【正文】 內(nèi)部控制（ ICFR）， 要求審計(jì)師僅對(duì)該部分發(fā)表意見(jiàn)。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 11 薩班斯法案針對(duì)的對(duì)象 財(cái)務(wù) BSS OSS系統(tǒng) ERP系統(tǒng) 人力資源 /OA/其他 ?薩班斯是一部會(huì)計(jì)法案 ?主要針對(duì)財(cái)務(wù)系統(tǒng) ?實(shí)際上今日財(cái)務(wù)報(bào)表的處理大多由信息系統(tǒng) IT提供處理與執(zhí)行 ?財(cái)務(wù)系統(tǒng)與信息系統(tǒng)更緊密地結(jié)合，對(duì)涉及財(cái)務(wù)的交易進(jìn)行初始化、授權(quán)、記錄、處理和編制報(bào)表 169。 公司的 CEO和 CFO們不僅要簽字擔(dān)保所在公司財(cái)務(wù)報(bào)告的真實(shí)性，還要保證公司擁有完善的內(nèi)部控制系統(tǒng)，能夠及時(shí)發(fā)現(xiàn)并阻止公司欺詐及其他不當(dāng)行為 。這一議案由布什總統(tǒng)在 2022年 7月 30日簽署成為正式法律，稱作 《 2022年薩班斯 奧克斯利法案 》 。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 8 聯(lián)通信息系統(tǒng)統(tǒng)一承載平臺(tái)體系結(jié)構(gòu) －功能分區(qū)，結(jié)構(gòu)分層 業(yè)務(wù)生產(chǎn)網(wǎng) 企業(yè)數(shù)據(jù)中心 單一的物理網(wǎng)絡(luò) DCN 網(wǎng)管網(wǎng) 計(jì)費(fèi)營(yíng)帳采集網(wǎng) OA網(wǎng) 合作伙伴等其它子系統(tǒng) 信息訪問(wèn)控制 MS客服 物理網(wǎng)絡(luò)層 邏輯隔離層 信息控制層 應(yīng)用層 BSS MSS OSS 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 5 信息化系統(tǒng)的發(fā)展趨勢(shì) ?逐步由后臺(tái)的業(yè)務(wù)支撐成為業(yè)務(wù)生產(chǎn)運(yùn)營(yíng)的核心 ?信息化應(yīng)用系統(tǒng)是聯(lián)通生產(chǎn)運(yùn)營(yíng)的樞紐環(huán)節(jié)，強(qiáng)調(diào)經(jīng)營(yíng)數(shù)據(jù)的集中與整合 ?分布式信息采集、集中式經(jīng)營(yíng)決策分析和風(fēng)險(xiǎn)控制要求 技術(shù)和管 理體制的垂直化 CRM 計(jì)費(fèi)及結(jié)算系統(tǒng) 營(yíng)業(yè)及帳務(wù)系統(tǒng) 經(jīng)營(yíng)分析系統(tǒng) 信息系統(tǒng) DCN 業(yè)務(wù)支撐網(wǎng)絡(luò) BSS系統(tǒng) MSS\OSS系統(tǒng) 綜合網(wǎng)管系統(tǒng) 決策支持系統(tǒng) 企業(yè)應(yīng)用集成 內(nèi)部門戶 客戶服務(wù)系統(tǒng) 其他（ OA、財(cái)務(wù)、人力咨詢 … ）不斷的外延 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 1 信息系統(tǒng)安全方案 Cisco Systems, Inc. 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 2 目錄 1. 信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀和發(fā)展趨勢(shì) 2. SOX符合性對(duì)信息系統(tǒng)控制的要求 3. 思科網(wǎng)絡(luò)準(zhǔn)入控制方案 (NAC2) 4. 思科終端安全防護(hù)方案 5. 安全信息管理 CSMARS 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 6 埃森哲建議的聯(lián)通總部和省份信息系統(tǒng)總體架構(gòu) BSS MSS/ERP OSS CRM 合作伙伴關(guān)系 經(jīng)營(yíng)分析 企業(yè)外部門戶 綜合結(jié)算 綜合采集 企業(yè)內(nèi)部門戶 企業(yè)決策支持 ERP 集成訂單管理 綜合生產(chǎn)調(diào)度 企業(yè)協(xié)同辦公 綜合資源管理 專業(yè)綜合網(wǎng)管 IT 網(wǎng)管 CRM (融合呼叫中心 ) 合作伙伴關(guān)系 經(jīng)營(yíng)分析 企業(yè)外部門戶 綜合結(jié)算 綜合采集 企業(yè)內(nèi)部門戶 企業(yè)決策支持 ERP 集成訂單管理 綜合生產(chǎn)調(diào)度 企業(yè)協(xié)同辦公 綜合資源管理 專業(yè)綜合網(wǎng)管 IT 網(wǎng)管 綜合計(jì)費(fèi)帳務(wù) 服務(wù)開(kāi)通管理 綜合故障管理 綜合服務(wù)質(zhì)量 總部 省份 網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì) 網(wǎng)元設(shè)備 /EMS 網(wǎng)元設(shè)備 /EMS 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 9 目錄 1. 