聯(lián)想網(wǎng)御IT內(nèi)控解決方案

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)聯(lián)想網(wǎng)御IT內(nèi)控解決方案IT內(nèi)部控制的問(wèn)題與挑戰(zhàn)當(dāng)前金融風(fēng)暴席卷全球，且中國(guó)經(jīng)歷了30年跨越式發(fā)展，中國(guó)企業(yè)內(nèi)部控制不太規(guī)范。為防患于未然，2008年6月國(guó)家財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，企業(yè)內(nèi)部控制基本規(guī)范以保障財(cái)務(wù)報(bào)告的真實(shí)性、可靠性為核心，提出相應(yīng)內(nèi)部控制要求，于2009年7月1日在上市公司范圍內(nèi)施行，鼓勵(lì)非上市的其他大中型企業(yè)執(zhí)行，其作用等同于美國(guó)的薩班斯法案（SOX）。企業(yè)內(nèi)控要達(dá)到的目的有三個(gè)：一是提高企業(yè)資源利用的效率與效果；二是要保證財(cái)務(wù)報(bào)告的真實(shí)性和可靠性，三是要保證企業(yè)經(jīng)營(yíng)符合相關(guān)法律和法規(guī)。作為業(yè)務(wù)的支撐，IT系統(tǒng)已被國(guó)內(nèi)大中型企業(yè)高度依賴，尤其是會(huì)計(jì)電算化的普及，要保障財(cái)務(wù)相關(guān)信息的真實(shí)有效，就必須對(duì)企業(yè)的IT系統(tǒng)嚴(yán)格控制。聯(lián)想網(wǎng)御借以美國(guó)薩班斯法案（SOX）IT內(nèi)控的實(shí)踐為基礎(chǔ)，結(jié)合中國(guó)具體國(guó)情，并根據(jù)我們多年貼近用戶的IT治理經(jīng)驗(yàn)，概括了目前國(guó)內(nèi)企業(yè)IT內(nèi)控面臨的主要問(wèn)題：如何保證權(quán)責(zé)的正確分配？如何保證IT基礎(chǔ)平臺(tái)可靠？如何保證關(guān)鍵應(yīng)用安全？如何進(jìn)行審計(jì)監(jiān)督？IT內(nèi)部控制基本原理美國(guó)SOX法案作為成功頒布并實(shí)施的一個(gè)法案，它的IT內(nèi)控方法值得我們借鑒。在針對(duì)SOX方案中的IT內(nèi)控要求上，美國(guó)上市公司普遍采用COBIT（《信息系統(tǒng)和技術(shù)控制目標(biāo)》）的IT內(nèi)控思想作為企業(yè)內(nèi)控中的IT內(nèi)控框架，并結(jié)合企業(yè)實(shí)際情況設(shè)計(jì)出符合規(guī)范要求的IT內(nèi)控體系；具體控制措施采用ISO17779(信息安全管理體系)、ITIL(IT服務(wù)管理)等標(biāo)準(zhǔn)中的最佳實(shí)踐，整合企業(yè)原有的控制措施，落實(shí)具體的控制方法。聯(lián)想網(wǎng)御IT內(nèi)部控制模型聯(lián)想網(wǎng)御的IT內(nèi)控方法是結(jié)合我們?cè)贗T內(nèi)控中的最佳實(shí)踐，并參照《企業(yè)內(nèi)部控制基本規(guī)范》的相關(guān)要求，開(kāi)發(fā)出了適合中國(guó)國(guó)情的IT內(nèi)控模型。聯(lián)想網(wǎng)御的IT內(nèi)部控制模型由三個(gè)基本面組成：IT內(nèi)控基本要素，IT內(nèi)控的基本要求和對(duì)應(yīng)的IT資源，對(duì)應(yīng)關(guān)系如下圖所示：通過(guò)對(duì)上述三個(gè)方面的實(shí)現(xiàn)，最終形成了一個(gè)立體的、多層次的、科學(xué)的聯(lián)想網(wǎng)御IT內(nèi)控模型。