薩班斯(SOX)法案內控審計要求的出臺，提升了IT控制在企業內部控制中的重要性，對電信運營商IT設施的安全性提出了更高的要求，如何改進IT控制和完善IT治理，是電信運營商的CIO們面臨的新挑戰。

潛心關注電信行業安全并不斷創新的啟明星辰信息技術有限公司結合多年在安全領域的豐富經驗與最佳實踐，推出了針對電信運營商SOX內控的系列安全解決方案，從宏觀到微觀，包括ISO27001安全認證咨詢服務解決方案、 安全域解決方案、4A(賬號、認證、授權、審計)統一安全管理平臺解決方案、以及面向業務保障的安全服務體系解決方案。

一、ISO27001安全認證咨詢服務解決方案

近年來，國家出臺了一系列信息安全的法律法規，信息產業部已將安全與業務準入掛鉤，與此同時，海外政府、資本市場提出的新監管要求(如：SOX法案)的強制執行都要求運營商進一步遵守安全內控要求。

放眼電信市場，各大運營商的“轉型”都在尋找新的藍海，IT與電信迅速融為一體成為ICT，而IT為傳統通信產業注入無限活力的同時，也引發了大量安全問題，能否解決這些安全問題，已成為運營商與競爭對手拉開差距的關鍵，并已成為新的業務增長點。

在此背景下，各大運營商需要建立完善的信息安全管理體系(ISMS)，通過國際權威機構的安全認證，并不斷鞏固完善，旨在贏得國內外客戶的信任與國際資本市場的青睞，為企業的持續健康發展保駕護航。

相關國際標準與法案

作為建立信息安全管理體系(ISMS)的重要規范，BS7799標準被ISO組織采納后，衍生為ISO 17799《信息安全管理實施細則》和ISO 27001《信息安全管理體系規范》。ISO 17799是建立并實施信息安全管理體系的指導性標準，ISO 27001是對信息安全管理體系進行審核的依據性標準。獲得ISO 27001認證是企業擁有完善的信息安全管理體系的象征。

薩班斯(SOX)法案是另一部更加具有國際性影響的規章，始創于 2002 年，由美國證券交易委員會(SEC)提交，是一部旨在消除企業財務欺詐行為和弊端的歷史性法案，它要求在美國上市的所有企業必須通過該法案審核。

ISO 17799/27001與定義信息治理過程的COBIT標準和COSO框架共同健全了薩班斯法案中與安全和內控審計相關的404條款。

啟明星辰安全認證、咨詢服務解決方案

啟明星辰公司積極參照ISO 17799/27001和COBIT為客戶提供安全認證、咨詢服務，最終達到符合SOX法案的要求。同時我們也意識到，安全認證的真正目的不僅僅是為了獲得證書，更重要的是建立切實的網絡和業務安全體系，幫助運營商爭取更多的用戶，特別是高端的國際型用戶與投資，在此基礎上，將SOX內控審計落實到具體的運營工作中、塑造卓越的運維隊伍、驅動更大的經濟效益。

應該看到，安全管理具有宏觀、中觀和微觀三重層次，ISO 27001在宏觀安全管理體系規劃方面有很好的定義，但中觀調整、特別是微觀實現方面實際上是留待各實施機構根據各自情況自行解決，換句話說，ISO 27001偏重從宏觀角度提供理論指導。執行ISO 27001、符合ISO 27001，必須結合運營商的主業、從中觀和微觀角度加以落實。

啟明星辰公司為運營商提供立體的ISO 27001防御體系，涉及宏觀規劃和監控、中觀整合加固、微觀技術實現，每個層面上又縱深提供評估服務、應急服務、技術培訓和技術支撐，真正做到將ISO 27001認證落實到安全運維人員每天可執行的技術、工具、平臺、流程、規章等各個層次。



收益

啟明星辰公司承諾所提供的安全認證、咨詢服務針對運營商的不同系統量體裁衣，協助運營商除獲得認證證書之外，落實并鞏固安全認證成果，包括：

l 制定切實可操作的安全規范與安全策略;

l 實施網絡安全優化方案;

l 對系統進行深層次的安全評估并提交安全加固建議;

l 提供電信級應急響應服務;

l 提供專業的安全管理和安全技術培訓;

l 實施全面的安全監控 

 
二、安全域解決方案 
劃分安全域的原則

安全域是指同一環境內有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網絡或系統。啟明星辰公司采用“同構性簡化”的安全域劃分方法，將復雜的大網絡進行簡化后設計防護體系，以便進行有效的安全管理。

