立足萨班斯(SOX)法案的系列安全解决方案.

立足萨班斯立足萨班斯 SOX 法案的系列安全解决方案法案的系列安全解决方案 萨班斯 SOX 法案内控审计要求的出台 提升了 IT 控制在企业内部控制中的重要性 对电信运营商 IT 设施的安全性提出了更高的要求 如何改进 IT 控制和完善 IT 治理 是电 信运营商的 CIO 们面临的新挑战 针对电信运营商 SOX 内控的系列安全解决方案孕育而生 国内信息安全厂商启明星 辰从宏观到微观 包括 ISO27001 安全认证咨询服务解决方案 安全域解决方案 4A 账 号 认证 授权 审计 统一安全管理平台解决方案 以及面向业务保障的安全服务体系解 决方案 一 一 ISO27001 安全认证咨询服务解决方案安全认证咨询服务解决方案 近年来 国家出台了一系列信息安全的法律法规 信息产业部已将安全与业务准入挂 钩 与此同时 海外政府 资本市场提出的新监管要求 如 SOX 法案 的强制执行都要求 运营商进一步遵守安全内控要求 放眼电信市场 各大运营商的 转型 都在寻找新的蓝海 IT 与电信迅速融为一体成为 ICT 而 IT 为传统通信产业注入无限活力的同时 也引发了大量安全问题 能否解决这些 安全问题 已成为运营商与竞争对手拉开差距的关键 并已成为新的业务增长点 在此背景下 各大运营商需要建立完善的信息安全管理体系 ISMS 通过国际权威机 构的安全认证 并不断巩固完善 旨在赢得国内外客户的信任与国际资本市场的青睐 为 企业的持续健康发展保驾护航 相关国际标准与法案相关国际标准与法案 作为建立信息安全管理体系 ISMS 的重要规范 BS7799 标准被 ISO 组织采纳后 衍 生为 ISO 17799 信息安全管理实施细则 和 ISO 27001 信息安全管理体系规范 ISO 17799 是建立并实施信息安全管理体系的指导性标准 ISO 27001 是对信息安全管理 体系进行审核的依据性标准 获得 ISO 27001 认证是企业拥有完善的信息安全管理体系的 象征 萨班斯 SOX 法案是另一部更加具有国际性影响的规章 始创于 2002 年 由美国证 券交易委员会 SEC 提交 是一部旨在消除企业财务欺诈行为和弊端的历史性法案 它要 求在美国上市的所有企业必须通过该法案审核 ISO 17799 27001 与定义信息治理过程的 COBIT 标准和 COSO 框架共同健全了萨班 斯法案中与安全和内控审计相关的 404 条款 安全认证 咨询服务解决方案安全认证 咨询服务解决方案 启明星辰公司积极参照 ISO 17799 27001 和 COBIT 为客户提供安全认证 咨询服务 最终达到符合 SOX 法案的要求 同时我们也意识到 安全认证的真正目的不仅仅是为了 获得证书 更重要的是建立切实的网络和业务安全体系 帮助运营商争取更多的用户 特 别是高端的国际型用户与投资 在此基础上 将 SOX 内控审计落实到具体的运营工作中 塑造卓越的运维队伍 驱动更大的经济效益 应该看到 安全管理具有宏观 中观和微观三重层次 ISO 27001 在宏观安全管理体 系规划方面有很好的定义 但中观调整 特别是微观实现方面实际上是留待各实施机构根 据各自情况自行解决 换句话说 ISO 27001 偏重从宏观角度提供理论指导 执行 ISO 27001 符合 ISO 27001 必须结合运营商的主业 从中观和微观角度加以落实 启明星辰公司为运营商提供立体的 ISO 27001 防御体系 涉及宏观规划和监控 中观 整合加固 微观技术实现 每个层面上又纵深提供评估服务 应急服务 技术培训和技术 支撑 真正做到将 ISO 27001 认证落实到安全运维人员每天可执行的技术 工具 平台 流程 规章等各个层次 收益收益 启明星辰公司承诺所提供的安全认证 咨询服务针对运营商的不同系统量体裁衣 协 助运营商除获得认证证书之外 落实并巩固安全认证成果 包括 制定切实可操作的安全规范与安全策略 实施网络安全优化方案 对系统进行深层次的安全评估并提交安全加固建议 提供电信级应急响应服务 提供专业的安全管理和安全技术培训 实施全面的安全监控 二 安全二 安全域域解决方案解决方案 划分安全域的原则划分安全域的原则 安全域是指同一环境内有相同的安全保护需求 相互信任 并具有相同的安全访问控 