IT內(nèi)控基本要素的具體內(nèi)容根據(jù)《企業(yè)內(nèi)部控制應(yīng)用指引-征求意見(jiàn)稿》的要求和對(duì)IT內(nèi)控的理解，我們認(rèn)為企業(yè)IT內(nèi)控應(yīng)該圍繞財(cái)務(wù)及業(yè)務(wù)系統(tǒng)來(lái)進(jìn)行，具體是通過(guò)對(duì)財(cái)務(wù)及業(yè)務(wù)系統(tǒng)的數(shù)據(jù)、流程以及相關(guān)IT基礎(chǔ)設(shè)施的控制來(lái)實(shí)現(xiàn)，重點(diǎn)是完善以下幾個(gè)方面的控制：角色管理與授權(quán)審批信息資源訪問(wèn)控制系統(tǒng)開(kāi)發(fā)、變更與維護(hù)控制硬件及其他配套設(shè)備控制財(cái)務(wù)相關(guān)應(yīng)用系統(tǒng)的控制IT內(nèi)部控制解決方案在聯(lián)想網(wǎng)御IT內(nèi)控的方法論的基礎(chǔ)上，我們?yōu)槠髽I(yè)IT內(nèi)控提供了一攬子解決方案。我們的解決方案在幫助企業(yè)達(dá)到IT內(nèi)控要求的過(guò)程中，充分利用企業(yè)已有資源，努力做到企業(yè)的成本/收益最大化。我們認(rèn)為：嚴(yán)格的權(quán)限管理、穩(wěn)固的信息基礎(chǔ)平臺(tái)、安全的應(yīng)用系統(tǒng)和全面的審計(jì)監(jiān)控是保證IT內(nèi)控合規(guī)四大核心要素，我們針對(duì)這四大要素提出了IT內(nèi)控解決方案，企業(yè)可根據(jù)實(shí)際情況，選擇并組合這些解決方案，最終形成貼合自身需求的IT內(nèi)控解決方案，如下圖所示：聯(lián)想網(wǎng)御IT內(nèi)控解決方案權(quán)限管理安全解決方案在企業(yè)內(nèi)部控制中，IT的組織架構(gòu)及人員控制是保證企業(yè)經(jīng)營(yíng)管理合法合規(guī)、資產(chǎn)安全以及財(cái)務(wù)報(bào)告和相關(guān)信息真實(shí)完整，提高企業(yè)的經(jīng)營(yíng)效率和效益的關(guān)鍵組成部分。其核心問(wèn)題就是“明確權(quán)責(zé)分配，正確行使職權(quán)”。聯(lián)想網(wǎng)御從產(chǎn)品和服務(wù)兩種途徑幫助企業(yè)實(shí)現(xiàn)IT內(nèi)控中的權(quán)限管理，解決方案如下：聯(lián)想網(wǎng)御IT內(nèi)控咨詢服務(wù)聯(lián)想網(wǎng)御提供IT內(nèi)控咨詢服務(wù)，幫助企業(yè)梳理組織架構(gòu)和區(qū)分人員權(quán)責(zé)，并協(xié)助企業(yè)建立合理的組織架構(gòu)，從信息系統(tǒng)的戰(zhàn)略設(shè)計(jì)、人員崗位設(shè)置、人員職責(zé)范圍等方面建立起相關(guān)的策略、標(biāo)準(zhǔn)和制度等。聯(lián)想網(wǎng)御安全審計(jì)系統(tǒng)幫助企業(yè)建立起相關(guān)策略和制度后，使用聯(lián)想網(wǎng)御IT內(nèi)控安全審計(jì)系統(tǒng)，監(jiān)控各個(gè)層面的人員是否越權(quán)訪問(wèn)、篡改數(shù)據(jù)、濫用權(quán)利等，聯(lián)想網(wǎng)御安全審計(jì)系統(tǒng)不同與一般審計(jì)產(chǎn)品，其特點(diǎn)在于可以實(shí)現(xiàn)統(tǒng)一控制、集中審計(jì)，并且審計(jì)覆蓋IT信息系統(tǒng)的絕大多數(shù)類型，能滿足企業(yè)內(nèi)部控制要求的審計(jì)、監(jiān)督要求。通過(guò)聯(lián)想網(wǎng)御的解決方案，能幫助企業(yè)實(shí)現(xiàn)清晰的權(quán)責(zé)分配和權(quán)限管理，達(dá)到企業(yè)IT內(nèi)控要求。