電信運營商IT系統(tǒng)薩班斯法案符合性解決方案

2019-11-04 23:15:46

字體：大中小

來源：轉載

供稿：網友

隨著經濟全球化的發(fā)展，很多國內企業(yè)正逐漸通過境外融資、上市，進而求得進軍國際市場、規(guī)模化發(fā)展。在眾多的境外融資渠道中，赴美上市、融資又因其效果的明顯而普遍受到國內企業(yè)的青睞。而赴美上市，就必須通過薩班斯法案（Sarbanes-Oxley法案，簡稱SOX法案）的要求。針對于公司治理的SOX法案，雖然主要指向財務治理、經營治理，要求企業(yè)保證財務數據的真實性、全面性和及時性，但對于企業(yè)來說，這些規(guī)則的落腳點，恰恰是IT系統(tǒng)的有效性和可靠性的體現。

當前，IT系統(tǒng)越來越多地滲透進了企業(yè)業(yè)務活動的方方面面。高效、可靠的IT系統(tǒng)，不但是企業(yè)高效運轉的有力工具，更可為企業(yè)提供必要數量的控制程序和審核依據（例如SOX法案中的一些具體要求）。因此，遵循SOX法案的程序，就需要包括基于IT系統(tǒng)的有效控制和治理。對大多數企業(yè)而言，IT系統(tǒng)在建立與保持有效的財務報告內部控制方面，將發(fā)揮越來越重要的作用！

日前，中國通信企業(yè)協(xié)會通信網絡運維專業(yè)委員會，在北京舉行的"第三屆中國通信網絡運維年會"上，來自相關政府部門、運營商、設備提供商、系統(tǒng)集成商、專業(yè)服務商和咨詢機構的代表，共同商討了國內通信網絡運維治理發(fā)展大計。其中，針對電信企業(yè)境外融資發(fā)展成為了一個熱點話題，而涉及SOX法案的規(guī)范化要求更被與會者激烈討論。在這一熱議話題中，IT系統(tǒng)必須落實并符合SOX條款要求的發(fā)展趨勢，被全體與會者所肯定。會上，北京卓益達科技有限公司針對性地推出了《電信運營商IT系統(tǒng)薩班斯法案符合性解決方案》。

卓益達科技此次推出的解決方案，基于SOX法案的規(guī)定和要求，并充分參考了COSO委員會提出的內控通用模型——《企業(yè)風險治理——整體框架》，以及國際信息系統(tǒng)審計與控制協(xié)會（ISACA）制定的"信息及相關技術控制目標"（Control Objectives for Information and Related Technology，COBIT）。通過后兩者與薩班斯法案要求之間的整合，建立起了一套完整的應用模型（如圖1所示）和相關的整體解決方案。

電信運營商IT系統(tǒng)薩班斯法案符合性解決方案（圖一）

「圖1：卓益達科技《電信運營商IT系統(tǒng)薩班斯法案符合性解決方案》應用模型」

從電信運營商的角度來說，其IT系統(tǒng)的治理在面對SOX法案時的挑戰(zhàn)，主要集中在6類控制缺陷方面：

1）大量用戶擁有"超級用戶"的訪問權限；

2）不能對治理員的操作提供完整的登錄日志及行為記錄；

3）治理員所使用的客戶端本身存在安全漏洞；

4）已終止雇用關系的員工或已經離開的供給商人員仍然擁有系統(tǒng)訪問權；

5）用戶賬號的權限設定不明確或者不嚴謹；

6）口令策略不嚴謹。

針對上述這些問題，卓益達科技的解決方案通過安全的統(tǒng)一接入和日志審核系統(tǒng)，有效地修補了這些缺陷，進而使得電信運營商能夠在IT運維方面，與SOX法案要求的企業(yè)運維規(guī)范有效對接。

卓益達科技的《電信運營商IT系統(tǒng)薩班斯法案符合性解決方案》采取了帶外治理和帶內治理方式有機結合，通過部署加固代理服務器，進而實現治理平臺和應用服務器邏輯上的物理隔離，保證了對應用服務器訪問的安全性；同時，治理員只能通過帶外方式，由Console口登錄代理服務器，實現了對系統(tǒng)的保護；另外，通過部署統(tǒng)一接入服務器以及syslog/NFS服務器，實現統(tǒng)一接入、審計和認證治理（系統(tǒng)拓樸如圖2所示）。

電信運營商IT系統(tǒng)薩班斯法案符合性解決方案（圖二）