啟明星辰公司安全域劃分遵循以下原則：

1、業務保障原則;

2、結構簡化原則;

3、立體協防原則。

以某運營商系統為例，我們通過對該系統進行數據流分析、網絡結構分析，結合考慮現有的安全隱患，從資產價值、脆弱性、安全隱患三者間的關系出發，得到了整體的安全防護體系和各個業務系統自身的安全防護體系，為進一步管理整合后的安全域做好了準備。

基于安全域劃分的最佳實踐，該運營商的各個系統被分別劃入不同的安全域，再根據每個安全域內部的特定安全需求進一步劃分安全子域，包括：核心交換區、核心生產區、日常辦公區、接口區、安全管理區、內部系統接入區、外部系統接入區。

安全加固

在劃分安全域之后，我們對不同安全域內的關鍵設備進行安全加固，依據是：各安全域內部的設備由于不同的互聯需求，面臨的威脅也不同，因此其安全需求也存在很大差異。

1、生產服務器：一般都是UNIX平臺，資產價值最高，不直接連接外部網絡，主要的安全需求是訪問控制、賬號口令、權限管理和補丁管理;

2、維護終端：一般都是WINDOWS平臺，維護管理人員可以直接操作，其用戶接入的方式也不盡相同(本地維護終端、遠程維護終端)，面臨著病毒擴散、漏洞補丁、誤操作、越權和濫用等威脅，其安全需求是安全策略的集中管理、病毒檢測(固定終端)、漏洞補丁等;

3、第三方：對業務系統的軟、硬件進行遠程維護或現場維護，其操作很難控制，面臨著病毒、漏洞、攻擊、越權或濫用、泄密等威脅，安全需求主要是接入控制，包括IP/MAC地址綁定、帳號口令、訪問控制，以及在線殺毒、防毒墻、應用層的帳號口令管理、補丁管理等;

4、合作伙伴：涉及到與其他系統的連接，面臨著病毒、漏洞、入侵等威脅，安全需求是病毒防護、入侵檢測、漏洞補丁等。

5、互聯網：面臨著黑客入侵、病毒擴散等威脅，主要的安全需求是入侵檢測、病毒防護、數據過濾等。

安全域與安全策略的結合

在劃分安全域、進行安全加固的基礎上，還需要對網絡邊界和重點區域采取特定的安全措施。

Ø 邊界安全

對于任何安全域的保護，邊界安全是最低的保護措施，通過對邊界的控制能夠保護安全域不受到來自其它區域的安全威脅。在上面的圖例中，我們采用了以下技術：邊界隔離、認證、監視、審計。具體的產品實現包括：MPLS VPN、VPN Lite、防火墻、接口主機、交換機VLAN、PVLAN、ACL等。

Ø 區域安全

區域安全是通過在安全域內部設置監視、測量、清理、審計等技術手段，實現安全域內安全事件的及時響應和清除。安全域的區域安全以安全狀況的監控為主，對于本安全域內部的安全事件及時響應和清除，是安全域的核心安全處置手段。具體采用的技術和產品包括：入侵檢測、安全審計、漏洞掃描、病毒防護、訪問控制、帳號管理、補丁管理、流量監控等。

實現效益

通過劃分安全域實現等級保護，啟明星辰公司把電信運營商復雜的安全問題化解成小區域的安全保護問題，從而在全網范圍內實現大規模的等級保護。該方案不僅僅是從網絡系統、技術層面和單一安全設備來看待問題，更是從網絡建設的整體規劃出發，全盤考慮，幫助電信運營商從根本上解決安全問題。

從SOX內控審計的角度，安全域解決方案也將發揮其潛在的巨大優勢，幫助電信運營商在SOX內控審計的過程中化繁為簡，快速達到安全指標要求，與國際接軌，為企業帶來更大的市場和經濟效益。

三、4A統一安全管理平臺解決方案

4A統一安全管理平臺解決方案結合了啟明星辰天?h業務審計產品的優勢，引入了SafeWord產品系列中的3A組件。4A包括統一用戶賬號(Account)管理、統一認證(Authentication) 管理、統一授權(Authorization)管理和統一安全審計(Audit)四要素。