基礎(chǔ)平臺(tái)安全解決方案信息基礎(chǔ)設(shè)施是構(gòu)成信息系統(tǒng)的基礎(chǔ)，如果信息平臺(tái)的安全性得不到保證，那應(yīng)用和數(shù)據(jù)安全也無(wú)從談起，我們從信息平臺(tái)最基本的三個(gè)層面來(lái)進(jìn)行分別實(shí)現(xiàn)：物理資產(chǎn)、網(wǎng)絡(luò)系統(tǒng)和主機(jī)系統(tǒng)，針對(duì)每個(gè)層面的具體控制，我們都有相應(yīng)的產(chǎn)品和服務(wù)來(lái)支撐，如下表所示：控制層面控制主要內(nèi)容提供的安全服務(wù)提供的安全產(chǎn)品主機(jī)系統(tǒng)控制網(wǎng)絡(luò)系統(tǒng)控制物理系統(tǒng)控制權(quán)責(zé)分配訪問(wèn)控制災(zāi)難恢復(fù)應(yīng)急處理通信安全內(nèi)控咨詢服務(wù)安全值守服務(wù)安全加固服務(wù)應(yīng)急響應(yīng)服務(wù)風(fēng)險(xiǎn)評(píng)估服務(wù)安全巡檢服務(wù)聯(lián)想網(wǎng)御安全接入平臺(tái)聯(lián)想網(wǎng)御隔離網(wǎng)閘產(chǎn)品聯(lián)想網(wǎng)御IPS/IDS產(chǎn)品聯(lián)想網(wǎng)御內(nèi)網(wǎng)管理系統(tǒng)聯(lián)想網(wǎng)御安全管理平臺(tái)通過(guò)使用我們的產(chǎn)品和服務(wù)手段，對(duì)物理、主機(jī)、網(wǎng)絡(luò)的權(quán)責(zé)分配、訪問(wèn)控制等方面的控制，使信息基礎(chǔ)平臺(tái)達(dá)到IT內(nèi)控要求。關(guān)鍵應(yīng)用安全解決方案業(yè)務(wù)、財(cái)務(wù)系統(tǒng)作為IT內(nèi)控的主要控制目標(biāo)，其安全性直接影響企業(yè)的經(jīng)營(yíng)，而財(cái)務(wù)系統(tǒng)又是IT內(nèi)控中最主要的控制目標(biāo)。不管業(yè)務(wù)系統(tǒng)還是財(cái)務(wù)系統(tǒng)，我們站在IT系統(tǒng)角度來(lái)看，都可以把他們歸類為應(yīng)用系統(tǒng)，對(duì)應(yīng)用系統(tǒng)的控制，需要對(duì)其生命周期的各個(gè)階段控制，我們把控制分為三個(gè)階段：系統(tǒng)建立、系統(tǒng)使用和系統(tǒng)變更。針對(duì)應(yīng)用系統(tǒng)生命周期每個(gè)過(guò)程的具體控制，我們都有相應(yīng)的產(chǎn)品和服務(wù)來(lái)支撐實(shí)現(xiàn)，如下表所示：控制類型控制主要內(nèi)容提供的安全服務(wù)提供的安全產(chǎn)品系統(tǒng)的建立系統(tǒng)的使用系統(tǒng)的變更開(kāi)發(fā)管控上線管控第三方管控權(quán)限管理業(yè)務(wù)數(shù)據(jù)管理流程控制變更管理應(yīng)用評(píng)估滲透測(cè)試安全巡檢安全值守安全監(jiān)控源代碼審計(jì)應(yīng)急響應(yīng)聯(lián)想網(wǎng)御SSL-VPN安全網(wǎng)關(guān)聯(lián)想網(wǎng)御UTM產(chǎn)品聯(lián)想網(wǎng)御文件管理系統(tǒng)聯(lián)想網(wǎng)御異常流量監(jiān)控系統(tǒng)聯(lián)想網(wǎng)御應(yīng)用管理系統(tǒng)通過(guò)使用我們的產(chǎn)品和服務(wù)手段，對(duì)應(yīng)用系統(tǒng)進(jìn)行開(kāi)發(fā)管控、上線管控、第三方管控、變更管理等實(shí)現(xiàn)對(duì)關(guān)鍵應(yīng)用的控制，保證業(yè)務(wù)、財(cái)務(wù)數(shù)據(jù)安全。審計(jì)監(jiān)控安全解決方案為滿足企業(yè)IT內(nèi)控需求，規(guī)避潛在的安全風(fēng)險(xiǎn)，聯(lián)想網(wǎng)御除提供有針對(duì)性的IT內(nèi)控咨詢、風(fēng)險(xiǎn)評(píng)估等安全服務(wù)外，還推出了專門針對(duì)IT內(nèi)控的安全審計(jì)產(chǎn)品，該產(chǎn)品利用了聯(lián)想網(wǎng)御安全管理系統(tǒng)為平臺(tái)，有效的審計(jì)、監(jiān)控企業(yè)內(nèi)部IT資源環(huán)境。