身份管理与萨班斯法案

身份管理与萨班斯法案

忽志刚 Oracle公司

 

摘要

本文简要介绍萨班斯（Sarbanes-Oxley）法案以及身份管理的主要内容，针对萨班斯法案对企业提出的合规性要求，从企业基础IT架构的角度论述身份管理系统如何帮助上市公司实施萨班斯法案所要求的内部控制、流程和报表功能，同时持续不断地增强企业对法规遵从的监控与审计。

关键词
萨班斯法案 SOX内控 审计 报表 身份管理

萨班斯法案

萨班斯法案（SOX）是一部具有国际性影响的法规，由美国证券交易委员会（SEC）颁布于 2002 年，涉及会计职业监管、公司治理、证券市场监管等方面，是在美国连续发生“安然”、“世界通讯”等丑闻事件，对国际投资市场造成重大损害之后，美国国会与政府为规范上市企业运营，挽救投资者信心而制定的一部企业内部控制法案。该法规定，目前所有在美国上市的公司，都必须遵守该法案。

萨班斯法案302条款要求上市公司 CEO and CFO 保证财务报告的真实和准确，因而必须有适当的内部控制措施以保障这些财务报告及信息披露。 404条款对这些内部控制措施作了详细描述，并要求上市公司提供合理的证明，外部审计也须证明上市公司确实拥有对于财务报表的适当的内部控制。404条款规定：公司管理层要对公司内控及财务会计报表的制定和编制的有效性、真实性负责，公司必须聘请外部审计师对公司内控和财务报表进行独立审计并出具审计结果。

萨班斯法案的核心要求是规避风险、完善内部控制，以确保财务信息披露的准确性。因而萨班斯法案看起来全部集中在一个公司的财务报表的如收入、费用、清算帐目以及负债等记录以及围绕这些记录的控制措施上，所以高层管理者不仅要确保针对公司内部系统的控制，还要有针对财务信息的生成、访问、收集、存储、处理、传输和使用的严密控制。

由于现代企业的日常运营越来越依赖于IT系统，以致于IT控制成为企业内部控制的重要组成部分。萨班斯法案中重点要求 CEO 和 CFO 必须证明其公司拥有适当的内部控制，如果维护财务数据的系统是不安全的，则高层管理人员很难担保数据的有效性，也很难担保其内部控制的可靠性，因此，基于IT系统的内部控制变得至关重要。

萨班斯法案引出了一些上市公司必须面对的挑战：

1. 更高的行政管理和 IT 成本

2. 员工权限的管理及业务活动的记录

3. 对合作伙伴协作活动的跟踪与监控

4. 客户体验及隐私保护

5. 业务流程的优化与监控

6. 财务报告周期缩短

7. 数据流及生命周期的监控

身份管理的意义

很多机构中，员工身份分散在数十个应用程序中，相互独立。这种情况在员工上班的当天当人力资源部门将员工的资料输入到人事系统中时往往就出现了。随着该员工被允许访问越来越多的应用程序和服务，他的身份越来越复杂，每个账户的角色和权限也变化多端。这种角色划分以及那些必须记住的使用不同应用程序所需的帐号和密码对于员工来说无疑是场噩梦，而对于跟踪和管理这些帐号和密码的管理员来说，日常工作中就充斥着无休止的密码重置和帐号开通，公司运营的效率便大幅降低。

显然，现代企业应用环境需要一个集成的身份管理解决方案来提供可管理性、可用性和安全性。

那么，如何定义身份管理呢？身份管理是企业管理终端用户和网络实体整个安全生命周期的过程。健全而可靠的身份管理策略可以降低成本、加快应用部署、改善用户体验，同时提高应用程序的安全性。

身份管理最通常是指对机构用户的管理，其安全生命周期包括账号创建、删除、中止、权限更改和属性管理等步骤。所管理的网络实体包括设备、过程、应用程序、服务器或任何需要在联网环境中交互的其他实体。身份管理过程管理的实体可能还包括机构以外的用户，例如客户、供应商或贸易合作伙伴。

身份管理对于IT部署非常重要，有很多原因：

身份管理可节约资金。对于大多数企业，应用程序的用户管理非常费钱、费力而且容易出错。身份管理将很多这样的艰苦工作加以集中并自动化，降低了管理成本同时提高了准确性和安全性。

身份管理可以实现更快速的部署。通常，提供一个新的应用程序意味着创建和管理独立的用户账户和它们的权限。身份管理使新的应用程序可以利用现有的基础架构来进行用户管理，从而缩短了部署和管理新应用程序的时间。

身份管理改善了终端用户的体验。身份管理策略使新用户可以快速访问其应用程序，避免了员工时间的浪费。它还使用户在一个地方修改其任意属性或参数选项即可，而无需在每个应用程序中都要进行修改。而且，身份管理实现了定制应用程序体验，因为每个应用程序都理解用户的偏好和角色。

