信息安全之操作安全三

组织应该采取控制措施以防止日志设施被未授权访问或更改，可以采用哈希函数等工具对曰志数据进行保护。一般设备由于缓存容量有限，无法保存较长时间的事件日志（根据《网络安全法》要求为六个月）可能需要被存档或转存到日志服务器，以作为记录保持策略的一部分和保留证据的要求。

特权用户的帐户持有人的操作必须在其直接控制下的信息处理设施留存操作日志。日志审计员有必要保护和审查日志以维持特权用户的可核查性。还可以部署入侵检测系统对在系统和安全管理员控制之外是否有人管理系统或网络进行检测。

审计曰志如果要用于调查或作为法律、纪律处理的证据，必须要正确设置各种设备的时钟。时间不准确的审计日志可能妨碍调查，并损害这种证据的可信性。因此，一个组织或安全域内的所有相关信息处理设施的时钟应与单一的参考源进行同步。

操作系统组件）、最小授权原则（不启用操作系统默认用户账户），操作系统要仅安装经过批准的正式版可执行代码，不安装开发版代码和编译程序。对于应用和操作系统软件的补丁更新要在一定范围的成功的测试之后才能实施。而且要仅由受过培训的管理员，根据合适的管理授权，进行运行软件、应用和程序库的更新；必要时在管理者批准的情况下，仅为了支

性。组织应建立并定期维护信息系统的特定信息清单，包括软件供应商、版本号、部署的当前状态（例如，哪台服务器上装了什么操作系统，安装什么应用软件），应该由组织内负责软件维护的人员定期更新该清单并负责定期查询国家信息漏洞库CNNVD了解是否发现新的安全漏洞对组织信息系统造成威胁。技术脆弱性管理可被看作是一项变更管理，因此可以利用变更管理的过程和规程。供应商的补丁可能不足以解决该问题，并且可台彦存在负作用；而且，在某些情况下，一旦补丁被安装后，很难被卸载。应该首先在测试环境中对补丁的安全性（不会导致死机或故障）进行验证。如果不能对补丁进行充分的测试，如由于成本或资源缺乏，那么可以考虑推迟打补丁，以便基于其他用户报告的经验来评价相关的风险。

对于用户能安装何种类型的软件，组织应制定强制执行的严格的软件安全方针，宜使用最小特权方针，即不授予用户操作系统的管理员权限或超级用户权限不允许用户自行安装软件。不受控制的计算机设备上的软件安装可能导致脆弱性，进而导致信息泄露、整体性损失或其他信息安全事件或违反知识产权。