网际思安解析上网行为管理之于《企业内控规范》-网络安全专区

网际思安解析上网行为管理之于《企业内控规范》

作者：君玉编辑：张琰珺 2009-07-29 19:08 来源：IT168�

　　我国《企业内部控制规范》(以下简称规范)的出台及推行，引发了诸多上网行为管理厂商的讨论。北京网际思安科技作为国内主流的上网行为管理设备提供商之一，也通过自己的视角与理解就该领域与规范相关的几个话题作出解析与阐述供大家参考。

　　一、上网行为管理对企业内控规范的实施意义与价值多大

　　规范的基本目标是提高企业经营管理水平与风险防范能力，其出发点是防范风险、未雨绸缪。目前国内外部分上网行为管理厂商都结合规范的出台，分析和阐述上网行为管理对规范实施的重要性与效益。这些分析基本可归纳为两类，一类是还停留在产品功能层面就事论事，只是在逐项阐述产品的功能，没有深层领会与揭示上网行为管理对内控的真正意义;另一类是可能过分夸大了上网行为管理在规范执行上的作用，将上网行为管理与企业经营生产、资产安全、财务行政、人力资源、企业文化等方方面面都扯上关系并冠之概念再拔高一筹。

　　横看成岭侧成峰、远近高低各不同，我们来分析其意义与价值，可换几种不同的角度。首先，从企业对规范的遵从性来看。与国内内控规范可比的是美国在2006年7月开始执行的萨班斯法案，两者内容相仿，目标一致，但萨班斯与我们的规范相比具有更高的严厉性，企业的执行成本也更为高昂，两者的重点之一都是要实现对信息内容的有效监管，从萨班斯法案中已明确地看到上市公司必须要考虑和部署信息安全技术尤其是内容监控技术以便更好遵从;我们的内控规范虽然还不是法规，也明确了国内所有上市公司必须严格执行，并且鼓励国内其他企业执行与学习，参照萨班斯法案可见，内容监控技术同样是国内企业必须要考虑与部署的，而这其中上网行为管理即是重要组成部分。另外，在我们内控规范2008年出台发布之前的2006年，我国就以法令(公安部82号令)的形式对所有的互联网使用单位提出了“必须利用信息安全技术留存组织的相关上网记录”的要求，虽然该法令的贯彻执行需要假以时日逐步推进，但对处在金字塔尖的上市企业来说，更应规避法律风险，更有义务遵照法律经营，它们对规范的遵从性使得其实施上网行为管理的意义被放大成不可或缺、毋庸置疑。再者，有充分数据显示萨班斯法案在美国的推行使得美国的内容安全市场得到极大刺激与提升，与之对应国内规范的推行也必将带来内容安全市场的飞跃式发展，而上网行为管理也是其中重点内容。随着国内企业信息化的不断提升，以及经营系统及关键业务对互联网的更加依赖，上网行为管理的涵盖内容可能还会不断外延。这点将从反向验证上网行为管理对规范合规的意义与价值。

　　二、上网行为管理在企业内控实施中投入占比重几何

　　目前国内规范的实施还没有太多经验数据可循，我们可以更多参照美国萨班斯法案的实施经验，在萨班斯法案的执行中显示企业大量的内控缺陷中有20%与IT系统相关，而应对法案的实施，所花费的人力财力大概有40%是在IT领域。与之参照，我国的企业落实和实施企业内控规范这样一项庞大的系统工程，也将大概要有40%的资源投入是在IT领域。上网行为管理系统本身就是一个IT系统，是企业为规范合规所投入的IT资源的一部分，我们没有必要过分夸大上网行为管理系统在整体投入的占比，只要客观将其理解为实施所需投入的不可或缺的一个子系统即可，相信从这个角度来看，每个企业都会对上网行为管理的支出作出一个合理评判。但值得提醒的是，企业内控工作是永久持续的，要想保障企业的健康长远发展，这就要做到持续的投入。我们再以萨班斯法案做参考，其404条款规定，企业必须保留内部数据一切记录8年以上，包括对数据的查询、修改和删除等操作信息;同样，对上网行为管理系统的使用也会逐渐随着时间的推移其数据量不断累积增加，会面临各类访问行为日志、还原信息及传档文件的数据存储、归档、调阅等问题，加之上网行为管理对网络应用特征库需不断升级的要求，系统要不断进行更新续保，所以对上网行为管理系统的投入不要期望只是一次性的工作，企业需做好对其持续投入的心理准备和财务预算。

　　三、上网行为管理产品如何契合规范要求

　　北京网际思安科技通过自身产品在国内多个上市企业及大中型集团企业的应用总结，将上网行为管理产品对规范的契合归纳为三点。第一，上网行为管理作为内容安全监管的重要手段，首要要求是行为及内容种类的全面性，将产品覆盖所有消息及文档外发的所有方式，包括全面的IM消息、贴帖、webmail、邮件等外发信息审核，以及通过邮件附件、IM传档、HTTP/FTP上传等文件传输的管控。第二，规范的执行就是要解决和弥补内控缺陷及盲区，对应到上网行为管理是同样道理，产品除了对通用应用协议的支持以外，更应注重对可能成为盲区的应用进行管理，例如对客户端加密隧道VPN软件的管控、对QQ等加密软件的消息内容还原。第三，规范的五元素告诉我们内控要实现对内部环境的改善，要通过风险评估、控制、信息沟通、监督检查这四个环节组成的闭环系统持续改进;萨班斯法案404条款在要求企业在遵从过程中，也应特别注意用户身份识别及访问管理。上网行为管理也已不是单纯给IT管理员来使用维护的一个产品，也要遵照规范要求对不同环节提供对应管理角色，网际思安产品内设系统维护、策略管理、部门主管、信息稽核四种管理角色，分别具有不同的操作权限，可实现与内控四个环节逐一对应。

关注我们