随着四大运营商在海外的全面上市,中国电信运营商面临着国外资本市场的严格管制,尤其是美国证监会强制推行的《萨班斯(SOX)法案》在企业管治和信息披露等方面都制定了严格的规定,对在美国注册的上市公司的内控审计工作提出了明确的要求。《萨班斯法案》内控审计要求的出台,提升了IT内控在企业内部控制中的重要性,对电信运营商IT基础设施的安全性提出了更高的要求,但同时也成为外国公司迈入美国股市的“高门槛”。
作为在2004年11月就已经在在美国成功上市的国内运营商,中国网通(集团)有限公司在多年前就确立了风险管理与内控体系建设“四项结合”的指导原则和“三步走”的实施步骤。A网通是中国网通的下属省级分公司,在2004年被树立为中国网通《萨班斯法案》相关的IT内控建设省级分公司试点单位。
A网通将IT内控建设规划为制度完善和落实两个阶段,在落实阶段一方面是完善现有IT系统功能,进行符合业务内控要求的功能调整;《萨班斯法案》明确要求人对IT系统的操作、IT系统对IT系统的操作,只要是属于对财务报告可能产生影响的范畴都应被明确的定义、审计和纪录,所以在另一方面就需要在IT网络中部署安全审计设备,对关键IT系统资源进行实时的基于网络行为的认证授权审计。在A网通IT网中,启明星辰天玥网络安全审计系统承载着5个重要生产系统的网络行为认证审计职能。根据A网通IT内控建设需要,首先在每个重要生产系统中分别部署一台天玥审计引擎,同时在A网通企业信息中心部署一台天玥审计数据中心;在此基础上,建立多个二级审计管理控制中心,使得每个生产系统的审计人员可以通过二级审计管理控制中心制定满足各自生产系统安全内控要求的认证审计策略,实现对网络行为的命令级审计;最后,建立在企业信息中心的一级审计管理控制中心通过统一的数据存储、统一的用户命名规则、统一的编程接口对所有二级审计管理控制中心进行统一管理。
天玥网络安全审计系统—A网通应用部署图
由于IT网中涉及到多种应用系统和网络协议,在这种复杂的条件下,为了保证管理规范、操作规范的执行力度,安全审计系统必须具备完善的面向业务的审计功能:一方面能够支持多种网络协议的深度解析,精确识别违规的关键业务和敏感操作;另一方面对于海量的审计日志,具备多样的统计分析手段及完备的报表生成功能,精确呈现用户所关注的审计事件信息,同时能够提取事件日志进行仿真回放,真实再现事件全过程并精确定位责任人。在A网通IT网中,天玥网络安全审计系统以“审计策略为中心”,通过事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放的“全过程命令级审计”,检查操作行为的准确性和合理性,确保IT系统对于各种数据的处理和维护是在技术控制手段下完成的。系统提供的符合《萨班斯法案》要求的内控报表,不仅满足了《萨班斯法案》的相关要求,同时也保证了管理规范、操作规范的执行力度,加强了对内部系统管理人员和供应商技术人员网络行为的监督和控制,有效提高IT网的安全级别。
近年来,随着电信运营商业务的不断发展、网络规模的日益扩大、重要应用及服务器日益增多,其业务支撑系统网络结构的复杂程度也大大增加。一旦发生维护人员的误操作,或者第三方外包维护人员的恶意操作而导致重要的系统数据丢失、破坏或者泄露的情况,系统进程被停止,这将严重影响到运营商业务系统的正常运行。启明星辰信息技术有限公司自从推出天玥网络安全审计系统以来,在电信运营商领域得到了广泛应用。天玥网络安全审计系统预置了200多条针对用户业务特征的审计规则,支持所有主流运维协议、数据库协议、OA协议及自定义协议的细粒度内容审计和访问控制,基于角色(CA认证)的审计策略不仅能够做到将安全事件定位到人,更能够在各种条件下清晰识别违规的关键业务和敏感操作;对于海量的审计日志,系统提供20余种条件查询功能,同时汇集二维统计、三维统计、折线趋势、柱状统计等多种图表统计分析手段,精确定位关注信息,全面呈现业务全局运行状况;系统内置40余种合规及SOX报告,支持自定义报告模版与生成管理,不仅满足《萨班斯法案》等相关法规和内控要求,同时基于审计报告能够对业务系统的运行状况、使用情况进行统计和比对,分析和预测系统存在的问题,通过系统特有的仿真回放功能,还能够对审计事件全过程仿真回放,精确定位业务事故原因。部署天玥网络安全审计系统,能够有效加强业务系统内外部网络行为监管、避免核心资产(数据库、服务器、网络设备等)损失,进一步规避系统中面临的来自内外部的、应用级的安全风险,保障业务系统的合规运营。
2007年5月31日,中国网通集团所属的中国网通集团(香港)有限公司,以“零缺陷”的测试结果通过了普华永道会计师事务所对其财务报告的内控审计,成为率先过关《萨班斯法案》404条款的中国电信运营商。《萨班斯法案》将国内运营商的IT系统建设和运营拉升到战略层面,四大运营商普遍建立起一套基于全面风险管理、符合国内外监管及法律要求的内部控制体系,信息披露质量不断提高,企业运营效率日益提升。潜心关注电信运营商安全建设并不断创新的启明星辰公司将继续结合多年在安全领域的丰富经验与最佳实践,针对运营商安全需求,以“安全内控与合规管理”为主旨,进一步推出面向运营商业务保障的系列安全产品和安全解决方案,努力创造出更大客户价值,为运营商的信息安全保驾护航。