2001年11月,美国最大的能源企业安然由于各种丑闻事件的爆发而宣告破产,安然公司的破产并非偶然,公司治理的内部机制和外部机制出现的严重问题是其根本原因所在。在这样一个背景下,企业安全内控建设成为各个企业所关注的焦点,而在企业安全内控建设的动力方面又分为外因与内因两部分。
内因得产生主要是由于包括企业内部对知识产权保护及机密性信息保护的要求及在实际信息工作中所遇到的问题所推动的。而外因主要包括在大环境下的法规遵从要求,具体如下图:
萨班斯法案
SOX法案共分11章,公认萨班斯法案中最严苛、最复杂、执行成本最高的404条款规定,在美上市企业必须建立内部控制体系,包括控制环境、风险评估、控制活动、信息沟通和监督五个部分。内部控制活动的记录不仅要细化到诸如产品付款时间之类的细节,而且对重大缺陷都必须予以披露。
图1: SOX相关条款
信息安全等级保护
1994年《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
GB 17859_1999 |
信息系统安全等级保护定级指南 |
信息系统安全等级保护基本要求 |
信息系统安全等级保护实施指南 |
信息系统安全等级保护测评要求 |
信息系统安全等级保护评估指南 |
信息系统安全等级保护管理监督检查要求 |
目前国内三大石油公司中石油、中石化、中海油均在美国上市,为了应对萨班斯法案对企业内控提出的要求,必须加大信息系统在总体控制方面的责任,在信息系统对管理流程的介入程度上,采取自上而下的基于风险管理的分配原则,尽量缩减成本,同时实现内控的合理化、流程和控制的集中化。
图2: 能源企业安全体系建设模型
作为在美上市企业的全资公司,H3C本身也需要通过相关萨班斯法案的审计,利用自身作为ITOIP解决方案提供商的优势,H3C已连续两年顺利通过相关审计。结合自身的相关经验,H3C为石油石化行业推出了安全内控管理解决方案。。
图3: 安全内控框图
内部控制对数据的安全保护贯穿数据生命周期的全过程,根据数据的构成,在任何情况下,数据只存在于“计算”、“通讯”与“存储”三种状态之一,其中对通信安全的保障是企业内控重要部分,为遵循萨班斯法案的数据保护要求能源企业需要建立一个具有主动防御能力的安全网络,H3C提出了智能安全渗透网络iSPN解决方案可以为能源行业提供一个很好的解决办法。
图4: 智能安全渗透网络
智能安全渗透网络(iSPN, intelligent Safe Pervasive Network)是一个整体安全架构,从局部安全、全局安全、智能安全三个层面,为用户提供一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署,抵御最基础的安全威胁;全局安全利用安全策略完成产品间的分工协作,达到协同防御的目的;智能安全在统一的安全管理平台基础上,借助于开放融合的大安全模型,将网络安全变为从感知到响应的智能实体。
解决方案优势
H3C推出基于核心交换机的SecBlade防火墙/IPS模块和SecPath防火墙/IPS盒式设备,是业界唯一能同时提供万兆插卡和盒式设备的厂商,可根据用户的实际情况提供两种不同产品形态的解决办法。
SecPath/SecBlade防火墙产品集成了包过滤和状态检测技术,对不同信任级别的安全区域制定相应安全策略,防止非授权访问。SecPath盒式设备支持H3C OAA开放应用架构,可在设备上部署防病毒、网流分析等业务模块;SecPath/SecBlade IPS是业界唯一集成漏洞库、专业病毒库、协议库的IPS产品,特征库数量已达上万种,并保持不断更新,能精确实时地识别并防御蠕虫、病毒、木马、DDoS等网络攻击,细粒度地控制P2P/IM造成的带宽滥用。
通过对防火墙和IPS的有机结合和功能互补,为用户提供2-7层的全面安全防护,有效的抵御来自网络边界的各种安全风险。
l 统一安全管理
