联想网御《企业内部控制基本规范》相关解决方案

　　2008年6月，国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称“内控规范”),内控规范中对IT内部控制(以下简称“IT内控”)提出了较高的要求，所以各企业都将面临IT内控的合规性检查问题。联想网御作为国内领先的专业安全厂商，通过对内控规范的理解，结合自身的安全实践，提出了企业IT内控解决方案，帮助企业的IT内控治理达到内控规范要求。

　　一、 IT内部控制的问题与挑战

　　1.1. 企业内控的背景

　　2001年，安然、世通这些美国著名大公司由于内部舞弊案而倒闭，为了应对诚信危机，挽救全球投资者信心，美国政府于次年颁布并坚定实施了《萨班斯法案》，严格监管上市公司的内部控制。

　　当前金融风暴席卷全球，且中国经历了30年跨越式发展，中国企业内部控制比较不规范。为防患于未然，2008年6月国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，企业内部控制基本规范以保障财务报告的真实性、可靠性为核心，提出相应内部控制要求，于2009年7月1日在上市公司范围内施行，鼓励非上市的其他大中型企业执行。

　　企业内部控制能够合理保证企业经营管理的合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会经济秩序和公众利益。

　　1.2. 企业内控与IT内控的关系

　　在现代企业所有权与经营权分离的背景下，为了防范并揭露错误与弊端，逐步形成了企业内部控制(Internal Control，以下简称“企业内控”)制度。美国COSO报告体现了业界对企业内部控制的主流观点，即：内部控制是为取得经营效果和效率、财务报告的可靠性、遵循适当的法令等目标而提供合理保证的一种过程。联想网御参照《企业内部控制基本规范》设计了企业内部控制模型：

　　

　　作为业务的支撑，IT系统已被国内大中型企业高度依赖，尤其是会计电算化的普及，要保障财务相关信息的真实有效，就必须对企业的IT系统严格控制。IT 内控是信息化管理下企业用以规避潜在风险的一种有效手段，我们认为IT内控实质上是企业运作过程中涉及IT 这部分资产的购入、使用及维护等不同阶段的相关内部控制过程，其相应的控制范围包括：IT 控制环境、软硬件的运行和维护、系统和数据的访问、系统开发和系统变更等。

　　根据《企业内部控制应用指引-征求意见稿》，我们得出企业内控和IT内控的关系：

　　

　　企业内控和IT内控的关系图

　　1.3. IT内控带来的挑战和问题

　　随着企业业务和IT 系统的日益融合，IT 成为影响企业内部控制越来越重要的因素， IT 内部控制是信息化管理下企业内部控制的重要组成部分，同时也是企业的内部控制系统中不可缺少的一部分。面对企业长期建立起来的复杂IT系统，如何建立正确的IT内控措施，而这些控制措施是否真正有效，又是否能保证符合外部法律法规的要求?这都为我们企业的稳定和长期发展提出了新的挑战。

　　联想网御借以美国萨班斯法案(SOX)IT内控的实践为基础，结合中国具体国情，并根据我们多年贴近用户的IT治理经验，概括了目前国内企业IT内控面临的主要问题：

　　如何保证权责的正确分配?

　　“明确权责分配，正确行使职权”是IT内控的一个核心思想，这其实也是信息系统安全管理的核心问题，目前国内大多数企业已经制定了相对合理的组织框架，分配了人员职权，但是这些策略、制度是否得到了很好的实施，而又如何对这些策略、制度的执行进行监督，是目前企业面临的主要问题。

　　如何保证IT基础设施可靠?

　　IT基础设施是整个信息系统的安全保障，IT内控核心是针对财务相关的IT系统进行控制。企业在构建IT基础设施时，必须充分考虑IT基础设施为财务系统服务的安全性，而目前国内企业的IT基础设施重心放在了保证业务生产系统上，而忽略了财务系统，如何保证IT基础设施的可靠性是需要解决和思考的问题。

　　如何保证财务系统安全?

　　财务系统作为IT内控的核心，如何保证财务数据的保密性、完整性和可用性是IT内控的重点，而国内企业的现状是：财务系统搭建和开发的重心放在了功能实现上，而较少考虑内部控制的安全要求，如何保证财务系统的安全性是企业长期稳定发展中面临的另一个问题。

　　如何进行审计监督?

