广州市陆彩软件科技有限公司

是华南地区知名高科技综合型企业；是一家集计算机软硬件销售、顾问咨询、服务提供及系统集成的专业而卓越的综合解决方案提供商。

联系我们：020-8656 8011

home > 市场活动 > 详解企业it内控之深信服支招企业网络管理

it内控与企业内控

　　全球化背景下，共享与安全问题并存，越来越多的国家认识到，无论是市场还是企业本身，均存在着对企业内部控制的要求。许多国家均已颁布了相关法案，如美国的《萨班斯法案》(2002年安然、世通舞弊事件)、日本的《金融商品交易法》等。

　　有“中国版萨班斯法案”之称的《企业内部控制基本规范》在企业治理、职权控制和信息发布方面提出了极为严格的监管要求。而据有关咨询公司对中国上市公司的一项调查显示，56%的受访公司尚未建立或完善内部控制机制，情况并不乐观。

　　现今，国内大中型企业高度依赖it系统作为业务的支撑，it内控已成为是企业信息化管理中规避潜在风险的重要方法。使用技术手段实现it内部控制与it风险管理，方能帮助企业规避风险、提高管理水平。

　　内控方案的五要素

　　《企业内部控制基本规范》包含五要素：内部环境、风险评估、控制措施、信息与沟通、监督检查。

　　深信服认为，作为企业内控重要组成部分的it内控方案，也应从如上五方面考虑：

　　1. it环境

　　企业it环境是实施内控的依据。

　　所采用的技术方案应适合组织文化、组织架构、已有网络环境、未来网络规划、it管理制度、信息安全等级要求、信息安全保密要求等。能提供灵活的控制，在管理要求和人性化之间取得平衡;

　　2. it风险评估

　　现在，来自网络的安全威胁如：病毒传播、网页/邮件挂马、****入侵、网络数据窃贼，来自组织内部的威胁：网络访问权限与职务不匹配、终端安全级别底下、安全防范意识不到位等，甚至系统内部泄密，已经使信息安全成为各行业信息化建设中的首要问题。

　　it管理者需要技术方案，对it风险进行识别与分析，如信息资产的风险、it管理制度的风险以及应用权限的风险。

　　3. it控制

　　以风险评估为依据，it管理者需要可实行的it控制措施。正所谓“三分制度、七分管理”，采用技术手段配合制度已是共识。

　　技术类控制措施，如身份管理、权限管理、信息过滤、日志留存、安全防护等，配合管理类控制措施，如各类制度与流程：授权审批、职权匹配、定期报表汇报、提前预估、it绩效考核等。it控制措施应符合企业现状，所选方案须有足够的灵活性，兼顾组织架构中各层级人物的需求。

　　4. 信息与沟通

　　企业应用信息技术促进信息的集成与共享，信息保密显得尤为重要。截至09年9月，我国每年因网络泄密导致的经济损失高达上百亿。其中，因为存在安全漏洞被攻击、入侵导致的被动泄密，因为利益诱惑导致的主动泄密，舞弊事件等，给企业造成商机泄露、客户流失、形象受损等诸多损失。

　　it管理者需要惩防并举、重在预防的技术方案，事前预防，事发拦截，事后追踪。

　　5. 内部监督

　　企业需要it审核机制，通过日志监控、行为综合分析、定期专项评审等措施，评估控制的有效性，作为改进依据，并为安全事件的发生做好应急追踪预案。

　　深信服it内控方案

　　针对如上it内控要求，深信服科技总结多年来基于用户需求的产品研发经验，提出如下解决方案：

　　?精准识别上网用户身份，保证行为与用户一一对应

　　理的前提，是对用户身份、行为的准确定义，尤其认定用户身份的重要性不言而喻。

　　对上网人员的身份认定有多种方式：需用户手动参与的web认证、无需用户参与的ip/mac认证、usbkey硬件认证、ad/pop3/proxy单点登录认证、第三方ldap/radius/ad服务器联动认证等，可结合企业的具体情况选择合适的方式。

　　?最小化业务所需访问权限，实现职权对应

　　it内控要求实现给企业各组成部门分配与业务匹配的访问权限。

　　深信服建议管理员可设定策略：

　　-访问权限差异化，仅满足部门业务要求的最小化网络访问权限(如仅允许财务部门访问财务服务器，为核心研发人员配置特殊权限)，封堵与业务无关的应用，防止越权访问;

　　-使用流控策略，防止资源滥用;

　　-为防范泄密与不良舆论事件，封堵论坛、博客、bbs等网站，采取“看贴不能发帖”“webmail能收不能发邮件”功能平衡人性化和信息保护要求，并基于多关键字过滤、告警敏感信息(发帖、邮件)。

　　?信息安全防护、保护信息资产安全

　　潜在的泄密行为、舞弊行为，往往隐藏在正常业务数据中，如数据传送、文件外发、邮件发送。深信服建议it管理员关注业务数据流中的异常信息，除了使用关键字、行为定义预先发现外发敏感信息的行为，还需要对敏感邮件、外发可疑文件做拦截审计。

　　面对来自网络的危险，深信服帮助管理员封堵****、****远程控制，发现并拦截中毒终端对外发送数据的行为，避免无辜员工卷入泄密事件。

　　?行为记录和报表分析，作为it评估依据

　　为进行it评估、追查安全事件，企业必须保留适当期限的外发信息日志、上网日志，并使用专业的可视化设备进行统计、查询、检索。

　　深信服建议管理员定期输出“网络运维情况报表”“异常行为智能报表”，了解控制效果，及时发现潜在的异常行为，既作为it调控依据，又可帮助企业提前预知风险。

　　为保障信息安全，建议管理员为组织高层领导配发“免审计key”免除过分审计带来的泄密风险，配备“日志查看权限key”保护日志信息安全。

　　综上，深信服致力于为客户提供综合解决方案，帮助客户实现更低的风险、业务安全发布、增强企业受信度、降低员工流动率、更好的公司治理、快速决策。

广州陆彩软件科技有限公司

qq1:2388632981|qq2:348508634

电话:020-8656 8011  020-8638 5442

24小时服务热线：15918555314