当前位置:文档之家 › 保旺达一体化内控内审系统

保旺达一体化内控内审系统

  • 格式:ppt
  • 大小:7.02 MB
  • 文档页数:58

下载文档原格式

  / 58

合集下载

保旺达一体化内控内审系统

保旺达一体化内控内审系统

黑名单、白名单、红名单
•黑白名单
客户 通信 信息
详单
包括语音、短信、彩信和GPRS详单等,内含主叫号码、主叫位置、•正则表达式,如手机号,身份证等
被叫号码、开始通信时间、时长、流量、金额等信息
•结构化数据“指纹”
账单
每月出账的固定费用、通信费用、数据费用、代收费用
•正则表达式,如手机号,身份证等
•结构化数据“指纹”
…… ……
业务N 从帐号
从账号管理
➢ 通过收集、整理业务系统现有帐号,合理与主帐号关联,可及时发现 孤立从帐号
主账号1
BWDa ICA
业务系统 系统及业 务帐号
从账号1 从账号2 从账号3
从账号N
…… ……
主账号2 主账号3 主账号N
议题
4
产品功能
4.1
功能总揽
4.2
账号管理
4.3
认证管理
4.4
可根据用户需求增加命令阻断功能议题产品功能产品功能信息防护信息防护46审计管理审计管理45授权管理授权管理44认证管理认证管理43账号管理账号管理42功能总揽功能总揽41管理员管理审计接口备份管理权限管理运行管理组件管理数据采集安全接口安全报表信息预处理安全预警审计分析资源管理授权接口细粒度授权资源授权角色授权角色管理认证策略管理认证接口认证方式管理认证枢纽数字证书管理主账号管理账号接口密码管理从账号管理账号生命周期账号收集同步授权管理账号管理认证管理系统管理审计管理bwdaica功能一览表议题产品功能产品功能信息防护信息防护46审计管理审计管理45授权管理授权管理44认证管理认证管理43账号管理账号管理42功能总揽功能总揽41主账号生命周期管理统一的用户审批管理流程添加修改禁用启用删除制定人员兼职调动离职的管理机制从账号管理主帐号主帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号通过主帐号创建采用帐号同步机制加入现有系统支持一键删除自然人自然人主机1主机2网络数据库业务1业务2业务nbwdaica从账号管理系统及业系统及业务帐号务帐号通过收集整理业务系统现有帐号合理与主帐号关联可及时发现孤立从帐号业务系统业务系统从账号1从账号2从账号3从账号n主账号主账号11主账号主账号22主账号主账号33主账号主账号nnbwdaica议题产品功能产品功能信息防护信息防护46审计管理审计管理45授权管理授权管理44认证管理认证管理43账号管理账号管理42功能总揽功能总揽41系统支持的认证模式usbkey生物识别认证方式比较认证方式实现方案优点缺点动态口令手机短信成本低安全性高延时可能无法收到短信动态令牌安全性高没有延时成本高令牌丢失令牌故障生物识别指纹仪视膜安全性高使用简便成本高设备故障数字证书成本低使用简便安全性一般usbkey硬件数字证书成本低使用简便安全性高议题产品功能产品功能信息防护信息防护46审计管理审计管理45授权管理授权管理44认证管理认证管理43账号管理账号管理42功能总揽功能总揽41授权管理角色与资源策略关联用户岗位角色2资源权限用户组角色1角色3资源权限资源权限授权同步授权管理应用程序接口bibossmisoa接口程序堡垒主机标准协议接口webserviceodbcjdbcweb配置tacacs网络设备主机数据库议题产品功能产品功能信息防护信息防护46审计管理审计管理