不同厂商、不同种类的网络和安全设备之间缺乏信息交互,容易形成信息孤岛。SecCenter可对异构环境下的全网设备进行统一管理,支持上百家厂商的防火墙、IPS/IDS、路由器、交换机、防病毒系统、服务器等多种类型的产品,通过对海量信息的采集、分析、关联、汇聚和统一处理,实时输出分析报告,帮助管理员及时地对网络安全状况进行分析与决策。
l 安全与网络的深度融合
基于H3C在网络及安全领域的深厚技术积累,用户可选择在核心交换机中增加万兆SecBlade防火墙/IPS模块,针对大型园区网、内部区域边界隔离等需求时,可提供完善的安全防护功能,并且无需部署独立的安全设备,简化网络结构,避免单点故障,便于用户管理,真正实现安全与网络的深度融合。
l 高可靠性
通过设备的双机状态热备、L3 Monitor等先进技术,可实现双链路、双网关备份,在链路故障或设备故障的情况下,及时发现故障并快速自动切换,极大提高网络可靠性,保证用户业务的不间断运行。
l 虚拟化安全服务
通过划分多个虚拟系统来实现对用户多个业务独立安全策略部署的需求。当用户业务划分发生变化或者产生新的业务部门时,可以通过添加或者减少虚拟系统的方式十分灵活的解决后续网络扩展问题,简化了网络管理的复杂度,并有效降低用户安全建设的成本。
在强化内控管理的层面,我们提出使用统一的、强制的终端控制手段来完成对安全管理、用户身份、访问权限三者的统一控制和管理,同时采用相关的监控手段来进行保证,使其从三个独立的系统成为一个即有联合性又可独立工作的功能实体。
H3C行为监管解决方案能彻底解决以上问题,是业界应用识别最全面的解决方案,方案由应用控制网关和安全管理平台组成。
图5: EAD流程图
1. 用户终端试图接入网络时,首先通过安全客户端进行用户身份认证,非法用户将被拒绝接入网络
2. 合法用户将被要求进行安全状态认证,由安全策略服务器验证补丁版本、病毒库版本是否合格,不合格用户将被安全联动设备隔离到隔离区
3. 进入隔离区的用户可以进行补丁、病毒库的升级,直到安全状态合格
4. 安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全联动设备提供基于身份的网络服务
从EAD的主要功能和基本原理可以看出,EAD将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系。
同时, 应用控制网关包括SecPath ACG盒式设备和H3C S75E/S95核心交换机上的SecBlade ACG插卡两种产品形态,针对P2P/IM、网络游戏、炒股、非法网站访问等行为,进行精细化识别和控制,解决带宽滥用影响正常业务、访问非法网站感染病毒蠕虫的问题;同时,安全管理平台SecCenter对应用控制网关上报的网络事件进行深入分析并输出审计报告,帮助管理员全面了解网络应用模型和流量趋势,加强整网安全,提高员工工作效率。
解决方案优势
l 最全面的P2P/IM应用控制
通过在ACG应用控制网关,可精确识别BT、电驴、迅雷、MSN、QQ、Yahoo Messenger、PPLive等近百种P2P/IM应用,可基于时间、用户、区域、应用协议,通过告警、限速、阻断等手段进行灵活控制,保证网速的正常和业务不被影响。
l 用户非法行为管理
ACG应用控制网关采用先进的分析技术,能对网络多媒体、网络游戏、炒股等应用进行识别与控制,通过URL过滤、关键字过滤、内容过滤等多种访问控制策略,控制非法应用,过滤非法网站,规范用户上网行为,提高员工工作效率。
l 网络与安全的深度融合
基于H3C在网络及安全领域的深厚技术积累,用户可选择在核心交换机中增加SecBlade ACG模块,在提供完善的网络应用控制功能的同时,无需单独部署独立的安全设备,简化网络结构,便于用户管理,真正实现安全与网络的深度融合。
l 用户行为审计
SecCenter采集网络设备、安全设备和服务器的安全日志,结合ACG记录的用户应用访问信息,实时输出审计报告。当发生安全事故后,可以根据记录的信息对用户既往行为进行分析和追根朔源,对潜在的破坏者可起到威慑作用。
l 安全统一管理