　　审计是IT内控、以及企业内控中最重要的控制手段，通过审计可以及时发现问题，并可对问题的产生进行追溯，从而更好的解决和防范问题。目前国内企业很少有针对IT内控的审计手段，即使有相应的审计手段，也不能做到对系统进行全面审计，如何利用审计监督使企业的IT内控达到规范要求也是一个很棘手的问题。

　　二、 IT内部控制基本原理

　　《企业内部控制基本规范》并没有给出具体的IT内控标准方法，如何实现企业内部的IT控制，达到《企业内部控制基本规范》的要求呢?美国SOX法案的302、404条款为IT内控提出了相应控制要求，该法案已经成功颁布并得到实施，另外 《企业内部控制基本规范》和美国SOX法案有很多相似之处，所以，美国SOX法案中的IT内控方法值得我们借鉴。

　　2.1. SOX中的IT内部控制模型

　　在针对SOX方案中的IT内控要求上，美国上市公司普遍采用COBIT(《信息系统和技术控制目标》)的IT内控思想作为企业内控中的IT内控框架，并结合企业实际情况设计出符合规范要求的IT内控体系;具体控制措施采用ISO17779(信息安全管理体系)、ITIL(IT服务管理)等标准中的最佳实践，整合企业原有的控制措施，落实具体的控制方法。

　　在SOX法案中，企业IT内控由三个基本面组成：控制要素、控制目标和遵循原则。IT内控要素也是企业的内控要素;控制目标作用在这些控制要素之上;遵循原则为整个IT内控的基本准则，也是要求达到的最终效果。通过这几个方面的相互作用，从而实现IT内控措施。

　　2.2. 联想网御IT内部控制模型

　　联想网御的IT内控方法是结合我们在IT内控中的最佳实践，并参照《企业内部控制基本规范》的相关要求，开发出了适合中国国情的IT内控模型。联想网御的IT内部控制模型由三个基本面组成：IT内控基本要素，IT内控基本属性和对应的IT资源，对应关系如下图所示：

　　

　　IT内控的基本要素

　　IT内控的基本要素是IT内控的主要内容，包含：角色管理与授权审批，信息资源访问控制，系统开发、变更与维护控制，硬件及其他配套设备控制和财务相关应用系统的控制五个方面。

　　企业内控中的IT资源

　　IT资源是IT内控的对象，按照IT系统的层次可分为：基础设施、应用系统和业务流程三个层面。

　　IT内控的基本属性

　　IT的基本属性是IT内控的实现目标，可分为：安全可靠、业务连续、法规符合、稳定高效4个属性。

　　通过对上述三个方面的实现，最终形成了一个立体的、多层次的、科学的联想网御IT内控模型。

　　2.3. IT内控基本要素的具体内容

　　根据《企业内部控制应用指引-征求意见稿》的要求和对IT内控的理解，我们认为企业IT内控应该围绕财务及业务系统来进行，通过对财务及业务系统的数据、流程以及相关IT基础设施的控制来实现，各IT内控要素和系统各层面对应关系如下图所示：

　　

　　IT内控基本要素对应关系图

　　以下是各个控制要素具体内容的简单介绍：

　　1) 角色管理与授权审批

　　根据企业内部控制要素之一的内部环境控制要求：对结构治理、机构设置、权责分配、内部审计、人力资源政策、企业文化等方面进行控制。与其相对应的IT内控目标反映在对角色管理和授权审批的控制，主要内容包含：责任岗位的合理设置、岗位权责的合理分配、授权审批的正确流程等。

　　2) 信息资源访问控制

　　对信息系统的访问控制体现在对财务数据各种安全属性的保护上，主要内容包含：对信息系统的正确操作;对访问数据的权限设置;对用户访问权限的管理;对访问控制安全措施的实现;对数据信息进行分级、分域保护以及对数据的备份恢复等。

