IT内部控制解决方案
2 基础平台安全解决方案
信息基础设施是构成信息系统的基础,如果信息平台的安全性得不到保证,那应用和数据安全也无从谈起,我们从信息平台最基本的三个层面来进行分别实现:物理资产、网络系统和主机系统,解决方案如下表所示:
|
控制层面 |
控制内容 |
提供的安全服务 |
提供的安全产品 |
|
主机系统 |
n 权责分配 n 访问控制 n 灾难恢复 n 应急处理 n 日志审计 |
ü 内控咨询服务 ü 安全值守服务 ü 安全加固服务 ü 应急响应服务 ü 风险评估服务 ü 安全巡检服务 |
ü 联想网御内网管理系统 ü 联想网御安全网关系列产品 ü 联想网御安全审计系统 |
|
网络系统控制 |
n 权责分配 n 访问控制 n 灾难恢复 n 应急处理 n 日志审计 n 通信安全 |
ü 内控咨询服务 ü 安全值守服务 ü 安全加固服务 ü 应急响应服务 ü 风险评估服务 ü 安全巡检服务 |
ü 联想网御安全网关系列产品 ü 联想网御隔离网闸产品 ü 联想网御异常流量监控系统 |
|
物理资产控制 |
n 权责分配 n 访问控制 n 灾难恢复 n 应急处理 n 日志审计 |
ü 内控咨询服务 ü 建设建议服务 ü 安全巡检服务 ü 风险评估服务 |
ü 联想网御内网管理系统 ü 联想网御安全审计系统 |
a 物理资产控制
物理资产是构建信息平台的基础设施,需要对物理资产的访问、变更等进行严格控制,保证其为IT系统提供持续、稳定的服务。因此,需要对物理资产的使用权限、访问控制、备份恢复和访问日志审计进行控制,联想网御通过技术加管理的方式实现对物理资产的内部控制,具体解决方案如下:
* 权责分配
利用IT内控咨询服务,梳理组织机构和区分权责,建立并完善物理层面相关控制策略、制度及流程等。
* 访问控制策略
利用IT内控咨询服务,建立并完善访问控制策略、制度等;通过风险评估和定期安全巡检服务监督落实情况;配合使用联想网御内网管理系统对访问行为进行记录和监督。
* 灾难恢复和应急处理
利用IT内控咨询服务,建立并完善灾难恢复的策略制度、应急预案,并协助企业进行应急演练。
* 日志的审计
利用联想网御内网管理系统保存物理资产的访问记录,对硬件的变更进行报警提示;并使用安全审计系统来对用户行为进行审计。
b 网络系统控制
网络系统是整个信息平台的通信保障,需要对传输数据的可用性、保密性和完整性进行保证。可以从网络系统的使用权限、访问控制、备份恢复、访问日志审计以及通信通道的可靠性几个方面进行控制,以下是针对上述几个方面的具体解决方案:
* 清晰的权责分配
利用IT内控咨询服务,梳理组织机构和区分权责,建立并完善网络层面相关策略、制度及流程。
* 严格的访问控制策略
利用IT内控咨询服务,建立并完善访问控制策略,并对现有访问控制措施进行风险评估,根据评估结果对控制措施进行调整,使其达到内控要求;并定期巡检,保持访问控制措施的有效性;另外,利用联想网御安全网关产品加强系统的访问控制。
* 通信通道的可靠性
对网络架构进行风险评估和调整,保证网络架构的安全性,并可使用联想网御安全接入网关、防病毒网关等安全系统来保证信息通信通道的安全可靠。
* 灾难恢复和应急处理
利用IT内控咨询服务,建立灾难恢复的策略制度、应急预案,并协助企业进行应急演练,切实做到策略制度的有效可用。
* 日志审计
利用联想网御内网管理系统保存网络的访问记录,对系统的调整进行报警提示;可使用联想网御安全审计系统进行监督控制。
c 主机系统控制
主机系统是应用系统最直接的运行平台,对应用系统安全起到最直接的作用,因此需要对主机系统的使用权责、访问控制、备份恢复、日志审计进行控制,以下是针对上述几个方面的具体解决方案:
* 清晰的权责分配
利用IT内控咨询服务,梳理组织机构和区分权责,建立并完善主机层面相关策略、制度及流程。
* 严格的访问控制策略
利用IT内控咨询服务,建立访问控制策略,并对现有访问控制的措施进行风险评估,根据结果对现有措施进行调整;定期巡检,保持访问控制的有效性;另外利用联想网御内网管理系统等产品可加强系统的访问控制。
* 灾难恢复和应急处理
利用IT内控咨询服务,建立灾难恢复的策略制度、应急预案,并协助进行应急演练。
* 日志的审计
利用联想网御内网管理系统保存主机的访问记录,对系统的调整进行报警提示;并可使用联想网御安全审计系统进行监督控制。
网友评论