【IT168 信息化】

    在介绍简化IT运行及企业监管合规之前，我们给大家先介绍一下背景，实际上我们IT部门现在所面临的问题是，需要审计员过来要审计我们信息的时候，是要求百分之百数据。这时候我们以前审计人员来我们IT人员会感觉非常紧张，这时候怎么样应付内部来自审计，还有来自于外部审计部门的审计。这时候我们会要求我们的IT人员找相应数据应对是这样一个情况。我们解决方案可以帮助我们IT部门，快速取出我们众多工具里面6个数据给审计部门，内控部门，包括外部审计部门。

    我们可以看到其实证监会对于我们所有上市公司，本身是有非常得高要求，去年已经发出《关于加强对投资者网上交易安全保护的通知》。这个通知实际上要求我们所有的上市公司对于一些非法的交易行为的监控。要求每个机构对投资者的登陆，交易转帐活动进行监控，一旦发现有什么问题的话，在这上面需要进行相应的监控。另外对于我们企业内部控制基本规范，这个规范要求今年的7月1日对所有上市公司需要有这样一个要求。内部规范实际上是由财政部牵头，包括证监会，审计署还有银监会、保监会，各个机构出的指导意见，对于我们在座各位有非常好的指导意义。

    对于我们IT主管面临的问题是什么，我们现在IT环境越来越复杂，系统越来越庞大，这个时候我们的系统涵盖了包括主机、网络、应用、安全、存储等等方面。这每一个系统里面都有相应的数据在里面，对于这些如山的数据，我们怎么保障它怎么样让我们IT运转很正常，同时我们还能够保障能够满足内部控制和外审的要求。这个实际上对于我们提出一个最高要求，审计员他们希望得到是什么呢，是对于财务有效的系统控制，我们的财务部门关心是财务数据控制，一些人事部门任务移植怎么把帐号在系统中屏蔽掉，比如说密码需要更改，对于我们IT部门，或者科技部门怎么做这样一个有效控制等等，所以对于内控，各个部门关心是不同的角度。

    我们有一个三合一的日志管理平台，通过对于这些数据拿过来以后做分析整理，能够做一个用户集中化的管理，同时在这个基础上对于做分析，做报告来优化IT运维。在这个基础上可以做什么呢，日志管理，资产识别，能够维护我们本身IT的基本原则。基于上面的话，我们可以做满足我们内控和外审相应的报表，还有根据这里面IT本身里面一些安全东西，可以做出相应的报表，比如说像一个黑客冒充一个合法用户，日志里面只是看到一条日志，如果把多个设备集中起来看是一个安全事件，黑客登陆十台机器，十台机器合起来看是一个安全事件，我们机器可以报警告诉你这里面有个黑客，可以基于不同设备之间做出这种关联，比如说有的人只防外网，没有能力访问内网，如果他访问内网可以及时报告出来，有的只是访问互联网，这也是不允许的。

    我们这里面做一些比如说像有一些是我们举证的行为，我们可以做一些举证的分析，同时可以做到安全和我们的IT运营做一个职责分离，比如说我们在座一些企业可能是说在IT运营的时候，我们只关心是本身IT能够正常运转就可以，但是从安全角度考虑，可能需要更高要求，过了时间才能做举证分析，再回去查，比如说是几个月前，或者几年前一些事情。有的过一两年才发现这面有安全事件。还可以把现有的IT数据转换成可用的信息和智能，我们有相应仪表盘，让我们公司高管可以看到目前运行情况，我们有超过1000多张，用于强制合规和安全的报表模板，我们这些模板是遵照国际上一些标准，比如说《萨班斯法案》等等这样的标准制定，这些模板可以根据我们企业内部的标准，可以变成是我们银监会要求的报表，或者我们内部要求的报表，这些报表可以做成定时的，也可以做成是一次性的，根据我们需要。