能夠解決企業(yè)當(dāng)前在訪問(wèn)控制及審計(jì)措施方面所面臨的主要問(wèn)題，主要功能如下：日志管理系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)日志收集、主機(jī)日志收集、應(yīng)用日志收集、數(shù)據(jù)庫(kù)日志收集、其他日志收集以及日志的備份及恢復(fù)等。審計(jì)系統(tǒng)功能實(shí)現(xiàn)問(wèn)題識(shí)別、問(wèn)題優(yōu)先級(jí)確定、問(wèn)題響應(yīng)流程、問(wèn)題取證、日志的保留及報(bào)表功能等。安全管理平臺(tái)統(tǒng)一安全管理平臺(tái)是整個(gè)系統(tǒng)運(yùn)行的基礎(chǔ)，向其它系統(tǒng)傳遞配置參數(shù)，包括服務(wù)運(yùn)行狀態(tài)、參數(shù)設(shè)置、賬號(hào)數(shù)據(jù)、審計(jì)策略、安全策略設(shè)置及報(bào)表生成等。IT內(nèi)部控制方案的價(jià)值聯(lián)想網(wǎng)御的IT內(nèi)控解決方案，從業(yè)務(wù)流程、應(yīng)用系統(tǒng)與基礎(chǔ)設(shè)施三個(gè)維度，通過(guò)IT內(nèi)控解決方案集，幫助用戶打造清晰的權(quán)責(zé)控制、穩(wěn)固的信息基礎(chǔ)設(shè)施、安全的關(guān)鍵應(yīng)用和全面的安全審計(jì)監(jiān)督，最終幫助用戶實(shí)現(xiàn)安全可靠、穩(wěn)定高效、業(yè)務(wù)連續(xù)和符合法規(guī)的IT系統(tǒng)，將企業(yè)內(nèi)控的制度、措施通過(guò)技術(shù)手段加以固化，規(guī)范企業(yè)內(nèi)部管理水平，提高企業(yè)經(jīng)營(yíng)管理水平和風(fēng)險(xiǎn)防范能力，有利于促進(jìn)企業(yè)可持續(xù)發(fā)展?？傊?，IT內(nèi)控將給國(guó)內(nèi)信息安全行業(yè)帶來(lái)新的發(fā)展機(jī)遇.當(dāng)然機(jī)會(huì)屬于有準(zhǔn)備的企業(yè)。出師表：先帝創(chuàng)業(yè)未半而中道崩殂，今天下三分，益州疲弊，此誠(chéng)危急存亡之秋也。然侍衛(wèi)之臣不懈于內(nèi)，忠志之士忘身于外者，蓋追先帝之殊遇，欲報(bào)之于陛下也。誠(chéng)宜開(kāi)張圣聽(tīng)，以光先帝遺德，恢弘志士之氣，不宜妄自菲薄，引喻失義，以塞忠諫之路也。宮中府中，俱為一體；陟罰臧否，不宜異同。若有作奸犯科及為忠善者，宜付有司論其刑賞，以昭陛下平明之理；不宜偏私，使內(nèi)外異法也。侍中、侍郎郭攸之、費(fèi)祎、董允等，此皆良實(shí)，志慮忠純，是以先帝簡(jiǎn)拔以遺陛下：愚以為宮中之事，事無(wú)大小，悉以咨之，然后施行，必能裨補(bǔ)闕漏，有所廣益。將軍向?qū)櫍孕惺缇?，曉暢軍事，試用于昔日，先帝稱之曰“能”，是以眾議舉寵為督：愚以為營(yíng)中之事，悉以咨之，必能使行陣和睦，優(yōu)劣得所。親賢臣，遠(yuǎn)小人，此先漢所以興隆也；親小人，遠(yuǎn)賢臣，此后漢所以傾頹也。先帝在時(shí)，每與臣論此事，未嘗不嘆息痛恨于桓、靈也。侍中、尚書、長(zhǎng)史、參軍，此悉貞良死節(jié)之臣，愿陛下親之、信之，則漢室之隆，可計(jì)日而待也。臣本布衣，躬耕于南陽(yáng)，茍全性命于亂世，不求聞達(dá)于諸侯。先帝不以臣卑鄙，猥自枉屈，三顧臣于草廬之中，咨臣以當(dāng)世之事，由是感激，遂許先帝以驅(qū)馳。后值傾覆，受任于敗軍之際，奉命于危難之間，爾來(lái)二十有一年矣。先帝知臣謹(jǐn)慎，故臨崩寄臣以大事也。受命以來(lái)，夙夜憂嘆，恐托付不效，以傷先帝之明；故五