——深信服支招企業網絡管理 IT內控與企業內控
有“中國版薩班斯法案”之稱的《企業內部控制基本規范》在企業治理、職權控制和信息發布方面提出了極為嚴格的監管要求。而據有關咨詢公司對中國上市公司的一項調查顯示,56%的受訪公司尚未建立或完善內部控制機制,情況并不樂觀。
現今,國內大中型企業高度依賴IT系統作為業務的支撐,IT內控已成為是企業信息化管理中規避潛在風險的重要方法。使用技術手段實現IT內部控制與IT風險管理,方能幫助企業規避風險、提高管理水平。
內控方案的五要素
《企業內部控制基本規范》包含五要素:內部環境、風險評估、控制措施、信息與溝通、監督檢查。
深信服認為,作為企業內控重要組成部分的IT內控方案,也應從如上五方面考慮:
1. IT環境
企業IT環境是實施內控的依據。
所采用的技術方案應適合組織文化、組織架構、已有網絡環境、未來網絡規劃、IT管理制度、信息安全等級要求、信息安全保密要求等。能提供靈活的控制,在管理要求和人性化之間取得平衡;
2. IT風險評估
現在,來自網絡的安全威脅如:病毒傳播、網頁/郵件掛馬、黑客入侵、網絡數據竊賊,來自組織內部的威脅:網絡訪問權限與職務不匹配、終端安全級別底下、安全防范意識不到位等,甚至系統內部泄密,已經使信息安全成為各行業信息化建設中的首要問題。
IT管理者需要技術方案,對IT風險進行識別與分析,如信息資產的風險、IT管理制度的風險以及應用權限的風險。
3. IT控制
以風險評估為依據,IT管理者需要可實行的IT控制措施。正所謂“三分制度、七分管理”,采用技術手段配合制度已是共識。
技術類控制措施,如身份管理、權限管理、信息過濾、日志留存、安全防護等,配合管理類控制措施,如各類制度與流程:授權審批、職權匹配、定期報表匯報、提前預估、IT績效考核等。IT控制措施應符合企業現狀,所選方案須有足夠的靈活性,兼顧組織架構中各層級人物的需求。
4. 信息與溝通
企業應用信息技術促進信息的集成與共享,信息保密顯得尤為重要。截至09年9月,我國每年因網絡泄密導致的經濟損失高達上百億。其中,因為存在安全漏洞被攻擊、入侵導致的被動泄密,因為利益誘惑導致的主動泄密,舞弊事件等,給企業造成商機泄露、客戶流失、形象受損等諸多損失。
IT管理者需要懲防并舉、重在預防的技術方案,事前預防,事發攔截,事后追蹤。
5. 內部監督
企業需要IT審核機制,通過日志監控、行為綜合分析、定期專項評審等措施,評估控制的有效性,作為改進依據,并為安全事件的發生做好應急追蹤預案。
深信服IT內控方案
針對如上IT內控要求,深信服科技總結多年來基于用戶需求的產品研發經驗,提出如下解決方案:
►精準識別上網用戶身份,保證行為與用戶一一對應
管理的前提,是對用戶身份、行為的準確定義,尤其認定用戶身份的重要性不言而喻。
對上網人員的身份認定有多種方式:需用戶手動參與的Web認證、無需用戶參與的IP/MAC認證、USBkey硬件認證、AD/POP3/Proxy單點登錄認證、第三方LDAP/Radius/AD服務器聯動認證等,可結合企業的具體情況選擇合適的方式。
►最小化業務所需訪問權限,實現職權對應
IT內控要求實現給企業各組成部門分配與業務匹配的訪問權限。
深信服建議管理員可設定策略:
-訪問權限差異化,僅滿足部門業務要求的最小化網絡訪問權限(如僅允許財務部門訪問財務服務器,為核心研發人員配置特殊權限),封堵與業務無關的應用,防止越權訪問;
-使用流控策略,防止資源濫用;
-為防范泄密與不良輿論事件,封堵論壇、博客、BBS等網站,采取“看貼不能發帖”“webmail能收不能發郵件”功能平衡人性化和信息保護要求,并基于多關鍵字過濾、告警敏感信息(發帖、郵件)。
►信息安全防護、保護信息資產安全
潛在的泄密行為、舞弊行為,往往隱藏在正常業務數據中,如數據傳送、文件外發、郵件發送。深信服建議IT管理員關注業務數據流中的異常信息,除了使用關鍵字、行為定義預先發現外發敏感信息的行為,還需要對敏感郵件、外發可疑文件做攔截審計。
面對來自網絡的危險,深信服幫助管理員封堵木馬、黑客遠程控制,發現并攔截中毒終端對外發送數據的行為,避免無辜員工卷入泄密事件。
►行為記錄和報表分析,作為IT評估依據
為進行IT評估、追查安全事件,企業必須保留適當期限的外發信息日志、上網日志,并使用專業的可視化設備進行統計、查詢、檢索。
深信服建議管理員定期輸出“網絡運維情況報表”“異常行為智能報表”,了解控制效果,及時發現潛在的異常行為,既作為IT調控依據,又可幫助企業提前預知風險。
為保障信息安全,建議管理員為組織高層領導配發“免審計Key”免除過分審計帶來的泄密風險,配備“日志查看權限key”保護日志信息安全。
綜上,深信服致力于為客戶提供綜合解決方案,幫助客戶實現更低的風險、業務安全發布、增強企業受信度、降低員工流動率、更好的公司治理、快速決策。
