关键词:电子政务 安全管理平台 SOC 安全策略
一、前言
。目前,已有30多个部门的系统平台接入政务,例如应急办国家应急平台系统、自然资源和地理空间基础数据库、文化部文化信息资源共享平台等一批关系国计民生的重要系统接入政务。从政务建设及应用情况来看,各部门对政务的需求是紧迫的,同时也对政务的安全性有了更高的要求。
二、国家电子政务安全管理平台概述
如何对国家电子政务的安全进行有效的管理,如何保证利用政务开展业务的应用系统的安全性,是对负责政务的人员管理能力的一种考验。传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理,这样导致安全信息分散、互不相通,安全策略难以保持一致。因此这种传统的管理运行方式成为许许多多安全隐患形成的根源,很难对国家电子政务进行统一的、有效的安全管理。
国家电子政务安全管理平台(Security Operation Center,SOC)为电子政务制定统一安全策略、统一安全标准,实现全网统一管理和监控,保障电子政务安全、稳定、高效地运行,实现政务基于安全的互联互通。国家电子政务安全管理平台实现了将不同位置、不同类型设备,不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出整个电子政务的全局安全风险事件,并形成统一的安全决策对安全事件进行响应和处理,从而保障电子政务业务应用系统的真实性、完整性和保密性。
三、国家电子政务安全管理平台框架
国家电子政务安全管理平台(SOC)的主要思想是采用多种安全产品的Agent和安全控制中心,最大化地利用技术手段,在统一安全策略的指导下,将系统中的各个安全部件协同起来,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,并且能够在多个安全部件协同的基础上实现实时监控、安全事件预警、报表处理、统计分析、应急响应等功能,使得网络安全管理工作由繁变简,更为有效。
国家电子政务安全管理平台(SOC)的体系架构具备适应性强(能够适用于不同省级节点接入网络和系统环境)、可扩充性强、集中化安全管理等优点,其框架体系主要是为了解决目前各类安全产品各自为阵、难以组成一个整体安全防御体系的问题。真正的整体安全是在一个整体的安全策略下,安全产品、安全管理、安全服务以及管理制度相互协调的基础上才能够实现。国家电子政务安全管理平台(SOC)框架如图1所示。
四、国家电子政务安全管理平台的主要功能
国家电子政务安全管理平台为系统管理员和用户提供对系统整体安全的监管,它在整个政务体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的国家电子政务应用体系紧密结合而实现无缝连接,以促成网络安全与国家电子政务应用的真正一体化。目前,国家电子政务安全管理平台基本实现了对国家电子政务城域网、广域网骨干网的主要网络设备、安全设备和网络承载的业务系统的安全事件的管理,并具备监控、预警、响应、审计追踪等功能。
图2描述了国家电子政务安全管理平台的功能框架。。
⒈统一管理
政务安全管理平台(SOC)建立在安全设备部署的基础之上,主要围绕安全的预防、发现、反应环节搭建,实现了安全预警、集中监控、安全事件处理等更高层次的安全管理。这些建立在安全设备部署之上的安全管理包括:预防环节的安全预警信息通告,安全评估结果分析的安全信息库;发现环节的收集防火墙、入侵检测、日志系统、防病毒系统中的有关安全事件,呈现安全告警的集中安全监控系统;反应环节的以电子流的方式,进行安全事件处理流转,保存安全事件处理经验的安全事件运行系统。
政务安全管理平台(SOC)对各种安全产品的监控和管理,可以利用各个安全子系统中已有的信息采集和控制机制来实现,也可以采用直接与安全设备交互的方式进行,主要取决于各个安全子系统自身的构架以及提供的管理接口。
