安全审计系统助力电信运营商合规管理

accaedu

随着四大运营商在海外的全面上市，中国电信运营商面临着国外资本市场的严格管制，尤其是美国证监会强制推行的《萨班斯法案》在企业管治和信息披露等方面都制定了严格的规定，对在美国注册的上市公司的内审工作提出了明确的要求。《萨班斯法案》的出台，提升了IT内控在企业内部控制中的重要性，对电信运营商IT基础设施的安全性提出了更高的要求，但同时也为电信运营商迈入美国股市设置了高门槛。

　　制度与IT结合

　　作为在2004年11月就已经在美国成功上市的国内运营商，中国网通(集团)有限公司在多年前就确立了风险管理与内控体系建设“四项结合”的指导原则和“三步走”的实施步骤。

　　A网通是中国网通的下属省级分公司，于2004年被树立为中国网通《萨班斯法案》相关的IT内控建设省级分公司试点单位。安全审计系统的应用，为A网通满足《萨班斯法案》的各种法规要求带来了许多便利。

　　A网通将IT内控建设规划为制度完善和落实两个阶段。在落实阶段，首先是完善现有IT系统功能，进行符合业务内控要求的功能调整。因为《萨班斯法案》明确要求人对IT系统的操作、IT系统对IT系统的操作，只要属于对财务报告可能产生影响的范畴，都应被明确地定义、审计和记录，因此，A网通在完善现有IT功能的同时，在IT网络中部署了安全审计设备，对关键IT系统资源进行实时的基于网络行为的认证授权审计。

　　在A网通的IT网中，启明星辰天王月网络安全审计系统承载着5个重要生产系统的网络行为认证审计职能。

　　这些职能都是基于A网通IT内控建设需求的。A网通首先在每个重要生产系统中分别部署一台天王月审计引擎，同时在信息中心部署一台天王月审计数据中心。在此基础上，A网通建立了多个二级审计管理控制中心，使得每个生产系统的审计人员都可以通过二级审计管理控制中心，制定满足各自生产系统安全内控要求的认证审计策略，实现对网络行为的命令级审计。最后，A网通建立在信息中心的一级审计管理控制中心通过统一的数据存储、统一的用户命名规则、统一的编程接口，对所有二级审计管理控制中心进行统一管理。

　　监控与追溯并重

　　IT网涉及到多种应用系统和网络协议。在这种复杂的条件下，为保证管理规范、操作规范的执行力度，安全审计系统必须具备完善的面向业务的审计功能：一方面，能够支持多种网络协议的深度解析，精确识别违规的关键业务和敏感操作;另一方面，对于海量的审计日志，具备多样的统计分析手段及完备的报表生成功能，精确呈现出用户所关注的审计事件信息，同时还能够提取事件日志进行仿真回放，真实再现事件全过程，并精确地定位责任人。

　　在A网通IT网中，天王月网络安全审计系统以审计策略为中心，通过事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放的全过程命令级审计，检查操作行为的准确性和合理性，确保IT系统中各种数据的处理和维护是在技术控制手段下完成的。

　　系统提供的符合萨班斯法案要求的内控报表，不仅满足了萨班斯法案的相关要求，同时也保证了管理规范、操作规范的执行力度，加强了对内部系统管理人员和供应商技术人员网络行为的监督和控制，有效地提高了IT网的安全级别。

　　近年来，随着电信运营商业务的不断发展，网络规模日益扩大，重要应用及服务器日益增多，其业务支撑系统网络结构也变得越来越复杂。但是，一旦发生维护人员误操作，或者第三方外包维护人员恶意操作，导致重要系统数据丢失、破坏或者泄露的情况，系统进程就会被停止。这将严重影响到运营商业务系统的正常运行。

　　正是在这种情况下，启明星辰信息技术有限公司推出了天王月网络安全审计系统。系统自推出以来，在电信运营领域得到了广泛的应用。

　　天王月网络安全审计系统预置了200多条针对用户业务特征的审计规则，支持所有主流运维协议、数据库协议、OA协议及自定义协议的细粒度内容审计和访问控制。基于角色(CA认证)的审计策略不仅能够做到将安全事件定位到人，更能够在各种条件下清晰识别违规的关键业务和敏感操作。对于海量的审计日志，系统提供20余种条件查询功能，同时汇集了二维统计、三维统计、折线趋势、柱状统计等多种图表统计分析手段，精确定位所关注的信息，全面呈现业务的全局运行状况。系统内置40余种合规及萨班斯法案报告，支持自定义报告模版与生成管理，不仅满足《萨班斯法案》等相关法规和内控要求，而且能够基于审计报告对业务系统的运行状况、使用情况进行统计和比对，分析和预测系统存在的问题。通过系统特有的仿真回放功能，运营商还能够对审计事件全过程进行仿真回放，精确定位业务事故原因。

　　部署天王月网络安全审计系统能够有效加强业务系统内外部网络行为监管，避免核心资产(如数据库、服务器、网络设备)的损失，进一步规避系统中面临的来自内外部的、应用级的安全风险，保障业务系统的合规运营。

　　2007年5月31日，中国网通集团所属的中国网通集团(香港)有限公司，以零缺陷的测试结果通过了普华永道会计师事务所对其财务报告的内控审计，成为率先过关《萨班斯法案》404条款的中国电信运营商。《萨班斯法案》将国内运营商的IT系统建设和运营拉升到了战略层面，四大运营商普遍建立起一套基于全面风险管理、符合国内外监管及法律要求的内部控制体系，信息披露质量不断提高，企业运营效率日益提升。

　　潜心关注电信运营商安全建设并不断创新的启明星辰公司，将继续结合多年在安全领域的丰富经验与最佳实践，针对运营商安全需求，以安全内控与合规管理为主旨，进一步推出面向运营商业务保障的系列安全产品和安全解决方案，努力创造出更大的客户价值，为运营商的信息安全保驾护航。