——深信服支招企業(yè)網(wǎng)絡(luò)管理 IT內(nèi)控與企業(yè)內(nèi)控
有“中國(guó)版薩班斯法案”之稱的《企業(yè)內(nèi)部控制基本規(guī)范》在企業(yè)治理、職權(quán)控制和信息發(fā)布方面提出了極為嚴(yán)格的監(jiān)管要求。而據(jù)有關(guān)咨詢公司對(duì)中國(guó)上市公司的一項(xiàng)調(diào)查顯示,56%的受訪公司尚未建立或完善內(nèi)部控制機(jī)制,情況并不樂觀。
現(xiàn)今,國(guó)內(nèi)大中型企業(yè)高度依賴IT系統(tǒng)作為業(yè)務(wù)的支撐,IT內(nèi)控已成為是企業(yè)信息化管理中規(guī)避潛在風(fēng)險(xiǎn)的重要方法。使用技術(shù)手段實(shí)現(xiàn)IT內(nèi)部控制與IT風(fēng)險(xiǎn)管理,方能幫助企業(yè)規(guī)避風(fēng)險(xiǎn)、提高管理水平。
內(nèi)控方案的五要素
《企業(yè)內(nèi)部控制基本規(guī)范》包含五要素:內(nèi)部環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制措施、信息與溝通、監(jiān)督檢查。
深信服認(rèn)為,作為企業(yè)內(nèi)控重要組成部分的IT內(nèi)控方案,也應(yīng)從如上五方面考慮:
1. IT環(huán)境
企業(yè)IT環(huán)境是實(shí)施內(nèi)控的依據(jù)。
所采用的技術(shù)方案應(yīng)適合組織文化、組織架構(gòu)、已有網(wǎng)絡(luò)環(huán)境、未來(lái)網(wǎng)絡(luò)規(guī)劃、IT管理制度、信息安全等級(jí)要求、信息安全保密要求等。能提供靈活的控制,在管理要求和人性化之間取得平衡;
2. IT風(fēng)險(xiǎn)評(píng)估
現(xiàn)在,來(lái)自網(wǎng)絡(luò)的安全威脅如:病毒傳播、網(wǎng)頁(yè)/郵件掛馬、黑客入侵、網(wǎng)絡(luò)數(shù)據(jù)竊賊,來(lái)自組織內(nèi)部的威脅:網(wǎng)絡(luò)訪問權(quán)限與職務(wù)不匹配、終端安全級(jí)別底下、安全防范意識(shí)不到位等,甚至系統(tǒng)內(nèi)部泄密,已經(jīng)使信息安全成為各行業(yè)信息化建設(shè)中的首要問題。
IT管理者需要技術(shù)方案,對(duì)IT風(fēng)險(xiǎn)進(jìn)行識(shí)別與分析,如信息資產(chǎn)的風(fēng)險(xiǎn)、IT管理制度的風(fēng)險(xiǎn)以及應(yīng)用權(quán)限的風(fēng)險(xiǎn)。
3. IT控制
以風(fēng)險(xiǎn)評(píng)估為依據(jù),IT管理者需要可實(shí)行的IT控制措施。正所謂“三分制度、七分管理”,采用技術(shù)手段配合制度已是共識(shí)。
技術(shù)類控制措施,如身份管理、權(quán)限管理、信息過(guò)濾、日志留存、安全防護(hù)等,配合管理類控制措施,如各類制度與流程:授權(quán)審批、職權(quán)匹配、定期報(bào)表匯報(bào)、提前預(yù)估、IT績(jī)效考核等。IT控制措施應(yīng)符合企業(yè)現(xiàn)狀,所選方案須有足夠的靈活性,兼顧組織架構(gòu)中各層級(jí)人物的需求。
4. 信息與溝通
企業(yè)應(yīng)用信息技術(shù)促進(jìn)信息的集成與共享,信息保密顯得尤為重要。截至09年9月,我國(guó)每年因網(wǎng)絡(luò)泄密導(dǎo)致的經(jīng)濟(jì)損失高達(dá)上百億。其中,因?yàn)榇嬖诎踩┒幢还簟⑷肭謱?dǎo)致的被動(dòng)泄密,因?yàn)槔嬲T惑導(dǎo)致的主動(dòng)泄密,舞弊事件等,給企業(yè)造成商機(jī)泄露、客戶流失、形象受損等諸多損失。
IT管理者需要懲防并舉、重在預(yù)防的技術(shù)方案,事前預(yù)防,事發(fā)攔截,事后追蹤。
5. 內(nèi)部監(jiān)督