信息系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀和發(fā)展趨勢(shì) 2. SOX符合性對(duì)信息系統(tǒng)控制的要求 3. 思科網(wǎng)絡(luò)準(zhǔn)入控制方案 (NAC2) 4. 思科終端安全防護(hù)方案 5. 安全信息管理 CSMARS 169。 ? “薩班斯法案”的 Section 302 and Section 404對(duì)在美上市公司和即將在美上市的公司提出信息系統(tǒng)管控能力的要求。若因不當(dāng)行為而被要求重編會(huì)計(jì)報(bào)表，則公司 CEO與 CFO應(yīng)償還公司12個(gè)月內(nèi)從公司收到的所有獎(jiǎng)金、紅利或其他獎(jiǎng)金性或有權(quán)益酬金以及通過(guò)買賣該公司證券而實(shí)現(xiàn)的收益。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 12 內(nèi)部控制的審核標(biāo)準(zhǔn)、框架和規(guī)范 ? SEC要求審計(jì)師在審計(jì)報(bào)告上注明“審計(jì)是根據(jù) PCAOB的標(biāo)準(zhǔn)執(zhí)行的” 。 ? CobiT 定義了內(nèi)部控制的最佳實(shí)踐 169。例如防病毒，防火墻規(guī)則、軟件補(bǔ)丁、密碼管理。 169。 ?信息控制重點(diǎn)是防非法訪問(wèn)、防逾權(quán)訪問(wèn)、防信息篡改和防數(shù)據(jù)丟失。 終端域： ?各類客戶端和維護(hù)終端，是信息系統(tǒng)的公眾子域。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 19 互聯(lián)網(wǎng) FE FE 數(shù)據(jù)中心 營(yíng)業(yè)辦公區(qū) 外部網(wǎng)絡(luò) DCN 信息控制策略 終端準(zhǔn)入控制 合作伙伴 NAC終端準(zhǔn)入控制 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 23 互聯(lián)網(wǎng) FE FE ACL uRPF ICMP限速 防 DOS攻擊 數(shù)據(jù)中心 營(yíng)業(yè)辦公區(qū) 外部網(wǎng)絡(luò) DCN ACL uRPF ICMP限速 信息控制策略 網(wǎng)絡(luò)異?？刂? 合作伙伴 169。 網(wǎng)絡(luò)準(zhǔn)入控制（ NAC） 是由思科領(lǐng)導(dǎo)的行業(yè)項(xiàng)目，主要用于限制各種新興安全威脅所造成的傷害 ? 在 NAC中，可以只允許符合要求的可信端點(diǎn)設(shè)備（如 PC、 服務(wù)器和 PDA等）訪問(wèn)網(wǎng)絡(luò)，并限制不符合要求的設(shè)備訪問(wèn)網(wǎng)絡(luò) ? NAC旨在大幅度提高網(wǎng)絡(luò)識(shí)別、抵御和適應(yīng)威脅的能力 ? NAC是 思科自防御網(wǎng)絡(luò)計(jì)劃 的第一個(gè)階段 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 30 NAC 設(shè)計(jì)的 SOX符合性 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 34 NAC安全框架的關(guān)鍵特性 ? 實(shí)施設(shè)備的安全準(zhǔn)入策略 ? 為用戶提供合適的資源訪問(wèn) ? 包括終端系統(tǒng)的安全 ? 監(jiān)視軟件系統(tǒng)的安裝 ? 防止敏感信息和數(shù)據(jù)的泄漏 ? 收集、分析和管理 IT信息 169。 NAC Appliance: 適用于多廠商環(huán)境 、 綜合用戶身份認(rèn)證、端點(diǎn)分析以及補(bǔ)丁升級(jí)服務(wù)于一體的安全解決方案，組網(wǎng)必須要求 CAM/CAS服務(wù)器。