制和边界控制策略的网络或系统 启明星辰公司采用 同构性简化 的安全域划分方法 将 复杂的大网络进行简化后设计防护体系 以便进行有效的安全管理 启明星辰公司安全域划分遵循以下原则 1 业务保障原则 2 结构简化原则 3 立体协防原则 以某运营商系统为例 我们通过对该系统进行数据流分析 网络结构分析 结合考虑 现有的安全隐患 从资产价值 脆弱性 安全隐患三者间的关系出发 得到了整体的安全 防护体系和各个业务系统自身的安全防护体系 为进一步管理整合后的安全域做好了准备 基于安全域划分的最佳实践 该运营商的各个系统被分别划入不同的安全域 再根据 每个安全域内部的特定安全需求进一步划分安全子域 包括 核心交换区 核心生产区 日常办公区 接口区 安全管理区 内部系统接入区 外部系统接入区 如下图所示 安全加固安全加固 在划分安全域之后 我们对不同安全域内的关键设备进行安全加固 依据是 各安全 域内部的设备由于不同的互联需求 面临的威胁也不同 因此其安全需求也存在很大差异 1 生产服务器 一般都是 UNIX 平台 资产价值最高 不直接连接外部网络 主要的 安全需求是访问控制 账号口令 权限管理和补丁管理 2 维护终端 一般都是 WINDOWS 平台 维护管理人员可以直接操作 其用户接入 的方式也不尽相同 本地维护终端 远程维护终端 面临着病毒扩散 漏洞补丁 误操作 越权和滥用等威胁 其安全需求是安全策略的集中管理 病毒检测 固定终端 漏洞补丁 等 3 第三方 对业务系统的软 硬件进行远程维护或现场维护 其操作很难控制 面 临着病毒 漏洞 攻击 越权或滥用 泄密等威胁 安全需求主要是接入控制 包括 IP MAC 地址绑定 帐号口令 访问控制 以及在线杀毒 防毒墙 应用层的帐号口令管 理 补丁管理等 4 合作伙伴 涉及到与其他系统的连接 面临着病毒 漏洞 入侵等威胁 安全需 求是病毒防护 入侵检测 漏洞补丁等 5 互联网 面临着黑客入侵 病毒扩散等威胁 主要的安全需求是入侵检测 病毒 防护 数据过滤等 安全域与安全策略的结合安全域与安全策略的结合 在划分安全域 进行安全加固的基础上 还需要对网络边界和重点区域采取特定的安 全措施 边界安全 对于任何安全域的保护 边界安全是最低的保护措施 通过对边界的控制能够保护安 全域不受到来自其它区域的安全威胁 在上面的图例中 我们采用了以下技术 边界隔离 认证 监视 审计 具体的产品实现包括 MPLS VPN VPN Lite 防火墙 接口主机 交换机 VLAN PVLAN ACL 等 区域安全 区域安全是通过在安全域内部设置监视 测量 清理 审计等技术手段 实现安全域 内安全事件的及时响应和清除 安全域的区域安全以安全状况的监控为主 对于本安全域 内部的安全事件及时响应和清除 是安全域的核心安全处置手段 具体采用的技术和产品 包括 入侵检测 安全审计 漏洞扫描 病毒防护 访问控制 帐号管理 补丁管理 流 量监控等 实现效益实现效益 通过划分安全域实现等级保护 启明星辰公司把电信运营商复杂的安全问题化解成小 区域的安全保护问题 从而在全网范围内实现大规模的等级保护 该方案不仅仅是从网络 系统 技术层面和单一安全设备来看待问题 更是从网络建设的整体规划出发 全盘考虑 帮助电信运营商从根本上解决安全问题 从 SOX 内控审计的角度 安全域解决方案也将发挥其潜在的巨大优势 帮助电信运 营商在 SOX 内控审计的过程中化繁为简 快速达到安全指标要求 与国际接轨 为企业 带来更大的市场和经济效益 三 三 4A 统一安全管理平台解决方案统一安全管理平台解决方案 4A 统一安全管理平台解决方案结合了启明星辰天玥业务审计产品的优势 引入了 SafeWord 产品系列中的 3A 组件 4A 包括统一用户账号 Account 管理 统一认证 Authentication 管理 统一授权 Authorization 管理和统一安全审计 Audit 四要素 融合后的解决方案将涵盖单点登录 SSO 等安全功能 既能够为客户提供功能完善的 高安全级别的 4A 管理 也能够为用户提供符合萨班斯法案 SOX 要求的内控报表 为什么需要为什么需要 4A 统一安全管理平台解决方案统一安全管理平台解决方案 随着各大电信运营商的业务网发展 其内部用户数量持续增加 