詳談企業(yè)IT內(nèi)控方案 -電腦資料

　　IT內(nèi)控與企業(yè)內(nèi)控

　　全球化背景下，共享與安全問題并存，越來越多的國家認(rèn)識到，無論是市場還是企業(yè)本身，均存在著對企業(yè)內(nèi)部控制的要求，

詳談企業(yè)IT內(nèi)控方案

。許多國家均已頒布了相關(guān)法案，如美國的《薩班斯法案》（2002年安然、世通舞弊事件）、日本的《金融商品交易法》等。

　　有“中國版薩班斯法案”之稱的《企業(yè)內(nèi)部控制基本規(guī)范》在企業(yè)治理、職權(quán)控制和信息發(fā)布方面提出了極為嚴(yán)格的監(jiān)管要求。而據(jù)有關(guān)咨詢公司對中國上市公司的一項調(diào)查顯示，56%的受訪公司尚未建立或完善內(nèi)部控制機(jī)制，情況并不樂觀。

　　現(xiàn)今，國內(nèi)大中型企業(yè)高度依賴IT系統(tǒng)作為業(yè)務(wù)的支撐，IT內(nèi)控已成為是企業(yè)信息化管理中規(guī)避潛在風(fēng)險的重要方法。使用技術(shù)手段實現(xiàn)IT內(nèi)部控制與IT風(fēng)險管理，方能幫助企業(yè)規(guī)避風(fēng)險、提高管理水平。

　　內(nèi)控方案的五要素

　　《企業(yè)內(nèi)部控制基本規(guī)范》包含五要素：內(nèi)部環(huán)境、風(fēng)險評估、控制措施、信息與溝通、監(jiān)督檢查。

　　深信服認(rèn)為，作為企業(yè)內(nèi)控重要組成部分的IT內(nèi)控方案，也應(yīng)從如上五方面考慮：

　　1。 IT環(huán)境

　　企業(yè)IT環(huán)境是實施內(nèi)控的依據(jù)。

　　所采用的技術(shù)方案應(yīng)適合組織文化、組織架構(gòu)、已有網(wǎng)絡(luò)環(huán)境、未來網(wǎng)絡(luò)規(guī)劃、IT管理制度、信息安全等級要求、信息安全保密要求等。能提供靈活的控制，在管理要求和人性化之間取得平衡；

　　2。 IT風(fēng)險評估

　　現(xiàn)在，來自網(wǎng)絡(luò)的安全威脅如：病毒傳播、網(wǎng)頁/郵件掛馬、 入侵、網(wǎng)絡(luò)數(shù)據(jù)竊賊，來自組織內(nèi)部的威脅：網(wǎng)絡(luò)訪問權(quán)限與職務(wù)不匹配、終端安全級別底下、安全防范意識不到位等，甚至系統(tǒng)內(nèi)部泄密，已經(jīng)使信息安全成為各行業(yè)信息化建設(shè)中的首要問題。

　　IT管理者需要技術(shù)方案，對IT風(fēng)險進(jìn)行識別與分析，如信息資產(chǎn)的風(fēng)險、IT管理制度的風(fēng)險以及應(yīng)用權(quán)限的風(fēng)險。

　　3。 IT控制

　　以風(fēng)險評估為依據(jù)，IT管理者需要可實行的IT控制措施。正所謂“三分制度、七分管理”，采用技術(shù)手段配合制度已是共識。

　　技術(shù)類控制措施，如身份管理、權(quán)限管理、信息過濾、日志留存、安全防護(hù)等，配合管理類控制措施，如各類制度與流程：授權(quán)審批、職權(quán)匹配、定期報表匯報、提前預(yù)估、IT績效考核等。IT控制措施應(yīng)符合企業(yè)現(xiàn)狀，所選方案須有足夠的靈活性，兼顧組織架構(gòu)中各層級人物的需求。

　　4。 信息與溝通

　　企業(yè)應(yīng)用信息技術(shù)促進(jìn)信息的集成與共享，信息保密顯得尤為重要。截至09年9月，我國每年因網(wǎng)絡(luò)泄密導(dǎo)致的經(jīng)濟(jì)損失高達(dá)上百億。其中，因為存在安全漏洞被攻擊、入侵導(dǎo)致的被動泄密，因為利益誘惑導(dǎo)致的主動泄密，舞弊事件等，給企業(yè)造成商機(jī)泄露、客戶流失、形象受損等諸多損失，

