立足萨班斯SOX法案的系列安全解决方案知识讲解.docx

1、立足萨班斯SOX法案的系列安全解决方案知识讲解立足萨班斯(SOX)法案的系列安全解决方案萨班斯(SOX)法案内控审计要求的出台，提升了IT控制在企业内部控制中的重要性，对电信运营商IT设施的安全性提出了更高的要求，如何改进IT控制和完善IT治理，是电信运营商的CIO们面临的新挑战。针对电信运营商SOX内控的系列安全解决方案孕育而生，国内信息安全厂商启明星辰从宏观到微观，包括ISO27001安全认证咨询服务解决方案、 安全域解决方案、4A(账号、认证、授权、审计)统一安全管理平台解决方案、以及面向业务保障的安全服务体系解决方案。一、ISO27001安全认证咨询服务解决方案近年来，国家出台了一系列

2、信息安全的法律法规，信息产业部已将安全与业务准入挂钩，与此同时，海外政府、资本市场提出的新监管要求(如：SOX法案)的强制执行都要求运营商进一步遵守安全内控要求。放眼电信市场，各大运营商的“转型”都在寻找新的蓝海，IT与电信迅速融为一体成为ICT，而IT为传统通信产业注入无限活力的同时，也引发了大量安全问题，能否解决这些安全问题，已成为运营商与竞争对手拉开差距的关键，并已成为新的业务增长点。在此背景下，各大运营商需要建立完善的信息安全管理体系(ISMS)，通过国际权威机构的安全认证，并不断巩固完善，旨在赢得国内外客户的信任与国际资本市场的青睐，为企业的持续健康发展保驾护航。相关国际标准与法案作

3、为建立信息安全管理体系(ISMS)的重要规范，BS7799标准被ISO组织采纳后，衍生为ISO 17799信息安全管理实施细则和ISO 27001信息安全管理体系规范。ISO 17799是建立并实施信息安全管理体系的指导性标准，ISO 27001是对信息安全管理体系进行审核的依据性标准。获得ISO 27001认证是企业拥有完善的信息安全管理体系的象征。萨班斯(SOX)法案是另一部更加具有国际性影响的规章，始创于 2002 年，由美国证券交易委员会(SEC)提交，是一部旨在消除企业财务欺诈行为和弊端的历史性法案，它要求在美国上市的所有企业必须通过该法案审核。ISO 17799/27001与定义信

4、息治理过程的COBIT标准和COSO框架共同健全了萨班斯法案中与安全和内控审计相关的404条款。安全认证、咨询服务解决方案启明星辰公司积极参照ISO 17799/27001和COBIT为客户提供安全认证、咨询服务，最终达到符合SOX法案的要求。同时我们也意识到，安全认证的真正目的不仅仅是为了获得证书，更重要的是建立切实的网络和业务安全体系，帮助运营商争取更多的用户，特别是高端的国际型用户与投资，在此基础上，将SOX内控审计落实到具体的运营工作中、塑造卓越的运维队伍、驱动更大的经济效益。应该看到，安全管理具有宏观、中观和微观三重层次，ISO 27001在宏观安全管理体系规划方面有很好的定义，但中

5、观调整、特别是微观实现方面实际上是留待各实施机构根据各自情况自行解决，换句话说，ISO 27001偏重从宏观角度提供理论指导。执行ISO 27001、符合ISO 27001，必须结合运营商的主业、从中观和微观角度加以落实。启明星辰公司为运营商提供立体的ISO 27001防御体系，涉及宏观规划和监控、中观整合加固、微观技术实现，每个层面上又纵深提供评估服务、应急服务、技术培训和技术支撑，真正做到将ISO 27001认证落实到安全运维人员每天可执行的技术、工具、平台、流程、规章等各个层次。收益启明星辰公司承诺所提供的安全认证、咨询服务针对运营商的不同系统量体裁衣，协助运营商除获得认证证书之外，落实

6、并巩固安全认证成果，包括：制定切实可操作的安全规范与安全策略;实施网络安全优化方案;对系统进行深层次的安全评估并提交安全加固建议;提供电信级应急响应服务;提供专业的安全管理和安全技术培训;实施全面的安全监控二、安全域解决方案划分安全域的原则安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。启明星辰公司采用“同构性简化”的安全域划分方法，将复杂的大网络进行简化后设计防护体系，以便进行有效的安全管理。启明星辰公司安全域划分遵循以下原则：1、业务保障原则;2、结构简化原则;3、立体协防原则。以某运营商系统为例，我们通过对该系统进行数据流分析、网络

