中国信息化
设为首页
加入收藏
简体中文
返回旧版
网站首页
关于协会
协会简介
协会章程
协会机构
分支机构
协会媒体
协会大事记
联系我们
协会要闻
协会工作
活动预告
协会会员
会员加盟
特约副会长
常务理事单位
理事单位
会员单位
通知公告
业界动态
智慧社会
智慧农业
智慧生活
智慧教育
智慧医疗
数字化转型
动态
理论
IT与服务
IT运维
信息服务
国际资讯
动态
理论
会展信息
地方动态
新闻动态
经验做法
信息安全
行业新闻
安全方案
专家观点
最新观点
信息化研究
政务信息化
动态
理论
新一代信息技术
移动&物联
大数据
云计算
人工智能
工业互联网
当前位置:
首页
产品与案例
案例分析
立足萨班斯法案电信安全解决方案
来源:
作者:
发布时间: 2007-04-11
萨班斯(SOX)法案内控审计要求的出台,提升了IT控制在企业内部控制中的重要性,对电信运营商IT设施的安全性提出了更高的要求,如何改进IT控制和完善IT治理,是电信运营商的CIO们面临的新挑战。
潜心关注电信行业安全并不断创新的启明星辰信息技术有限公司结合多年在安全领域的丰富经验与最佳实践,推出了针对电信运营商SOX内控的系列安全解决方案,从宏观到微观,包括ISO27001安全认证咨询服务解决方案、 安全域解决方案、4A(账号、认证、授权、审计)统一安全管理平台解决方案、以及面向业务保障的安全服务体系解决方案。
一、ISO27001安全认证咨询服务解决方案
近年来,国家出台了一系列信息安全的法律法规,信息产业部已将安全与业务准入挂钩,与此同时,海外政府、资本市场提出的新监管要求(如:SOX法案)的强制执行都要求运营商进一步遵守安全内控要求。
放眼电信市场,各大运营商的“转型”都在寻找新的蓝海,IT与电信迅速融为一体成为ICT,而IT为传统通信产业注入无限活力的同时,也引发了大量安全问题,能否解决这些安全问题,已成为运营商与竞争对手拉开差距的关键,并已成为新的业务增长点。
在此背景下,各大运营商需要建立完善的信息安全管理体系(ISMS),通过国际权威机构的安全认证,并不断巩固完善,旨在赢得国内外客户的信任与国际资本市场的青睐,为企业的持续健康发展保驾护航。
相关国际标准与法案
作为建立信息安全管理体系(ISMS)的重要规范,BS7799标准被ISO组织采纳后,衍生为ISO 17799《信息安全管理实施细则》和ISO 27001《信息安全管理体系规范》。ISO 17799是建立并实施信息安全管理体系的指导性标准,ISO 27001是对信息安全管理体系进行审核的依据性标准。获得ISO 27001认证是企业拥有完善的信息安全管理体系的象征。
萨班斯(SOX)法案是另一部更加具有国际性影响的规章,始创于 2002 年,由美国证券交易委员会(SEC)提交,是一部旨在消除企业财务欺诈行为和弊端的历史性法案,它要求在美国上市的所有企业必须通过该法案审核。
ISO 17799/27001与定义信息治理过程的COBIT标准和COSO框架共同健全了萨班斯法案中与安全和内控审计相关的404条款。
启明星辰安全认证、咨询服务解决方案
启明星辰公司积极参照ISO 17799/27001和COBIT为客户提供安全认证、咨询服务,最终达到符合SOX法案的要求。同时我们也意识到,安全认证的真正目的不仅仅是为了获得证书,更重要的是建立切实的网络和业务安全体系,帮助运营商争取更多的用户,特别是高端的国际型用户与投资,在此基础上,将SOX内控审计落实到具体的运营工作中、塑造卓越的运维队伍、驱动更大的经济效益。
应该看到,安全管理具有宏观、中观和微观三重层次,ISO 27001在宏观安全管理体系规划方面有很好的定义,但中观调整、特别是微观实现方面实际上是留待各实施机构根据各自情况自行解决,换句话说,ISO 27001偏重从宏观角度提供理论指导。执行ISO 27001、符合ISO 27001,必须结合运营商的主业、从中观和微观角度加以落实。
启明星辰公司为运营商提供立体的ISO 27001防御体系,涉及宏观规划和监控、中观整合加固、微观技术实现,每个层面上又纵深提供评估服务、应急服务、技术培训和技术支撑,真正做到将ISO 27001认证落实到安全运维人员每天可执行的技术、工具、平台、流程、规章等各个层次。
收益
启明星辰公司承诺所提供的安全认证、咨询服务针对运营商的不同系统量体裁衣,协助运营商除获得认证证书之外,落实并巩固安全认证成果,包括:
l 制定切实可操作的安全规范与安全策略;
l 实施网络安全优化方案;
l 对系统进行深层次的安全评估并提交安全加固建议;
l 提供电信级应急响应服务;
l 提供专业的安全管理和安全技术培训;
l 实施全面的安全监控
二、安全域解决方案
划分安全域的原则
安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。启明星辰公司采用“同构性简化”的安全域划分方法,将复杂的大网络进行简化后设计防护体系,以便进行有效的安全管理。
启明星辰公司安全域划分遵循以下原则:
1、业务保障原则;
2、结构简化原则;
3、立体协防原则。
以某运营商系统为例,我们通过对该系统进行数据流分析、网络结构分析,结合考虑现有的安全隐患,从资产价值、脆弱性、安全隐患三者间的关系出发,得到了整体的安全防护体系和各个业务系统自身的安全防护体系,为进一步管理整合后的安全域做好了准备。
基于安全域划分的最佳实践,该运营商的各个系统被分别划入不同的安全域,再根据每个安全域内部的特定安全需求进一步划分安全子域,包括:核心交换区、核心生产区、日常办公区、接口区、安全管理区、内部系统接入区、外部系统接入区。
安全加固
在划分安全域之后,我们对不同安全域内的关键设备进行安全加固,依据是:各安全域内部的设备由于不同的互联需求,面临的威胁也不同,因此其安全需求也存在很大差异。
1、生产服务器:一般都是UNIX平台,资产价值最高,不直接连接外部网络,主要的安全需求是访问控制、账号口令、权限管理和补丁管理;
2、维护终端:一般都是WINDOWS平台,维护管理人员可以直接操作,其用户接入的方式也不尽相同(本地维护终端、远程维护终端),面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁,其安全需求是安全策略的集中管理、病毒检测(固定终端)、漏洞补丁等;
3、第三方:对业务系统的软、硬件进行远程维护或现场维护,其操作很难控制,面临着病毒、漏洞、攻击、越权或滥用、泄密等威胁,安全需求主要是接入控制,包括IP/MAC地址绑定、帐号口令、访问控制,以及在线杀毒、防毒墙、应用层的帐号口令管理、补丁管理等;
4、合作伙伴:涉及到与其他系统的连接,面临着病毒、漏洞、入侵等威胁,安全需求是病毒防护、入侵检测、漏洞补丁等。
5、互联网:面临着黑客入侵、病毒扩散等威胁,主要的安全需求是入侵检测、病毒防护、数据过滤等。
安全域与安全策略的结合
在划分安全域、进行安全加固的基础上,还需要对网络边界和重点区域采取特定的安全措施。
Ø 边界安全
对于任何安全域的保护,边界安全是最低的保护措施,通过对边界的控制能够保护安全域不受到来自其它区域的安全威胁。在上面的图例中,我们采用了以下技术:边界隔离、认证、监视、审计。具体的产品实现包括:MPLS VPN、VPN Lite、防火墙、接口主机、交换机VLAN、PVLAN、ACL等。
Ø 区域安全
区域安全是通过在安全域内部设置监视、测量、清理、审计等技术手段,实现安全域内安全事件的及时响应和清除。安全域的区域安全以安全状况的监控为主,对于本安全域内部的安全事件及时响应和清除,是安全域的核心安全处置手段。具体采用的技术和产品包括:入侵检测、安全审计、漏洞扫描、病毒防护、访问控制、帐号管理、补丁管理、流量监控等。
实现效益
通过划分安全域实现等级保护,启明星辰公司把电信运营商复杂的安全问题化解成小区域的安全保护问题,从而在全网范围内实现大规模的等级保护。该方案不仅仅是从网络系统、技术层面和单一安全设备来看待问题,更是从网络建设的整体规划出发,全盘考虑,帮助电信运营商从根本上解决安全问题。
从SOX内控审计的角度,安全域解决方案也将发挥其潜在的巨大优势,帮助电信运营商在SOX内控审计的过程中化繁为简,快速达到安全指标要求,与国际接轨,为企业带来更大的市场和经济效益。
三、4A统一安全管理平台解决方案
4A统一安全管理平台解决方案结合了启明星辰天?h业务审计产品的优势,引入了SafeWord产品系列中的3A组件。4A包括统一用户账号(Account)管理、统一认证(Authentication) 管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。
融合后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
