統的使用”，控制措施為“應建立監控信息處理設施使用的程序，并定期審核監控的結果”；“A. 10.10.4 管理員和操作員日志”，控制措施為“應記錄系統管理員和系統操作員的活動”；

《SOX》

2003年6月，SEC（美國證券交易委員會）就SOX法案第404節制定的“最終條例”明確表明COSO（Committee of sponsoring organizations）委員會發布的《內部控制———整合框架》可以作為評估企業內部控制的標準。

在COSO的框架中，“內控活動”部分所提出的審批、授權、資產安全、職責分離等落實在服務器及業務系統層面就體現為運維安全體系（賬號、授權、運維與審計分離）的實現。

在2004年，ITGI發布了《SOX法案遵從IT控制目標》(IT Control Objectives for Sarbanes-Oxley),明確提出了IT控制環境、計算機操作、系統和數據訪問、系統開發及系統變更共4個內部控制的部分，其中有3個部分都涉及到業務系統的運維安全管理，包括：

◆IT控制環境。要求提供監測與報告的措施來確保業務的有序運行；

◆計算機操作。要求對計算機的有效訪問、部署、配置和管理等進行控制；

◆系統和數據訪問。要求防止未授權的對系統和數據的訪問和變更操作；

《SOX法案遵從IT控制目標》是公認的對SOX進行信息安全遵從的最合適的實施文檔，由于運維安全管理在其中所占的重要比例，因此在審計、操作控制、權限變更等多個運維層面采取有效的技術管理手段將是符合SOX遵從性的最為主要的一個步驟。

通過以上篇章，我們對國內外較為典型的信息安全法令法規中與運維安全相關的內容進行了簡單的梳理。在《云時代的運維安全管理指南》系列文章的下一篇中，安恒信息將進入云計算的關鍵領域——虛擬化技術，對虛擬化環境下的運維管理進行探討，敬請期待。