　　3) 系统开发、变更与维护控制

　　IT应用系统作为业务和财务的支撑，需要做得到严格控制，在应用系统的整个生命周期中的控制包括：系统的开发设计过程充分考虑业务和信息的集成性，优化处理流程，将相应的处理规则嵌入到系统程序中，对开发的功能进行备案和审核，并对外包第三方进行控制;在系统上线前需要制定详细的上线计划、明确的回退计划和数据迁移计划等;在系统投入使用前应进行整体测试和用户验收;系统上线后，对任何变更，应由相关部门审批后执行;在整个运维阶段，保证应用系统的可用性，制定系统备份恢复、应急响应等安全保护措施。

　　4) 硬件及其他配套设备控制

　　硬件环境作为构建IT系统的基础，需要建立严格的硬件管理制度，对更新、扩充、修复、报废、流转等情况进行登记;硬件应放置在合适的物理环境中，由专人负责;物理环境的建设和配置需符合国家相关标准要求;需有硬件设备的使用、异常处理的制度，并严格按照制度处理故障。

　　5) 财务相关应用系统的控制

　　对财务相关应用系统的控制是整个IT内控最为关键部分，是保证企业财务报告可靠的重要手段，控制内容如下：对财务应用系统业务流程的控制，规范记账、算账、保障等流程，降低人为的会计舞弊风险;建立完善的财务系统操作管理制度、规范，实现职责分离;并保障财务数据的可用性、完整性和保密性。

　　三、 IT内部控制解决方案

　　在联想网御IT内控的方法论的基础上，我们为企业IT内控提供了一揽子解决方案。我们的解决方案在帮助企业达到IT内控要求的过程中，充分利用企业已有资源，努力做到企业的成本/收益最大化。我们认为：严格的权限管理、稳固的信息基础平台、安全的应用系统和全面的审计监控是保证IT内控合规四大核心要素，我们针对这四大要素提出了IT内控解决方案，企业可根据实际情况，选择并组合这些解决方案，最终形成贴合自身需求的IT内控解决方案。

　　3.1. 权限管理安全解决方案

　　在企业内部控制中，IT的组织架构及人员控制是保证企业经营管理合法合规、资产安全以及财务报告和相关信息真实完整，提高企业的经营效率和效益的关键组成部分。其核心问题就是“明确权责分配，正确行使职权”。联想网御从产品和服务两种途径帮助企业实现IT内控中的权限管理，解决方案如下图所示：

　　

　　联想网御IT内控咨询服务

　　联想网御提供IT内控咨询服务，帮助企业梳理组织架构和区分人员权责，并协助企业建立合理的组织架构，从信息系统的战略设计、人员岗位设置、人员职责范围等方面建立起相关的策略、标准和制度等。从机构组织的角度，我们分别从机构层面、部门层面和系统层面进行控制。

　　联想网御安全审计系统

　　帮助企业建立起相关策略和制度后，使用联想网御IT内控安全审计系统，监控各个层面的人员是否越权访问、篡改数据、滥用权利等，联想网御安全审计系统不同与一般审计产品，其特点在于可以实现统一控制、集中审计，并且审计覆盖IT信息系统的绝大多数类型，能满足企业内部控制要求的审计、监督要求。

　　通过联想网御的解决方案，能帮助企业实现清晰的权责分配和权限管理，达到企业IT内控要求。

　　3.2. 基础平台安全解决方案

　　信息基础设施是构成信息系统的基础，如果信息平台的安全性得不到保证，那应用和数据安全也无从谈起，我们从信息平台最基本的三个层面来进行分别实现：物理资产、网络系统和主机系统，解决方案如下表所示：