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 38 Network Access Device Cisco Clean Access Agent (optional) LDAP, RADIUS, NTLM,KERB NAC Appliance 相關(guān)重要組件及功能描述 98, ME, 2022, XP Clean Access Manager Host Clean Access Server (scanning, remediation) SSL Integration w/ AD, RADIUS, LDAP, Kerberos, etc. Auth Server Policy and remediation CAS OOB Switches (2940, 2950, 2960, 3550, 3560, 3750, 4500, 6500) CAS IB 模式 支持多廠家環(huán)境 VPN Concentrators (3K, ASA, ISR/IOS, WebVPN) SSL SNMP Cisco Security Agent (opt.) OS Security Apps 169。 ? 客戶端 安裝 Optional Agent （ CCA Agent) 由 CCA Agent收集客戶機(jī)相關(guān)信息（ Hotfix/AV/Antispware…), 來(lái)確定主機(jī)的健康狀態(tài)。 ? CAS: 接受 CAM的管理，攔截用戶 HTTP請(qǐng)求重新定向、進(jìn)行 Network Scanning、收集 CAA Agent信息等功能，并且發(fā)送給 CAM分析。 Real IP Gateway ? Clean Access Servers at the most basic level can pass traffic in one of two ways: Bridged Mode = Virtual Gateway Routed Mode = Real IP Gateway / NAT Gateway ? Any CAS can be configured for either method, but a CAS can only be one at a time ? Gateway mode selection affects the logical traffic path ? Does not affect whether a CAS is in Layer 2 mode, Layer 3 mode, In Band or Out of Band 169。 high throughput requirements NAC Enforcement Point Cisco Clean Access Server inband Cisco Clean Access Server with authentication/quarantine VLAN Quarantine Based on access control list (ACL) Based on VLAN Switches Supported Switches from any vendor Cisco Catalyst174。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 46 策略服務(wù)器 決策點(diǎn) 網(wǎng)絡(luò)接入設(shè)備 網(wǎng)絡(luò)準(zhǔn)入控制（ NAC） NAC Framework方案 : 增強(qiáng)基于端點(diǎn)安全的準(zhǔn)入控制 思科 ACS 服務(wù)器 反病毒供應(yīng)商服務(wù)器 試圖通過(guò)網(wǎng)絡(luò)訪問(wèn)主機(jī) 思科信任代理 RADIUS 2 訪問(wèn)設(shè)備用 RADIUS轉(zhuǎn)送證書(shū)到 策略服務(wù)器 (ACS) 2 HTTPS 3 策略服務(wù)器驗(yàn)證用戶名和密碼傳遞 反病毒信息以反病毒供應(yīng)商的服務(wù)器 3 4 反病毒供應(yīng)商服務(wù)器反饋是否符合 安全要求的信息 4 5 策略服務(wù)器將訪問(wèn)權(quán)限和 VLAN分配 反饋給訪問(wèn)設(shè)備 5 6 訪問(wèn)設(shè)備接受權(quán)限，增強(qiáng)策略，并通 知客戶端 : (允許、拒絕、限制或隔離 ) 7 6 7 EAP 1 主機(jī)采 EAP（ UDP或 )數(shù)據(jù)包向 訪問(wèn)設(shè)備送出證書(shū) 1 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 50 CSA端點(diǎn)安全可以幫助你做什么？ ? 統(tǒng)計(jì) PC上安裝了哪些應(yīng)用程序： 例： CSA能統(tǒng)計(jì)機(jī)器上都安裝了哪些應(yīng)用程序，以及安裝的版本。 ? 保護(hù)敏感數(shù)據(jù)，不允許復(fù)制、拷貝： 例：被保護(hù)的文件可以打開(kāi)閱讀，但是不能復(fù)制，無(wú)論是復(fù)制文件或文件夾，都不允許，也不能從文件中拷貝、粘貼內(nèi)容出來(lái)，所以是非常好的防止機(jī)密信息泄漏的方法。 ? 統(tǒng)計(jì)并能夠限制應(yīng)用程序?qū)W(wǎng)絡(luò)使用、中央集中控管、報(bào)警、報(bào)表 ? CSA結(jié)合 NAC能提供非常強(qiáng)大的終端控管功能， CSA還能配合 IPS減少誤報(bào)率，作為 HOST IDS還能夠?qū)⑿畔?bào)給 MARS 16