为什么需要4A统一安全管理平台解决方案
随着各大电信运营商的业务网发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立地的以日志形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求,及与国际业务接轨的需求。问题主要表现在以下几方面:
1. 大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加;
2. 一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;
3. 各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;
4. 个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;
5. 随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的危害;
6. 对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。
综上,由于缺乏统一的4A管理平台,在系统管理人员工作负担加重的同时,因各业务系统安全策略不一致,实质上也大大降低了业务系统的安全系数。
启明星辰4A统一安全管理平台解决方案
采用启明星辰4A统一安全管理平台解决方案能够解决运营商当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。该解决方案由5个子系统组成:统一的4A管理平台、统一的认证授权子系统、统一的账号管理子系统、统一的日志审计子系统、网络行为审计子系统。
Ÿ 统一4A管理平台向其它四个子系统传递配置参数,包括认证参数、账号参数、审计策略参数等,而四个子系统则将自身的运行状态值传递给统一4A管理平台;
Ÿ 统一4A管理平台上各参数的变更,以及各告警值通过syslog的方式传递给统一日志审计子系统;
Ÿ 统一认证授权子系统对用户进行统一接入认证后,产生的认证记录通过syslog的方式发送给统一日志审计子系统;
Ÿ 统一账号管理子系统对用户账号进行维护的操作通过syslog的方式发送给统一日志审计子系统;
Ÿ 网络审计引擎部件将采集到的日志信息通过syslog方式发送给统一日志审计子系统。
统一日志审计子系统功能:
Ÿ 安全日志采集
Ÿ 安全日志多维分析
Ÿ 安全日志实时展现
Ÿ 报表分析
Ÿ 审计策略配置
Ÿ 数据存储
统一认证授权子系统功能:
Ÿ 统一身份认证
Ÿ 集中账号口令管理
Ÿ 统一认证和授权
- 网络设备的身份认证及授权
- 主机系统的身份认证及授权
- 远程接入或VPN接入用户的认证及授权
- 数据库管理的身份认证及授权
- 基于Web的运营系统的身份认证及授权
- 基于C/S结构的业务系统的身份认证
统一账号管理子系统功能:
Ÿ 单点登陆
Ÿ 账号同步
Ÿ 统一账号管理与统一认证授权协作
网络行为审计子系统功能:
Ÿ FTP/TELNET审计
Ÿ XWINDOW审计
Ÿ 常用数据库的操作审计(ORACLE审计、DB2审计、SQL SERVER审计、SYBASE审计)
Ÿ 堡垒机跳转行为审计
Ÿ NETBIOS审计
Ÿ HTTP审计
Ÿ SMTP审计
Ÿ POP3审计
Ÿ 非正常网络行为的审计
Ÿ 各种协议的审计报表
投资收益
Ÿ 统一认证、授权和审计,工作复杂度大幅度降低;
Ÿ 统一监管,安全状况尽在掌握;
Ÿ 避免多人共用相同账号,安全事故易于追踪;
Ÿ 单点登录(SSO)免去用户在各系统间切换时,需要再次输入用户名和口令的繁琐;
Ÿ 对各个系统进行统一的访问审计,利于综合分析,及时发现入侵行为
Ÿ 与萨班斯法案(SOX)内控需求一致。
四、面向业务保障的安全服务体系解决方案
为了阻止黑客对电信级业务、应用系统的破坏,启明星辰公司在延用一系列传统安全产品(如防火墙、防病毒、入侵检测、入侵防御、漏洞扫描等)的同时,根据国际安全领域权威的ISO 17799/27001和最符合萨班斯(SOX)法案要求的COBIT等标准,推出了全新的、贴近电信市场需求的、面向业务保障的安全服务体系解决方案。
业务系统安全解决方案
