|
针对安然、世通等财务欺诈事件,美国国会出台了《2002年公众公司会计改革和投资者保护法案》,简称萨班斯(SOX)法案。制定该法案的目的是提高公司信息披露的准确性和可靠性,增加公司责任,为上市公司会计和审计的不适当行为规定更加严厉的处罚,同时保护投资者。该法案适用于所有根据美国1934年证券交易法向SEC(证券交易委员会)或者被要求向SEC递交定期报告的公司,包括美国和非美国公司,当然也包括已经上市的我国各大电信运营商。
按照SOX的要求,中国移动通信集团某省级有限公司(以下简称买方)必须完成非常严格的内控审查,其中包括了对于各业务系统维护过程中的必要行为审计,例如对数据库的添加、修改、删除;以及对其他各种行为的强制身份认证,保证所有的行为可查,可控。
本项目中,Logbase产品名为AMS。
- GPRS系统;
- MISC系统;
- WAP系统;
- 彩铃系统;
- 彩信系统;
- 短信系统。
-
- 操作审计需求
-
- 通过引入统一认证接入和操作审计平台,能够达到对核心操作进行监督和控制,并形成审计记录的目的。
对系统的运行情况、使用情况进行统计和比对,以便分析和预测系统存在的问题。
-
- 数据库操作审计及控制:
- 结合用户的真实身份,对数据库的SQL操作命令及操作对象(数据库资源)进行命令级的审计和访问控制。
- 数据库资源可以是数据库表名称、视图名称、存储过程名称等;操作则是对应于这些数据库资源进行的各种SQL命令操作,如Select、Update、Drop等。
- 通过实时监控、解析网络流量,恢复出SQL命令及对象后进行匹配,对匹配了的数据库操作,可以采取阻断网络访问、审计记录、告警等响应。
-
- 主机系统维护操作审计及控制:
- 结合用户的真实身份,针对常用的Unix系统维护协议,包括Telnet、FTP、RCP、rlogin等,进行命令级的审计和访问控制。Unix操作系统资源可以是与操作系统相关的目录、文件、进程、磁盘、网卡等;操作则是对应于这些Unix资源进行的各种操作命令操作,例如针对FTP协议的PUT、GET;针对Telnet协议的RM(删除)、“Kill”等。在定义好针对Unix系统操作的“匹配规则”后,通过实时监控、解析网络流量,恢复出应用层数据进行匹配,对匹配了的Unix操作,可以采取阻断网络访问、审计记录、告警等响应。
-
|
