【正文】 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 1 信息系統(tǒng)安全方案 Cisco Systems, Inc. 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 2 目錄 1. 信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀和發(fā)展趨勢 2. SOX符合性對信息系統(tǒng)控制的要求 3. 思科網(wǎng)絡(luò)準(zhǔn)入控制方案 (NAC2) 4. 思科終端安全防護(hù)方案 5. 安全信息管理 CSMARS 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 3 OA網(wǎng) G網(wǎng)網(wǎng)管 C網(wǎng)網(wǎng)管 信息系統(tǒng)網(wǎng)絡(luò) 業(yè)務(wù)生產(chǎn)網(wǎng) MSMSC RNC HLR ATM網(wǎng)網(wǎng)管 G/C計費(fèi) VoIP網(wǎng)管 增值計費(fèi) VC計費(fèi) 193計費(fèi) 信息系統(tǒng)承載平臺現(xiàn)狀 MSMSC BSC HLR 193 G網(wǎng) C網(wǎng) VoIP VC 165 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 4 網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜 每個系統(tǒng)都包括很多子系統(tǒng)，設(shè)備的種類和型號繁多 －物理網(wǎng)絡(luò)過多 －功能技術(shù)實現(xiàn)能力不一 技術(shù)規(guī)范性不夠 由于歷史原因，各個網(wǎng)絡(luò)子系統(tǒng)的內(nèi)部建設(shè)缺乏規(guī)范 －網(wǎng)絡(luò)的建設(shè)時間有先后，且當(dāng)時設(shè)計完全基于自身業(yè)務(wù)的需要 －有時為了實現(xiàn)業(yè)務(wù)上的互通，存在“違章搭建” 分散孤立的內(nèi)部整合 各部門均就各自主管的子系統(tǒng)進(jìn)行小規(guī)模整合 －計費(fèi)網(wǎng) /網(wǎng)管網(wǎng)都在進(jìn)行內(nèi)部網(wǎng)絡(luò)優(yōu)化，新的DCN正在建設(shè)傳輸平臺 互聯(lián)接口不清晰 網(wǎng)際互聯(lián)（包括支撐網(wǎng)之間，支撐網(wǎng)與移動生產(chǎn)網(wǎng)之間）的接口和分工界面不明確 －網(wǎng)際之間有很多通道 －移動生產(chǎn)網(wǎng)的 IP部分與網(wǎng)管網(wǎng) /計費(fèi)網(wǎng)的 IP部分存在 “ 管理真空 ” 信息系統(tǒng)承載平臺現(xiàn)狀 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 5 信息化系統(tǒng)的發(fā)展趨勢 ?逐步由后臺的業(yè)務(wù)支撐成為業(yè)務(wù)生產(chǎn)運(yùn)營的核心 ?信息化應(yīng)用系統(tǒng)是聯(lián)通生產(chǎn)運(yùn)營的樞紐環(huán)節(jié)，強(qiáng)調(diào)經(jīng)營數(shù)據(jù)的集中與整合 ?分布式信息采集、集中式經(jīng)營決策分析和風(fēng)險控制要求 技術(shù)和管 理體制的垂直化 CRM 計費(fèi)及結(jié)算系統(tǒng) 營業(yè)及帳務(wù)系統(tǒng) 經(jīng)營分析系統(tǒng) 信息系統(tǒng) DCN 業(yè)務(wù)支撐網(wǎng)絡(luò) BSS系統(tǒng) MSS\OSS系統(tǒng) 綜合網(wǎng)管系統(tǒng) 決策支持系統(tǒng) 企業(yè)應(yīng)用集成 內(nèi)部門戶 客戶服務(wù)系統(tǒng) 其他（ OA、財務(wù)、人力咨詢 … ）不斷的外延 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 6 埃森哲建議的聯(lián)通總部和省份信息系統(tǒng)總體架構(gòu) BSS MSS/ERP OSS CRM 合作伙伴關(guān)系 經(jīng)營分析 企業(yè)外部門戶 綜合結(jié)算 綜合采集 企業(yè)內(nèi)部門戶 企業(yè)決策支持 ERP 集成訂單管理 綜合生產(chǎn)調(diào)度 企業(yè)協(xié)同辦公 綜合資源管理 專業(yè)綜合網(wǎng)管 IT 網(wǎng)管 CRM (融合呼叫中心 ) 合作伙伴關(guān)系 經(jīng)營分析 企業(yè)外部門戶 綜合結(jié)算 綜合采集 企業(yè)內(nèi)部門戶 企業(yè)決策支持 ERP 集成訂單管理 綜合生產(chǎn)調(diào)度 企業(yè)協(xié)同辦公 綜合資源管理 專業(yè)綜合網(wǎng)管 IT 網(wǎng)管 綜合計費(fèi)帳務(wù) 服務(wù)開通管理 綜合故障管理 綜合服務(wù)質(zhì)量 總部 省份 網(wǎng)絡(luò)規(guī)劃和設(shè)計 網(wǎng)元設(shè)備 /EMS 網(wǎng)元設(shè)備 /EMS 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 7 ? 