立足SOX法案的系列安全解决方案Word文档格式.docx

上传人:b****6 文档编号:20419642 上传时间:2023-01-22 格式:DOCX 页数:11 大小:125.77KB
下载 相关 举报
立足SOX法案的系列安全解决方案Word文档格式.docx_第1页
第1页 / 共11页
立足SOX法案的系列安全解决方案Word文档格式.docx_第2页
第2页 / 共11页
立足SOX法案的系列安全解决方案Word文档格式.docx_第3页
第3页 / 共11页
立足SOX法案的系列安全解决方案Word文档格式.docx_第4页
第4页 / 共11页
立足SOX法案的系列安全解决方案Word文档格式.docx_第5页
第5页 / 共11页
点击查看更多>>
下载资源
资源描述

立足SOX法案的系列安全解决方案Word文档格式.docx

《立足SOX法案的系列安全解决方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《立足SOX法案的系列安全解决方案Word文档格式.docx(11页珍藏版)》请在冰豆网上搜索。

立足SOX法案的系列安全解决方案Word文档格式.docx

执行ISO27001、符合ISO27001,必须结合运营商的主业、从中观和微观角度加以落实。

  启明星辰公司为运营商提供立体的ISO27001防御体系,涉及宏观规划和监控、中观整合加固、微观技术实现,每个层面上又纵深提供评估服务、应急服务、技术培训和技术支撑,真正做到将ISO27001认证落实到安全运维人员每天可执行的技术、工具、平台、流程、规章等各个层次。

  

  收益

  启明星辰公司承诺所提供的安全认证、咨询服务针对运营商的不同系统量体裁衣,协助运营商除获得认证证书之外,落实并巩固安全认证成果,包括:

  制定切实可操作的安全规范与安全策略;

  实施网络安全优化方案;

  对系统进行深层次的安全评估并提交安全加固建议;

  提供电信级应急响应服务;

  提供专业的安全管理和安全技术培训;

  实施全面的安全监控。

二、安全域解决方案

  划分安全域的原则

  安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。

启明星辰公司采用“同构性简化”的安全域划分方法,将复杂的大网络进行简化后设计防护体系,以便进行有效的安全管理。

  启明星辰公司安全域划分遵循以下原则:

  1、业务保障原则;

  2、结构简化原则;

  3、立体协防原则。

  以某运营商系统为例,我们通过对该系统进行数据流分析、网络结构分析,结合考虑现有的安全隐患,从资产价值、脆弱性、安全隐患三者间的关系出发,得到了整体的安全防护体系和各个业务系统自身的安全防护体系,为进一步管理整合后的安全域做好了准备。

  基于安全域划分的最佳实践,该运营商的各个系统被分别划入不同的安全域,再根据每个安全域内部的特定安全需求进一步划分安全子域,包括:

核心交换区、核心生产区、日常办公区、接口区、安全管理区、内部系统接入区、外部系统接入区。

如下图所示:

  安全加固

  在划分安全域之后,我们对不同安全域内的关键设备进行安全加固,依据是:

各安全域内部的设备由于不同的互联需求,面临的威胁也不同,因此其安全需求也存在很大差异。

  1、生产服务器:

一般都是UNIX平台,资产价值最高,不直接连接外部网络,主要的安全需求是访问控制、账号口令、权限管理和补丁管理;

  2、维护终端:

一般都是WINDOWS平台,维护管理人员可以直接操作,其用户接入的方式也不尽相同(本地维护终端、远程维护终端),面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁,其安全需求是安全策略的集中管理、病毒检测(固定终端)、漏洞补丁等;

  3、第三方:

对业务系统的软、硬件进行远程维护或现场维护,其操作很难控制,面临着病毒、漏洞、攻击、越权或滥用、泄密等威胁,安全需求主要是接入控制,包括IP/MAC地址绑定、帐号口令、访问控制,以及在线杀毒、防毒墙、应用层的帐号口令管理、补丁管理等;

  4、合作伙伴:

涉及到与其他系统的连接,面临着病毒、漏洞、入侵等威胁,安全需求是病毒防护、入侵检测、漏洞补丁等。

  5、互联网:

面临着黑客入侵、病毒扩散等威胁,主要的安全需求是入侵检测、病毒防护、数据过滤等。

  安全域与安全策略的结合

  在划分安全域、进行安全加固的基础上,还需要对网络边界和重点区域采取特定的安全措施。

  Ø

边界安全

  对于任何安全域的保护,边界安全是最低的保护措施,通过对边界的控制能够保护安全域不受到来自其它区域的安全威胁。

在上面的图例中,我们采用了以下技术:

边界隔离、认证、监视、审计。

具体的产品实现包括:

MPLSVPN、VPNLite、防火墙、接口主机、交换机VLAN、PVLAN、ACL等。

区域安全

  区域安全是通过在安全域内部设置监视、测量、清理、审计等技术手段,实现安全域内安全事件的及时响应和清除。

安全域的区域安全以安全状况的监控为主,对于本安全域内部的安全事件及时响应和清除,是安全域的核心安全处置手段。

具体采用的技术和产品包括:

入侵检测、安全审计、漏洞扫描、病毒防护、访问控制、帐号管理、补丁管理、流量监控等。

  实现效益

  通过划分安全域实现等级保护,启明星辰公司把电信运营商复杂的安全问题化解成小区域的安全保护问题,从而在全网范围内实现大规模的等级保护。

该方案不仅仅是从网络系统、技术层面和单一安全设备来看待问题,更是从网络建设的整体规划出发,全盘考虑,帮助电信运营商从根本上解决安全问题。

  从SOX内控审计的角度,安全域解决方案也将发挥其潜在的巨大优势,帮助电信运营商在SOX内控审计的过程中化繁为简,快速达到安全指标要求,与国际接轨,为企业带来更大的市场和经济效益。

三、4A统一安全管理平台解决方案

  4A统一安全管理平台解决方案结合了启明星辰天玥业务审计产品的优势,引入了SafeWord产品系列中的3A组件。

4A包括统一用户账号(Account)管理、统一认证(Authentication)管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。

  融合后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。

  为什么需要4A统一安全管理平台解决方案

  随着各大电信运营商的业务网发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。

而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立地的以日志形式审计操作者在系统内的操作行为。

现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求,及与国际业务接轨的需求。

问题主要表现在以下几方面:

  1.大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加;

  2.一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;

  3.各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;

  4.个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;

  5.随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的危害;

  6.对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。

  综上,由于缺乏统一的4A管理平台,在系统管理人员工作负担加重的同时,因各业务系统安全策略不一致,实质上也大大降低了业务系统的安全系数。

  启明星辰4A统一安全管理平台解决方案

  采用启明星辰4A统一安全管理平台解决方案能够解决运营商当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。

该解决方案由5个子系统组成:

统一的4A管理平台、统一的认证授权子系统、统一的账号管理子系统、统一的日志审计子系统、网络行为审计子系统,它们之间的协作关系如下图所示:

  Ÿ统一4A管理平台向其它四个子系统传递配置参数,包括认证参数、账号参数、审计策略参数等,而四个子系统则将自身的运行状态值传递给统一4A管理平台;

  Ÿ统一4A管理平台上各参数的变更,以及各告警值通过syslog的方式传递给统一日志审计子系统;

  Ÿ统一认证授权子系统对用户进行统一接入认证后,产生的认证记录通过syslog的方式发送给统一日志审计子系统;

  Ÿ统一账号管理子系统对用户账号进行维护的操作通过syslog的方式发送给统一日志审计子系统;

  Ÿ网络审计引擎部件将采集到的日志信息通过syslog方式发送给统一日志审计子系统。

  统一日志审计子系统功能:

  Ÿ安全日志采集

  Ÿ安全日志多维分析

  Ÿ安全日志实时展现

  Ÿ报表分析

  Ÿ审计策略配置

  Ÿ数据存储

  统一认证授权子系统功能:

  Ÿ统一身份认证

  Ÿ集中账号口令管理

  Ÿ统一认证和授权

  -网络设备的身份认证及授权

  -主机系统的身份认证及授权

  -远程接入或VPN接入用户的认证及授权

  -数据库管理的身份认证及授权

  -基于Web的运营系统的身份认证及授权

  -基于C/S结构的业务系统的身份认证

  统一账号管理子系统功能:

  Ÿ单点登陆

  Ÿ账号同步

  Ÿ统一账号管理与统一认证授权协作

  网络行为审计子系统功能:

  ŸFTP/TELNET审计

  ŸXWINDOW审计

  Ÿ常用数据库的操作审计(ORACLE审计、DB2审计、SQLSERVER审计、SYBASE审计)

  Ÿ堡垒机跳转行为审计

  ŸNETBIOS审计

  ŸHTTP审计

  ŸSMTP审计

  ŸPOP3审计

  Ÿ非正常网络行为的审计

  Ÿ各种协议的审计报表

  投资收益

  Ÿ统一认证、授权和审计,工作复杂度大幅度降低;