7、结构分析，结合考虑现有的安全隐患，从资产价值、脆弱性、安全隐患三者间的关系出发，得到了整体的安全防护体系和各个业务系统自身的安全防护体系，为进一步管理整合后的安全域做好了准备。基于安全域划分的最佳实践，该运营商的各个系统被分别划入不同的安全域，再根据每个安全域内部的特定安全需求进一步划分安全子域，包括：核心交换区、核心生产区、日常办公区、接口区、安全管理区、内部系统接入区、外部系统接入区。如下图所示：安全加固在划分安全域之后，我们对不同安全域内的关键设备进行安全加固，依据是：各安全域内部的设备由于不同的互联需求，面临的威胁也不同，因此其安全需求也存在很大差异。1、生产服务器：一般都是UNIX平

8、台，资产价值最高，不直接连接外部网络，主要的安全需求是访问控制、账号口令、权限管理和补丁管理;2、维护终端：一般都是WINDOWS平台，维护管理人员可以直接操作，其用户接入的方式也不尽相同(本地维护终端、远程维护终端)，面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁，其安全需求是安全策略的集中管理、病毒检测(固定终端)、漏洞补丁等;3、第三方：对业务系统的软、硬件进行远程维护或现场维护，其操作很难控制，面临着病毒、漏洞、攻击、越权或滥用、泄密等威胁，安全需求主要是接入控制，包括IP/MAC地址绑定、帐号口令、访问控制，以及在线杀毒、防毒墙、应用层的帐号口令管理、补丁管理等;4、合作伙伴：涉

9、及到与其他系统的连接，面临着病毒、漏洞、入侵等威胁，安全需求是病毒防护、入侵检测、漏洞补丁等。5、互联网：面临着黑客入侵、病毒扩散等威胁，主要的安全需求是入侵检测、病毒防护、数据过滤等。安全域与安全策略的结合在划分安全域、进行安全加固的基础上，还需要对网络边界和重点区域采取特定的安全措施。 边界安全对于任何安全域的保护，边界安全是最低的保护措施，通过对边界的控制能够保护安全域不受到来自其它区域的安全威胁。在上面的图例中，我们采用了以下技术：边界隔离、认证、监视、审计。具体的产品实现包括：MPLS VPN、VPN Lite、防火墙、接口主机、交换机VLAN、PVLAN、ACL等。 区域安全区域安

10、全是通过在安全域内部设置监视、测量、清理、审计等技术手段，实现安全域内安全事件的及时响应和清除。安全域的区域安全以安全状况的监控为主，对于本安全域内部的安全事件及时响应和清除，是安全域的核心安全处置手段。具体采用的技术和产品包括：入侵检测、安全审计、漏洞扫描、病毒防护、访问控制、帐号管理、补丁管理、流量监控等。实现效益通过划分安全域实现等级保护，启明星辰公司把电信运营商复杂的安全问题化解成小区域的安全保护问题，从而在全网范围内实现大规模的等级保护。该方案不仅仅是从网络系统、技术层面和单一安全设备来看待问题，更是从网络建设的整体规划出发，全盘考虑，帮助电信运营商从根本上解决安全问题。从SOX内控

11、审计的角度，安全域解决方案也将发挥其潜在的巨大优势，帮助电信运营商在SOX内控审计的过程中化繁为简，快速达到安全指标要求，与国际接轨，为企业带来更大的市场和经济效益。三、4A统一安全管理平台解决方案4A统一安全管理平台解决方案结合了启明星辰天玥业务审计产品的优势，引入了SafeWord产品系列中的3A组件。4A包括统一用户账号(Account)管理、统一认证(Authentication) 管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。融合后的解决方案将涵盖单点登录(SSO)等安全功能，既能够为客户提供功能完善的、高安全级别的4A管理，也能够为用户提供符合

12、萨班斯法案(SOX)要求的内控报表。为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展，其内部用户数量持续增加，网络规模迅速扩大，安全问题不断出现。而每个业务网系统分别维护一套用户信息数据，管理本系统内的账号和口令，孤立地的以日志形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求，及与国际业务接轨的需求。问题主要表现在以下几方面：1. 大量的网络设备、主机系统和应用系统分属不同的部门或业务系统，认证、授权和审计方式没有统一，当需要同时对多个系统进行操作时，工作复杂度成倍增加;2. 一些设备和业务系统由厂商代维，因缺乏统一

13、监管，安全状况不得而知;3. 各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统一的访问控制平台，随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障;4. 个别账号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际使用者;5. 随着系统增多，用户经常需要在各系统间切换，而每次切换都需要输入该系统的用户名和口令，为不影响工作效率，用户往往会采用简单口令或将多个系统的口令设置成相同的，造成对系统安全性的危害;6. 对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为。综上，由于缺乏统一的4A管理平台，在系统管理人员工作负担加重的同时，因各业务系统