電腦資料

《詳談企業(yè)IT內(nèi)控方案》(http://clearvueentertainment.com)。

　　IT管理者需要懲防并舉、重在預(yù)防的技術(shù)方案，事前預(yù)防，事發(fā)攔截，事后追蹤。

　　5。 內(nèi)部監(jiān)督

　　企業(yè)需要IT審核機(jī)制，通過日志監(jiān)控、行為綜合分析、定期專項評審等措施，評估控制的有效性，作為改進(jìn)依據(jù)，并為安全事件的發(fā)生做好應(yīng)急追蹤預(yù)案。

　　深信服IT內(nèi)控方案

　　針對如上IT內(nèi)控要求，深信服科技總結(jié)多年來基于用戶需求的產(chǎn)品研發(fā)經(jīng)驗，提出如下解決方案：

　　◆精準(zhǔn)識別上網(wǎng)用戶身份，保證行為與用戶一一對應(yīng)

　　管理的前提，是對用戶身份、行為的準(zhǔn)確定義，尤其認(rèn)定用戶身份的重要性不言而喻。

　　對上網(wǎng)人員的身份認(rèn)定有多種方式：需用戶手動參與的Web認(rèn)證、無需用戶參與的IP/MAC認(rèn)證、USBkey硬件認(rèn)證、AD/POP3/Proxy單點登錄認(rèn)證、第三方LDAP/Radius/AD服務(wù)器聯(lián)動認(rèn)證等，可結(jié)合企業(yè)的具體情況選擇合適的方式。

　　◆最小化業(yè)務(wù)所需訪問權(quán)限，實現(xiàn)職權(quán)對應(yīng)

　　IT內(nèi)控要求實現(xiàn)給企業(yè)各組成部門分配與業(yè)務(wù)匹配的訪問權(quán)限。

　　深信服建議管理員可設(shè)定策略：

　　訪問權(quán)限差異化，僅滿足部門業(yè)務(wù)要求的最小化網(wǎng)絡(luò)訪問權(quán)限（如僅允許財務(wù)部門訪問財務(wù)服務(wù)器，為核心研發(fā)人員配置特殊權(quán)限），封堵與業(yè)務(wù)無關(guān)的應(yīng)用，防止越權(quán)訪問；

　　使用流控策略，防止資源濫用；

　　為防范泄密與不良輿論事件，封堵論壇、博客、BBS等網(wǎng)站，采取“看貼不能發(fā)帖”“webmail能收不能發(fā)郵件”功能平衡人性化和信息保護(hù)要求，并基于多關(guān)鍵字過濾、告警敏感信息（發(fā)帖、郵件）。

　　◆信息安全防護(hù)、保護(hù)信息資產(chǎn)安全

　　潛在的泄密行為、舞弊行為，往往隱藏在正常業(yè)務(wù)數(shù)據(jù)中，如數(shù)據(jù)傳送、文件外發(fā)、郵件發(fā)送。深信服建議IT管理員關(guān)注業(yè)務(wù)數(shù)據(jù)流中的異常信息，除了使用關(guān)鍵字、行為定義預(yù)先發(fā)現(xiàn)外發(fā)敏感信息的行為，還需要對敏感郵件、外發(fā)可疑文件做攔截審計。

　　面對來自網(wǎng)絡(luò)的危險，深信服幫助管理員封堵木馬、 遠(yuǎn)程控制，發(fā)現(xiàn)并攔截中毒終端對外發(fā)送數(shù)據(jù)的行為，避免無辜員工卷入泄密事件。

　　◆行為記錄和報表分析，作為IT評估依據(jù)

　　為進(jìn)行IT評估、追查安全事件，企業(yè)必須保留適當(dāng)期限的外發(fā)信息日志、上網(wǎng)日志，并使用專業(yè)的可視化設(shè)備進(jìn)行統(tǒng)計、查詢、檢索。

　　深信服建議管理員定期輸出“網(wǎng)絡(luò)運維情況報表”“異常行為智能報表”，了解控制效果，及時發(fā)現(xiàn)潛在的異常行為，既作為IT調(diào)控依據(jù)，又可幫助企業(yè)提前預(yù)知風(fēng)險。

　　為保障信息安全，建議管理員為組織高層領(lǐng)導(dǎo)配發(fā)“免審計Key”免除過分審計帶來的泄密風(fēng)險，配備“日志查看權(quán)限key”保護(hù)日志信息安全。

　　綜上，深信服致力于為客戶提供綜合解決方案，幫助客戶實現(xiàn)更低的風(fēng)險、業(yè)務(wù)安全發(fā)布、增強(qiáng)企業(yè)受信度、降低員工流動率、更好的公司治理、快速決策。