【51CTO.com 綜合報(bào)道】IT內(nèi)控與企業(yè)內(nèi)控

全球化背景下，共享與安全問題并存，越來越多的國家認(rèn)識到，無論是市場還是企業(yè)本身，均存在著對企業(yè)內(nèi)部控制的要求。許多國家均已頒布了相關(guān)法案，如美國的《薩班斯法案》（2002年安然、世通舞弊事件）、日本的《金融商品交易法》等。

有“中國版薩班斯法案”之稱的《企業(yè)內(nèi)部控制基本規(guī)范》在企業(yè)治理、職權(quán)控制和信息發(fā)布方面提出了極為嚴(yán)格的監(jiān)管要求。而據(jù)有關(guān)咨詢公司對中國上市公司的一項(xiàng)調(diào)查顯示，56%的受訪公司尚未建立或完善內(nèi)部控制機(jī)制，情況并不樂觀。

現(xiàn)今，國內(nèi)大中型企業(yè)高度依賴IT系統(tǒng)作為業(yè)務(wù)的支撐，IT內(nèi)控已成為是企業(yè)信息化管理中規(guī)避潛在風(fēng)險(xiǎn)的重要方法。使用技術(shù)手段實(shí)現(xiàn)IT內(nèi)部控制與IT風(fēng)險(xiǎn)管理，方能幫助企業(yè)規(guī)避風(fēng)險(xiǎn)、提高管理水平。

內(nèi)控方案的五要素

《企業(yè)內(nèi)部控制基本規(guī)范》包含五要素：內(nèi)部環(huán)境、風(fēng)險(xiǎn)評估、控制措施、信息與溝通、監(jiān)督檢查。

深信服認(rèn)為，作為企業(yè)內(nèi)控重要組成部分的IT內(nèi)控方案，也應(yīng)從如上五方面考慮：

1. IT環(huán)境

企業(yè)IT環(huán)境是實(shí)施內(nèi)控的依據(jù)。

所采用的技術(shù)方案應(yīng)適合組織文化、組織架構(gòu)、已有網(wǎng)絡(luò)環(huán)境、未來網(wǎng)絡(luò)規(guī)劃、IT管理制度、信息安全等級要求、信息安全保密要求等。能提供靈活的控制，在管理要求和人性化之間取得平衡；

2. IT風(fēng)險(xiǎn)評估

現(xiàn)在，來自網(wǎng)絡(luò)的安全威脅如：病毒傳播、網(wǎng)頁/郵件掛馬、黑客入侵、網(wǎng)絡(luò)數(shù)據(jù)竊賊，來自組織內(nèi)部的威脅：網(wǎng)絡(luò)訪問權(quán)限與職務(wù)不匹配、終端安全級別底下、安全防范意識不到位等，甚至系統(tǒng)內(nèi)部泄密，已經(jīng)使信息安全成為各行業(yè)信息化建設(shè)中的首要問題。

IT管理者需要技術(shù)方案，對IT風(fēng)險(xiǎn)進(jìn)行識別與分析，如信息資產(chǎn)的風(fēng)險(xiǎn)、IT管理制度的風(fēng)險(xiǎn)以及應(yīng)用權(quán)限的風(fēng)險(xiǎn)。

3. IT控制

以風(fēng)險(xiǎn)評估為依據(jù)，IT管理者需要可實(shí)行的IT控制措施。正所謂“三分制度、七分管理”，采用技術(shù)手段配合制度已是共識。

技術(shù)類控制措施，如身份管理、權(quán)限管理、信息過濾、日志留存、安全防護(hù)等，配合管理類控制措施，如各類制度與流程：授權(quán)審批、職權(quán)匹配、定期報(bào)表匯報(bào)、提前預(yù)估、IT績效考核等。IT控制措施應(yīng)符合企業(yè)現(xiàn)狀，所選方案須有足夠的靈活性，兼顧組織架構(gòu)中各層級人物的需求。

4. 信息與溝通

企業(yè)應(yīng)用信息技術(shù)促進(jìn)信息的集成與共享，信息保密顯得尤為重要。截至09年9月，我國每年因網(wǎng)絡(luò)泄密導(dǎo)致的經(jīng)濟(jì)損失高達(dá)上百億。其中，因?yàn)榇嬖诎踩┒幢还簟⑷肭謱?dǎo)致的被動泄密，因?yàn)槔嬲T惑導(dǎo)致的主動泄密，舞弊事件等，給企業(yè)造成商機(jī)泄露、客戶流失、形象受損等諸多損失。

