Wisdom-IT运维管理解决方案资料.ppt

全方位 IT 运维管理解决方案乐 IT 中国电脑服务专家: IT 电脑服务全国连锁机构目录为什么需要操作安全审计需要怎样的操作安全审计乐 IT统一管理平台的实现价值总结&典型客户中国电脑服务专家: 需要操作安全审计? IT运维现状?信息安全相关标准、法案中国电脑服务专家: 维现状一?多点登录、分散管理服务器资源中国电脑服务专家: 维现状二第三方厂家开发人员管理人员系统帐号?交叉异构、帐号共享中国电脑服务专家: ` IT运维现状三内部用户外部用户资源设备权限滥用恶意访问误操作权力限用系统管理员网管员安全管理员软件系统开发人员黑客代维厂商合作伙伴企业临时用户内部用户来自企业内部的非法威胁?高权限操作风险不透明?违规操作导致敏感信息泄露?误操作导致服务异常甚至宕机来自企业外部的非法威胁?操作风险不可控?黑客盗用帐号实施恶意攻击?无法有效监管操作、必要取证/举证?人为操作风险中国电脑服务专家: 维现状总结一:公司单位的数据库安全吗? 二:复杂的系统每个人需要记住多组密码,符合效益吗? 三:密码遗失了、被窃取了、不定时需要去修改密码,无形的人力成本一再出现. 四:公司的审核单位对系统管理员如何审核呢?复杂的系统提升审核的困难度. 五:系统管理员对系统的操作安全吗?公司随时审查了吗? 六:应用系统与应用系统之间的通信安全吗?应用系统与数据库之间的通信安全吗? 七:供应商自远端进入系统服务安全吗?供应商技术人员在服务器做了什么您清楚了吗? 八:公司系统内被植入插件发现了吗? 九:黑客入侵个造成企业的损失,事后检讨耗费庞大的人力成本. 中国电脑服务专家: 27001 标准条款 要求组织必须记录用户访问、意外和信息安全事件的日志,并保留一定期限, 以便为安全事件的调查和取证; 条款 要求组织必须记录系统管理和维护人员的操作行为; 条款 明确要求必须保护组织的运行记录条款 则要求信息系统经理必须确保所有负责的安全过程都在正确执行, 符合安全策略和标准的要求。 CC 标准信息技术通用评估准则( Common Criteria for Information Technology Security Evaluation )中,安全审计是其安全功能要求中最重要的组成部分,同时也是信息系统安全体系中必备的一个措施,它是评判一个系统是否真正安全的重要尺码。 SOX 法案 302 节: 要求行政人员证明他们公司设计和执行了适当的控制,以保证所有财务报表都可靠而且付合公认会计准则(GAAP) 。 404 节: 要求所有在 302 节中所控制的过程都有可信的财务报表。这法令要求 IT经理对所有有关财务报表的产生过程负责。信息安全相关标准、法案此外还有 PCI 、 HIPAA 、 Basel II 中国电脑服务专家: 样的操作审计?操作管理统一化?管理流程规范化?操作风险最小化中国电脑服务专家: 管理人员开发人员操作管理统一化操作代维人员服务器统一认证统一授权统一审计网络设备?统一操作管理平台理念构建中国电脑服务专家: