从SOX内控审计谈企业安全域解决方案

　　随着萨班斯（SOX）法案内控审计要求的出台，提升了IT控制在企业内部控制中的重要性，对电信运营商IT设施的安全性提出了更高的要求，如何改进IT控制和完善IT治理，电信运营商的CIO们，面临着更大的挑战。潜心关注电信行业安全并不断创新的北京启明星辰信息技术有限公司结合多年在安全领域的丰富经验与最佳实践，推出了针对电信运营商SOX内控的安全域划分及边界整合解决方案，即：按照安全等级和网络风险的级别重新规划运营商的网络，进一步明确网络边界和风险，同时针对不同设备采取适宜的安全策略，从而实现全程全网的安全防范和管理，达到事半功倍的效果。

　　划分安全域的原则

　　安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。启明星辰公司采用“同构性简化”的安全域划分方法，将复杂的大网络进行简化后设计防护体系，以便进行有效的安全管理。

　　启明星辰公司安全域划分遵循以下原则：

　　1、业务保障原则：在保证安全的同时，更要保障网络承载业务的正常、高效运行；

　　2、结构简化原则：安全域划分的直接目标是将整个网络变得更加简单，简单的网络结构便于设计防护体系。因此，安全域划分并不是粒度越细越好，安全域数量过多、过杂反而可能导致安全域的管理过于复杂，实际操作过于困难；

　　3、立体协防原则：安全域划分的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守，包括在物理链路、网络、主机系统、应用等层次；同时，在部署安全域防护体系的时候，要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。

　　以某运营商的MBOSS系统为例，我们通过对该系统进行数据流分析、网络结构分析，结合考虑现有的安全隐患，从资产价值、脆弱性、安全隐患三者间的关系出发，得到了整体的安全防护体系和各个业务系统自身的安全防护体系，为进一步管理整合后的安全域做好了准备。

事例图

　　基于安全域划分的最佳实践，该运营商的业务支撑系统（BSS）、企业信息系统（MSS）和网管系统（OSS）被分别划入不同的安全域，再根据每个安全域内部的特定安全需求进一步划分安全子域，包括：核心交换区、核心生产区、日常办公区、管理服务区、接口区、内部系统互联网区、外部系统互联区。

　　安全加固

　　仍以上图为例，在划分完安全域之后，我们对不同安全域内的关键设备进行了安全加固，依据是：各安全域内部的设备由于不同的互联需求，面临的威胁也不同，因此其安全需求也存在很大差异。

　　1、生产服务器：一般都是UNIX平台，资产价值最高，不直接连接外部网络，主要的安全需求是访问控制、账号口令、权限管理和补丁管理；

　　2、维护终端：一般都是WINDOWS平台，维护管理人员可以直接操作，其用户接入的方式也不尽相同（本地维护终端、远程维护终端），面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁，其安全需求是安全策略的集中管理、病毒检测（固定终端）、漏洞补丁等；

　　3、第三方：对业务系统的软、硬件进行远程维护或现场维护，其操作很难控制，面临着病毒、漏洞、攻击、越权或滥用、泄密等威胁，安全需求主要是接入控制，包括IP／MAC地址绑定、帐号口令、访问控制，以及在线杀毒、防毒墙、应用层的帐号口令管理、补丁管理等；

　　4、合作伙伴：涉及到与其他系统的连接，面临着病毒、漏洞、入侵等威胁，安全需求是病毒防护、入侵检测、漏洞补丁等。

　　5、互联网：面临着黑客入侵、病毒扩散等威胁，主要的安全需求是入侵检测、病毒防护、数据过滤等。

　　安全域与安全策略的结合

　　在划分安全域、进行安全加固的基础上，还需要对网络边界和重点区域采取特定的安全措施。

　　边界安全

　　对于任何安全域的保护，边界安全是最低的保护措施，通过对边界的控制能够保护安全域不受到来自其它区域的安全威胁。在上面的图例中，我们采用了以下技术：边界隔离、认证、监视、审计。具体的产品实现包括：MPLS VPN、VPN Lite、防火墙、接口主机、交换机VLAN、PVLAN、ACL等。

　　区域安全

　　区域安全是通过在安全域内部设置监视、测量、清理、审计等技术手段，实现安全域内安全事件的及时响应和清除。安全域的区域安全以安全状况的监控为主，对于本安全域内部的安全事件及时响应和清除，是安全域的核心安全处置手段。具体采用的技术和产品包括：入侵检测、安全审计、漏洞扫描、病毒防护、访问控制、帐号管理、补丁管理、流量监控等。

　　实现效益

　　通过划分安全域实现等级保护，启明星辰公司把电信运营商复杂的安全问题化解成小区域的安全保护问题，从而在全网范围内实现大规模的等级保护。

　　启明星辰公司提出的解决方案不仅仅是从网络系统、技术层面和单一安全设备来看待问题，更是从网络建设的整体规划出发，全盘考虑，帮助电信运营商从根本上解决安全问题。

　　在通讯产业与信息产业迅猛结合的今天，采用启明星辰公司安全域解决方案无疑将大大简化电信运营商复杂的安全问题及安全管理工作，化无序为有序，提高安全工作效率。

　　从SOX内控审计的角度，安全域解决方案势必将发挥其潜在的巨大优势，帮助电信运营商在SOX内控审计的过程中化繁为简，快速达到安全指标要求，与国际接轨，为企业带来更大的市场和经济效益。