IT管理者需要懲防并舉、重在預(yù)防的技術(shù)方案，事前預(yù)防，事發(fā)攔截，事后追蹤。

5. 內(nèi)部監(jiān)督

企業(yè)需要IT審核機(jī)制，通過日志監(jiān)控、行為綜合分析、定期專項(xiàng)評審等措施，評估控制的有效性，作為改進(jìn)依據(jù)，并為安全事件的發(fā)生做好應(yīng)急追蹤預(yù)案。

深信服IT內(nèi)控方案

針對如上IT內(nèi)控要求，深信服科技總結(jié)多年來基于用戶需求的產(chǎn)品研發(fā)經(jīng)驗(yàn)，提出如下解決方案：

◆精準(zhǔn)識別上網(wǎng)用戶身份，保證行為與用戶一一對應(yīng)

管理的前提，是對用戶身份、行為的準(zhǔn)確定義，尤其認(rèn)定用戶身份的重要性不言而喻。

對上網(wǎng)人員的身份認(rèn)定有多種方式：需用戶手動參與的Web認(rèn)證、無需用戶參與的IP/MAC認(rèn)證、USBkey硬件認(rèn)證、AD/POP3/Proxy單點(diǎn)登錄認(rèn)證、第三方LDAP/Radius/AD服務(wù)器聯(lián)動認(rèn)證等，可結(jié)合企業(yè)的具體情況選擇合適的方式。

◆最小化業(yè)務(wù)所需訪問權(quán)限，實(shí)現(xiàn)職權(quán)對應(yīng)

IT內(nèi)控要求實(shí)現(xiàn)給企業(yè)各組成部門分配與業(yè)務(wù)匹配的訪問權(quán)限。

深信服建議管理員可設(shè)定策略：

訪問權(quán)限差異化，僅滿足部門業(yè)務(wù)要求的最小化網(wǎng)絡(luò)訪問權(quán)限（如僅允許財(cái)務(wù)部門訪問財(cái)務(wù)服務(wù)器，為核心研發(fā)人員配置特殊權(quán)限），封堵與業(yè)務(wù)無關(guān)的應(yīng)用，防止越權(quán)訪問；

使用流控策略，防止資源濫用；

為防范泄密與不良輿論事件，封堵論壇、博客、BBS等網(wǎng)站，采取“看貼不能發(fā)帖”“webmail能收不能發(fā)郵件”功能平衡人性化和信息保護(hù)要求，并基于多關(guān)鍵字過濾、告警敏感信息（發(fā)帖、郵件）。

◆信息安全防護(hù)、保護(hù)信息資產(chǎn)安全

潛在的泄密行為、舞弊行為，往往隱藏在正常業(yè)務(wù)數(shù)據(jù)中，如數(shù)據(jù)傳送、文件外發(fā)、郵件發(fā)送。深信服建議IT管理員關(guān)注業(yè)務(wù)數(shù)據(jù)流中的異常信息，除了使用關(guān)鍵字、行為定義預(yù)先發(fā)現(xiàn)外發(fā)敏感信息的行為，還需要對敏感郵件、外發(fā)可疑文件做攔截審計(jì)。

面對來自網(wǎng)絡(luò)的危險(xiǎn)，深信服幫助管理員封堵木馬、黑客遠(yuǎn)程控制，發(fā)現(xiàn)并攔截中毒終端對外發(fā)送數(shù)據(jù)的行為，避免無辜員工卷入泄密事件。

◆行為記錄和報(bào)表分析，作為IT評估依據(jù)

為進(jìn)行IT評估、追查安全事件，企業(yè)必須保留適當(dāng)期限的外發(fā)信息日志、上網(wǎng)日志，并使用專業(yè)的可視化設(shè)備進(jìn)行統(tǒng)計(jì)、查詢、檢索。

深信服建議管理員定期輸出“網(wǎng)絡(luò)運(yùn)維情況報(bào)表”“異常行為智能報(bào)表”，了解控制效果，及時(shí)發(fā)現(xiàn)潛在的異常行為，既作為IT調(diào)控依據(jù)，又可幫助企業(yè)提前預(yù)知風(fēng)險(xiǎn)。

為保障信息安全，建議管理員為組織高層領(lǐng)導(dǎo)配發(fā)“免審計(jì)Key”免除過分審計(jì)帶來的泄密風(fēng)險(xiǎn)，配備“日志查看權(quán)限key”保護(hù)日志信息安全。

綜上，深信服致力于為客戶提供綜合解決方案，幫助客戶實(shí)現(xiàn)更低的風(fēng)險(xiǎn)、業(yè)務(wù)安全發(fā)布、增強(qiáng)企業(yè)受信度、降低員工流動率、更好的公司治理、快速決策。