14、安全策略不一致，实质上也大大降低了业务系统的安全系数。4A统一安全管理平台解决方案采用启明星辰4A统一安全管理平台解决方案能够解决运营商当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。该解决方案由5个子系统组成：统一的4A管理平台、统一的认证授权子系统、统一的账号管理子系统、统一的日志审计子系统、网络行为审计子系统，它们之间的协作关系如下图所示：统一4A管理平台向其它四个子系统传递配置参数，包括认证参数、账号参数、审计策略参数等，而四个子系统则将自身的运行状态值传递给统一4A管理平台;统一4A管理平台上各参数的变更，以及各告警值通过syslog的方式传递给统一日志审计子系统;统一认

15、证授权子系统对用户进行统一接入认证后，产生的认证记录通过syslog的方式发送给统一日志审计子系统;统一账号管理子系统对用户账号进行维护的操作通过syslog的方式发送给统一日志审计子系统;网络审计引擎部件将采集到的日志信息通过syslog方式发送给统一日志审计子系统。统一日志审计子系统功能：安全日志采集安全日志多维分析安全日志实时展现报表分析审计策略配置数据存储统一认证授权子系统功能：统一身份认证集中账号口令管理统一认证和授权- 网络设备的身份认证及授权- 主机系统的身份认证及授权- 远程接入或VPN接入用户的认证及授权- 数据库管理的身份认证及授权- 基于Web的运营系统的身份认证及授权-

16、 基于C/S结构的业务系统的身份认证统一账号管理子系统功能：单点登陆账号同步统一账号管理与统一认证授权协作网络行为审计子系统功能：FTP/TELNET审计XWINDOW审计常用数据库的操作审计(ORACLE审计、DB2审计、SQL SERVER审计、SYBASE审计)堡垒机跳转行为审计NETBIOS审计HTTP审计SMTP审计POP3审计非正常网络行为的审计各种协议的审计报表投资收益统一认证、授权和审计，工作复杂度大幅度降低;统一监管，安全状况尽在掌握;避免多人共用相同账号，安全事故易于追踪;单点登录(SSO)免去用户在各系统间切换时，需要再次输入用户名和口令的繁琐;对各个系统进行统一的访问审

17、计，利于综合分析，及时发现入侵行为与萨班斯法案(SOX)内控需求一致。四、面向业务保障的安全服务体系解决方案为了阻止黑客对电信级业务、应用系统的破坏，启明星辰公司在延用一系列传统安全产品(如防火墙、防病毒、入侵检测、入侵防御、漏洞扫描等)的同时，根据国际安全领域权威的ISO 17799/27001和最符合萨班斯(SOX)法案要求的COBIT等标准，推出了全新的、贴近电信市场需求的、面向业务保障的安全服务体系解决方案。业务系统安全解决方案启明星辰公司紧随世界发展，面对新一代市场挑战，提出了更具针对性的业务系统安全解决方案。以萨班斯(SOX)法案对内控系统的安全需求为根本，制定了全新的风险评估、应

18、急响应、安全加固等服务，时刻以市场上的安全需求为导向，更树立起全面的电信级安全服务解决方案。用专注、专业、专心的精神为电信运营商客户切实解决遇到的安全问题。安全管理监控闭环服务体系安全管理监控服务是网络与信息安全系统的委托管理与服务，是风险管理的过程化实施，是专业安全公司为企业提供的专家级服务体系。该体系以全面保护、实时监控、专家响应为基本元素，建立了一套闭环服务体系，这种全面的安全服务体系能完全使企业摆脱维护系统安全的烦恼，并从最大程度上提高投资回报率。在这个闭环中，依次执行以下6部分内容： 为了解系统本身的漏洞及潜在的风险，对系统进行风险评估; 针对评估出来的漏洞和风险提出准确的系统加固建议; 依据系统加固建议，有效地部署并配置安全设备; 对工作进程进行安全监控，确保其顺利进行; 如遇紧急事件，由资深安全专家做出及时响应，以解决问题; 根据客户信息系统中的信息资产情况，提供相应的安全信息通告，以邮件，电话或短信的方式发给客户，提供及时的修补和防御措施。此外，在整个管理监控过程中，对企业相关人员进行安全实践培训。为您带来的收益 最大限度降低安全运营成本; 建立强化的信息安全保障体系; 充分利用体系中已有的安全产品; 免除您在使用与维护安全产品时的烦恼; 降低企业信息安全人员的投入。