【正文】 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 1 信息系統安全方案 Cisco Systems, Inc. 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 2 目錄 1. 信息系統網絡現狀和發(fā)展趨勢 2. SOX符合性對信息系統控制的要求 3. 思科網絡準入控制方案 (NAC2) 4. 思科終端安全防護方案 5. 安全信息管理 CSMARS 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 3 OA網 G網網管 C網網管 信息系統網絡 業(yè)務生產網 MSMSC RNC HLR ATM網網管 G/C計費 VoIP網管 增值計費 VC計費 193計費 信息系統承載平臺現狀 MSMSC BSC HLR 193 G網 C網 VoIP VC 165 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 4 網絡結構復雜 每個系統都包括很多子系統，設備的種類和型號繁多 －物理網絡過多 －功能技術實現能力不一 技術規(guī)范性不夠 由于歷史原因，各個網絡子系統的內部建設缺乏規(guī)范 －網絡的建設時間有先后，且當時設計完全基于自身業(yè)務的需要 －有時為了實現業(yè)務上的互通，存在“違章搭建” 分散孤立的內部整合 各部門均就各自主管的子系統進行小規(guī)模整合 －計費網 /網管網都在進行內部網絡優(yōu)化，新的DCN正在建設傳輸平臺 互聯接口不清晰 網際互聯（包括支撐網之間，支撐網與移動生產網之間）的接口和分工界面不明確 －網際之間有很多通道 －移動生產網的 IP部分與網管網 /計費網的 IP部分存在 “ 管理真空 ” 信息系統承載平臺現狀 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 5 信息化系統的發(fā)展趨勢 ?逐步由后臺的業(yè)務支撐成為業(yè)務生產運營的核心 ?信息化應用系統是聯通生產運營的樞紐環(huán)節(jié)，強調經營數據的集中與整合 ?分布式信息采集、集中式經營決策分析和風險控制要求 技術和管 理體制的垂直化 CRM 計費及結算系統 營業(yè)及帳務系統 經營分析系統 信息系統 DCN 業(yè)務支撐網絡 BSS系統 MSS\OSS系統 綜合網管系統 決策支持系統 企業(yè)應用集成 內部門戶 客戶服務系統 其他（ OA、財務、人力咨詢 … ）不斷的外延 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 6 埃森哲建議的聯通總部和省份信息系統總體架構 BSS MSS/ERP OSS CRM 合作伙伴關系 經營分析 企業(yè)外部門戶 綜合結算 綜合采集 企業(yè)內部門戶 企業(yè)決策支持 ERP 集成訂單管理 綜合生產調度 企業(yè)協同辦公 綜合資源管理 專業(yè)綜合網管 IT 網管 CRM (融合呼叫中心 ) 合作伙伴關系 經營分析 企業(yè)外部門戶 綜合結算 綜合采集 企業(yè)內部門戶 企業(yè)決策支持 ERP 集成訂單管理 綜合生產調度 企業(yè)協同辦公 綜合資源管理 專業(yè)綜合網管 IT 網管 綜合計費帳務 服務開通管理 綜合故障管理 綜合服務質量 總部 省份 網絡規(guī)劃和設計 網元設備 /EMS 網元設備 /EMS 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 7 ? 用戶信用控制，綜合經營分析，統一客戶服務體驗等集中應用部署需要數據中心的整合 。 ? 薩班斯、內控、經營數據本身的重要性要求整個系統提供綜合性的技術安全機制（內部互訪、對外互聯、終端、服務器） ? 降低建設、維護成本同時提高對集中應用部署支持能力和系統安全控制能力要求整合 信息系統承載平臺整合驅動因素 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 8 聯通信息系統統一承載平臺體系結構 －功能分區(qū)，結構分層 業(yè)務生產網 企業(yè)數據中心 單一的物理網絡 DCN 網管網 計費營帳采集網 OA網 合作伙伴等其它子系統 信息訪問控制 MS客服 物理網絡層 邏輯隔離層 信息控制層 應用層 BSS MSS OSS 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 9 目錄 1. 信息系統網絡現狀和發(fā)展趨勢 2. SOX符合性對信息系統控制的要求 3. 思科網絡準入控制方案 (NAC2) 4. 思科終端安全防護方案 5. 安全信息管理 CSMARS 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 10 薩班斯法案對企業(yè)持續(xù)管控的要求 ? 2022年 7月 15日起，薩班斯法案正式生效。從這一天開始，包括中國內地 44家企業(yè)在內的所有在美上市公司必須嚴格遵守薩班斯法案 . ? “ 薩班斯 奧克斯利法案” (SarbanesOxley)指 2022年 6月 18日美國國會參議院銀行委員會以 17票贊成對 4票反對通過由奧克斯利和參議院銀行委員會主席薩班斯聯合提出的會計改革法案《 2022上市公司會計改革與投資者保護法案 》 。這一議案由布什總統在 2022年 7月 30日簽署成為正式法律，稱作 《 2022年薩班斯 奧克斯利法案 》 。 ? “薩班斯法案”的 Section 302 and Section 404對在美上市公司和即將在美上市的公司提出信息系統管控能力的要求。 ? 其中 404章要求證券交易委員會出臺相關規(guī)定，所有除投資公司以外的企業(yè)在其年報中都必須包括：（ 1）管理層建立和維護適當內部控制結構和財務報告程序的責任報告；（ 2）管理層就公司內部控制結構和財務報告程序的有效性在該財政年度終了出具的評價。法案要求管理層的內部控制年報必須包括：（ 1）建立維護適當公司財務報告內部控制制度的管理層責任公告 /聲明；（ 2）管理層用以評價內部控制制度的框架的解釋公告 /聲明；（ 3）管理層就內部控制制度有效性在該財政年度終了出具的評價；（ 4）說明公司審計師已就（3）中提到的管理層評價出具了證明報告。 公司的 CEO和 CFO們不僅要簽字擔保所在公司財務報告的真實性，還要保證公司擁有完善的內部控制系統，能夠及時發(fā)現并阻止公司欺詐及其他不當行為 。若因不當行為而被要求重編會計報表，則公司 CEO與 CFO應償還公司12個月內從公司收到的所有獎金、紅利或其他獎金性或有權益酬金以及通過買賣該公司證券而實現的收益。有更嚴重違規(guī)情節(jié)者，還將受嚴厲的刑事處罰。 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 11 薩班斯法案針對的對象 財務 BSS OSS系統 ERP系統 人力資源 /OA/其他 ?薩班斯是一部會計法案 ?主要針對財務系統 ?實際上今日財務報表的處理大多由信息系統 IT提供處理與執(zhí)行 ?財務系統與信息系統更緊密地結合，對涉及財務的交易進行初始化、授權、記錄、處理和編制報表 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 12 內部控制的審核標準、框架和規(guī)范 ? SEC要求審計師在審計報告上注明“審計是根據 PCAOB的標準執(zhí)行的” 。 ? 關于對內部控制的定義， SEC采納了 COSO的定義 。 ? PCAOB建議公司采納 COSO的控制模型 ，并以此為依據建立內部控制架構。 ? 定義了財務報表相關的內部控制（ ICFR）， 要求審計師僅對該部分發(fā)表意見。 ? CobiT 定義了內部控制的最佳實踐 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 13 IT 控制的重要意義 ? 對全球 300多家企業(yè)的調查表明，管理者認為 IT控制對SOX符合性具有極其重要的意義 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 14 信息系統在 IT管控過程中存在的普遍問題 ? 關鍵業(yè)務流程的程序、策略和紀錄沒有電子信息化，業(yè)務流程缺乏 IT控制集成 ? 內部信息逾權訪問 – 業(yè)務員工可以訪問后臺數據庫、操作系統 – 業(yè)務員工可以訪問過多業(yè)務系統 – 應用開發(fā)和數據庫管理員能夠訪問業(yè)務系統 ? 網絡、操作系統、數據庫等基礎架構自身沒有安全加固 ? 終端接入沒有控制：對于接入公司內部網的設備沒有全局的登錄認證機制，導致非法設備接入并能訪問業(yè)務系統。 ? 沒有強制執(zhí)行全局安全策略：沒有全局的自動手段檢查策略執(zhí)行的有效性，缺少智能化的全網安全策略部署軟硬件，導致統一制定的安全策略成為空談，各自為政。例如防病毒，防火墻規(guī)則、軟件補丁、密碼管理。 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 15 信息控制層面臨的具體技術問題 ? 業(yè)務間網絡層面的信息控制技術問題包涵兩個大方面 1. 如何明確終端和服務器的分類來劃分安全域。 2. 各個安全域內部的信息控制策略，各個安全域邊界的信息控制策略。 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 16 安全區(qū)域 ?縱深防御依賴于安全域的清楚定義 ?安全域邊界清晰，可明確定義邊界安全策略 ?加強安全域策略控制力，控制攻擊擴散，增加應對安全突發(fā)事件的緩沖處理時間 ?依據安全策略，可以明確需要部署的安全設備 ?使相應的安全設備充分運用，發(fā)揮應有的作用 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 17 網絡域 ： ?信息系統承載網，是安全域的承載子域。 ?信息控制重點是進行各專業(yè)系統的網絡隔離與邊界防護并保障網絡性能 系統域： ?核心業(yè)務邏輯服務器、數據庫服務器，是信息系統的核心子域。 ?信息控制重點是防非法訪問、防逾權訪問、防信息篡改和防數據丟失。 服務域： ?各業(yè)務的界面服務器，為信息系統提供公共服務，是整個系統的信息交換域。系統域和終端域不能直接互訪，由服務域提供內、外部門戶、安全認證、事件管理、策略管理、補丁管理等服務，是信息系統的公共子域。 ?信息控制重點是防非法訪問、防信息篡改。 終端域： ?各類客戶端和維護終端，是信息系統的公眾子域。 ?信息控制重點是終端準入控制、終端接入的認證和審計、安全策略符合性檢查。 安全域劃分及信息控制重點 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 18 系統域、服務域、終端域、網絡域邏輯關系示意 系統域 （業(yè)務邏輯、數據庫） 內部網絡 認證網關 網絡域MPLS VPN 綜合終端 漫游終端 專業(yè)終端 維護終端 銀行系統終端 服務域 （界面服務器） 終端域 系統域 服務域 外部網絡認證網關 互聯網 漫游終端 合作營業(yè)廳終端 防火墻