　　控制层面控制内容提供的安全服务提供的安全产品

　　主机系统n 权责分配

　　n 访问控制

　　n 灾难恢复

　　n 应急处理

　　n 日志审计ü 内控咨询服务

　　ü 安全值守服务

　　ü 安全加固服务

　　ü 应急响应服务

　　ü 风险评估服务

　　ü 安全巡检服务ü 联想网御内网管理系统

　　ü 联想网御安全网关系列产品

　　ü 联想网御安全审计系统

　　网络系统控制n 权责分配

　　n 访问控制

　　n 灾难恢复

　　n 应急处理

　　n 日志审计

　　n 通信安全ü 内控咨询服务

　　ü 安全值守服务

　　ü 安全加固服务

　　ü 应急响应服务

　　ü 风险评估服务

　　ü 安全巡检服务ü 联想网御安全网关系列产品

　　ü 联想网御隔离网闸产品

　　ü 联想网御异常流量监控系统

　　物理资产控制n 权责分配

　　n 访问控制

　　n 灾难恢复

　　n 应急处理

　　n 日志审计ü 内控咨询服务

　　ü 建设建议服务

　　ü 安全巡检服务

　　ü 风险评估服务ü 联想网御内网管理系统

　　ü 联想网御安全审计系统

　　针对每个层面的具体控制，我们都有相应的产品和服务来支撑，下面就这三个层面的具体解决方案进行介绍。

　　3.2.1. 物理资产控制

　　物理资产是构建信息平台的基础设施，需要对物理资产的访问、变更等进行严格控制，保证其为IT系统提供持续、稳定的服务。因此，需要对物理资产的使用权限、访问控制、备份恢复和访问日志审计进行控制，联想网御通过技术加管理的方式实现对物理资产的内部控制，具体解决方案如下：

　　权责分配

　　利用IT内控咨询服务，梳理组织机构和区分权责，建立并完善物理层面相关控制策略、制度及流程等。

　　访问控制策略

　　利用IT内控咨询服务，建立并完善访问控制策略、制度等;通过风险评估和定期安全巡检服务监督落实情况;配合使用联想网御内网管理系统对访问行为进行记录和监督。

　　灾难恢复和应急处理

　　利用IT内控咨询服务，建立并完善灾难恢复的策略制度、应急预案，并协助企业进行应急演练。

　　日志的审计

　　利用联想网御内网管理系统保存物理资产的访问记录，对硬件的变更进行报警提示;并使用安全审计系统来对用户行为进行审计。

　　3.2.2. 网络系统控制

　　网络系统是整个信息平台的通信保障，需要对传输数据的可用性、保密性和完整性进行保证。可以从网络系统的使用权限、访问控制、备份恢复、访问日志审计以及通信通道的可靠性几个方面进行控制，以下是针对上述几个方面的具体解决方案：

　　清晰的权责分配

　　利用IT内控咨询服务，梳理组织机构和区分权责，建立并完善网络层面相关策略、制度及流程。

　　严格的访问控制策略

　　利用IT内控咨询服务，建立并完善访问控制策略，并对现有访问控制措施进行风险评估，根据评估结果对控制措施进行调整，使其达到内控要求;并定期巡检，保持访问控制措施的有效性;另外，利用联想网御安全网关产品加强系统的访问控制。

　　通信通道的可靠性

　　对网络架构进行风险评估和调整，保证网络架构的安全性，并可使用联想网御安全接入网关、防病毒网关等安全系统来保证信息通信通道的安全可靠。

　　灾难恢复和应急处理

　　利用IT内控咨询服务，建立灾难恢复的策略制度、应急预案，并协助企业进行应急演练，切实做到策略制度的有效可用。

　　日志审计

　　利用联想网御内网管理系统保存网络的访问记录，对系统的调整进行报警提示;可使用联想网御安全审计系统进行监督控制。

　　3.2.3. 主机系统控制

　　主机系统是应用系统最直接的运行平台，对应用系统安全起到最直接的作用，因此需要对主机系统的使用权责、访问控制、备份恢复、日志审计进行控制，以下是针对上述几个方面的具体解决方案：

　　清晰的权责分配

　　利用IT内控咨询服务，梳理组织机构和区分权责，建立并完善主机层面相关策略、制度及流程。

　　严格的访问控制策略

　　利用IT内控咨询服务，建立访问控制策略，并对现有访问控制的措施进行风险评估，根据结果对现有措施进行调整;定期巡检，保持访问控制的有效性;另外利用联想网御内网管理系统等产品可加强系统的访问控制。

　　灾难恢复和应急处理

　　利用IT内控咨询服务，建立灾难恢复的策略制度、应急预案，并协助进行应急演练。

　　日志的审计

　　利用联想网御内网管理系统保存主机的访问记录，对系统的调整进行报警提示;并可使用联想网御安全审计系统进行监督控制。

　　3. 3. 关键应用安全解决方案

　　业务、财务系统作为IT内控的主要控制目标，其安全性直接影响企业的经营，而财务系统又是IT内控中最主要的控制目标。不管业务系统还是财务系统，我们站在IT系统角度来看，都可以把他们归类为应用系统，对应用系统的控制，需要对其生命周期的各个阶段控制，我们把控制分为三个阶段：系统建立、系统使用和系统变更，下表是联想网御针对财务系统的安全解决方案：