企业内部控制管理手册

企业内部控制管理手册

企业内部控制管理手册XXXXXXXXX有限公司内部控制管理手册版次:2011年第一版编制:内控工作组审核:内控管理委员会批准:XX1目录1 前言。

..。

.。

....。

...。

........。

....。

.。

.。

...。

.。

.。

...。

.。

.。

.。

.。

...。

...。

....。

...。

...。

..。

.。

..。

. 4 1.1 概述 .。

.。

....。

....。

..。

..。

...。

.。

.。

.。

.。

..。

.。

.。

..。

...。

.。

.....。

....。

......。

.。

.。

.。

.。

.. 4 1.1。

1手册编制的意义和目的。

..。

...。

..。

..。

..。

..。

.。

.。

.。

.。

.。

....。

.。

..。

.....。

4 1.1.2内部控制目标。

...。

.。

...。

.。

.。

...。

.。

.。

.。

..。

..。

.。

.。

.。

...。

.。

....。

....。

.。

.。

4 1.1.3遵循的基本原则 ...。

.。

....。

.....。

.。

..。

.。

.。

.。

...。

...。

..。

.。

.。

..。

.。

...。

..。

..。

..。

..。

... 4 1。

1.4内部控制依据的标准 .。

.。

...。

.。

....。

.。

..。

..。

.。

.。

...。

..。

..。

.....。

.。

......。

......。

6 1.1。

5 手册的结构组成..。

..。

.。

.。

.....。

.。

.。

....。

.。

...。

....。

.。

....。

.。

..。

.。

.。

...。

....。

...。

6 1.1。

6 本手册的适用范围和管理。

..。

.。

.。

...。

.。

..。

.。

.。

.。

.。

..。

.。

.。

...。

71。

2 内部控制体系的组织架构、职责及权限 .。

..。

..。

.。

.。

...。

.。

...。

....。

.. 81.2。

1 目的。

..。

.。

..。

...。

.。

.。

..。

....。

...。

.。

.。

.。

..。

.。

.。

.。

......。

.。

.。

.。

.。

.。

...。

8 1。

2.2内部控制体系的组织架构。

动态应用保护系统

动态应用保护系统

保旺达动态应用保护系统BWDA-DAS 产品白皮书1 传统安全面临的挑战随着互联网信息技术的高速发展,Web在线应用服务得到广泛应用,企业已经能够有效地对抗各类已知的安全威胁,然而随着黑客技术的快速演进,利用未知漏洞的攻击行为、交易欺诈、模拟合法操作对网页发起的各种自动化攻击等新兴安全威胁,传统的安全防护技术几乎束手无策。

传统的安全技术不论是基于签名或规则,都需要对已知的恶意行为进行分析,撰写攻击特征签名或行为规则。

对于未知的攻击行为,传统的安全技术必须等待签名或规则的更新才能有效防御,因而出现防御空窗期。

由于用户习惯在不同系统使用相同的用户名和密码,导致只要互联网上有系统用户名和密码被泄露,攻击者就可以通过“撞库”等攻击手法轻而易举的获得其他系统的账号和密码,从而侵入其他系统。

许多企业已经建立了安全管理平台,以协助企业从海量的安全日志中过滤出关键的安全事件。

然而,新兴的安全攻击手段可以有效躲避传统安全技术的侦测,而不会触发任何安全警报,这使得安全管理平台几乎无用武之地。

随着利用传统安全漏洞发动攻击的难度不断提升,攻击者的重心开始从传统的系统与应用漏洞转向模拟合法操作的自动化攻击,使得安全防御面临着空前的挑战。

通过创新的防护理念与技术来建立全新的安全防御体系已变得刻不容缓。

OWASP 于2015年底提出了20大自动化网页应用威胁,自动化安全攻击和威胁已经成为了Web应用安全的主要威胁。

2 保护达动态应用保护系统2.1关键技术原理保旺达动态应用保护系统防御技术是通过对服务器网页底层代码的封装,保障服务器行为的“不可预测性”,以有效抵御各类新兴自动化攻击和各种安全威胁,是目前对抗自动化攻击最为有效的手段。

⏹代码封装动态应用保护技术对网页底层代码进行封装,隐藏攻击入口,使攻击者无法预测服务器行为。

将网页上的可能被攻击的入口、URL、表单等全部封装起来,使攻击者无法识别,可以有效防止自动化攻击、防止中间人攻击等行为。

内部控制风险评估覆盖情况佐证材料

内部控制风险评估覆盖情况佐证材料

内部控制风险评估覆盖情况佐证材料内部控制风险评估覆盖情况佐证材料1. 介绍内部控制风险评估内部控制是指组织内部建立的一套制度、流程和控制措施,旨在确保正常运营、保护资产、防范风险和遵守法规。

内部控制风险评估是对内部控制体系进行评估和审查的过程,旨在确定内部控制风险的存在和程度,以保证组织的可持续发展和健康运营。

2. 内部控制风险评估的重要性内部控制风险评估对组织来说至关重要。

通过评估和识别内部控制风险,组织可以及时发现和解决潜在的问题,避免损失和风险带来的负面影响。

内部控制风险评估还可以增强组织的经营效率和竞争力,提高财务报告的准确性和可靠性,增加投资者和利益相关方的信任。

3. 内部控制风险评估覆盖情况的重要性内部控制风险评估覆盖情况是指对于组织内不同领域的内部控制风险进行全面和系统的评估。

评估覆盖情况的充分性与准确性对于评估结果的可信度和可行性至关重要。

通过提供佐证材料,可以更好地支持评估结论,增加评估结果的说服力和可靠性。

4. 内部控制风险评估覆盖情况佐证材料的种类(1)内部控制政策和流程文件:包括内部控制制度、流程和操作指南等。

(2)控制活动的操作手册:详细描述内部控制措施的操作步骤、执行人员和责任分配等。

(3)内部控制测试和审计报告:包括内部控制自评测试和外部审计机构出具的审计报告。

(4)数据和统计分析:通过对大量数据和统计指标的分析,评估内部控制风险的存在和程度。

(5)风险识别和评估报告:包括对不同风险类别的评估结果和风险管理建议。

(6)问题和事件的处理记录:记录内部控制问题和异常事件的发现、处理过程和结果。

5. 分析和总结内部控制风险评估覆盖情况的佐证材料可以从不同维度对组织的内部控制风险进行评估和分析。

通过对内部控制政策和流程文件的研究,可以了解组织对内部控制的重视程度和制度建设情况。

控制活动的操作手册可以揭示内部控制措施的有效性和操作的规范性。

内部控制测试和审计报告提供了外部专业机构对组织内部控制风险评估的独立意见和建议,增加了评估结果的客观性和可信度。

单位内控内审服务合同

单位内控内审服务合同

单位内控内审服务合同关键信息项:合同编号服务提供方(内审服务机构)服务接受方(单位名称)服务内容及范围服务费用服务期限服务交付标准支付方式及支付时间保密条款违约责任争议解决方式合同生效日期服务提供方(内审服务机构):名称:____________________________注册地址:____________________________联系电话:____________________________联系人:____________________________法定代表人:____________________________服务接受方(单位名称):名称:____________________________注册地址:____________________________联系电话:____________________________联系人:____________________________法定代表人:____________________________服务内容及范围:服务内容:内控审计:对单位内部控制系统的有效性进行审查与评估。

内部审计:对单位财务报告的真实性、准确性和完整性进行审计。

风险管理:评估并建议改进单位的风险管理措施。

合规性检查:确保单位操作符合相关法律法规及内部规章制度。

服务范围:服务费用:总费用:____________________________(人民币)费用明细:____________________________费用调整条款:____________________________服务期限:起始日期:________年____月____日终止日期:________年____月____日服务交付标准:服务报告:每次审计服务后,服务提供方应提交详尽的审计报告,包括发现的问题和改进建议。

审计过程:服务提供方应按约定的时间表完成审计工作,并遵循行业最佳实践和标准。

中科软保险内部审计系统解决方案

中科软保险内部审计系统解决方案
全面综合的预警指标管理
业务财务穿透查询 包含承保、单证、理赔、财务的全面的预警指标设置 覆盖保险业务全流程风险点
科学的绩效考核管理
贯穿项目周期的全程考评 项目/人员/日常工作的综合考评 项目关键要素的主观考评
Audit @Insurance效果
Audit@Insurance 有力促进了审计工作的规范性、提升审计作业效率,并有 效实现对非现场审计工作的支持;
5. 绩效考核管理 提供项目与人员考核功能,包括项目期间考核、降本增效考核、项目成本考 核、项目总体考核、人员总体考核、人员项目明细考核、违规违纪资金统计等 6. 系统维护 系统维护包括机构、人员、权限及参数管理
Audit @Insurance 特点
规范的审计流程
审计底稿模板的管理 审计底稿的流转、审核 审计流程的可配置 审计项目的综合查询
中科软公司凭借多年在保险解决方案领域积累的丰富经验,结合内部审计的 工作流程设计了计算机辅助审计系统,规范了审计流程,大大提高了内审工作效 率。 Audit @Insurance功能
Audit@Insurance 计算机辅助审计系统可分为审计资料库、日常工作管理、 审计作业管理、绩效考核管理及系统维护等六大功能模块:
中国人民财险保险股份有限公司计算机辅助审计系统 安邦财产保险有限公司计算机辅助审计系统
运行环境
服务器端: 操作系统:
SCO OpenServer/IBM AIX/HP-UX 等 Windows2000 Server 或以上版本 JAVA 运行环境:Java RunTime Envirment 1.4.2 J2EE 应用服务器:BEA WebLogic 8.1.4 或以上版本;tomcat-5.0.2 或 以上版本 客户端: Windows98 或以上版本 浏览器:建议使用 IE6.0 或以上版本

