CIO需严防信息系统致命风险

摘要：提升了上海电信内部的安全控制水平，满足萨班斯法案对企业内部控制的要求。这套安全解决方案完全是按照萨班斯法案的要求来部署应用，能满足萨班斯法案对企业内部安全控制的各项需

关键词：风险

近期来，有足够多的猛料新闻让首席信息官（CIO）感到胆战心惊。法国兴业银行（Societe Generale，下称“法兴银行”）“欺诈案”刷新了史上最大金融欺诈案的交易金额记录。这一次单枪匹马让法兴银行亏掉70亿美元的“风云人物”，是该银行的普通交易员杰洛米·科维尔(Jerome Kerviel)。法兴银行表示，科维尔之前曾在该银行的后台系统部门工作过５年，他利用丰富的工作经验，盗取了电脑交易系统的密码，并冲破了数道安全防线，通过精心设计虚构交易，隐藏了巨额的违规头寸。

不过，并不是只有科维尔这样的“电脑高手”才能做下如此惊天大案。据新浪网的报道，来自辽宁鞍山市的赵立群不过是个彩票站的老板，对电脑并不精通，却通过福彩系统的漏洞（兑奖信息数据要延时约5分钟才被写入数据库），在2005~2007年间期期中奖，累计获得福利彩票奖金高达2,800万元。

由于利益的驱使，无论是高深莫测的金融信息系统，还是街头巷尾的福彩系统，只要有数据传输和数据存储的地方，就有可能滋生犯罪。这种隐藏在合法数据中的非法信息借助于安全和管理漏洞逍遥法外，加上国际市场日益严苛的合规要求，正让CIO大伤脑筋。

上海市电信有限公司（下称上海电信）是一家典型的数据密集型企业，信息系统与公司的核心业务息息相关。上海电信一直非常重视对IT基础设施的投入和建设，并取得了显著的成绩。2002年初，上海电信启动新一代业务系统建设，先后引进SAP、Sieble等新一代业务支撑软件。新的业务系统在给公司业务提供更好支持的同时，也带来一系列的问题：多系统引发的应用复杂性问题，授权不当引发的信息安全问题，员工工作变动引发的管理效率问题，等等。与此同时，上海电信在海外成功上市，意味着其经营理念、管理模式必须与国际接轨。其中，在安全方面，公司必须依照萨班斯·奥克斯利法案（Sarbanes－Oxley Act）在公司内控机制和财务控制方面建立起基础性和长期性的可监控体系。

为此，上海电信意识到加强对公司应用系统的安全管理的必要性和紧迫性，并认为公司需要建立一套既能满足内部管理需要，又能遵循萨班斯法案要求的安全体系——一个集中的访问认证和用户管理控制平台UAAP（Unified Authentification and Admin Platform）。

为此，上海电信部署了国际商业机器公司（IBM）Tivoli解决方案。系统实施后，安全控制能力和管理能力得到了全面的提升：全公司的所有员工只需通过一个用户名、一个密码进行一次登录，就可以进入所有被授权的应用系统，这彻底改观了过去为密码和应用切换而抓狂的被动局面。

集中管理账户，使管理工作量明显减少而效率大幅提高。所有账户的管理归并到统一的管理平台上，所以数千名员工的应用授权工作可以一步到位。而且通过员工自助修改用户口令等机制，既杜绝了安全隐患，又减少了管理工作量。

这提升了上海电信内部的安全控制水平，满足萨班斯法案对企业内部控制的要求。这套安全解决方案完全是按照萨班斯法案的要求来部署应用，能满足萨班斯法案对企业内部安全控制的各项需求，与国际安全管理模式同步。（注：本文有部分事实来自公开资料）

责编：

三上悠亚 ed2k

园田美樱种子

林由奈 ed2k