启明星辰公司紧随世界发展,面对新一代市场挑战,提出了更具针对性的业务系统安全解决方案。以萨班斯(SOX)法案对内控系统的安全需求为根本,制定了全新的风险评估、应急响应、安全加固等服务,时刻以市场上的安全需求为导向,更树立起全面的电信级安全服务解决方案。用专注、专业、专心的精神为电信运营商客户切实解决遇到的安全问题。
启明星辰公司业务系统安全解决方案最佳实践内容
服务
类别服务
子项说明
萨班斯法案(SOX)安全评估服务管理评估通过调查表、人员访谈、现场勘查等方式,结合ISO 17799/27001和COBIT的要求,对被评估对象的安全控制、安全管理各个流程环节进行全面的穿越评估,并提供管理评估报告。
技术评估漏洞扫描以资产识别为基础,采用安全扫描软件进行弱点扫描,对典型服务器进行控制台审计,结合与安全管理员的交流,对技术管理,配置和维护等方面进行技术性的检测和评估。
主机审计参照检查列表(Check List)检查主机设备操作系统存在的各种安全弱点,或采用脚本工具针对不同的系统列出检查的条目,挖掘配置和运行中的隐患。
渗透测试通过模拟黑客实际攻击,验证信息系统面临的风险,评价信息系统的安全性。
代码审核通过人工分析和审核业务系统源代码,查找软件编写过程中存在的漏洞,避免对业务系统可能造成的损失。
安全加固在安全评估的基础上,通过专业人员的安全加固服务强化系统安全性,消除系统弱点,并给出加固报告。
专家型应急响应服务客户系统遭受入侵时,由安全专家在第一时间实施阻断,反击入侵行为,恢复客户系统的完整性和可用性,彻底清除入侵行为对客户系统造成的影响,同时修补安全漏洞。并可根据客户需求对入侵活动全过程调查取证,获取相关证据。
安全管理监控服务安全监控服务基于安全监控平台,对网络设备、主机设备、安全设备提供实时安全监控,提高安全管理的可靠性和有效性。
安全通告服务提供安全信息,使客户从多角度了解安全现状。
安全管理监控闭环服务体系
安全管理监控服务是网络与信息安全系统的委托管理与服务,是风险管理的过程化实施,是专业安全公司为企业提供的专家级服务体系。该体系以全面保护、实时监控、专家响应为基本元素,建立了一套闭环服务体系,这种全面的安全服务体系能完全使企业摆脱维护系统安全的烦恼,并从最大程度上提高投资回报率。
在这个闭环中,依次执行以下6部分内容:
« 为了解系统本身的漏洞及潜在的风险,对系统进行风险评估;
« 针对评估出来的漏洞和风险提出准确的系统加固建议;
« 依据系统加固建议,有效地部署并配置安全设备;
« 对工作进程进行安全监控,确保其顺利进行;
« 如遇紧急事件,由资深安全专家做出及时响应,以解决问题;
« 根据客户信息系统中的信息资产情况,提供相应的安全信息通告,以邮件,电话或短信的方式发给客户,提供及时的修补和防御措施。
此外,在整个管理监控过程中,对企业相关人员进行安全实践培训。
为您带来的收益
« 最大限度降低安全运营成本;
« 建立强化的信息安全保障体系;
« 充分利用体系中已有的安全产品;
« 免除您在使用与维护安全产品时的烦恼;
« 降低企业信息安全人员的投入。
上一篇:
同方知网:山东铝业数字档案馆解决方案
下一篇:
启明星辰建设“数字化”辽宁 保障信息安全
地方动态
全国大学生创新发明大赛暨“英创工程”启动
政务热线建设发展与战略管理专题研修班在长沙圆满结训
中国信息协会会长王金平一行赴北京国脉互联信息顾问有限公司调研
杜链同志追思会在京举办
协会要闻
通知公告
•
全国大学生创新发明大赛暨“英创工程”启动
•
中国信息协会会长王金平一行赴通用航空分会调研
•
中国信息协会会长王金平一行赴《中国信息界》杂志社调研
•
中共中央党史和文献研究院第三研究部到协会调研
•
中国信息协会会长参加“星火行动”中小企业赋能计划第三届发布活动
•
政务热线建设发展与战略管理专题研修班在长沙圆满结训
•
关于举办2024数字政府论坛的通知
•
中国信息协会会长王金平一行赴北京国脉互联信息顾问有限公司调研
•
关于举办中国信息协会第四届信息技术服务业应用技能大赛大数据分析技术与应用(档案信息化专业方向)赛项的通知
•
中国信息协会组织产业互联网企业家赴东南亚考察
•
免责声明
•
第二十五届中国专利奖拟推荐项目公示
•
严 正 声 明
•
第二十四届中国专利奖拟推荐项目公示
•
严 正 声 明
•
第二十三届中国专利奖拟推荐项目公示
•
关于朱玉同志引咎辞职的通知
•
声明
•
关于撤销中国信息协会信息化发展研究院的通知
•
关于取消“2021年国有及大型企业数字化转型技术与应用大会”的通知