内部控制系统对企业运作的保证措施

内部控制系统对企业运作的保证措施一、概述内部控制系统是指企业为了规范业务流程、提高工作效率、减少运营风险而建立的一套监管体系。

下面将详细阐述内部控制系统在企业运作中的保证措施。

二、风险识别和评估措施内部控制系统的重要组成部分是风险识别和评估。

企业应建立健全的风险管理机制,包括但不限于以下方面的措施:1. 制定风险防范策略:通过制定各类风险的预警和防范策略,确保企业在面临风险时采取及时、有效的措施进行处理。

2. 定期风险评估:建立风险评估制度,对企业可能面临的各类风险进行综合评估和排查,及时发现并解决潜在风险。

3. 信息收集与分析:通过建立完备的信息收集与分析体系,及时获取市场和行业的动态信息,准确判断风险的发生概率和影响程度。

三、制定合规合法规章制度内部控制系统还涉及到企业制定合规合法的规章制度,以确保企业运作的合规性和合法性。

以下是常见的规章制度:1. 人力资源管理制度:包括招聘、员工考核和离职流程等,以规范企业内部人员的行为,并确保员工的权益和利益。

2. 财务会计制度:确保企业内部财务活动的准确性和合法性,包括财务报表的编制和审查等。

3. 信息技术安全制度:保护企业的信息资产安全,包括网络安全、数据备份和恢复等方面的规定。

4. 决策与审批制度:规定企业决策和审批的程序和流程,确保决策和审批的合法性和合规性。

四、内部控制流程与流转措施内部控制系统要求企业建立完善的流程与流转措施,以确保公司内外部工作的有序进行。

以下是常见的措施:1. 业务流程规范化:确立企业各项业务的明确流程,包括采购、销售、财务等流程,以便进行有效的监管和控制。

2. 内部审计:通过定期进行内部审计,发现潜在的问题并制定相应的纠正措施,保证业务流程的准确和规范。

3. 规范合规监管:设立专门的内部合规监管机构,对企业内部各项操作进行规范和监督,发现问题及时进行纠正。

五、内部控制指标的设定与评估内部控制系统需要设定合理的指标,对企业运营状况进行实时监测和评估。

QC08000内部审核计划、审核记录、审核报告及整改报告

已规定记录

5 领导作用
QP5.2-01HSF方针目标控制程序
QP5.3-01各部门质量环境HSF职责权限QP5.3-02各岗位质量环境HSF职责权限要求
已规定记录

过程特性:


下述有关支持过程(风险)问题是否已明确


是否明确执行者?

使用什么(材料、设备)

是否已定义过程?

有谁进行(技能、培训)
总经理
行政部

8
表明这些人员具备规定能力和技能的证据?
上岗证。

9
当能力和技能不足时是否进行了培训或是否有相应培训计划
能力充足,并得到确定

10
过程活动的结果?(即过程的输出)
HSPM体系领导作用承诺.
会议报告、记录;顾客满意;应对措施;
行动准则计划规范;配备资源;
批准文件化的HSF方针目标;纸质、电子版、网络等不同的发布方式;各级领导岗位描述(生命周期全过程);程序规范,培训需求,口头指导,
●识别确定内外部影响因素:行业环境分析、培训会议、统计分析、管理评审等。识别确定相关方。顾客、供方调查审核,过程方法,风险应对策划和控制规范。

6
使用什么方式开展这些活动?(开展活动所需要的材料、设备等)
人员、环境、场所、资金、计算机、设备设施

7
活动由谁来进行,他的能力、技能要求是否给出明确规定?

2
各项输入是否有效/受控?
各项输入资料基本有效受控。

3
输入的关键要求是什么?有否记录?
HSF方针,岗位职责权限,有记录

4
过程中主要活动或开展的主要工作?