　　控制类型控制内容提供的安全服务提供的安全产品

　　系统的建立n 需求管控

　　n 功能设计管控

　　n 开发管控

　　n 上线管控

　　n 试运行管控

　　n 第三方管控 ü 应用评估

　　ü 源代码审计

　　ü 渗透测试 ü 联想网御安全网关产品

　　ü 联想网御文件管理系统

　　ü 联想网御内网管理系统

　　系统的使用n 权限管理

　　n 操作流程

　　n 业务数据管理

　　n 备份及应急

　　n 日志审计 ü 安全巡检

　　ü 安全值守

　　ü 安全监控

　　ü 应急响应 ü 联想网御安全网关产品

　　ü 联想网御文件管理系统

　　ü 联想网御内网管理系统

　　ü 联想网御异常流量监控系统

　　ü 联想网御应用管理系统

　　ü 联想网御安全审计系统

　　系统的变更n 变更流程

　　n 审批权限

　　n 上线管控

　　n 备份及应急

　　n 日志审计 ü 应用评估

　　ü 安全监控

　　ü 源代码审计

　　ü 应急响应 ü 联想网御应用管理系统

　　ü 联想网御安全审计系统

　　针对应用系统生命周期每个过程的具体控制，我们都有相应的产品和服务来支撑实现，下面就这三个阶段的具体解决方案进行介绍。

　　3.3.1. 系统建立控制

　　系统的建立时期是应用系统功能、性能及安全性形成的关键阶段，需要在这个阶段将财务需求和安全需求集成到设计中去，并对整个开发建立过程进行严格控制，使其不偏离安全目标，我们提供的解决方案如下：

　　需求管控

　　通过IT内控咨询服务，帮助企业确定系统的需求，协助企业梳理应用系统的安全需求，将其集成到系统设计中。

　　功能设计管控

　　通过IT内控咨询服务，帮助企业确定系统的功能，协助企业设计应用系统的安全功能，使这些功能可保障业务数据的安全。

　　开发管控

　　通过IT内控咨询服务，在开发过程中帮助企业制定系统开发的管理控制制度;提供开发环境的控制，通过使用联想网御安全网关产品、联想网御文件管理系统、联想网御内网管理系统等防止源代码泄露，保证系统开发过程的安全。

　　上线管控

　　提供IT内控咨询服务，帮助企业制定系统上线、测试、试运行的流程、制度等;提供系统上线的安全评估、源代码审计和安全加固等服务。

　　第三方管控

　　提供IT内控咨询服务，帮助企业制定第三方外包管理制度，并进行定期的风险评估，协助监督制度的落实情况;配合使用联想网御安全网关产品、内网管理系统和文件管理系统等产品限制第三方的权限。

　　3.3.2. 系统使用控制

　　这个阶段是IT内控最核心的阶段，为保证财务报表的真实、可靠，必须对财务系统的访问权限、操作流程、应急处理、日志审计及财务数据的保密性、可用性和完整性等多方面进行控制，我们的解决方案如下：

　　权限管理

　　通过IT内控咨询服务，帮助企业制定权限策略;并可通过联想网御应用管理系统产品对应用系统进行监控。

　　操作流程

　　通过IT内控咨询服务，帮助企业梳理应用流程;并可通过联想网御应用管理系统对应用系统进行监控。

　　业务数据管理

　　通过风险评估、安全加固、定期巡检和安全值守等安全服务对财务数据进行安全控制;通过使用联想网御安全网关产品、内网管理系统、应用管理系统、和异常流量管理系统来保证财务数据的完整性、可用性和保密性。

