概述

2001年11月，美國最大的能源企業安然由于各種丑聞事件的爆發而宣告破產，安然公司的破產并非偶然，公司治理的內部機制和外部機制出現的嚴重問題是其根本原因所在。在這樣一個背景下，企業安全內控建設成為各個企業所關注的焦點，而在企業安全內控建設的動力方面又分為外因與內因兩部分。

內因的產生主要是由于包括企業內部對知識產權保護及機密性信息保護的要求及在實際信息工作中所遇到的問題所推動的。而外因主要包括在大環境下的法規遵從要求，具體如下圖：

薩班斯法案

SOX法案共分11章，公認薩班斯法案中最嚴苛、最復雜、執行成本最高的404條款規定，在美上市企業必須建立內部控制體系，包括控制環境、風險評估、控制活動、信息溝通和監督五個部分。內部控制活動的記錄不僅要細化到諸如產品付款時間之類的細節，而且對重大缺陷都必須予以披露。

圖1: SOX相關條款

信息安全等級保護

1994年《中華人民共和國計算機信息系統安全保護條例》（國務院147號令）規定，“計算機信息系統實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”。2003年中央辦公廳、國務院辦公廳轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號）明確指出“實行信息安全等級保護”，“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”。

能源行業內控管理需求

目前國內三大石油公司中石油、中石化、中海油均在美國上市，為了應對薩班斯法案對企業內控提出的要求，必須加大信息系統在總體控制方面的責任，在信息系統對管理流程的介入程度上，采取自上而下的基于風險管理的分配原則，盡量縮減成本，同時實現內控的合理化、流程和控制的集中化。

圖2: 能源企業安全體系建設模型

能源行業安全內控管理解決方案

生產商本身也需要通過相關薩班斯法案的審計，利用自身作為ITOIP解決方案提供商的優勢。結合自身的相關經驗，石油石化行業推出了安全內控管理解決方案。。

◆ 安全網絡－固化企業內控管理

內部控制對數據的安全保護貫穿數據生命周期的全過程，根據數據的構成，在任何情況下，數據只存在于“計算”、“通訊”與“存儲”三種狀態之一，其中對通信安全的保障是企業內控重要部分，為遵循薩班斯法案的數據保護要求能源企業需要建立一個具有主動防御能力的安全網絡，提出了智能安全滲透網絡iSPN解決方案可以為能源行業提供一個很好的解決辦法。

圖4: 智能安全滲透網絡

智能安全滲透網絡（iSPN, intelligent Safe Pervasive Network）是一個整體安全架構，從局部安全、全局安全、智能安全三個層面，為用戶提供一個多層次、全方位的立體防護體系，使網絡成為智能化的安全實體。局部安全針對關鍵問題點進行安全部署，抵御最基礎的安全威脅；全局安全利用安全策略完成產品間的分工協作，達到協同防御的目的；智能安全在統一的安全管理平臺基礎上，借助于開放融合的大安全模型，將網絡安全變為從感知到響應的智能實體。

解決方案優勢

全面的邊界安全防護

推出基于核心交換機的SecBlade防火墻/IPS模塊和SecPath防火墻/IPS盒式設備，是業界唯一能同時提供萬兆插卡和盒式設備的廠商，可根據用戶的實際情況提供兩種不同產品形態的解決辦法。

SecPath/SecBlade防火墻產品集成了包過濾和狀態檢測技術，對不同信任級別的安全區域制定相應安全策略，防止非授權訪問。SecPath盒式設備支持 OAA開放應用架構，可在設備上部署防病毒、網流分析等業務模塊；SecPath/SecBlade IPS是業界唯一集成漏洞庫、專業病毒庫、協議庫的IPS產品，特征庫數量已達上萬種，并保持不斷更新，能精確實時地識別并防御蠕蟲、病毒、木馬、DDoS等網絡攻擊，細粒度地控制P2P/IM造成的帶寬濫用。

通過對防火墻和IPS的有機結合和功能互補，為用戶提供2-7層的全面安全防護，有效的抵御來自網絡邊界的各種安全風險。

統一安全管理

不同廠商、不同種類的網絡和安全設備之間缺乏信息交互，容易形成信息孤島。SecCenter可對異構環境下的全網設備進行統一管理，支持上百家廠商的防火墻、IPS/IDS、路由器、交換機、防病毒系統、服務器等多種類型的產品，通過對海量信息的采集、分析、關聯、匯聚和統一處理，實時輸出分析報告，幫助管理員及時地對網絡安全狀況進行分析與決策。

安全與網絡的深度融合

基于H3C在網絡及安全領域的深厚技術積累，用戶可選擇在核心交換機中增加萬兆SecBlade防火墻/IPS模塊，針對大型園區網、內部區域邊界隔離等需求時，可提供完善的安全防護功能，并且無需部署獨立的安全設備，簡化網絡結構，避免單點故障，便于用戶管理，真正實現安全與網絡的深度融合。

高可靠性

通過設備的雙機狀態熱備、L3 Monitor等先進技術，可實現雙鏈路、雙網關備份，在鏈路故障或設備故障的情況下，及時發現故障并快速自動切換，極大提高網絡可靠性，保證用戶業務的不間斷運行。

