1         概述

2001年11月，美国最大的能源企业安然由于各种丑闻事件的爆发而宣告破产，安然公司的破产并非偶然，公司治理的内部机制和外部机制出现的严重问题是其根本原因所在。在这样一个背景下，企业安全内控建设成为各个企业所关注的焦点，而在企业安全内控建设的动力方面又分为外因与内因两部分。

内因得产生主要是由于包括企业内部对知识产权保护及机密性信息保护的要求及在实际信息工作中所遇到的问题所推动的。而外因主要包括在大环境下的法规遵从要求，具体如下图：

萨班斯法案

SOX法案共分11章，公认萨班斯法案中最严苛、最复杂、执行成本最高的404条款规定，在美上市企业必须建立内部控制体系，包括控制环境、风险评估、控制活动、信息沟通和监督五个部分。内部控制活动的记录不仅要细化到诸如产品付款时间之类的细节，而且对重大缺陷都必须予以披露。

图1: SOX相关条款

信息安全等级保护

1994年《中华人民共和国计算机信息系统安全保护条例 》（国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

GB 17859_1999

信息系统安全等级保护定级指南

信息系统安全等级保护基本要求

信息系统安全等级保护实施指南

信息系统安全等级保护测评要求

信息系统安全等级保护评估指南

信息系统安全等级保护管理监督检查要求

2         能源行业内控管理需求

目前国内三大石油公司中石油、中石化、中海油均在美国上市，为了应对萨班斯法案对企业内控提出的要求，必须加大信息系统在总体控制方面的责任，在信息系统对管理流程的介入程度上，采取自上而下的基于风险管理的分配原则，尽量缩减成本，同时实现内控的合理化、流程和控制的集中化。

图2: 能源企业安全体系建设模型

3         H3C能源行业安全内控管理解决方案

作为在美上市企业的全资公司，H3C本身也需要通过相关萨班斯法案的审计，利用自身作为ITOIP解决方案提供商的优势，H3C已连续两年顺利通过相关审计。结合自身的相关经验，H3C为石油石化行业推出了安全内控管理解决方案。。

图3: 安全内控框图

3.1        安全网络－固化企业内控管理

内部控制对数据的安全保护贯穿数据生命周期的全过程，根据数据的构成，在任何情况下，数据只存在于“计算”、“通讯”与“存储”三种状态之一，其中对通信安全的保障是企业内控重要部分，为遵循萨班斯法案的数据保护要求能源企业需要建立一个具有主动防御能力的安全网络，H3C提出了智能安全渗透网络iSPN解决方案可以为能源行业提供一个很好的解决办法。

图4: 智能安全渗透网络

              智能安全渗透网络（iSPN, intelligent Safe Pervasive Network）是一个整体安全架构，从局部安全、全局安全、智能安全三个层面，为用户提供一个多层次、全方位的立体防护体系，使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署，抵御最基础的安全威胁；全局安全利用安全策略完成产品间的分工协作，达到协同防御的目的；智能安全在统一的安全管理平台基础上，借助于开放融合的大安全模型，将网络安全变为从感知到响应的智能实体。

解决方案优势

l        最全面的边界安全防护

H3C推出基于核心交换机的SecBlade防火墙/IPS模块和SecPath防火墙/IPS盒式设备，是业界唯一能同时提供万兆插卡和盒式设备的厂商，可根据用户的实际情况提供两种不同产品形态的解决办法。

SecPath/SecBlade防火墙产品集成了包过滤和状态检测技术，对不同信任级别的安全区域制定相应安全策略，防止非授权访问。SecPath盒式设备支持H3C OAA开放应用架构，可在设备上部署防病毒、网流分析等业务模块；SecPath/SecBlade IPS是业界唯一集成漏洞库、专业病毒库、协议库的IPS产品，特征库数量已达上万种，并保持不断更新，能精确实时地识别并防御蠕虫、病毒、木马、DDoS等网络攻击，细粒度地控制P2P/IM造成的带宽滥用。

通过对防火墙和IPS的有机结合和功能互补，为用户提供2-7层的全面安全防护，有效的抵御来自网络边界的各种安全风险。

l        统一安全管理

不同厂商、不同种类的网络和安全设备之间缺乏信息交互，容易形成信息孤岛。SecCenter可对异构环境下的全网设备进行统一管理，支持上百家厂商的防火墙、IPS/IDS、路由器、交换机、防病毒系统、服务器等多种类型的产品，通过对海量信息的采集、分析、关联、汇聚和统一处理，实时输出分析报告，帮助管理员及时地对网络安全状况进行分析与决策。

l        安全与网络的深度融合

基于H3C在网络及安全领域的深厚技术积累，用户可选择在核心交换机中增加万兆SecBlade防火墙/IPS模块，针对大型园区网、内部区域边界隔离等需求时，可提供完善的安全防护功能，并且无需部署独立的安全设备，简化网络结构，避免单点故障，便于用户管理，真正实现安全与网络的深度融合。

l        高可靠性

通过设备的双机状态热备、L3 Monitor等先进技术，可实现双链路、双网关备份，在链路故障或设备故障的情况下，及时发现故障并快速自动切换，极大提高网络可靠性，保证用户业务的不间断运行。

l        虚拟化安全服务

通过划分多个虚拟系统来实现对用户多个业务独立安全策略部署的需求。当用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少虚拟系统的方式十分灵活的解决后续网络扩展问题，简化了网络管理的复杂度，并有效降低用户安全建设的成本。