⒉安全事件实时监控与实时通报
网络安全工作的本质在于控制网络安全风险,风险管理是安全管理的核心。考察安全成本和安全威胁后果之间的关系,以可接受的成本来降低安全风险到可接受的水平。
国家电子政务上的各种安全设备和产品每天都要产生大量的各种安全事件。对这些事件的集中监视是控制网络风险、保证网络业务正常运行的重要手段。国家电子政务安全管理平台专注于整个政务安全相关事件的实时监控,收集并汇总重大安全事件的数据(如:大规模蠕虫事件,重大攻击事件等),进行关联性分析,全面提高对网络事件的快速反应能力;同时,将安全事件备份到后台的数据库中,以备查询和生成安全运行。
安全事件通报与业务系统、工作流紧密结合。国家电子政务安全管理平台在发现某政务业务系统内出现安全事件后,还将及时把这些安全事件通知各业务系统的管理员以便及时予以处理。
⒊全网统一安全策略
对于电子政务的安全运行维护,最具有挑战性的莫过于保持全网策略的一致性。尤其是对于日新月异的网络安全技术,需要经常性频繁应对出现的新漏洞,根据新的业务调整安全策略。
国家电子政务安全管理平台支持统一、集成的策略管理,包括策略的制定、分发和策略执行情况的检查。安全策略管理包括设备安全策略、事件响应策略和全局安全策略等。
统一安全策略管理制订全网的安全策略,这些策略文件可下发给各相关部门,通过直接(也可以手工)的方式进行配置落实。策略的管理能够通过全局策略的调整、业务的变化、各网管和部门反馈来的意见等情况,不断调整、优化安全策略。
⒋基于角色的安全事件可视化
国家电子政务安全管理平台提供统一的安全管理,并为不同级别和性质的管理员提供不同层次和性质的管理视图。由于电子政务内部网络系统是一个复杂的分布式大规模网络,因此核心层、分布层以及接入层的网络管理员具有不同的职责。系统不但能够提供运行核心层的管理员对所有安全系统宏观的管理视图,也能够为各地主要业务网络的管理员对自己管辖区域内的安全设备和安全系统部件进行区域自治管理,此外,还能够通过安全管理平台(SOC)对分布于整个网络的某个安全子系统,进行整体安全策略的发放和状态监测及管理。
安全管理平台(SOC)根据需要设置可视化条件,实时在全网拓扑图中显示最重要的多组事件,包括设备名称、事件定位、风险概况、脆弱性等信息(如图3所示)。
⒌安全事件关联分析
安全管理平台(SOC)要对各个不同安全设备(入侵检测、漏洞扫描、防火墙等)报告的安全信息进行集中的数据挖掘和分析,进行全局的相关性分析和报表显示,以发现低级安全事件相关联后表现出的高级安全事件,以及异常行为之间、漏洞和入侵之间的对应关系,便于对攻击的确认和安全策略的调整。国家电子政务安全管理平台目前支持基于规则的关联分析、基于统计的关联分析和基于漏洞的关联分析等3种形式。根据此关联分析的功能,结合国家电子政务的业务应用系统的事件特征,通过分析与制定安全域与业务安全控制策略和基于业务应用的流程异常监控,制定相关的特定关联分析规则,配合事件监控、拓扑管理及综合显示等方面的内容,从而实现国家电子政务业务安全监控及追踪功能的事件定位。
⒍宏观分析与安全决策支持
安全管理平台(SOC)应支持对各安全设备上报的所有安全数据进行宏观统计、分析和决策支持。宏观统计分析主要是在大量数据的基础上,对安全事件进行综合分析,比如将攻击信息和安全漏洞信息关联起来,产生详尽的安全报告,提供安全决策支持,强有力地支持全网安全事件的及时发现(检测)、准确定位(追踪)、尽快处理(应急响应)、进一步防范(预警)以及全网安全策略制定(策略)。国家电子政务运行维护管理员根据宏观分析提供的全局安全状况和安全态势信息,并结合电子政务的管理体系、人员管理规章制度、管理流程以及行政管理规定,为针对安全事件的处理决策提供支持。图4、图5展示了安全管理人员可以借助安全管理平台展示的全方位安全信息对政务的安全态势进行宏观把握,为决策提供支持。