企業(yè)需要IT審核機(jī)制,通過(guò)日志監(jiān)控、行為綜合分析、定期專項(xiàng)評(píng)審等措施,評(píng)估控制的有效性,作為改進(jìn)依據(jù),并為安全事件的發(fā)生做好應(yīng)急追蹤預(yù)案。
深信服IT內(nèi)控方案
針對(duì)如上IT內(nèi)控要求,深信服科技總結(jié)多年來(lái)基于用戶需求的產(chǎn)品研發(fā)經(jīng)驗(yàn),提出如下解決方案:
►精準(zhǔn)識(shí)別上網(wǎng)用戶身份,保證行為與用戶一一對(duì)應(yīng)
管理的前提,是對(duì)用戶身份、行為的準(zhǔn)確定義,尤其認(rèn)定用戶身份的重要性不言而喻。
對(duì)上網(wǎng)人員的身份認(rèn)定有多種方式:需用戶手動(dòng)參與的Web認(rèn)證、無(wú)需用戶參與的IP/MAC認(rèn)證、USBkey硬件認(rèn)證、AD/POP3/Proxy單點(diǎn)登錄認(rèn)證、第三方LDAP/Radius/AD服務(wù)器聯(lián)動(dòng)認(rèn)證等,可結(jié)合企業(yè)的具體情況選擇合適的方式。
►最小化業(yè)務(wù)所需訪問權(quán)限,實(shí)現(xiàn)職權(quán)對(duì)應(yīng)
IT內(nèi)控要求實(shí)現(xiàn)給企業(yè)各組成部門分配與業(yè)務(wù)匹配的訪問權(quán)限。
深信服建議管理員可設(shè)定策略:
-訪問權(quán)限差異化,僅滿足部門業(yè)務(wù)要求的最小化網(wǎng)絡(luò)訪問權(quán)限(如僅允許財(cái)務(wù)部門訪問財(cái)務(wù)服務(wù)器,為核心研發(fā)人員配置特殊權(quán)限),封堵與業(yè)務(wù)無(wú)關(guān)的應(yīng)用,防止越權(quán)訪問;
-使用流控策略,防止資源濫用;
-為防范泄密與不良輿論事件,封堵論壇、博客、BBS等網(wǎng)站,采取“看貼不能發(fā)帖”“webmail能收不能發(fā)郵件”功能平衡人性化和信息保護(hù)要求,并基于多關(guān)鍵字過(guò)濾、告警敏感信息(發(fā)帖、郵件)。
►信息安全防護(hù)、保護(hù)信息資產(chǎn)安全
潛在的泄密行為、舞弊行為,往往隱藏在正常業(yè)務(wù)數(shù)據(jù)中,如數(shù)據(jù)傳送、文件外發(fā)、郵件發(fā)送。深信服建議IT管理員關(guān)注業(yè)務(wù)數(shù)據(jù)流中的異常信息,除了使用關(guān)鍵字、行為定義預(yù)先發(fā)現(xiàn)外發(fā)敏感信息的行為,還需要對(duì)敏感郵件、外發(fā)可疑文件做攔截審計(jì)。
面對(duì)來(lái)自網(wǎng)絡(luò)的危險(xiǎn),深信服幫助管理員封堵木馬、黑客遠(yuǎn)程控制,發(fā)現(xiàn)并攔截中毒終端對(duì)外發(fā)送數(shù)據(jù)的行為,避免無(wú)辜員工卷入泄密事件。
►行為記錄和報(bào)表分析,作為IT評(píng)估依據(jù)
為進(jìn)行IT評(píng)估、追查安全事件,企業(yè)必須保留適當(dāng)期限的外發(fā)信息日志、上網(wǎng)日志,并使用專業(yè)的可視化設(shè)備進(jìn)行統(tǒng)計(jì)、查詢、檢索。
深信服建議管理員定期輸出“網(wǎng)絡(luò)運(yùn)維情況報(bào)表”“異常行為智能報(bào)表”,了解控制效果,及時(shí)發(fā)現(xiàn)潛在的異常行為,既作為IT調(diào)控依據(jù),又可幫助企業(yè)提前預(yù)知風(fēng)險(xiǎn)。
為保障信息安全,建議管理員為組織高層領(lǐng)導(dǎo)配發(fā)“免審計(jì)Key”免除過(guò)分審計(jì)帶來(lái)的泄密風(fēng)險(xiǎn),配備“日志查看權(quán)限key”保護(hù)日志信息安全。
綜上,深信服致力于為客戶提供綜合解決方案,幫助客戶實(shí)現(xiàn)更低的風(fēng)險(xiǎn)、業(yè)務(wù)安全發(fā)布、增強(qiáng)企業(yè)受信度、降低員工流動(dòng)率、更好的公司治理、快速?zèng)Q策。