融合后的解決方案將涵蓋單點登錄(SSO)等安全功能，既能夠為客戶提供功能完善的、高安全級別的4A管理，也能夠為用戶提供符合薩班斯法案(SOX)要求的內控報表。

為什么需要4A統一安全管理平臺解決方案

隨著各大電信運營商的業務網發展，其內部用戶數量持續增加，網絡規模迅速擴大，安全問題不斷出現。而每個業務網系統分別維護一套用戶信息數據，管理本系統內的賬號和口令，孤立地的以日志形式審計操作者在系統內的操作行為。現有的這種賬號口令管理、訪問控制及審計措施已遠遠不能滿足自身業務發展需求，及與國際業務接軌的需求。問題主要表現在以下幾方面：

1. 大量的網絡設備、主機系統和應用系統分屬不同的部門或業務系統，認證、授權和審計方式沒有統一，當需要同時對多個系統進行操作時，工作復雜度成倍增加;

2. 一些設備和業務系統由廠商代維，因缺乏統一監管，安全狀況不得而知;

3. 各系統分別管理所屬的系統資源，為本系統的用戶分配訪問權限，缺乏統一的訪問控制平臺，隨著用戶數增加，權限管理愈發復雜，系統安全難以得到充分保障;

4. 個別賬號多人共用，擴散范圍難以控制，發生安全事故時更難以確定實際使用者;

5. 隨著系統增多，用戶經常需要在各系統間切換，而每次切換都需要輸入該系統的用戶名和口令，為不影響工作效率，用戶往往會采用簡單口令或將多個系統的口令設置成相同的，造成對系統安全性的危害;

6. 對各個系統缺乏集中統一的訪問審計，無法進行綜合分析，因此不能及時發現入侵行為。

綜上，由于缺乏統一的4A管理平臺，在系統管理人員工作負擔加重的同時，因各業務系統安全策略不一致，實質上也大大降低了業務系統的安全系數。

啟明星辰4A統一安全管理平臺解決方案

采用啟明星辰4A統一安全管理平臺解決方案能夠解決運營商當前在賬號口令管理、訪問控制及審計措施方面所面臨的主要問題。該解決方案由5個子系統組成：統一的4A管理平臺、統一的認證授權子系統、統一的賬號管理子系統、統一的日志審計子系統、網絡行為審計子系統。

Ÿ 統一4A管理平臺向其它四個子系統傳遞配置參數，包括認證參數、賬號參數、審計策略參數等，而四個子系統則將自身的運行狀態值傳遞給統一4A管理平臺;

Ÿ 統一4A管理平臺上各參數的變更，以及各告警值通過syslog的方式傳遞給統一日志審計子系統;

Ÿ 統一認證授權子系統對用戶進行統一接入認證后，產生的認證記錄通過syslog的方式發送給統一日志審計子系統;

Ÿ 統一賬號管理子系統對用戶賬號進行維護的操作通過syslog的方式發送給統一日志審計子系統;

Ÿ 網絡審計引擎部件將采集到的日志信息通過syslog方式發送給統一日志審計子系統。

統一日志審計子系統功能：

Ÿ 安全日志采集

Ÿ 安全日志多維分析

Ÿ 安全日志實時展現

Ÿ 報表分析

Ÿ 審計策略配置

Ÿ 數據存儲

統一認證授權子系統功能：

Ÿ 統一身份認證

Ÿ 集中賬號口令管理

Ÿ 統一認證和授權

- 網絡設備的身份認證及授權

- 主機系統的身份認證及授權

- 遠程接入或VPN接入用戶的認證及授權

- 數據庫管理的身份認證及授權

- 基于Web的運營系統的身份認證及授權

- 基于C/S結構的業務系統的身份認證

統一賬號管理子系統功能：

Ÿ 單點登陸

Ÿ 賬號同步

Ÿ 統一賬號管理與統一認證授權協作

網絡行為審計子系統功能：

Ÿ FTP/TELNET審計

Ÿ XWINDOW審計

Ÿ 常用數據庫的操作審計(ORACLE審計、DB2審計、SQL SERVER審計、SYBASE審計)

Ÿ 堡壘機跳轉行為審計

Ÿ NETBIOS審計

Ÿ HTTP審計

Ÿ SMTP審計

Ÿ POP3審計

Ÿ 非正常網絡行為的審計

Ÿ 各種協議的審計報表

投資收益

Ÿ 統一認證、授權和審計，工作復雜度大幅度降低;

Ÿ 統一監管，安全狀況盡在掌握;