虛擬化安全服務

通過劃分多個虛擬系統來實現對用戶多個業務獨立安全策略部署的需求。當用戶業務劃分發生變化或者產生新的業務部門時，可以通過添加或者減少虛擬系統的方式十分靈活的解決后續網絡擴展問題，簡化了網絡管理的復雜度，并有效降低用戶安全建設的成本。

安全管理－強化企業內控管理 

在強化內控管理的層面，我們提出使用統一的、強制的終端控制手段來完成對安全管理、用戶身份、訪問權限三者的統一控制和管理，同時采用相關的監控手段來進行保證，使其從三個獨立的系統成為一個即有聯合性又可獨立工作的功能實體。

行為監管解決方案能徹底解決以上問題，是業界應用識別最全面的解決方案，方案由應用控制網關和安全管理平臺組成。同時, 應用控制網關包括SecPath ACG盒式設備和H3C S75E/S95核心交換機上的SecBlade ACG插卡兩種產品形態，針對P2P/IM、網絡游戲、炒股、非法網站訪問等行為，進行精細化識別和控制，解決帶寬濫用影響正常業務、訪問非法網站感染病毒蠕蟲的問題；同時，安全管理平臺SecCenter對應用控制網關上報的網絡事件進行深入分析并輸出審計報告，幫助管理員全面了解網絡應用模型和流量趨勢，加強整網安全，提高員工工作效率。

解決方案優勢

最全面的P2P/IM應用控制

通過在ACG應用控制網關，可精確識別BT、電驢、迅雷、MSN、QQ、Yahoo Messenger、PPLive等近百種P2P/IM應用，可基于時間、用戶、區域、應用協議，通過告警、限速、阻斷等手段進行靈活控制，保證網速的正常和業務不被影響。

用戶非法行為管理

ACG應用控制網關采用先進的分析技術，能對網絡多媒體、網絡游戲、炒股等應用進行識別與控制，通過URL過濾、關鍵字過濾、內容過濾等多種訪問控制策略，控制非法應用，過濾非法網站，規范用戶上網行為，提高員工工作效率。

網絡與安全的深度融合

在網絡及安全領域的深厚技術積累，用戶可選擇在核心交換機中增加SecBlade ACG模塊，在提供完善的網絡應用控制功能的同時，無需單獨部署獨立的安全設備，簡化網絡結構，便于用戶管理，真正實現安全與網絡的深度融合。

用戶行為審計

SecCenter采集網絡設備、安全設備和服務器的安全日志，結合ACG記錄的用戶應用訪問信息，實時輸出審計報告。當發生安全事故后，可以根據記錄的信息對用戶既往行為進行分析和追根朔源，對潛在的破壞者可起到威懾作用。

安全統一管理

SecCenter可對ACG進行圖形化策略配置，并可針對不同的用戶定制不同的安全策略。同時，SecCenter能對上百個廠商的各種產品進行安全事件管理，通過對海量信息的采集、分析、關聯、匯聚和統一處理，協助管理員實時監控網絡應用狀況，及時發現安全隱患。

安全審計－深化企業內控管理

企業會在企業網中部署各種安全設備，包括防火墻、防毒墻、IDS、VPN等設備。為了進行事后的審計及操作記錄，這些網絡設備隨時隨地都在發送Syslog信息，每天產生的Log信息達到G級的數量，任何一個網絡管理員很難通過Syslog來準確定位網絡發生的安全故障。

這種產品是基于硬件的安全智能、高效實施的安全信息及事件管理（SIEM）系統。它能夠提供對全網海量的安全事件和日志的集中收集與統一審計分析，兼容異構網絡中多廠商的各種設備，對收集數據高度聚合存儲及歸一化處理，實時監控全網安全狀況，同時能夠根據不同用戶需求提供豐富的自動報告，提供具有說服力的網絡安全狀況與政策符合性審計報告，系統自動執行以上收集、監控、告警、報告、歸檔等所有任務，使IT及安全管理員脫離繁瑣的手工管理工作，極大提高效率，能夠集中精力用于更有價值的活動，保障網絡安全，深化企業內控管理。

SecCenter系列產品支持以最小資金成本進行網絡安全管理，以最好的投入產出比來減少企業支出。它可以每秒分析高達上萬條事件，能夠滿足大型的網絡環境需要，通過使用SecCenter，用戶可以減少防范網絡安全威脅的工作和時間，可以預先滿足政府要求的安全規范，并以多種實時安全智能顯著減少網絡故障響應時間，能夠發現、了解并預先防范黑客和病毒的活動與安全威脅。SecCenter系列產品的高性能、多功能和合理的價格使其成為強有力的IT架構安全智能系統平臺。

解決方案優勢

◆ 支持近百家主流廠商的網絡設備及主機系統

◆ 提供網絡拓撲和威脅的可視化

◆ 可對網絡的安全事件進行實時監控與關聯分析

◆ 支持安全審計分析，管理員可根據分析結果對網絡問題快速定位

◆ 提供多種網絡檢測報告輸出結果，可直接輸出符合SOX法案合規標準的審計報告