　　备份恢复

　　利用IT内控咨询服务，建立起灾难备份的策略制度、应急预案等，并协助进行应急演练。

　　日志审计

　　使用联想网御的安全审计系统，对应用系统的操作进行监控。

　　3.3.3. 系统变更控制

　　系统在使用过程中发生变更，如不对变更进行及时处理，之前的安全部署就面临很大的安全威胁，所以，当系统发生变更时，必须对变更的流程、审批、重新上线等方面进行规范和控制。我们提供的解决方案如下：

　　变更流程

　　通过IT内控咨询服务，帮助企业制定系统变更策略、制度和流程;并使用联想网御应用管理系统监控系统的变更。

　　审批权限

　　通过IT内控咨询服务，帮助企业制定系统访问控制策略、审批权限流程等;并使用联想网御应用管理系统和安全审计系统来监控系统的变更。

　　上线管控

　　提供IT内控咨询服务，帮助企业制定系统上线、测试、试运行的流程和制度;并提供系统上线前的安全评估、源代码审计、安全加固等。

　　备份恢复

　　利用IT内控咨询服务，建立灾难备份的策略制度、应急预案;并协助进行应急演练。

　　日志审计

　　使用联想网御的安全审计系统，对应用系统的访问、使用和变更等进行集中审计。

　　3.4. 审计监控安全解决方案

　　为满足企业IT内控需求，规避潜在的安全风险，联想网御除提供有针对性的IT内控咨询、风险评估等安全服务外，还推出了专门针对IT内控的安全审计产品，该产品利用了联想网御安全管理系统为平台，有效的审计、监控企业内部IT资源环境。能够解决企业当前在访问控制及审计措施方面所面临的主要问题。联想网御安全审计系统结构如下图所示：

　　

　　日志管理系统：

　　实现网络日志收集、主机日志收集、应用日志收集、数据库日志收集、其他日志收集以及日志的备份及恢复等。

　　审计系统功能：

　　实现问题识别、问题优先级确定、问题响应流程、问题取证、日志的保留及报表功能等。

　　安全管理平台：

　　统一安全管理平台是整个系统运行的基础，向其它系统传递配置参数，包括服务运行状态、参数设置、账号数据、审计策略、安全策略设置及报表生成等。

　　联想网御安全审计系统采用模块化的体系结构，使系统具有非常灵活的部署模式，可以适应从简单到复杂的不同用户环境。通过部署联想网御安全审计系统，企业可以做到统一日志审计和统一监管，使审计工作复杂度大幅度降低，并能够实时掌握安全状况，追踪安全事故原因。对各个系统进行统一的访问审计，利于综合分析，及时发现入侵行为, 满足企业IT内控要求。

　　四、 IT内部控制方案的价值

　　基于自身丰富的安全产品线和多年安全服务的经验，联想网御为企业提供了专业化、个性化的IT内控解决方案，根据企业具体现状，在最大程度保留企业原有IT投资的基础上，通过我们产品和服务的灵活配置，可使企业获得如下收益：

　　严格遵守安全策略，规范设备、人员管理，建立终端安全规范管理的IT内控支撑系统，使内控管理落地，使企业遵从IT 内控目标，符合《企业内部控制基本规范》和其他相应法规的要求;

　　部署安全策略强制系统，基于用户账号和角色实现访问控制，对安装防病毒软件，自动升级、打补丁等，采用严控违规拨号上网等设置安全策略，控制终端访问范围，隔离不安全终端，阻断非法终端;以确保授权用户在需要时可以访问相关财务信息，并保证财务信息和信息处理方法的准确性和完整性，保护财务信息免受各种安全威胁，将损失降低到最小，获得最大的投资回报和商业机会;

　　通过从终端到网关、从信息处理到信息存储的整体解决方案，实现信息系统集中管理，保证IT资源的安全，保障财务信息产生、存储和传递的可靠性，确保组织业务的连续性;

　　建立了权责清晰的组织集中管理架构，实现账号集中管理和授权，对违反安全策略行为的审计，监控用户使用非法软件、违反规定上网等行为等，进而梳理、优化财务信息相关处理流程，保证财务信息真实有效。

　　总之，IT内控将给国内信息安全行业带来新的发展机遇;面对这一机遇，有准备的专业安全厂商通过为用户提供完善的IT内控解决方案，满足用户切实需求，拓展企业的发展空间，提升自身实力和品牌价值。