——深信服支招企业网络管理 IT内控与企业内控
有“中国版萨班斯法案”之称的《企业内部控制基本规范》在企业治理、职权控制和信息发布方面提出了极为严格的监管要求。而据有关咨询公司对中国上市公司的一项调查显示,56%的受访公司尚未建立或完善内部控制机制,情况并不乐观。
现今,国内大中型企业高度依赖IT系统作为业务的支撑,IT内控已成为是企业信息化管理中规避潜在风险的重要方法。使用技术手段实现IT内部控制与IT风险管理,方能帮助企业规避风险、提高管理水平。
内控方案的五要素
《企业内部控制基本规范》包含五要素:内部环境、风险评估、控制措施、信息与沟通、监督检查。
深信服认为,作为企业内控重要组成部分的IT内控方案,也应从如上五方面考虑:
1. IT环境
企业IT环境是实施内控的依据。
所采用的技术方案应适合组织文化、组织架构、已有网络环境、未来网络规划、IT管理制度、信息安全等级要求、信息安全保密要求等。能提供灵活的控制,在管理要求和人性化之间取得平衡;
2. IT风险评估
现在,来自网络的安全威胁如:病毒传播、网页/邮件挂马、黑客入侵、网络数据窃贼,来自组织内部的威胁:网络访问权限与职务不匹配、终端安全级别底下、安全防范意识不到位等,甚至系统内部泄密,已经使信息安全成为各行业信息化建设中的首要问题。
IT管理者需要技术方案,对IT风险进行识别与分析,如信息资产的风险、IT管理制度的风险以及应用权限的风险。
3. IT控制
以风险评估为依据,IT管理者需要可实行的IT控制措施。正所谓“三分制度、七分管理”,采用技术手段配合制度已是共识。
技术类控制措施,如身份管理、权限管理、信息过滤、日志留存、安全防护等,配合管理类控制措施,如各类制度与流程:授权审批、职权匹配、定期报表汇报、提前预估、IT绩效考核等。IT控制措施应符合企业现状,所选方案须有足够的灵活性,兼顾组织架构中各层级人物的需求。
4. 信息与沟通
企业应用信息技术促进信息的集成与共享,信息保密显得尤为重要。截至09年9月,我国每年因网络泄密导致的经济损失高达上百亿。其中,因为存在安全漏洞被攻击、入侵导致的被动泄密,因为利益诱惑导致的主动泄密,舞弊事件等,给企业造成商机泄露、客户流失、形象受损等诸多损失。
IT管理者需要惩防并举、重在预防的技术方案,事前预防,事发拦截,事后追踪。
5. 内部监督
企业需要IT审核机制,通过日志监控、行为综合分析、定期专项评审等措施,评估控制的有效性,作为改进依据,并为安全事件的发生做好应急追踪预案。
深信服IT内控方案
针对如上IT内控要求,深信服科技总结多年来基于用户需求的产品研发经验,提出如下解决方案:
►精准识别上网用户身份,保证行为与用户一一对应
管理的前提,是对用户身份、行为的准确定义,尤其认定用户身份的重要性不言而喻。
对上网人员的身份认定有多种方式:需用户手动参与的Web认证、无需用户参与的IP/MAC认证、USBkey硬件认证、AD/POP3/Proxy单点登录认证、第三方LDAP/Radius/AD服务器联动认证等,可结合企业的具体情况选择合适的方式。
►最小化业务所需访问权限,实现职权对应
IT内控要求实现给企业各组成部门分配与业务匹配的访问权限。
深信服建议管理员可设定策略:
-访问权限差异化,仅满足部门业务要求的最小化网络访问权限(如仅允许财务部门访问财务服务器,为核心研发人员配置特殊权限),封堵与业务无关的应用,防止越权访问;
-使用流控策略,防止资源滥用;
-为防范泄密与不良舆论事件,封堵论坛、博客、BBS等网站,采取“看贴不能发帖”“webmail能收不能发邮件”功能平衡人性化和信息保护要求,并基于多关键字过滤、告警敏感信息(发帖、邮件)。
►信息安全防护、保护信息资产安全
潜在的泄密行为、舞弊行为,往往隐藏在正常业务数据中,如数据传送、文件外发、邮件发送。深信服建议IT管理员关注业务数据流中的异常信息,除了使用关键字、行为定义预先发现外发敏感信息的行为,还需要对敏感邮件、外发可疑文件做拦截审计。
面对来自网络的危险,深信服帮助管理员封堵木马、黑客远程控制,发现并拦截中毒终端对外发送数据的行为,避免无辜员工卷入泄密事件。
►行为记录和报表分析,作为IT评估依据
为进行IT评估、追查安全事件,企业必须保留适当期限的外发信息日志、上网日志,并使用专业的可视化设备进行统计、查询、检索。
深信服建议管理员定期输出“网络运维情况报表”“异常行为智能报表”,了解控制效果,及时发现潜在的异常行为,既作为IT调控依据,又可帮助企业提前预知风险。
为保障信息安全,建议管理员为组织高层领导配发“免审计Key”免除过分审计带来的泄密风险,配备“日志查看权限key”保护日志信息安全。
综上,深信服致力于为客户提供综合解决方案,帮助客户实现更低的风险、业务安全发布、增强企业受信度、降低员工流动率、更好的公司治理、快速决策。