身份管理提高了应用程序安全性。身份管理策略使用户可以集中管理其口令和安全证书。这提高了易用性，同时减少了用户身份被盗用的可能性。应用程序还可以充分利用集中的授权和政策信息。

身份管理系统功能

当谈到身份管理技术的时候，有两个重要领域值得考虑，第一个就是身份管理基础架构，它提供基本认证、授权、目录和集成服务。第二个就是身份管理本身，它提供用户供给、工作流（用于流程自动化）、委托管理（包括自助式服务和密码管理），以及审计日志和生成报告的功能等。

目录服务的部分功能通常是以层次结构的方式来创建和管理安全性及访问政策，该功能具有政策的继承性，从创建全局性政策开始，然后在此基础上创建继承全局属性的地区或业务部门的政策，这些政策比全局性的企业政策更加严格。此外，应用程序政策和用户访问规则还可能更加严格。

一个完整的身份管理解决方案包括以下组件：

可伸缩的、安全并且符合标准的目录服务，用于存储和管理用户信息。

用户供应框架，既可以连接到企业供应系统（如人力资源应用程序），也可以独立运行。

委托管理模型和应用程序，使身份管理系统的管理员可以将访问权有选择地授予应用程序的管理员或直接授予终端用户。一个能够支持不同需求的适当的安全模型（用户接口模型）是非常关键的。

目录集成平台，使企业能够将身份管理目录与原有或应用的特定目录相连。

用于用户认证的运行时模型和应用程序。

创建和管理PKI证书的系统。

ORACLE 身份管理方案

Oracle Identity Management（Oracle身份管理）是一个集成的、可伸缩的、健壮的身份管理基础架构。用来保证整个企业中用户和应用系统的安全。Oracle Identity Management基础架构包括以下组件：

Oracle互联网目录（Oracle Internet Directory），这是一个在Oracle数据库10g上实施的、符合LDAP V3的、可伸缩的、健壮的目录服务。

Oracle目录集成和供应，支持Oracle互联网目录与其他目录之间的同步，而且对Oracle组件、应用程序和通过标准接口的第三方应用程序可进行自动供应服务。

Oracle委托管理服务，为用户和应用程序管理员提供基于代理的委托目录信息管理。

Oracle应用服务器单一登录（Single Sign-On），使终端用户可以通过单一登录访问Oracle和第三方的Web应用程序。

Oracle应用服务器认证中心，管理（颁发、废除和更新）和发布X.509 V3证书以支持基于PKI的功能强大的认证方法。

Oracle 同时提供了web services 管理解决方案，Oracle COREid Access and Identity 可以确保客户、内部员工以及商业合作伙伴员工对企业系统的访问权限的控制，而 Oracle Web Services Manager 则对企业的后台系统间的交互访问进行控制。

Oracle Web Services Manager可以提供定制的审计和安全报告，这对于展示企业遵守法规和政府要求至关重要。审计和安全报告解决方案包含了关于认证统计信息、授权统计信息、失败的授权、组历史、口令变更、特定资源访问统计信息等内容。该合规性证据解决方案通过一个收集身份和安全性操作日志的端到端框架来提供展示合规性证据的报告。

身份管理与企业内控

萨班斯法案 404 条款要求上市公司针对业务运营定义并强制实施有效的内部控制。法案本身对于这些内部控制并没有做任何定义，但是却花费大量篇幅指导企业创建、部署这些控制措施。运营控制跨越整个业务链，远非单纯的财务交易。

在许多内部控制的核心是关于权利的理念，某一个经理人员拥有什么样的权利，这些权利是否与新的内部控制要求相一致？一种常见的内部控制是 职责分离（separation of duties），比如，一个经理拥有创建一个新的定单的权利，可能就不允许他拥有发展一个新的供货商的权利.通过分割这两种权利，就可以阻止任何一个经理与自己的朋友的公司做交易。

然而，许多这类的控制虽容易定义，但实践中却很难强制实施并对其进行审计。许多企业正努力通过对人与应用间的交互的有效治理来强制执行内部控制并对权利和责任进行审计。在这里身份管理系统天生具备优势，通过对身份的权限分配、访问控制和监控审计，可以有效的进行企业内部控制。下面从三个方面论述身份管理如何帮助实施企业内控。

1. 员工相关的内部控制

关于萨班斯法案，首先是对于人的要求：谁可以访问哪些系统和数据，他们对这些系统可以做些什么，如果我给予某个人这个访问权限会怎么样，另一个人换了工作部门又会发生什么？ 为更好的将内部控制与实际的业务运营相结合，许多公司部署了身份管理系统。通过定义角色和组，并授予或取消这些角色和组的权限，上市公司可以展示并强制实行内部控制，而且实现职责分割（Separation of Duties）。比如，一个公司可以创建一个叫做Purchasers 的动态组，该组拥有访问定单管理系统的权限；同时该公司可能创建另外一个叫做 Vendor Managers的组，该组拥有权限可以访问那些控制着公司签约供应商的系统或数据库。更为重要的是，通过在身份管理系统中定义一个访问策略，可以阻止 Purchasers 组中的任何一个成员加入Vendor Managers组,反之亦然，这样该公司就可以实现职责分割的控制.使用身份管理系统的好处在于，当一个员工被升职或调整工作岗位时，身份管理系统会自动管理该员工在上述两个组中的关系；而且当Purchasers 组中一个员工试图访问供应商系统时，身份管理系统不仅会阻止该企图，而且会做下记录并为以后的审计作下标记。

