爲了保障金融行業做好(hǎo)安全工作，銀監會(huì)也加大了對(duì)各銀行的監管力度，出據了各種(zhǒng)條件和指引文件，指導銀行的信息化安全建設和規範，做到未雨綢缪，防止數據安全事(shì)件的發(fā)生。其中著(zhe)重提到了運維操作風險管理，要求單位對(duì)數據中心後(hòu)台的所有操作都(dōu)要有記錄，做到有據可查。銀監局在對(duì)該商業銀行信息科技風險監管檢查風險評估中就發(fā)現許多問題,主要如下：

7.數據庫操作過(guò)程完全處于“暗箱”之中，難以了解細節。

建立統一的安全運維接入平台，爲核心業務系統提供統一運維操作入口，實現單點登錄。所有運維人員都(dōu)首先登陸統一運維平台，在系統上進(jìn)行運維操作，實現對(duì)其的統一訪問控制和管理；

實現集中化、基于角色的的主從帳号管理，建立自然人與設備帳号之間的一一對(duì)應關系，并對(duì)設備帳号進(jìn)行統一管理，定期進(jìn)行密碼修改；

對(duì)用戶使用業務系統中資源的具體情況進(jìn)行合理分配，實現不同用戶對(duì)不同部分實體資源的合法訪問，杜絕非法訪問和越權訪問。每個運維人員的權限都(dōu)實現有效控制，策略細粒到可訪問的設備和可使用的賬号；

對(duì)運維操作的過(guò)程進(jìn)行完全跟蹤和記錄，完整保存運維操作的所有日志；統計自然人對(duì)資源的訪問情況，在出現安全事(shì)故時，可以故障定爲和責任追蹤；對(duì)人員的登錄過(guò)程、操作行爲進(jìn)行審計和處理，建立完善針對(duì)“自然人→資源”訪問過(guò)程的完整審計；爲監管部門提供審計平台和審計數據。審計提供了錄像和命令的完整查看，并可提供快速準确的搜索定位；

滿足IT内控、SOX、COBIT、等保等法案法規合規性審計要求； 2. 爲銀監部門提供運維管理的審計報表和原始準确的運維操作日志； 3. 有助于完善組織的IT内控與審計體系，使組織能(néng)夠順利通過(guò)IT審計。