普華網路安全

1. 會計師事務所排名

摘要 1、普華永道

2. 企業內網安全的保障如何做到呢

1、注意內網安全與網路邊界安全的不同
內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊，主要是防範來自公共的網路伺服器如HTTP或SMTP的攻 擊。網路邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源於企業內部。惡性的黑客攻擊 事件一般都會先控制區域網絡內部的一台Server，然後以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時 建立並加強內網防範策略。
2、限制VPN的訪問
虛擬專用網(VPN)用戶的 訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位 VPN用戶訪問內網的全部許可權。這樣可以利用登錄控制許可權列表來限制VPN用戶的登錄許可權的級別，即只需賦予他們所需要的訪問許可權級別即可，如訪問郵件服 務器或其他可選擇的網路資源的許可權。
3、為合作企業網建立內網型的邊界防護
合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆，保護MS-SQL，但是Slammer蠕蟲仍能侵入 內網，這就是因為企業給了他們的合作夥伴進入內部資源的訪問許可權。由此，既然不能控制合作者的網路安全策略和活動，那麼就應該為每一個合作企業創建一個 DMZ，並將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對內網其他資源的訪問。
4、自動跟蹤的安全策略
智能的自動執行實時跟蹤的安全策略是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全策略的功效。商業活動的現狀需要 企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業員工的僱傭和解僱、實時跟蹤網路利用情況並記錄與 該計算機對話的文件伺服器。總之，要做到確保每天的所有的活動都遵循安全策略。
5、關掉無用的網路伺服器
大型企業網可能同時支持四到五個伺服器傳送e-mail，有的企業網還會出現幾十個其他伺服器監視SMTP埠的情況。這些主機中很可能有潛在的郵件服 務器的攻擊點。因此要逐個中斷網路伺服器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件伺服器在運行但是又不具有文件伺服器作用 的，關掉該文件的共享協議。
6、首先保護重要資源
若一個內網上連了千萬台 (例如30000台)機子，那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對服 務器做效益分析評估，然後對內網的每一台網路伺服器進行檢查、分類、修補和強化工作。必定找出重要的網路伺服器(例如實時跟蹤客戶的伺服器)並對他們進行 限制管理。這樣就能迅速准確地確定企業最重要的資產，並做好在內網的定位和許可權限制工作。
7、建立可靠的無線訪問
審查網路，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網路訪問的強制性和可利用性，並提供安全的無線訪問介面。將訪問點置於邊界防火牆之外，並允許用戶通過VPN技術進行訪問。
8、建立安全過客訪問
對於過客不必給予其公開訪問內網的許可權。許多安全技術人員執行的「內部無Internet訪問」的策略，使得員工給客戶一些非法的訪問許可權，導致了內網實時跟蹤的困難。因此，須在邊界防火牆之外建立過客訪問網路塊。
9、創建虛擬邊界防護
主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企 業網路的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶機被侵入了，攻擊者也不會由此而進入到公司的R&D。因此 要實現公司R&D與市場之間的訪問許可權控制。大家都知道怎樣建立互聯網與內網之間的邊界防火牆防護，現在也應該意識到建立網上不同商業用戶群之間 的邊界防護。
10、可靠的安全決策
網路用戶也存在著安全隱患。有的用戶或 許對網路安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網關和分組過濾防火牆之間的不同等等，但是他們作為公司的合作 者，也是網路的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能引導他們自動的響應網路安全策略。
另外，在技術上，採用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少。

3. 1. 現在老是聽到有人在說內網安全，什麼是內網安全，為什麼做內網安全。內網安全做了是干什麼的

信息數據安全如何保障
由普華永道與CIO、CSO舉辦，130個國家和地區、7200多名管理人員參與的全球信息安全調查顯示，企業信息安全要「對症下葯」，首先必須考慮數據的安全防護。56%的受訪者表示自己的企業缺乏數據丟失防護能力。而接近半數的中國受訪者表示，數據丟失保護的同時，沒有實行數據訪問授權控制的措施。
在今天，企業的信息和數據大多以為電子文檔的形式進行存儲和傳遞。從設計圖紙到客戶信息，從財務數據到無紙化公文，電子文檔大大加快了信息的流動與共享，加速了組織的業務流程。但是，電子文檔本身所具有的易獲取、易復制、易傳播的開放性特徵，以及發達的互聯網應用，隨處可見的移動存儲設備，都是電子文檔安全防護過程中不可迴避的難題。
系統應用效率難以評估和控制
最近公布的一項調查結果表明，在工作中使用MSN、QQ等聊天的人數高達89.2%，網頁瀏覽中新聞網頁佔65.9%居於首位。一個月薪2000元的員工，每天「隱性曠工」2小時，每年為企業帶來的直接損失高達6000元。一個擁有50人的企業僅此一項每年將損失30萬。並且濫用網路和系統資源還可能將暗藏於互聯網的安全隱患帶入企業網路內，威脅系統安全。
系統維護及資產管理繁瑣
Gartner及ForresterResearch的研究指出，IT部門接近一半的工作時間用於為計算機安裝及升級軟體，IT人員為PC做簡單的日常維護工作占其總工作量的70-80%，大大增加計算機網路的綜合管理成本。如果問題沒有得到及時有效的處理，也會極大影響企業的業務連續性。

合力天下內網安全監控平台正是一個為企業解決上述問題的有力工具。合力天下內網安全監控平台運用系統管理思想，採用功能模塊式設計，充分利用行為審計，分級授權，訪問控制、集中管理和文檔透明加解密等技術手段，為企業提供信息安全、應用效率和系統管理的全面解決方案。
其中，合力天下內網安全監控平台文檔透明加解密模塊，採用多種先進技術保證文檔的完整性和可用性；同時，高速緩沖技術的加入也使其對系統性能的損耗微乎其微。其高安全性、高穩定性、高可用性的特點，適合各種規模的商業企業、政府機構、事業單位、科研院所等保護其機密信息。