身份管理系统中的身份供应技术可以保障与身份相关的权限规则的增强，以保证新创立的用户帐号在不同的系统中都拥有正确的权限。

2. 合作伙伴相关的内部控制

随着经济全球化以及公司自身的迅速发展，公司外部的人员与公司的关系日益密切，如供应商，分销商或客户等，这种密切的合作也产生了合规性的要求，即公司运营控制同样会涉及到外部人员。

在很多种情况下，一家公司也可能同时存储并管理着其合作伙伴员工的信息，以当合作伙伴员工访问本公司应用时为其提供授权。尽管数据以及访问权存在于本公司系统内，通常，管理这些合作伙伴员工信息的职责仍被委派给合作伙伴自身，这就产生了可能的漏洞, 这不仅仅涉及合作伙伴雇员的权限管理和职责分割，还涉及到当合作伙伴员工离职时的审计控制；如果合作伙伴没有及时更新系统信息，该公司的抱有恶意的前雇员就有可能使用仍然有效的权限侵入本公司的内部系统。身份管理系统的一个新成员，即联邦访问，在这种情况下可以自动的执行强制验证措施，从而提高对于法规、规范的遵从。

 

3. 内部控制与应用

在针对人实施财务以及运营控制的同时，许多公司也在如何为公司的后台系统间的交互实施控制而烦恼. 因为，随着诸如web services这样的新技术的日益发展，应用系统间非常容易的就可以自动实现交互和数据访问，这在增加业务灵活性和有效性的同时也开启了法规遵从的后门.如何在花费巨额人力物力实现人员的法规遵从时也保证应用系统同样遵循呢？

通过身份管理系统，可以用类似于人的运营控制策略来实现自动的针对后台系统运转的控制，诸如权限控制、职责分割、报表和审计等。
很多公司已经或正在实施面向服务的体系架构，以增强业务的灵活性。对于SOA 架构以及应用来说，其运营控制的需求可以由 web services 管理方案来解决。web services 管理方案可以在后台应用和系统间自动的实现内部控制以及审计。

审计、报表与身份管理

完美的内部控制的设计和部署仅仅是萨班斯法案要求的一部分 ，上市公司必须要能够证明这些控制是可以有效运转的。因而，关于这些控制的全面的审计和报表同样的重要，否则如何判断是否遵从了法规的要求？

我们前面提到，身份管理和web services管理方案的一个主要的好处在于这些技术可以自动执行法案所要求的内部控制,而第二个好处在于，这些产品在执行内部控制的同时，也可以收集必要的数据，以进行交易审计和证明内部控制的可行。

所以，上市公司在考虑使用IT解决方案来实施跨应用的内部控制时，应检验其在执行跟踪留痕以及报表方面的能力。Oracle 身份管理方案提供了强大的审计与报表功能。

萨班斯法案适用的身份管理特性

上市公司在开展合规专项治理行动时，通常会用到身份管理解决方案的几个关键特性，包括增强的策略控制，自动的组管理和集中的报表功能。

1. 增强的策略控制
许多合规控制要求企业必须具备特定的甚或复杂的访问策略和应用权限策略。Oracle COREid Access and Identity 产品提供相当灵活的策略定义方法以满足客户进行内部控制的特定的业务需求。

2. 自动的组管理
要实施职责分割（separation of duties）需要有效的、适时更新的组成员关系管理， 没有自动的组管理，企业很难确保某一个员工是否被允许访问某个特定的系统。Oracle COREid Access and Identity 提供自动的组管理和组成员关系管理，使得基于员工属性的策略可以正确的执行。

3. 中央集中报表功能
定义和强制实施内控仅仅是一场战争的一半，针对这些内部控制的报表的制定同样重要。 身份管理系统，如Oracle COREid Access and Identity 可以提供一个集中的报表工具，从多个分散系统里收集、比较相关数据，并在线产生合规报表。从而使得所有的IT控制不仅确保被强制执行，而且可以被有效展示。

结论

身份管理解决方案在帮助企业把其最有价值的资产管理起来的同时，提供了更有效的企业内控，严谨的审计和高级报表功能，从而可极大的提高对包括萨班斯法案（Sarbanes-Oxley）在内的法规遵从。

原文如下：

http://www.oracle.com/technology/global/cn/pub/articles/idmanageandsabans.html