Cisco信息系统安全方案汇.ppt

信息系统安全方案 Cisco Systems, Inc. 目录 信息系统网络现状和发展趋势 SOX符合性对信息系统控制的要求 思科网络准入控制方案(NAC2) 思科终端安全防护方案 安全信息管理CS-MARS 信息化系统的发展趋势 埃森哲建议的联通总部和省份信息系统总体架构 用户信用控制，综合经营分析，统一客户服务体验等集中应用部署需要数据中心的整合。 萨班斯、内控、经营数据本身的重要性要求整个系统提供综合性的技术安全机制（内部互访、对外互联、终端、服务器） 降低建设、维护成本同时提高对集中应用部署支持能力和系统安全控制能力要求整合 联通信息系统统一承载平台体系结构－功能分区，结构分层 目录 信息系统网络现状和发展趋势 SOX符合性对信息系统控制的要求 思科网络准入控制方案(NAC2) 思科终端安全防护方案 安全信息管理CS-MARS 萨班斯法案对企业持续管控的要求 2006年7月15日起，萨班斯法案正式生效。从这一天开始，包括中国内地44家企业在内的所有在美上市公司必须严格遵守萨班斯法案. “萨班斯-奥克斯利法案”(Sarbanes-Oxley)指2002年6月18日美国国会参议院银行委员会以17票赞成对4票反对通过由奥克斯利和参议院银行委员会主席萨班斯联合提出的会计改革法案《2002上市公司会计改革与投资者保护法案》。这一议案由布什总统在2002年7月30日签署成为正式法律，称作《2002年萨班斯-奥克斯利法案》。 “萨班斯法案”的Section 302 and Section 404对在美上市公司和即将在美上市的公司提出信息系统管控能力的要求。 其中 404章要求证券交易委员会出台相关规定，所有除投资公司以外的企业在其年报中都必须包括：（1）管理层建立和维护适当内部控制结构和财务报告程序的责任报告；（2）管理层就公司内部控制结构和财务报告程序的有效性在该财政年度终了出具的评价。法案要求管理层的内部控制年报必须包括：（1）建立维护适当公司财务报告内部控制制度的管理层责任公告/声明；（2）管理层用以评价内部控制制度的框架的解释公告/声明；（3）管理层就内部控制制度有效性在该财政年度终了出具的评价；（4）说明公司审计师已就（3）中提到的管理层评价出具了证明报告。公司的CEO和CFO们不仅要签字担保所在公司财务报告的真实性，还要保证公司拥有完善的内部控制系统，能够及时发现并阻止公司欺诈及其他不当行为。若因不当行为而被要求重编会计报表，则公司CEO与CFO应偿还公司12个月内从公司收到的所有奖金、红利或其他奖金性或有权益酬金以及通过买卖该公司证券而实现的收益。有更严重违规情节者，还将受严厉的刑事处罚。 萨班斯法案针对的对象 内部控制的审核标准、框架和规范 IT 控制的重要意义 对全球300多家企业的调查表明，管理者认为IT控制对SOX符合性具有极其重要的意义 信息系统在IT管控过程中存在的普遍问题 关键业务流程的程序、策略和纪录没有电子信息化，业务流程缺乏IT控制集成 内部信息逾权访问 业务员工可以访问后台数据库、操作系统 业务员工可以访问过多业务系统 应用开发和数据库管理员能够访问业务系统 网络、操作系统、数据库等基础架构自身没有安全加固 终端接入没有控制：对于接入公司内部网的设备没有全局的登录认证机制，导致非法设备接入并能访问业务系统。 没有强制执行全局安全策略：没有全局的自动手段检查策略执行的有效性，缺少智能化的全网安全策略部署软硬件，导致统一制定的安全策略成为空谈，各自为政。例如防病毒，防火墙规则、软件补丁、密码管理。 信息控制层面临的具体技术问题 业务间网络层面的信息控制技术问题包涵两个大方面 如何明确终端和服务器的分类来划分安全域。 各个安全域内部的信息控制策略，各个安全域边界的信息控制策略。 安全区域 纵深防御依赖于安全域的清楚定义 安全域边界清晰，可明确定义边界安全策略 加强安全域策略控制力，控制攻击扩散，增加应对安全突发事件的缓冲处理时间 依据安全策略，可以明确需要部署的安全设备 使相应的安全设备充分运用，发挥应有的作用 安全域划分及信息控制重点 系统域、服务域、终端域、网络域逻辑关系示意 信息控制策略-终端准入控制 信息控制策略-主机终端保护 信息控制策略-域间准入控制 信息控制策略-局域网络控制 信息控制策略-网络异常控制 信息控制策略-具备全面网络安全管理能力的控制策略 目录 信息系统网络现状和发展趋势 SOX符合性对信息系统控制的要求 思科网络准入控制方案(NAC2) 思科终端安全防护方案 安全信息管理CS-MARS 什么是思科网络安全准入控制（NAC）？ 思科? 网络准入控制（NAC）是由思科领导的行业项目，主要用于限制各种新兴安全威胁所造成的伤害 在NAC中，可以只允许符合要求的可信