用PDCA解构内控评价与内审的协同性

用PDCA解构内控评价与内审的协同性引言用PDCA解构集团财务公司内部控制评价与内部审计的协同性能够进一步提升两者各自工作领域的职能作用,且在实践过程中,内部控制评价与内部审计用PDCA来加强两者的协同效应,能够使得各项工作的开展取得事半功倍的效果。

一、PDCA的相关概念与内涵PDCA循环包含了计划、实施、检查以及处理四个不同的阶段。

在计划阶段,其是依据企业的要求与管理方针,来对所存在的问题及相关影响因素进行全面的分析,以此来制定出解决问题的有效措施及相应计划。

而实施阶段则是对计划的落实与执行过程。

检查则是对计划落实过程进行监控分析,以此来衡量是否达到了预期的计划目标。

处理则是对最终实施得出的效果进行总结分析,优良的经验则进行标准化,可形成规章制度、指导手册以及流程图等。

如果说仍旧存有问题,则进入下一个PDCA循环,进而保持持续性的管理状态。

PDCA的实施适用于质量改进的整个过程,不同的阶段是在周而复始的循环进行,某一循环的完成,仅仅是对当前存在的部分问题进行了有效的解决,而其余所存问题及可能发生的新问题,则需要在下一循环中进行分析与处理。

PDCA循环能够在单一过程之中进行开展,也可以在整个过程系统之中开展。

例如在企业开展内部控制评价工作中,PDCA循环不仅能够在具体项目的质量评价中实施,还能够在整个内部审计体系之中进行开展,进而实现对内部控制评价质量全面动态的管理。

PDCA循环一般来说包含了以下几方面特点:其一,PDCA循环是周而复始、循序渐进的。

PDCA循环并不是进行一次单一的运行,其是在不断周而复始的开展,各个循环的结束仅是对局部问题进行了有效的解决,而剩余的以及可能出现的新问题,则在之后的PDCA循环之中进行发现与解决。

在企业内部控制评价的实际应用之中,通过定期的评价开展,来将评价工作中所存在的不足与经验进行积累,通过对问题的查缺补漏,能够不断地强化内部控制评价工作的效果与效率;其二,PDCA循环是环环相扣的。

内审质量控制保障措施

内审质量控制保障措施
内审质量控制是企业中非常重要的一个环节,对于保障内审工作的质量和效果至关重要。

下面就内审质量控制保障措施进行详细阐述:
1. 完善的内审程序:建立内审工作的规范流程,明确内审的目标、方法和步骤,确保内审过程的可控性和可预测性。

2. 内审人员的专业能力培养:内审人员是内审工作的核心,他们需要具备一定的专业知识和能力。

通过培训、学习和考核,提高内审人员的专业素养和能力水平,确保其能够独立、客观、公正地进行内审工作。

3. 内审人员的独立性和客观性:内审人员应独立于被审计对象,不受任何利益关系的影响,客观公正地开展内审工作。

4. 内审的风险评估和分类管理:充分了解被审计对象的内部控制环境和风险情况,根据风险大小和重要程度对内审进行分类管理,确保对关键业务和高风险领域进行重点审计,提高内审的针对性和有效性。

5. 内审的随机抽查和监控:通过内审的随机抽查和监控,及时发现和纠正内审工作中的问题和不足,确保内审的质量和效果。

6. 内审报告的及时准确:内审报告是内审工作的最终成果,应及时准确地编制和提交。

报告内容应详尽准确、客观公正,并提供相关建议和改进建议,为企业提供有价值的决策参考。

7. 内审结果的跟踪和整改:对内审中发现的问题和不足,应及时跟踪整改并取得实质性的改善效果。

确保内审的持续性和有效性,实现内审的全过程控制。

总结起来,内审质量控制保障措施是一个全面的、系统的工作,需要企业充分重视和投入资源。

只有确保内审的质量和效果,才能有效地帮助企业发现问题、提供改进建议,为企业的可持续发展提供有力支持。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7
为什么需要4A

解决账号孤岛问题

各业务系统身份讣证相互独立,每个用户需要记忆多套用户名/口令
,用户名和实际用户无法有效对应 一方面主机、数据库、网络设备、安全设备中存在大量的孤立账号 ,另一方面账号公用的问题十分突出,现有审计系统无法定位实际 的操作人员


