IT内控与企业内控

　　全球化背景下，共享与安全问题并存，越来越多的国家认识到，无论是市场还是企业本身，均存在着对企业内部控制的要求。许多国家均已颁布了相关法案，如美国的《萨班斯法案》（2002年安然、世通舞弊事件）、日本的《金融商品交易法》等。

　　有“中国版萨班斯法案”之称的《企业内部控制基本规范》在企业治理、职权控制和信息发布方面提出了极为严格的监管要求。而据有关咨询公司对中国上市公司的一项调查显示，56%的受访公司尚未建立或完善内部控制机制，情况并不乐观。

　　现今，国内大中型企业高度依赖IT系统作为业务的支撑，IT内控已成为是企业信息化管理中规避潜在风险的重要方法。使用技术手段实现IT内部控制与IT风险管理，方能帮助企业规避风险、提高管理水平。

　　内控方案的五要素

　　《企业内部控制基本规范》包含五要素：内部环境、风险评估、控制措施、信息与沟通、监督检查。

　　深信服认为，作为企业内控重要组成部分的IT内控方案，也应从如上五方面考虑：

　　1. IT环境

　　企业IT环境是实施内控的依据。

　　所采用的技术方案应适合组织文化、组织架构、已有网络环境、未来网络规划、IT管理制度、信息安全等级要求、信息安全保密要求等。能提供灵活的控制，在管理要求和人性化之间取得平衡；

　　2. IT风险评估

　　现在，来自网络的安全威胁如：病毒传播、网页/邮件挂马、黑客入侵、网络数据窃贼，来自组织内部的威胁：网络访问权限与职务不匹配、终端安全级别底下、安全防范意识不到位等，甚至系统内部泄密，已经使信息安全成为各行业信息化建设中的首要问题。

　　IT管理者需要技术方案，对IT风险进行识别与分析，如信息资产的风险、IT管理制度的风险以及应用权限的风险。

　　3. IT控制

　　以风险评估为依据，IT管理者需要可实行的IT控制措施。正所谓“三分制度、七分管理”，采用技术手段配合制度已是共识。

　　技术类控制措施，如身份管理、权限管理、信息过滤、日志留存、安全防护等，配合管理类控制措施，如各类制度与流程：授权审批、职权匹配、定期报表汇报、提前预估、IT绩效考核等。IT控制措施应符合企业现状，所选方案须有足够的灵活性，兼顾组织架构中各层级人物的需求。

　　4. 信息与沟通

　　企业应用信息技术促进信息的集成与共享，信息保密显得尤为重要。截至09年9月，我国每年因网络泄密导致的经济损失高达上百亿。其中，因为存在安全漏洞被攻击、入侵导致的被动泄密，因为利益诱惑导致的主动泄密，舞弊事件等，给企业造成商机泄露、客户流失、形象受损等诸多损失。

　　IT管理者需要惩防并举、重在预防的技术方案，事前预防，事发拦截，事后追踪。

　　5. 内部监督

　　企业需要IT审核机制，通过日志监控、行为综合分析、定期专项评审等措施，评估控制的有效性，作为改进依据，并为安全事件的发生做好应急追踪预案。

　　深信服IT内控方案
　
　　针对如上IT内控要求，深信服科技总结多年来基于用户需求的产品研发经验，提出如下解决方案：

　　►精准识别上网用户身份，保证行为与用户一一对应

　　管理的前提，是对用户身份、行为的准确定义，尤其认定用户身份的重要性不言而喻。

　　对上网人员的身份认定有多种方式：需用户手动参与的Web认证、无需用户参与的IP/MAC认证、USBkey硬件认证、AD/POP3/Proxy单点登录认证、第三方LDAP/Radius/AD服务器联动认证等，可结合企业的具体情况选择合适的方式。

　　►最小化业务所需访问权限，实现职权对应

　　IT内控要求实现给企业各组成部门分配与业务匹配的访问权限。

　　深信服建议管理员可设定策略：

　　-访问权限差异化，仅满足部门业务要求的最小化网络访问权限（如仅允许财务部门访问财务服务器，为核心研发人员配置特殊权限），封堵与业务无关的应用，防止越权访问；

　　-使用流控策略，防止资源滥用；

　　-为防范泄密与不良舆论事件，封堵论坛、博客、BBS等网站，采取“看贴不能发帖”“webmail能收不能发邮件”功能平衡人性化和信息保护要求，并基于多关键字过滤、告警敏感信息（发帖、邮件）。

　　►信息安全防护、保护信息资产安全

　　潜在的泄密行为、舞弊行为，往往隐藏在正常业务数据中，如数据传送、文件外发、邮件发送。深信服建议IT管理员关注业务数据流中的异常信息，除了使用关键字、行为定义预先发现外发敏感信息的行为，还需要对敏感邮件、外发可疑文件做拦截审计。

　　面对来自网络的危险，深信服帮助管理员封堵木马、黑客远程控制，发现并拦截中毒终端对外发送数据的行为，避免无辜员工卷入泄密事件。

　　►行为记录和报表分析，作为IT评估依据

　　为进行IT评估、追查安全事件，企业必须保留适当期限的外发信息日志、上网日志，并使用专业的可视化设备进行统计、查询、检索。

　　深信服建议管理员定期输出“网络运维情况报表”“异常行为智能报表”，了解控制效果，及时发现潜在的异常行为，既作为IT调控依据，又可帮助企业提前预知风险。

　　为保障信息安全，建议管理员为组织高层领导配发“免审计Key”免除过分审计带来的泄密风险，配备“日志查看权限key”保护日志信息安全。

　　综上，深信服致力于为客户提供综合解决方案，帮助客户实现更低的风险、业务安全发布、增强企业受信度、降低员工流动率、更好的公司治理、快速决策。