  Ÿ统一监管,安全状况尽在掌握;

  Ÿ避免多人共用相同账号,安全事故易于追踪;

  Ÿ单点登录(SSO)免去用户在各系统间切换时,需要再次输入用户名和口令的繁琐;

  Ÿ对各个系统进行统一的访问审计,利于综合分析,及时发现入侵行为

  Ÿ与萨班斯法案(SOX)内控需求一致。

四、面向业务保障的安全服务体系解决方案

  为了阻止黑客对电信级业务、应用系统的破坏,启明星辰公司在延用一系列传统安全产品(如防火墙、防病毒、入侵检测、入侵防御、漏洞扫描等)的同时,根据国际安全领域权威的ISO17799/27001和最符合萨班斯(SOX)法案要求的COBIT等标准,推出了全新的、贴近电信市场需求的、面向业务保障的安全服务体系解决方案。

  业务系统安全解决方案

  启明星辰公司紧随世界发展,面对新一代市场挑战,提出了更具针对性的业务系统安全解决方案。

以萨班斯(SOX)法案对内控系统的安全需求为根本,制定了全新的风险评估、应急响应、安全加固等服务,时刻以市场上的安全需求为导向,更树立起全面的电信级安全服务解决方案。

用专注、专业、专心的精神为电信运营商客户切实解决遇到的安全问题。

  启明星辰公司业务系统安全解决方案最佳实践内容

服务

类别

子项

说明

萨班斯法案(SOX)安全评估服务

管理评估

通过调查表、人员访谈、现场勘查等方式,结合ISO17799/27001和COBIT的要求,对被评估对象的安全控制、安全管理各个流程环节进行全面的穿越评估,并提供管理评估报告。

技术评估

漏洞扫描

以资产识别为基础,采用安全扫描软件进行弱点扫描,对典型服务器进行控制台审计,结合与安全管理员的交流,对技术管理,配置和维护等方面进行技术性的检测和评估。

主机审计

参照检查列表(CheckList)检查主机设备操作系统存在的各种安全弱点,或采用脚本工具针对不同的系统列出检查的条目,挖掘配置和运行中的隐患。

渗透测试

通过模拟黑客实际攻击,验证信息系统面临的风险,评价信息系统的安全性。

代码审核

通过人工分析和审核业务系统源代码,查找软件编写过程中存在的漏洞,避免对业务系统可能造成的损失。

安全加固

在安全评估的基础上,通过专业人员的安全加固服务强化系统安全性,消除系统弱点,并给出加固报告。

专家型应急响应服务

客户系统遭受入侵时,由安全专家在第一时间实施阻断,反击入侵行为,恢复客户系统的完整性和可用性,彻底清除入侵行为对客户系统造成的影响,同时修补安全漏洞。

并可根据客户需求对入侵活动全过程调查取证,获取相关证据。

安全管理监控服务

安全监控服务

基于安全监控平台,对网络设备、主机设备、安全设备提供实时安全监控,提高安全管理的可靠性和有效性。

安全通告服务

提供安全信息,使客户从多角度了解安全现状。

  安全管理监控闭环服务体系

  安全管理监控服务是网络与信息安全系统的委托管理与服务,是风险管理的过程化实施,是专业安全公司为企业提供的专家级服务体系。

该体系以全面保护、实时监控、专家响应为基本元素,建立了一套闭环服务体系,这种全面的安全服务体系能完全使企业摆脱维护系统安全的烦恼,并从最大程度上提高投资回报率。

  在这个闭环中,依次执行以下6部分内容:

  «

为了解系统本身的漏洞及潜在的风险,对系统进行风险评估;

针对评估出来的漏洞和风险提出准确的系统加固建议;

依据系统加固建议,有效地部署并配置安全设备;

对工作进程进行安全监控,确保其顺利进行;

如遇紧急事件,由资深安全专家做出及时响应,以解决问题;

根据客户信息系统中的信息资产情况,提供相应的安全信息通告,以邮件,电话或短信的方式发给客户,提供及时的修补和防御措施。

  此外,在整个管理监控过程中,对企业相关人员进行安全实践培训。

  为您带来的收益

最大限度降低安全运营成本;

建立强化的信息安全保障体系;

充分利用体系中已有的安全产品;

免除您在使用与维护安全产品时的烦恼;

降低企业信息安全人员的投入。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 法律文书 > 判决书

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1