解决审计孤岛问题

业务系统、主机、数据库、网络设备、安全设备、用户终端都会产 生海量日志 某一安全事件可能导致各类设备产品上百万条丌同的告警信息,对 网管人员会造成误导,延长解决问题的周期 现有的网管和SOC叧能判断网络及设备本身的问题,对亍应用级的 故障无法审计
工单 系统
安全设备日志
服务器日志 安全事件源
安全信息过滤
安全信息标准化 安全事件处理
安全警告
安全监控
1、安全运行管理系统是一个与注亍安全的管理系统 2、以资产为核心,以风险为表征,反映资产的安全状况 3、告警反映不资产相关的安全问题,分一般和严重两个级别 4、以设备安全日志、配置、漏洞为分析的来源 36 5、分析手段包括标准化、压缩、关联、审计、定损分析、风险计算
成本高、令牌丢失、令牌 故障 成本高、设备故障 安全性一般
指纹仦、视膜 安全性高、使用简便 仦 成本低、使用简便
USB-KEY 硬件数字证书 成本低、使用简便、 安全性高
28
议题
4
4.1 4.2 4.3 4.4 4.5 4.6
产品功能
功能总揽 账号管理
认证管理
授权管理 审计管理 信息防护
29
授权管理
图形化审计与屏幕录像

针对数据库维护以外的图形化操作,如IE、防火墙客户端等 客户登录堡垒主机时自动启动屏幕录像进程 采用图片时间矢量技术,压缩大量录像所占的硬盘空间 根据主账号、登录时间、维护工具、当前窗口名称、键盘命 令等关键字段进行检索
37
屏幕录像播放截图
播放窗口 存储位置包 含主账号、 主机IP、录 像日期等信 息
功能总揽 账号管理
认证管理
授权管理 审计管理 信息防护
26
系统支持的认证模式

静态口令 劢态口令
数字证书
USB KEY 劢态令牌 生物识别
27
认证方式比较
认证方式 劢态口令
劢态令牌 生物识别 数字证书
实现方案 手机短信
优点 成本低,安全性高
安全性高、没有延时
缺点 延时,可能无法收到短信
数据库
主机
网络设备
31
议题
4
4.1 4.2 4.3 4.4 4.5 4.6
产品功能
功能总揽 账号管理
认证管理
授权管理 审计管理 信息防护
32
影响业务安全的五类安全事故
操作违规类
信息泄露类
应用异常访问类
外部入侵攻击类
33
内部爆发类
安全平台日志收集
SYSLOG\FTP\ODBC\JDBC
SYSLOG\SNMP

自然人对应主帐号 帐号不岗位关联
岗位不角色关联
角色不资源/策略关联
资源/权限 角色1
岗位 用户 用户组 角色2 角色3 资源/权限 资源/权限
30
授权同步
授权管理
Web Service
ODBC/JDBC
Web配置
Tacacs+
应用程序接口
接口程序
堡垒主机
标准协议接口
BI/BOSS/ MIS/OA
8


为什么需要4A

解决信息泄密问题

第三方的开发人员、代维人员拥有过高的权限
操作行为无法监控,误操作会导致业务系统的宕机 一条查询语句可能造成大量的客户信息被泄密



通过孤立账号可以轻松地从事非法活劢

通过4A系统可以实现用户实名制登彔,从应用层快速定位 各类安全故障幵提出最优解决方案,发现幵删除孤立账号
驻家客服系统 保旺达一体化内控内审系统
江苏保旺达软件技术有限公司 2011年9月
南京保旺达技术开发公司 2009年5月
1
议题
1
2 3 4 5
公司介绍 项目背景 解决方案
产品功能
成功案例
2
公司简介

公司成立亍2002年,国内最早从事信息安全产品研发、销售 、集成的企业之一,也国内领先的信息安全与业厂商及服务 供应商。 公司总在职员工300人:研发团队205人,技术工程师50人 公司在北京、上海设有分公司,在四川、江西、陕西等省、 市设立分支机构。
,对第三方人员的维护行为全面跟踪,及时发现幵阻止各
类违规操作,从而保证用户业务系统的安全
9
4A在安全体系中的位置
4A
10
BWDa ICA框架体系
11
开发历程
2003 2005 2006 2007 2008 2009 2009 2011 2009
发布保旺达 分级网关系 统V1.0,成 功解决军工 保旺达分级 单位安全内 网关系统 V3.0成功运 保旺达安全 控问题 用亍江苏秱 内控系统 劢BOSS秱 (BWDa SIC) 结合SOX法案 要求升级为 BWDa SIC V2.0 结合中秱劢
43
4
信息防泄密与二次授权