用戶信用控制，綜合經(jīng)營分析，統(tǒng)一客戶服務(wù)體驗等集中應(yīng)用部署需要數(shù)據(jù)中心的整合 。 ? 薩班斯、內(nèi)控、經(jīng)營數(shù)據(jù)本身的重要性要求整個系統(tǒng)提供綜合性的技術(shù)安全機(jī)制（內(nèi)部互訪、對外互聯(lián)、終端、服務(wù)器） ? 降低建設(shè)、維護(hù)成本同時提高對集中應(yīng)用部署支持能力和系統(tǒng)安全控制能力要求整合 信息系統(tǒng)承載平臺整合驅(qū)動因素 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 8 聯(lián)通信息系統(tǒng)統(tǒng)一承載平臺體系結(jié)構(gòu) －功能分區(qū)，結(jié)構(gòu)分層 業(yè)務(wù)生產(chǎn)網(wǎng) 企業(yè)數(shù)據(jù)中心 單一的物理網(wǎng)絡(luò) DCN 網(wǎng)管網(wǎng) 計費(fèi)營帳采集網(wǎng) OA網(wǎng) 合作伙伴等其它子系統(tǒng) 信息訪問控制 MS客服 物理網(wǎng)絡(luò)層 邏輯隔離層 信息控制層 應(yīng)用層 BSS MSS OSS 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 9 目錄 1. 信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀和發(fā)展趨勢 2. SOX符合性對信息系統(tǒng)控制的要求 3. 思科網(wǎng)絡(luò)準(zhǔn)入控制方案 (NAC2) 4. 思科終端安全防護(hù)方案 5. 安全信息管理 CSMARS 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 10 薩班斯法案對企業(yè)持續(xù)管控的要求 ? 2022年 7月 15日起，薩班斯法案正式生效。從這一天開始，包括中國內(nèi)地 44家企業(yè)在內(nèi)的所有在美上市公司必須嚴(yán)格遵守薩班斯法案 . ? “ 薩班斯 奧克斯利法案” (SarbanesOxley)指 2022年 6月 18日美國國會參議院銀行委員會以 17票贊成對 4票反對通過由奧克斯利和參議院銀行委員會主席薩班斯聯(lián)合提出的會計改革法案《 2022上市公司會計改革與投資者保護(hù)法案 》 。這一議案由布什總統(tǒng)在 2022年 7月 30日簽署成為正式法律，稱作 《 2022年薩班斯 奧克斯利法案 》 。 ? “薩班斯法案”的 Section 302 and Section 404對在美上市公司和即將在美上市的公司提出信息系統(tǒng)管控能力的要求。 ? 其中 404章要求證券交易委員會出臺相關(guān)規(guī)定，所有除投資公司以外的企業(yè)在其年報中都必須包括：（ 1）管理層建立和維護(hù)適當(dāng)內(nèi)部控制結(jié)構(gòu)和財務(wù)報告程序的責(zé)任報告；（ 2）管理層就公司內(nèi)部控制結(jié)構(gòu)和財務(wù)報告程序的有效性在該財政年度終了出具的評價。法案要求管理層的內(nèi)部控制年報必須包括：（ 1）建立維護(hù)適當(dāng)公司財務(wù)報告內(nèi)部控制制度的管理層責(zé)任公告 /聲明；（ 2）管理層用以評價內(nèi)部控制制度的框架的解釋公告 /聲明；（ 3）管理層就內(nèi)部控制制度有效性在該財政年度終了出具的評價；（ 4）說明公司審計師已就（3）中提到的管理層評價出具了證明報告。 公司的 CEO和 CFO們不僅要簽字擔(dān)保所在公司財務(wù)報告的真實性，還要保證公司擁有完善的內(nèi)部控制系統(tǒng)，能夠及時發(fā)現(xiàn)并阻止公司欺詐及其他不當(dāng)行為 。若因不當(dāng)行為而被要求重編會計報表，則公司 CEO與 CFO應(yīng)償還公司12個月內(nèi)從公司收到的所有獎金、紅利或其他獎金性或有權(quán)益酬金以及通過買賣該公司證券而實現(xiàn)的收益。有更嚴(yán)重違規(guī)情節(jié)者，還將受嚴(yán)厲的刑事處罰。 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 11 薩班斯法案針對的對象 財務(wù) BSS OSS系統(tǒng) ERP系統(tǒng) 人力資源 /OA/其他 ?薩班斯是一部會計法案 ?主要針對財務(wù)系統(tǒng) ?實際上今日財務(wù)報表的處理大多由信息系統(tǒng) IT提供處理與執(zhí)行 ?財務(wù)系統(tǒng)與信息系統(tǒng)更緊密地結(jié)合，對涉及財務(wù)的交易進(jìn)行初始化、授權(quán)、記錄、處理和編制報表 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 12 內(nèi)部控制的審核標(biāo)準(zhǔn)、框架和規(guī)范 ? SEC要求審計師在審計報告上注明“審計是根據(jù) PCAOB的標(biāo)準(zhǔn)執(zhí)行的” 。 ? 關(guān)于對內(nèi)部控制的定義， SEC采納了 COSO的定義 。 ? PCAOB建議公司采納 COSO的控制模型 ，并以此為依據(jù)建立內(nèi)部控制架構(gòu)。 ? 定義了財務(wù)報表相關(guān)的內(nèi)部控制（ ICFR）， 要求審計師僅對該部分發(fā)表意見。 ? CobiT 定義了內(nèi)部控制的最佳實踐 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 13 IT 控制的重要意義 ? 對全球 300多家企業(yè)的調(diào)查表明，管理者認(rèn)為 IT控制對SOX符合性具有極其重要的意義 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 14 信息系統(tǒng)在 IT管控過程中存在的普遍問題 ? 關(guān)鍵業(yè)務(wù)流程的程序、策略和紀(jì)錄沒有電子信息化，業(yè)務(wù)流程缺乏 IT控制集成 ? 內(nèi)部信息逾權(quán)訪問 – 業(yè)務(wù)員工可以訪問后臺數(shù)據(jù)庫、操作系統(tǒng) – 業(yè)務(wù)員工可以訪問過多業(yè)務(wù)系統(tǒng) – 應(yīng)用開發(fā)和數(shù)據(jù)庫管理員能夠訪問業(yè)務(wù)系統(tǒng) ? 網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫等基礎(chǔ)架構(gòu)自身沒有安全加固 ? 終端接入沒有控制：對于接入公司內(nèi)部網(wǎng)的設(shè)備沒有全局的登錄認(rèn)證機(jī)制，導(dǎo)致非法設(shè)備接入并能訪問業(yè)務(wù)系統(tǒng)。 ? 沒有強(qiáng)制執(zhí)行全局安全策略：沒有全局的自動手段檢查策略執(zhí)行的有效性，缺少智能化的全網(wǎng)安全策略部署軟硬件，導(dǎo)致統(tǒng)一制定的安全策略成為空談，各自為政。例如防病毒，防火墻規(guī)則、軟件補(bǔ)丁、密碼管理。 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 15 信息控制層面臨的具體技術(shù)問題 ? 業(yè)務(wù)間網(wǎng)絡(luò)層面的信息控制技術(shù)問題包涵兩個大方面 1. 如何明確終端和服務(wù)器的分類來劃分安全域。 2. 各個安全域內(nèi)部的信息控制策略，各個安全域邊界的信息控制策略。 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 16 安全區(qū)域 ?縱深防御依賴于安全域的清楚定義 ?安全域邊界清晰，可明確定義邊界安全策略 ?加強(qiáng)安全域策略控制力，控制攻擊擴(kuò)散，增加應(yīng)對安全突發(fā)事件的緩沖處理時間 ?依據(jù)安全策略，可以明確需要部署的安全設(shè)備 ?使相應(yīng)的安全設(shè)備充分運(yùn)用，發(fā)揮應(yīng)有的作用 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 17 網(wǎng)絡(luò)域 ： ?信息系統(tǒng)承載網(wǎng)，是安全域的承載子域。 ?信息控制重點(diǎn)是進(jìn)行各專業(yè)系統(tǒng)的網(wǎng)絡(luò)隔離與邊界防護(hù)并保障網(wǎng)絡(luò)性能 系統(tǒng)域： ?核心業(yè)務(wù)邏輯服務(wù)器、數(shù)據(jù)庫服務(wù)器，是信息系統(tǒng)的核心子域。 ?信息控制重點(diǎn)是防非法訪問、防逾權(quán)訪問、防信息篡改和防數(shù)據(jù)丟失。 服務(wù)域： ?各業(yè)務(wù)的界面服務(wù)器，為信息系統(tǒng)提供公共服務(wù)，是整個系統(tǒng)的信息交換域。系統(tǒng)域和終端域不能直接互訪，由服務(wù)域提供內(nèi)、外部門戶、安全認(rèn)證、事件管理、策略管理、補(bǔ)丁管理等服務(wù)，是信息系統(tǒng)的公共子域。 ?信息控制重點(diǎn)是防非法訪問、防信息篡改。 終端域： ?各類客戶端和維護(hù)終端，是信息系統(tǒng)的公眾子域。 ?信息控制重點(diǎn)是終端準(zhǔn)入控制、終端接入的認(rèn)證和審計、安全策略符合性檢查。 安全域劃分及信息控制重點(diǎn) 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 18 系統(tǒng)域、服務(wù)域、終端域、網(wǎng)絡(luò)域邏輯關(guān)系示意 系統(tǒng)域 （業(yè)務(wù)邏輯、數(shù)據(jù)庫） 內(nèi)部網(wǎng)絡(luò) 認(rèn)證網(wǎng)關(guān) 網(wǎng)絡(luò)域MPLS VPN 綜合終端 漫游終端 專業(yè)終端 維護(hù)終端 銀行系統(tǒng)終端 服務(wù)域 （界面服務(wù)器） 終端域 系統(tǒng)域 服務(wù)域 外部網(wǎng)絡(luò)認(rèn)證網(wǎng)關(guān) 互聯(lián)網(wǎng) 漫游終端 合作營業(yè)廳終端 防火墻