Ÿ 避免多人共用相同賬號，安全事故易于追蹤;

Ÿ 單點登錄(SSO)免去用戶在各系統間切換時，需要再次輸入用戶名和口令的繁瑣;

Ÿ 對各個系統進行統一的訪問審計，利于綜合分析，及時發現入侵行為

Ÿ 與薩班斯法案(SOX)內控需求一致。

四、面向業務保障的安全服務體系解決方案

為了阻止黑客對電信級業務、應用系統的破壞，啟明星辰公司在延用一系列傳統安全產品(如防火墻、防病毒、入侵檢測、入侵防御、漏洞掃描等)的同時，根據國際安全領域權威的ISO 17799/27001和最符合薩班斯(SOX)法案要求的COBIT等標準，推出了全新的、貼近電信市場需求的、面向業務保障的安全服務體系解決方案。

業務系統安全解決方案

啟明星辰公司緊隨世界發展，面對新一代市場挑戰，提出了更具針對性的業務系統安全解決方案。以薩班斯(SOX)法案對內控系統的安全需求為根本，制定了全新的風險評估、應急響應、安全加固等服務，時刻以市場上的安全需求為導向，更樹立起全面的電信級安全服務解決方案。用專注、專業、專心的精神為電信運營商客戶切實解決遇到的安全問題。

啟明星辰公司業務系統安全解決方案最佳實踐內容

服務

類別服務

子項說明

薩班斯法案(SOX)安全評估服務管理評估通過調查表、人員訪談、現場勘查等方式，結合ISO 17799/27001和COBIT的要求，對被評估對象的安全控制、安全管理各個流程環節進行全面的穿越評估，并提供管理評估報告。

技術評估漏洞掃描以資產識別為基礎，采用安全掃描軟件進行弱點掃描，對典型服務器進行控制臺審計，結合與安全管理員的交流，對技術管理，配置和維護等方面進行技術性的檢測和評估。

主機審計參照檢查列表(Check List)檢查主機設備操作系統存在的各種安全弱點，或采用腳本工具針對不同的系統列出檢查的條目，挖掘配置和運行中的隱患。

滲透測試通過模擬黑客實際攻擊，驗證信息系統面臨的風險，評價信息系統的安全性。

代碼審核通過人工分析和審核業務系統源代碼，查找軟件編寫過程中存在的漏洞，避免對業務系統可能造成的損失。

安全加固在安全評估的基礎上，通過專業人員的安全加固服務強化系統安全性，消除系統弱點，并給出加固報告。

專家型應急響應服務客戶系統遭受入侵時，由安全專家在第一時間實施阻斷，反擊入侵行為，恢復客戶系統的完整性和可用性，徹底清除入侵行為對客戶系統造成的影響，同時修補安全漏洞。并可根據客戶需求對入侵活動全過程調查取證，獲取相關證據。

安全管理監控服務安全監控服務基于安全監控平臺，對網絡設備、主機設備、安全設備提供實時安全監控，提高安全管理的可靠性和有效性。

安全通告服務提供安全信息，使客戶從多角度了解安全現狀。

安全管理監控閉環服務體系

安全管理監控服務是網絡與信息安全系統的委托管理與服務，是風險管理的過程化實施，是專業安全公司為企業提供的專家級服務體系。該體系以全面保護、實時監控、專家響應為基本元素，建立了一套閉環服務體系，這種全面的安全服務體系能完全使企業擺脫維護系統安全的煩惱，并從最大程度上提高投資回報率。

在這個閉環中，依次執行以下6部分內容：

« 為了解系統本身的漏洞及潛在的風險，對系統進行風險評估;

« 針對評估出來的漏洞和風險提出準確的系統加固建議;

« 依據系統加固建議，有效地部署并配置安全設備;

« 對工作進程進行安全監控，確保其順利進行;

« 如遇緊急事件，由資深安全專家做出及時響應，以解決問題;

« 根據客戶信息系統中的信息資產情況，提供相應的安全信息通告，以郵件，電話或短信的方式發給客戶，提供及時的修補和防御措施。

此外，在整個管理監控過程中，對企業相關人員進行安全實踐培訓。

為您帶來的收益

« 最大限度降低安全運營成本;

« 建立強化的信息安全保障體系;

« 充分利用體系中已有的安全產品;

« 免除您在使用與維護安全產品時的煩惱;

« 降低企業信息安全人員的投入。