當(dāng)今互聯(lián)網(wǎng)技術(shù)不斷更新?lián)Q代，也帶來了各種各樣的安全隱患。而如何保障企業(yè)數(shù)據(jù)的安全，也成了IT運(yùn)維工作的生命線。一次偶然的機(jī)會與一位珠寶行業(yè)CIO（A總）聊起運(yùn)維安全的話題，令我記憶深刻。

記得當(dāng)時去拜訪A總，交流到IT運(yùn)維人員如何管理問題，于是有了下面番對話。

據(jù)有關(guān)機(jī)構(gòu)統(tǒng)計，運(yùn)維安全突出問題如下：

? 87% 的內(nèi)部事故都源于特權(quán)用戶

? 許多事故是玩忽職守所致：

? 更改管理流程

? 違反使用制度

? 還有一些事故是精心策劃的：

?  報復(fù) (84%)

? “蓄意破壞” (92%)

? 無論有意還是無意，事故的代價都不容忽視：

? 內(nèi)部攻擊成本占到年毛收入的6%

? 僅美國就高達(dá) 4000 億美元

? 政府關(guān)于安全監(jiān)管，行業(yè)安全法規(guī)要求：

? SOX法案

? 網(wǎng)絡(luò)安全法

? 國家等保

針對運(yùn)維安全管控，應(yīng)當(dāng)滿足以下五個維度的目標(biāo)：

一個成熟的運(yùn)維安方案，應(yīng)當(dāng)實現(xiàn)對自然人的管控，強(qiáng)化對特權(quán)賬號的管理。

運(yùn)維安全管理平臺應(yīng)當(dāng)包括：

特權(quán)管理——由運(yùn)維管理系統(tǒng)統(tǒng)一接管企業(yè)中所有的特權(quán)賬號，進(jìn)行集中化管理。

統(tǒng)一認(rèn)證——通過不同強(qiáng)度的認(rèn)證策略，提升安全等級。

身份及賬號管理——維護(hù)身份信息，主從賬號單獨(dú)管理。

集成接口——對于各類資源、不同接口進(jìn)行適配接入。

安全審計——從安全管控監(jiān)督，對不同行為進(jìn)行審計。

從提高IT運(yùn)維管理效率的角度來看：

1. 減少企業(yè)運(yùn)維成本；

2. 集中管理運(yùn)維設(shè)施，減少安全漏洞；

3. 集中存儲、保護(hù)設(shè)備特權(quán)賬號及密碼、實現(xiàn)統(tǒng)一認(rèn)證和單點登錄，提高運(yùn)維人員工作效率；

4. 逐級審批，做到特權(quán)權(quán)限收放可控；

5. 細(xì)粒度的權(quán)限訪問控制、集中審計，做到有依可查；

6. 集中管理、集中、分權(quán)管理。

從法律法規(guī)角度來看：

1. 遵守Sarbanes-Oxley法案第404條款要求加強(qiáng)企業(yè)內(nèi)控管理；

2. 遵從國內(nèi)《企業(yè)內(nèi)部控制規(guī)范》、《國家信息安全等級保護(hù)管理規(guī)定》關(guān)于內(nèi)部管理、項目和投資管理控制和審計要求；

3. 減少企業(yè)IT環(huán)境中的缺陷，建立強(qiáng)健的安全策略；

4. 實現(xiàn)一個主動、端到端的IT法規(guī)從性計劃，以提供更安全的IT安全性。