{财务管理内部审计}浅析省级系统安全认证审计解决方案.docxVIP

{财务管理内部审计}浅析省级系统安全认证审计解决方案  BOSS系统是中国移动面向用户服务的综合性业务支撑系统，含有众多敏感数据。为了确保系统安全，部分省级公司实施了安全认证审计的综合安全解决方案，取得了比较好的效果。 目前绝大多数移动公司已经在网络级、系统级安全防护方面部署了相关的安全产品，但是这些是针对外部防护安全，而缺少在应用级安全防护措施，例如非授权用户访问、存在一部分公用账户、管理员对BOSS系统的管理维护和对数据的读写缺少审计日志等，因而有可能出现用户详单外泄或用户数据被篡改等事件发生后无法追查，进而给移动公司造成较大的经济损失和社会影响。为从根本上解决上述安全隐患，业内不少厂家提出了不同的解决办法，下面以某省移动公司为例介绍其采用的ACA（Authenti-cationControlAudit）安全认证解决方案。 针对该移动公司的业务运营支撑系统已部署的安全产品，结合目前的安全需求，该移动通信公司提出在BOSS系统上建立的安全审计认证系统必须具备如下功能： 1.加强用户身份防护，防止合法用户身份轻易泄漏； 2.实现对应用系统访问的操作过程进行审计； 3.对业务运营支撑系统内重要业务主机之间的通信进行审计； 4.及时对业务系统的非法操作和访问做出响应； 5.为用户提供统一的远程维护登录接口，包括某些特殊情况下处理突发事件提供统一登录接口。 总体方案设计 通过分