⒎安全事件全局预警
对于像冲击波、红色代码等危害较大的网络蠕虫的较大规模入侵,从一个地区向另一地区渗透可能有一定的延时。在这段延时期间,安全管理平台(SOC)有义务将这种警报到尚未受攻击的区域中去,以起到提前布防的预警作用。
。
⒏安全事件知识库
为了实现安全事件的集中收集、记录、审计和流程化处理(集中、分类、入库、处理),共享最新安全知识,保证国家电子政务安全人才的储备,安全管理平台(SOC)建立安全事件知识库。知识库将国家电子政务各级安全管理平台的安全管理信息收集起来,为国家电子政务各级安全维护人员形成统一的安全共享知识库,以完成安全信息管理和WEB,主要实现安全管理信息、安全事件库、安全策略配置库、安全技术信息交流、处置预案库、补丁库、安全知识库等栏目的信息管理和浏览。安全管理员可以通过安全知识库的辅助工具学习,了解相关知识,辅助进行运维工作。图7是一个安全知识库的截屏。
五、国家电子政务安全管理平台的部署
根据国家电子政务安全管理平台的组成,政务安全管理平台最终建成分层分级结构:顶级为国家级安全管理平台,第二级为省部级安全管理平台,第三级为县市级安全管理平台。各级网络安全管理中心负责对本级电子政务实施安全监控和集中管理。上级网络安全管理中心可对下级网络安全管理中心进行统一安全策略、运行状态监控、安全信息收集等操作。下级网络安全管理中心可接受上级网络安全管理中心的安全预警信息。国家电子政务安全管理平台整体部署如图8所示。
在部署政务各级安全管理平台过程中,涉及两类下级安全管理平台:一是新建的安全管理平台,另一类是已建的安全管理平台。对于新建的安全管理平台在接入上级安全管理平台时将在统一设计、统一标准、统一技术规范、统一部署的原则下进行建设,与上级安全管理平台实现平滑和无缝对接。
部分电子政务建设比较好的省市,可能已建成安全管理平台。在这种情况下,由于早期建设的安全管理平台没有统一的标准和规范,在管理对象、管理方式、协议支持等方面不尽相同,所以此类安全管理平台不能直接与国家级安全管理平台进行对接。因此需要针对不同的安全管理平台进行调研和分析,本着最小改造的原则,为其增加设备,通过机制实现其与上级安全管理平台的对接。
六、总结
目前,国家电子政务安全管理平台的建设已基本建设完毕。通过几个月的建设工作,安全管理平台的实施为国家电子政务的安全运转提供了良好的保障。首先,国家电子政务安全管理平台提升了信息安全事件的处理水平。因为大量的安全事件通过安全管理平台的过滤、归并和排序后,降低到一个人工能够处理的数量级。另外,安全管理平台(SOC)自带的专家知识库能够帮助平台管理员正确地处理事件,减低了安全技术的门槛,为运维人员提供了有力的技术支持。其次,国家电子政务安全管理平台提供了良好的可视化技术,用图形化的方法向管理员展示了整个国家电子政务的安全整体状况,便于管理员从宏观上对全网的安全态势进行整体把握。
综上所述,国家电子政务安全管理平台的实施是针对政务网络系统传统管理方式的一种重大变革。它结合政务网络自身的特点,将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出全局角度的安全态势,并形成统一的安全决策对安全事件进行响应和处理。
郭红,女,1966年生,汉族,北京人,高级工程师,国家信息中心网络安全部,研究方向:网络安全。
王勇,男,1977年生,汉族,山东鄄城人,国家信息中心网络安全部工程师,研究方向:网络安全。
【关键词】IT运维管理; 监控系统 ;数据采集
【中图分类号】C93【文献标识码】A【文章编号】1672-5158(2013)07-0070-01
前言
随着企业信息系统项目的不断建设和应用领域的不断拓展,企业管理运营对信息系统的依赖性越来越大,对IT基础平台的运行可靠性要求也越来越高,企业的信息化工作逐步从项目建设阶段转向以深入应用、提升应用水平的运行维护阶段。提高运维管理水平已成为现阶段企业信息化系统应用的重要保证手段。
一、背景
信息管理部是信息化专业主管部门,负责网络、主机等IT基础设施和应用系统的建设、维护,致力于提供安全、高效、快捷的IT服务。近年来,随着信息化建设的深入,企业应用不断增多,主机服务器、网络实施、操作系统、数据库、应用服务器等软硬件平台日益复杂,服务用户的面不断扩大,如何维护好日益增多的主机网络设备,保证各个应用系统安全顺畅运行,为用户提供良好的服务并及时解决各类问题和故障,是IT运维管理的关键所在。目前IT运维管理还处于初级阶段,还没有构建一个综合的IT运维管理体系。对网络、主机、系统等的管理和服务是分散的、不关联的,没有实现数据、信息和知识库的共享,没有实现规范化和流程化。因此需要建立一套融合组织、制度、流程、技术的IT运维管理体系,从粗放、分散、低效的管理逐步过渡到科学、规范的管理,实现从手工运维到自动化运维。按照IT运维管理理论、方法和标准,结合实际和建设需要,遵循立足需求、统一规划、分步实施原则。根据实际人员和管理情况,当务之急是需要建立集中监控系统,实现对网络及信息系统的综合管理监控和日常技术支持,快速响应和及时解决信息系统运行过程中出现的各种问题和故障,确保网络及信息系统正常、稳定、高效运行。
二、系统架构
2.1 系统架构图
集中监控系统实现对不同服务对象和IT资源的实时监控,包括主机、数据库、中间件、存储备份、网络、安全、机房、业务应用和客户端等,并通过集中监控管理平台对不同被管对象进行综合处理和集中管理,其系统架构如图1所示。
2.2 数据采集层
数据采集层负责基础监控数据的采集、归并、筛选、过滤、关联等处理,同时对数据进行本地存储。数据采集的方式根据被监控对象的不同可分为:
(1)路由交换机及网络安全设备的数据采集方式采用SNMP协议轮询,接收SNMPTRAP以及Sys-log,采集相关的状态、事件信息。
(2)主机服务器针对不同的操作系统类型和监控的要求,采用SNMP协议、WMI、TELNET的方式轮询。对于特殊应用需求,可以采用AGENT的方式采集数据,满足个性化的需求。
2.3 数据分析处理层
数据分析处理层根据系统设定的各项功能模块的具体要求,对数据采集层提供的数据进行进一步组织、分析和存储,并将结果提供给上层的数据呈现层2.4 数据呈现层数据呈现层根据数据分析处理层提供的数据,通过Web界面以视图、报表等方式向用户展现。
三、系统主要功能
3.1 数据采集
数据采集是整个集中监控系统的基础功能。采用SNMP、WMI、TELNET等协议轮询、接收SNMPTrap、Syslog,或者通过安装在主机/服务器上的A-gent上报信息,来获取被监控对象的状态信息、日志信息和告警信息,并作相应处理。
3.2 故障判断集中报警
故障判断根据采集的基础数据和设定的判断基准,对事件进行判定,确定故障是否存在,并生成故障级别信息。集中报警功能根据故障判断提供的故障级别信息,采取不同的报警策略自动触发,驱动不同的报警程序,比如邮件、短信、声光等。
3.3 性能管理
性能管理对设备性能进行实时监控,比如:网络设备的CPU、内存、端口流量,主机系统的CPU、内存、磁盘读写、交换文件等。监控参数管理可以定义监控周期和性能阈值,当性能超过阈值时,系统发出报警信息。
3.4 网络拓扑管理
网络拓扑管理利用直观的图形展示,帮助管理员更好地了解网络系统的联接情况,在网络中出现故障时能够快速定位故障发生的位置,从而更快速恢复故障。网络拓扑管理根据网络连接情况,自动生成和实际情况相符的网络拓扑图,为管理员提供真正的网络视图。通过网络拓扑图管理员可以方便地掌握设备分布情况和每个设备的运行状态。
3.5 报表管理
报表管理用户可以订制资源使用报表、故障统计报表、资源趋势报表、TOPN统计报表、可用性统计报表、综合报告等不同类别的报表,并生成柱状图、曲线图、饼图等直观图表,实现各种信息的统计和分析,全面、宏观地展示网络的运行情况,有助于更细致地分析网络数据,察看网络、系统中可能存在的热点故障、故障多发设备、故障多发时间,性能变化趋势等,从中发现规律和趋势,为决策者和管理人员提供详细的统计分析报表。
3.6 配置管理
配置管理主要反应网络系统中被监控系统配置更新的情况。
3.7 系统管理
系统管理主要包括系统配置、用户管理、监控行状况等的管理。用户管理是实现系统用户的基本信息维护和权限管理。监控策略管理是根据不同的监控对象和应用环境,设置不同的监控策略,比如数据采集周期、报警方式。
关键词: 内部控制; 问题; 方法; 措施
中图分类号: F272 文献标识码: A 文章编号: 1009-8631(2011)06-0055-01
所谓内部控制,是指由企业董事会、管理者和其他员工实施的,为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循等目的而提供合理保证的过程。内部控制涉及企业生产经营的控制环境、风险评估、监督决策、信息与传递以及自我检测等方面,从总体上透视了企业生产的各个环节。其有效实施无疑会促使企业生产管理登上一个新台阶,促进企业经营流程的合理化和正规化。
一、我国企业内部控制十大问题
1.出纳领取银行对账单、编制银行存款余额调节表。
2.领导“一只笔”审批,缺乏完善内控制度和流程保障。
3.过于依赖业务人员,企业资源掌握在个人手中,企业对业务开展失去控制。
4.内部控制制度文字描述性东西较多,清晰的流程图和配套表单较少。
5.内部控制制度“救火式”的较多,制度体系缺乏系统性和完整性,甚至政出多门,相互打架。
6.员工临时休假或出差时,缺乏明确的工作交接制度。
7.人员招聘时注重笔试和面试的考察,忽视背景调查。
8.关键岗位无强制轮换制度。
9.过分强制成本,经常将效率作为弱化或逾越内部控制的理由。
10.说一套,做一套,制度放空炮。
二、内部控制制度不能有效执行原因
1.制度制定得不合理,或过于理想化,或随着新情况出现,原有制度已不能适应却没有及时修改,从而使得制度不具可操作性,自然也就不会被执行。
2.缺乏保证制度执行的机制,一些单位对内部控制执行情况既没有检查监督,又没有相应的奖惩措施,内部控制制度成为墙上摆设和一纸空文也就不奇怪了。为此,企业一方面需要提高制度可操作性,另一方面要加强制度执行力度,不能为制度而制度。
三、内部控制常用的方法
1.职责分工控制,要求根据企业目标和职能任务,按照科学、精简、高效的原则,合理设置职能部门和工作岗位,明确各部门、各岗位的职责权限,形成各司其职、各负其责、便于考核、相互制约的工作机制。
2.授权控制,要求企业根据职责分工,明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。企业内部各级管理人员必须在授权范围内行使职权和承担责任,业务经办人员必须在授权范围内办理业务。
3.审核批准控制,要求企业各部门、各岗位按照规定的授权和程序,对相关经济业务和事项的真实性、合规性、合理性以及有关资料的完整性进行复核与审查,通过签署意见并签字或者盖章,作出批准、不予批准或者其他处理的决定。
4.预算控制,要求企业加强预算编制、执行、分析、考核等各环节的管理,明确预算项目,建立预算标准,规范预算的编制、审定、下达和执行程序,及时分析和控制预算差异,采取改进措施,确保预算的执行。
5.财产保护控制,要求企业未经授权的人员对财产的直接接触和处置,采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施,确保财产的安全完整。