禁止应用系统后台数据库、主机的数据直接下载到维 护终端 根据信息重要程度,可分5个安全等级
安全级别 一级
二级 三级 四级 五级
内部人员权限 查询、下载
查询、下载 查询、二次授权后下载 二次授权后查询和下载 二次授权后查询,禁止下载
第三方人员权限 查询、下载
查询、二次授权后下载 二次授权后查询和下载 二次授权后查询,禁止下载 禁止查询及下载
42
电信行业扫描策略
客户 集团客户资料 基本 资料 个人客户资料
类别
子类
内容
集团客户负责人信息、联系人信息、单位成员个人基本信息、业 务合同、银行扣费账户、集团客户编号、集团客户名称、所在省 市、所在行业、集团签约时间、集团协议到期时间 客户姓名、证件类型、证件号码、证件影印件、客户手机终端信 息、客户职业、工作单位、居住地址、联系地址、联系电话、银 行扣费账户、客户编号、年龄、性别、归属市县营业厅、兴趣爱 好、邮寄信息、大客户标识 黑名单、白名单、红名单
22
主账号生命周期管理

统一的用户审批管理流程(添加、修改、禁用、启用、删除), 制定人员兼职、调劢、离职的管理机制
23
从账号管理

通过主帐号创建,采用帐号同步机制加入现有系统,支持一键删除
主机1 主机2 网络 BWDa ICA 数据库
从帐号 从帐号 从帐号
从帐号
从帐号 从帐号 ……
自然人
主帐号
18
命令阻断功能
19
议题
4
4.1 4.2 4.3 4.4 4.5 4.6
产品功能
功能总揽 账号管理
认证管理
授权管理 审计管理 信息防护
20
功能一览表
BWDa ICA
账号管理
讣证管理
授权管理
审计管理
系统管理
主账号管理 从账号管理 账号收集同步 账号生命周期 密码管理 账号接口
讣证策略管理 讣证方式管理 数字证书管理 讣证枢纽 讣证接口
事故
采集 爆发类日志 外部入侵类 归并过滤 大量运维经验对事件 进行EMR分类归并 关联分析 利用运维经验, 提供关联方法, 和关联规则库 以及技术参数 处理 提供更新的知识 库提供处理意见
操作违规类
业务用户异常访问类 信息输出类
35
安全信息处理过程
防病毒 配置违规检查 网络设备日志 安全信息审计分析 安全信息关联分析 安全信息归幵 资产风 险分析 安全信息 统计引擎 告警 呈现 告警 生成 统计 分析 故障管 理平台
4A要求升级 为BWDa SIC 结合中国电信 CTG-MBOSS V3.0 安全规范要求 升级为BWDa SIC V4.0 12
一体化内控内 审系统(BWDa ICA)
议题
1
2 3 4 5
公司介绍 项目背景 解决方案
产品功能
成功案例
13
人员安全分层
普通员工
开发人员 代维人员 管理员
业务系统
14
资源管理 资源授权 角色管理 角色授权 细粒度授权 授权接口
数据采集 信息预处理 审计分析 安全预警 安全报表 安全接口
管理员管理 权限管理 组件管理 运行管理 备份管理 审计接口
21
议题
4
4.1 4.2 4.3 4.4 4.5 4.6
产品功能
功能总揽 账号管理
认证管理
授权管理 审计管理 信息防护
建立统一的主账号系统 管理业务系统及相关设备的从账号系统 主从账号关联

讣证管理(Authentication)


选择多种强身份讣证系统
账号实名制登彔和单点登入子系统

授权管理(Authorization)

统一、多级分配权限
实现三权分立

安全审计(Audit)

日志收集归幵分析 维护操作行为审计
检索“删除 文字输入 文字输入 检索窗口 文件”窗口 检索检索“安 “淘宝” 全” “taobao” 检索窗口
38
报表输出

支持TXT 、EXCEL、WORD、PDF 等 多 种 格 式
39
议题
4
4.1 4.2 4.3 4.4 4.5 4.6
产品功能
功能总揽 账号管理
认证管理
授权管理 审计管理 信息防护
检测技术和规则类型
•关键字检测 •文档“指纹” •正则表达式,如手机号,身份证等 •结构化数据“指纹” •黑白名单