    后面我跟大家分享就是非常几个非常简单的例子，怎么样来帮助我们提升安全。首先我们这里面有一个报表是专门做密码变更和过期的，我们从安全角度要求我们企业内部所有人员，可能隔一段时间要更改密码，这些密码我们之前有相应的策略在里面，但是没有一个统一管理，了解到让我们IT主管了解到它的密码变更情况，比如说有多少人在半个月之内需要更改密码，大家心里面想我们原来系统里面一部分系统已经有了，但是没有一个综合管理的平台。

    还有一个比如说有一个人离职，这时候他的帐号是不是还是可以用，还是说这个人帐号密码还是可以用。大家关心可能操作变更控制，我们这里面总公司要求各个分公司，子公司策略必须按照总公司要求，我们怎么保障总公司策略能够强制执行下去，对于我们解决方案也有一些相应的方案在里面。禁用帐号我们也有例子，对于离职员工要进行禁用帐号。再有就是有很多合规报表，有《萨班斯法案》等等，我这里面主要列举这种合规报表，这里面大概整个系统里面有1000多张发表，最早银监会、证监会要求，做成我们每个企业内部是和自己的安全报表，根据这些报表可以对我们企业做好内控。我们可以看到每一个报表上面都有写，这个是遵循ISO27001，或者是ISO27002的具体第几本的要求。每一个报表和合规里面某一项怎么对应，在我们系统里面非常详细的介绍。

    我们可以看一看，有人试图违反企业策略，试图从外部删除企业资料，我们通过ISO方案都可以找出来，我们可以看到有一个告警是来自于公司的三楼办公室，我们从这里面再往下点可以看到，这个告警信息是关于违反策略方面。这个报警是有一个关联规则，我们内部有检测系统或者是防火墙的系统，通过关联规则可以知道这些。我们接着看，可以看到我们公司内部员工，试图从家里面联到公司内部，试图删除一个客户资料。

    另外的场景是我们有效地监控超级用户异常的活动。这里举的例子是一个管理员在一个小时之内，他创建了一个用户帐号，然后做了一些违法的事情。之后，他又把这个帐号给它删掉了。这样的话他自己认为他做了一些自己可以抹掉，即使是这样我们也可以发现。这个时候他创立了一个异常的活动出来，这个时候管理员可以看到，原来这个管理员是一个小时内创建的帐号，同时一个小时之后把帐号给它删掉。中间做了事情，我们都有记录把它记录了下来。

    这个时候往下看，可以看到一些安全的证据。这个时候管理员创建和删除帐号的信息都在这下面，不同的设备和位置里面都以去看到，我们可以不断地把过去一个小时内所有用户的活动查询到。所以，从众多的用户当中，把刚才可疑的帐号抓出来，进行分析。我们这里面中间是查询帐号，那么这时候我们发现一个问题是什么呢？这个用户是修改了他们公司里面一个非常重要的数据库里面的数据，这种行为是非常危险，系统管理员在每一个企业里面他的权限是非常大的。那么他可以增加用户名，删除用户名，允许这种解决方案，放在第三方这里面任何一些数据这些信息都可以统一到你的设备里面来，中间做任何事情，等还没有做成的时候，报警就出来了。所以可以把这个数据存到到我们叫调查数据库里面。这个安全官登录到这个系统里面可以查出来这个人，他到这个系统里面到底做了什么事情，所以这个事情很快就可以查出来。

    所以实施这种日志安全审计有什么样的业务价值呢？第一个方面，可以减少或者是避免合规成本，因为我们内控有要求，对上市公司外部审计也有合规要求，我们有了这种解决方案以后，可以提高效率，可以降低成本。另外我们可以降低或者避免安全破坏成本，如果是说我们问题出来以后，再亡羊补牢这样有的时候会太晚了，如果把这些东西能够做在前面，我们可以做一些事先预防。还有我们可以降低安全运行成本，不需要太多能力投入，同时可以降低一些法律，如果这个事情出来以后，遇到法律不允许，这时候可以提高我们的收益。同时我们可以保护我们企业品牌和声誉，所以要防止数据的泄露。