6.会计系统控制,要求企业根据《中华人民共和国会计法》、《企业会计准则》和国家统一的会计制度,制定适合本企业的会计制度,明确会计凭证、会计账簿和财务会计报告以及相关信息披露的处理程序,规范会计的选用标准和审批程序,建立、完善会计档案保管和会计工作交接办法,实行会计人员岗位责任制,充分发挥会计的监督职能,确保企业财务会计报告真实、准确、完整。
7.内部报告控制,要求企业建立和完善内部报告制度,明确相关信息的收集、分析、报告和处理程序,及时提供业务活动中的重要信息,全面反映经济活动情况,增强内部管理的时效性和针对性。内部报告方式通常包括:例行报告、实时报告、专题报告、综合报告等。
8.绩效考评控制,要求企业科学设置业绩考核指标体系,对照预算指标、盈利水平、投资回报率、安全生产目标等业绩指标,对各部门和员工当期业绩进行考核和评价,兑现奖惩,强化对各部门和员工的激励与约束。
9.信息技术控制,要求企业结合实际情况和计算机信息技术应用程度,建立与本企业经营管理业务相适应的信息化控制流程,提高业务处理效率,减少和消除人为操纵因素,同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全、有效运行。
四、完善企业财务内部控制的措施
1.深化产权制度改革,建立规范的现代企业制度。规范的以产权为核心的法人治理结构是现代企业管理的基本组织形式,也是充分发挥企业内部控制制度作用的最佳组织形式。企业要想保证内控制度的实效,必须通过产权制度的改革,充分发挥经济杠杆作用,使企业所有者的切身利益与企业兴衰息息相关,同时形成以董事会、监事会和审计委员会为主体的内控机制,促使企业领导层提高管理水平,强化内部控制的动力和压力,从而积极地创建和有效地实施内部控制制度。
2.按照分步法,逐步建立、健全本企业的内部控制,建立健全有效的控制体系企业应着眼于全局,建立全面的内部控制制度体系。企业在经营目标、发展决策等重大事项上要建立一整套完整的市场调研、测试和评价体系,提高企业决策的正确性,在此基础上还应有一套内部评审、监督的内控系统,确保决策的安全可靠,将决策风险降低到最低程度。根据企业的内部管理,还要明确规定企业各级机构的职责和具体岗位职责。
3.加强对内部控制行为主体“人”的控制,真正把内部控制工作落实到实处。企业中应引入竞争机制,根据优胜劣汰原则,形成任人唯贤的用人机制,壮大配备合格的人才,首先是提高管理者的素质,其次是提高会计人员的综合素质,随着经济形势的不断发展,新问题、新情况相继出现,企业管理者和会计等专业人员的素质都要相应提高,要重视对有关人员的继续教育,努力更新各岗位人员业务知识,优化其知识结构,注重其综合素质的提高,这是搞好企业内部控制的基本保证。
4.建立有效的激励机制,加强对内部控制制度实施情况的检查与考核。为了保证企业内控制度的有效实施,并使之不断完善,企业必须定期对内控制度进行检查和考核,以观察其是否得到有效执行,执行效果如何,从而不断改进内部控制制度,促使其日趋合理有效。对于严格执行内部控制制度的部门和个人,应给予精神和物质奖励,反之则进行处罚,以达到内部控制的目的。
5.建立良好的信息沟通系统,保证企业内部控制效果。良好的信息沟通系统可以使企业及时掌握企业运营状况和组织中发生的各种情况,从而为企业经营决策提供全面、及时、准确的信息,关键在于有关部门和人员之间沟通。企业会计系统是一个最重要的子系统,因此,必须加强会计系统及其他方面的信息沟通体系的建设。
6.强化外部监督,督促企业不断完善内部控制制度。从传统意义说,对内部控制体系的监督主要应依赖于企业的内部审计部门,但内审部门的性较差,因此要求加强财政、税务、审计等外部部门的统一协调性,增强彼此间的信息交流,形成有效的监督合力。同时要充分发挥注册会计师的作用。
参考文献:
因篇幅问题不能全部显示,请点此查看更多更全内容