网络规模迅速扩大 安全问题不断出现 而每个业务网系统分别维护一套用户信息数据 管理本系统内的账号 和口令 孤立地的以日志形式审计操作者在系统内的操作行为 现有的这种账号口令管理 访问控制及审计措施已远远不能满足自身业务发展需求 及与国际业务接轨的需求 问题 主要表现在以下几方面 1 大量的网络设备 主机系统和应用系统分属不同的部门或业务系统 认证 授权和 审计方式没有统一 当需要同时对多个系统进行操作时 工作复杂度成倍增加 2 一些设备和业务系统由厂商代维 因缺乏统一监管 安全状况不得而知 3 各系统分别管理所属的系统资源 为本系统的用户分配访问权限 缺乏统一的访问 控制平台 随着用户数增加 权限管理愈发复杂 系统安全难以得到充分保障 4 个别账号多人共用 扩散范围难以控制 发生安全事故时更难以确定实际使用者 5 随着系统增多 用户经常需要在各系统间切换 而每次切换都需要输入该系统的用 户名和口令 为不影响工作效率 用户往往会采用简单口令或将多个系统的口令设置成相 同的 造成对系统安全性的危害 6 对各个系统缺乏集中统一的访问审计 无法进行综合分析 因此不能及时发现入侵 行为 综上 由于缺乏统一的 4A 管理平台 在系统管理人员工作负担加重的同时 因各业 务系统安全策略不一致 实质上也大大降低了业务系统的安全系数 4A 统一安全管理平台解决方案统一安全管理平台解决方案 采用启明星辰 4A 统一安全管理平台解决方案能够解决运营商当前在账号口令管理 访问控制及审计措施方面所面临的主要问题 该解决方案由 5 个子系统组成 统一的 4A 管理平台 统一的认证授权子系统 统一的账号管理子系统 统一的日志审计子系统 网 络行为审计子系统 它们之间的协作关系如下图所示 统一 4A 管理平台向其它四个子系统传递配置参数 包括认证参数 账号参数 审计 策略参数等 而四个子系统则将自身的运行状态值传递给统一 4A 管理平台 统一 4A 管理平台上各参数的变更 以及各告警值通过 syslog 的方式传递给统一日志 审计子系统 统一认证授权子系统对用户进行统一接入认证后 产生的认证记录通过 syslog 的方式 发送给统一日志审计子系统 统一账号管理子系统对用户账号进行维护的操作通过 syslog 的方式发送给统一日志审 计子系统 网络审计引擎部件将采集到的日志信息通过 syslog 方式发送给统一日志审计子系统 统一日志审计子系统功能 安全日志采集 安全日志多维分析 安全日志实时展现 报表分析 审计策略配置 数据存储 统一认证授权子系统功能 统一身份认证 集中账号口令管理 统一认证和授权 网络设备的身份认证及授权 主机系统的身份认证及授权 远程接入或 VPN 接入用户的认证及授权 数据库管理的身份认证及授权 基于 Web 的运营系统的身份认证及授权 基于 C S 结构的业务系统的身份认证 统一账号管理子系统功能 单点登陆 账号同步 统一账号管理与统一认证授权协作 网络行为审计子系统功能 FTP TELNET 审计 XWINDOW 审计 常用数据库的操作审计 ORACLE 审计 DB2 审计 SQL SERVER 审计 SYBASE 审计 堡垒机跳转行为审计 NETBIOS 审计 HTTP 审计 SMTP 审计 POP3 审计 非正常网络行为的审计 各种协议的审计报表 投资收益 统一认证 授权和审计 工作复杂度大幅度降低 统一监管 安全状况尽在掌握 避免多人共用相同账号 安全事故易于追踪 单点登录 SSO 免去用户在各系统间切换时 需要再次输入用户名和口令的繁琐 对各个系统进行统一的访问审计 利于综合分析 及时发现入侵行为 与萨班斯法案 SOX 内控需求一致 四 面向业务保障的安全服务体系解决方案四 面向业务保障的安全服务体系解决方案 为了阻止黑客对电信级业务 应用系统的破坏 启明星辰公司在延用一系列传统安全 产品 如防火墙 防病毒 入侵检测 入侵防御 漏洞扫描等 的同时 根据国际安全领域 权威的 ISO 17799 27001 和最符合萨班斯 SOX 法案要求的 COBIT 等标准 推出了全新 的 贴近电信市场需求的 面向业务保障的安全服务体系解决方案 业务系统安全解决方案业务系统安全解决方案 启明星辰公司紧随世界发展 面对新一代市场挑战 提出了更具针对性的业务系统安 全解