SecCenter可对ACG进行图形化策略配置,并可针对不同的用户定制不同的安全策略。同时,SecCenter能对上百个厂商的各种产品进行安全事件管理,通过对海量信息的采集、分析、关联、汇聚和统一处理,协助管理员实时监控网络应用状况,及时发现安全隐患。
企业会在企业网中部署各种安全设备,包括防火墙、防毒墙、IDS、VPN等设备。为了进行事后的审计及操作记录,这些网络设备随时随地都在发送Syslog信息,每天产生的Log信息达到G级的数量,任何一个网络管理员很难通过Syslog来准确定位网络发生的安全故障。
基于上述问题H3C公司研发了SecCenter系列产品。这种产品是基于硬件的安全智能、高效实施的安全信息及事件管理(SIEM)系统。它能够提供对全网海量的安全事件和日志的集中收集与统一审计分析,兼容异构网络中多厂商的各种设备,对收集数据高度聚合存储及归一化处理,实时监控全网安全状况,同时能够根据不同用户需求提供丰富的自动报告,提供具有说服力的网络安全状况与政策符合性审计报告,系统自动执行以上收集、监控、告警、报告、归档等所有任务,使IT及安全管理员脱离繁琐的手工管理工作,极大提高效率,能够集中精力用于更有价值的活动,保障网络安全,深化企业内控管理。
SecCenter系列产品支持以最小资金成本进行网络安全管理,以最好的投入产出比来减少企业支出。 它可以每秒分析高达上万条事件,能够满足大型的网络环境需要,通过使用SecCenter,用户可以减少防范网络安全威胁的工作和时间,可以预先满足政府要求的安全规范,并以多种实时安全智能显著减少网络故障响应时间,能够发现、了解并预先防范黑客和病毒的活动与安全威胁。SecCenter系列产品的高性能、多功能和合理的价格使其成为强有力的IT架构安全智能系统平台。
图6: SecCenter架构
解决方案优势
Ø 提供网络拓扑和威胁的可视化
Ø 可对网络的安全事件进行实时监控与关联分析
Ø 支持安全审计分析,管理员可根据分析结果对网络问题快速定位
Ø 提供多种网络检测报告输出结果,可直接输出符合SOX法案合规标准的审计报告
事实上,信息化本身的目的之一,就是促使企业将好的管理做法固化为信息化中的规则与流程,并进而形成公司的管理习惯,以提升公司的管理水平。在管理咨询上应遵循规划-实施-运行维护的PDCA信息安全建设过程,已达到最终的建设目标。
H3C希望结合自身通过SOX合规审计以及内控规划的丰富经验,助力中国的石油企业快速、顺利的完成信息化控制的转变。
能源行业安全内控解决方案涉及的设备和软件如下:
方案模块 | 方案特性描述 | 典型实现产品 |
基础网络平台 | 网络承载平台 | H3C S9500/7500/7500E Switch H3C 5X00/3X00 Series Switch H3C SR 88/66 Router H3C MSR series Router |
综合安全平台 | 网络出口防御 | EAD安全业务组件 IMC基础接入管理 H3C IPS、SecPath系列产品 DP IPS、SecPath系列产品 |
数据存储平台 | 多服务器集中存储解决方案 | H3C IX3000/IX1000/EX1000 LD1000 IP base Replication TIMEMARK/TIMEVIEW软件 Disksafe软件 |
D2D备份解决方案 | ||
CDP解决方案 | ||
远程灾难备份/恢复解决方案 | ||
WINDWOS保护/恢复解决方案 | ||
智能管理平台 | SNMP网管 | H3C iMC基础平台 |
流量分析管理(NTA) | H3C iMC—NTA | |
运营与权限控制 | H3C iMC—UANM | |
用户行为审计(UBAS) | H3C iMC--UBAS | |
集中安全策略管理中心 | H3C iMC/SecCenter | |
Neocean存储系统管理软件 | H3C iMC |
欢迎您对我们的解决方案提出宝贵意见或建议,谢谢! 我要提交意见或建议! 
