立足萨班斯法案电信安全解决方案

作者：未知
点击数：
更新时间：2007年08月14日

　　萨班斯(SOX)法案内控审计要求的出台，提升了IT控制在企业内部控制中的重要性，对电信运营商IT设施的安全性提出了更高的要求，如何改进IT控制和完善IT治理，是电信运营商的CIO们面临的新挑战。

　　潜心关注电信行业安全并不断创新的启明星辰信息技术有限公司结合多年在安全领域的丰富经验与最佳实践，推出了针对电信运营商SOX内控的系列安全解决方案，从宏观到微观，包括ISO27001安全认证咨询服务解决方案、安全域解决方案、4A(账号、认证、授权、审计)统一安全管理平台解决方案、以及面向业务保障的安全服务体系解决方案。

　　一、ISO27001安全认证咨询服务解决方案

　　近年来，国家出台了一系列信息安全的法律法规，信息产业部已将安全与业务准入挂钩，与此同时，海外政府、资本市场提出的新监管要求(如：SOX法案)的强制执行都要求运营商进一步遵守安全内控要求。

　　放眼电信市场，各大运营商的“转型”都在寻找新的蓝海，IT与电信迅速融为一体成为ICT，而IT为传统通信产业注入无限活力的同时，也引发了大量安全问题，能否解决这些安全问题，已成为运营商与竞争对手拉开差距的关键，并已成为新的业务增长点。

　　在此背景下，各大运营商需要建立完善的信息安全管理体系(ISMS)，通过国际权威机构的安全认证，并不断巩固完善，旨在赢得国内外客户的信任与国际资本市场的青睐，为企业的持续健康发展保驾护航。

相关国际标准与法案
　　作为建立信息安全管理体系(ISMS)的重要规范，BS7799标准被ISO组织采纳后，衍生为ISO 17799《信息安全管理实施细则》和ISO 27001《信息安全管理体系规范》。ISO 17799是建立并实施信息安全管理体系的指导性标准，ISO 27001是对信息安全管理体系进行审核的依据性标准。获得ISO 27001认证是企业拥有完善的信息安全管理体系的象征。
　　萨班斯(SOX)法案是另一部更加具有国际性影响的规章，始创于 2002 年，由美国证券交易委员会(SEC)提交，是一部旨在消除企业财务欺诈行为和弊端的历史性法案，它要求在美国上市的所有企业必须通过该法案审核。
　　ISO 17799/27001与定义信息治理过程的COBIT标准和COSO框架共同健全了萨班斯法案中与安全和内控审计相关的404条款。
　　启明星辰安全认证、咨询服务解决方案
　　启明星辰公司积极参照ISO 17799/27001和COBIT为客户提供安全认证、咨询服务，最终达到符合SOX法案的要求。同时我们也意识到，安全认证的真正目的不仅仅是为了获得证书，更重要的是建立切实的网络和业务安全体系，帮助运营商争取更多的用户，特别是高端的国际型用户与投资，在此基础上，将SOX内控审计落实到具体的运营工作中、塑造卓越的运维队伍、驱动更大的经济效益。
　　应该看到，安全管理具有宏观、中观和微观三重层次，ISO 27001在宏观安全管理体系规划方面有很好的定义，但中观调整、特别是微观实现方面实际上是留待各实施机

构根据各自情况自行解决，换句话说，ISO 27001偏重从宏观角度提供理论指导。执行ISO 27001、符合ISO 27001，必须结合运营商的主业、从中观和微观角度加以落实。
　　启明星辰公司为运营商提供立体的ISO 27001防御体系，涉及宏观规划和监控、中观整合加固、微观技术实现，每个层面上又纵深提供评估服务、应急服务、技术培训和技术支撑，真正做到将ISO 27001认证落实到安全运维人员每天可执行的技术、工具、平台、流程、规章等各个层次。

　　收益
　　启明星辰公司承诺所提供的安全认证、咨询服务针对运营商的不同系统量体裁衣，协助运营商除获得认证证书之外，落实并巩固安全认证成果，包括：
　　l 制定切实可操作的安全规范与安全策略;
　　l 实施网络安全优化方案;
　　l 对系统进行深层次的安全评估并提交安全加固建议;
　　l 提供电信级应急响应服务;
　　l 提供专业的安全管理和安全技术培训;
　　l 实施全面的安全监控

　二、安全域解决方案
　　划分安全域的原则
　　安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。启明星辰公司采用“同构性简化”的安全域划分方法，将复杂的大网络进行简化后设计防护体系，以便进行有效的安全管理。
　　启明星辰公司安全域划分遵循以下原则：
　　1、业务保障原则;
　　2、结构简化原则;
　　3、立体协防原则。
　　以某运营商系统为例，我们通过对该系统进行数据流分析、网络结构分析，结合考虑现有的安全隐患，从资产价值、脆弱性、安全隐患三者间的关系出发，得到了整体的安全防护体系和各个业务系统自身的安全防护体系，为进一步管理整合后的安全域做好了准备。
　　基于安全域划分的最佳实践，该运营商的各个系统被分别划入不同的安全域，再根据每个安全域内部的特定安全需求进一步划分安全子域，包括：核心交换区、核心生产区、日常办公区、接口区、安全管理区、内部系统接入区、外部系统接入区。
　　安全加固

　在划分安全域之后，我们对不同安全域内的关键设备进行安全加固，依据是：各安全域内部的设备由于不同的互联需求，面临的威胁也不同，因此其安全需求也存在很大差异。
　　1、生产服务器：一般都是UNIX平台，资产价值最高，不直接连接外部网络，主要的安全需求是访问控制、账号口令、权限管理和补丁管理;
　　2、维护终端：一般都是WINDOWS平台，维护管理人员可以直接操作，其用户接入的方式也不尽相同(本地维护终端、远程维护终端)，面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁，其安全需求是安全策略的集中管理、病毒检测(固定终端)、漏洞补丁等;
　　3、第三方：对业务系统的软、硬件进行远程维护或现场维护，其操作很难控制，面临着病毒、漏洞、攻击、越权或滥用、泄密等威胁，安全需求主要是接入控制，包括IP/MAC地址绑定、帐号口令、访问控制，以及在线杀毒、防毒墙、应用层的帐号口令管理、补丁管理等;
　　4、合作伙伴：涉及到与其他系统的连接，面临着病毒、漏洞、入侵等威胁，安全需求是病毒防护、入侵检测、漏洞补丁等。
　　5、互联网：面临着黑客入侵、病毒扩散等威胁，主要的安全需求是入侵检测、病毒防护、数据过滤等。
　　安全域与安全策略的结合
　　在划分安全域、进行安全加固的基础上，还需要对网络边界和重点区域采取特定的安全措施。

边界安全
　　对于任何安全域的保护，边界安全是最低的保护措施，通过对边界的控制能够保护安全域不受到来自其它区域的安全威胁。在上面的图例中，我们采用了以下技术：边界隔离、认证、监视、审计。具体的产品实现包括：MPLS VPN、VPN Lite、防火墙、接口主机、交换机VLAN、PVLAN、ACL等。
　　 区域安全
　　区域安全是通过在安全域内部设置监视、测量、清理、审计等技术手段，实现安全域内安全事件的及时响应和清除。安全域的区域安全以安全状况的监控为主，对于本安全域内部的安全事件及时响应和清除，是安全域的核心安全处置手段。具体采用的技术和产品包括：入侵检测、安全审计、漏洞扫描、病毒防护、访问控制、帐号管理、补丁管理、流量监控等。
　　实现效益
　　通过划分安全域实现等级保护，启明星辰公司把电信运营商复杂的安全问题化解成小区域的安全保护问题，从而在全网范围内实现大规模的等级保护。该方案不仅仅是从网络系统、技术层面和单一安全设备来看待问题，更是从网络建设的整体规划出发，全盘考虑，帮助电信运营商从根本上解决安全问题。
　　从SOX内控审计的角度，安全域解决方案也将发挥其潜在的巨大优势，帮助电信运营商在SOX内控审计的过程中化繁为简，快速达到安全指标要求，与国际接轨，为企业带来更大的市场和经济效益。
　　三、4A统一安全管理平台解决方案

4A统一安全管理平台解决方案结合了启明星辰天玥业务审计产品的优势，引入了SafeWord产品系列中的3A组件。4A包括统一用户账号(Account)管理、统一认证(Authentication) 管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。
　　融合后的解决方案将涵盖单点登录(SSO)等安全功能，既能够为客户提供功能完善的、高安全级别的4A管理，也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
　　为什么需要4A统一安全管理平台解决方案
　　随着各大电信运营商的业务网发展，其内部用户数量持续增加，网络规模迅速扩大，安全问题不断出现。而每个业务网系统分别维护一套用户信息数据，管理本系统内的账号和口令，孤立地的以日志形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求，及与国际业务接轨的需求。问题主要表现在以下几方面：
　　1. 大量的网络设备、主机系统和应用系统分属不同的部门或业务系统，认证、授权和审计方式没有统一，当需要同时对多个系统进行操作时，工作复杂度成倍增加;
　　2. 一些设备和业务系统由厂商代维，因缺乏统一监管，安全状况不得而知;
　　3. 各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统一的访问控制平台，随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障;
　　4. 个别账号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际使用者;

　5. 随着系统增多，用户经常需要在各系统间切换，而每次切换都需要输入该系统的用户名和口令，为不影响工作效率，用户往往会采用简单口令或将多个系统的口令设置成相同的，造成对系统安全性的危害;
　　6. 对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为。
　　综上，由于缺乏统一的4A管理平台，在系统管理人员工作负担加重的同时，因各业务系统安全策略不一致，实质上也大大降低了业务系统的安全系数。
　　启明星辰4A统一安全管理平台解决方案
　　采用启明星辰4A统一安全管理平台解决方案能够解决运营商当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。该解决方案由5个子系统组成：统一的4A管理平台、统一的认证授权子系统、统一的账号管理子系统、统一的日志审计子系统、网络行为审计子系统。
　　 统一4A管理平台向其它四个子系统传递配置参数，包括认证参数、账号参数、审计策略参数等，而四个子系统则将自身的运行状态值传递给统一4A管理平台;
　　 统一4A管理平台上各参数的变更，以及各告警值通过syslog的方式传递给统一日志审计子系统;
　　 统一认证授权子系统对用户进行统一接入认证后，产生的认证记录通过syslog的方式发送给统一日志审计子系统;

统一账号管理子系统对用户账号进行维护的操作通过syslog的方式发送给统一日志审计子系统;
　　 网络审计引擎部件将采集到的日志信息通过syslog方式发送给统一日志审计子系统。
　　统一日志审计子系统功能：
　　 安全日志采集
　　 安全日志多维分析
　　 安全日志实时展现
　　 报表分析
　　 审计策略配置
　　 数据存储
　　统一认证授权子系统功能：
　　 统一身份认证
　　 集中账号口令管理
　　 统一认证和授权
　　- 网络设备的身份认证及授权

- 主机系统的身份认证及授权
　　- 远程接入或VPN接入用户的认证及授权
　　- 数据库管理的身份认证及授权
　　- 基于Web的运营系统的身份认证及授权
　　- 基于C/S结构的业务系统的身份认证
　　统一账号管理子系统功能：
　　 单点登陆
　　 账号同步
　　 统一账号管理与统一认证授权协作
　　网络行为审计子系统功能：
　　 FTP/TELNET审计
　　 XWINDOW审计
　　 常用数据库的操作审计(ORACLE审计、DB2审计、SQL SERVER审计、SYBASE审计)
　　 堡垒机跳转行为审计
　　 NETBIOS审计