4. #普華永道商務服務(成都)有限公司#這個是和普華永道審計有什麼不一樣的嗎

屬於服務內包，把普華全國各個所的一些簡單業務集中到成都來降低成本，業務有收發函證，工資發放費用報銷，翻譯，核對報告，出差輔助前方事物所做內控，信息系統審計，資產盤點，承包別的公司的賬務處理，輔助前方所的稅務咨詢部門做一些稅務的工作，比較有技術含量一些的業務就是data組，幫助分析客戶財務數據的完整性，並篩選審計樣本，以及審計自動化工具的開發，還有網路安全組協同廣州所做信息安全方面的咨詢工作，現在換了新老闆，主要以科技驅動企業發展，這些簡單業務慢慢的會被自動化取代，前方所的一些容易標准化的科目的全流程審計也在轉向sdc，比如銀行存款等科目，成立了自動化組也在招專業的開發人員 來自職Q用戶：張先生
成都SDC是服務外包，主要負責協助core assurance等部門的同事進行一些函證、翻譯等行政性工作，不進行任何專業的審計、咨詢等工作。 來自職Q用戶：匿名用戶

5. 大家普華永道的RA部門ESG組是做什麼的

ESG組主要的業務就是完成風險咨詢業務中的合規報告中的ESG報告，以及由該報告引申出的各類咨詢業務（比如ESG框架搭建、制度完善業務等）。RA就是Risk Assurance，主要業務分兩塊，IT審計+風險咨詢（包括企業內控、合規報告等）。

RA的業務線非常多，每個組的業務都不盡相同，和審計不同，審計不同的組乾的事情都差不多，都是財務審計，只是行業不同而已，但是RA不一樣，兩個不同的組的同事可能在做的事情完完全全沒有一點相似之處，就跟倆部門似的。

RA 的主要工作內容是什麼？

目前就我的了解來看，RA的工作大概有三大塊，分別是 EA（ITGC+ITAC+介面測試等），內控，以及其他項目（OAS）。

首先請明確一點，不管是 RA 還是傳統的審計（Audit），目前在 Firm 內部的分類中都屬於 Assurance 大類之下。從定位上就可以知道，RA 的工作和審計總是脫不了關系的。所以，如果想完全的告別審計（告別底稿），出門右轉去 Consulting 吧。

但是，RA 的審計業務實際上是對財審工作的一種補充和輔助，也就是最 Basic 的 ITGC （IT General Control）。大致解釋一下的話應該是：對所審計客戶的信息系統及相關制度進行測試，以確保其產出的數據，尤其是財務方面的數據是准確、完整、可靠的。

所以會發現，ITGC 工作最終所交付的對象，既不是客戶，也不是財報的受眾，而是財審，也就是 Core Assurance. ITGC 的測試結果決定了財審那邊對風險的測量，進而影響了其測試的工作量。

聽起來似乎比傳統的財審要有意思的多，而且相比較下來，實際的工作量也比財審要輕松（加班較少）。但是 ITGC 最為人詬病的一點在於，大部分來做這件事的人也並不是真正了解信息系統運作的「專家」，所以是以一種比較心虛的態度在做著這份工作。

不過，能不能學到東西也還是取決於態度吧：我有見到過只想著按照既定流程畫完底稿的人，也見到過遇到任何不懂的概念都會抓著客戶老師問個明白，或者一定要自己去探究清楚的朋友。所以，一份工作能給人的價值和成長，也許最終還是取決於自己的行為。

至於內控項目，因為本人目前還沒有接觸到，所以不太能寫出什麼內容。但從一些朋友那邊了解到的信息來看，內控項目的工作強度會稍稍大於 ITGC 。

但是比起專注於輔助財審的 ITGC ，內控的建設更自成一派，且能覆蓋到更多的內容，同時也能對一家公司，甚至一個行業的制度化運作有更深入的了解，相比較來說應該會更有挑戰與成長性一些。

其他 OAS 項目，會更廣且更雜。比如 RA 內部會有 Cyber Security Team，專注於做網路安全領域的項目，大部分應該是合規的咨詢，或者是一些雲服務商的 SOC 審計。

或者還有 Data Team，會涉及到一些數據分析的工作。除此之外，還有一些可持續發展研究、食品安全等等的項目，都會被歸為 OAS 類別之下。

所以在 RA，會涉及到的項目內容是極其多樣化的，但這也像其他答主說的，如果不能找到自己的賽道，深耕一個領域，對個人的發展其實是不太好的。

6. 請問在普華永道的RA部門工作是什麼體驗,具體有哪些業務模塊。感謝。

Risk Assurance（RA）部門
RA有哪些組？
RA的組分類比較特別，既不是完全按行業，也不是完全按業務，分組大概有汽車組、金融組、地產組、網路安全組、大數據組等等。校招入職的時候，基本上是隨機分配，可能有些經理在挑人的時候會有些偏好，比如喜歡財務背景or技術背景，看你簡歷里有他偏好的背景或經歷，就把你book到自己的組上了。社招入職的時候，去哪個組完全看面試你的經理或者高級經理所在的組，你入職會去面試你的經理所在的組。
RA具體是干什麼的呢？
其實RA的業務線非常多，每個組的業務都不盡相同，和審計不同，審計不同的組乾的事情都差不多，都是財務審計，只是行業不同而已，但是RA不一樣，兩個不同的組的同事可能在做的事情完完全全沒有一點相似之處，就跟倆部門似的。
RA的非車組，大概做的事情有以下這么幾類：
1.輔助審計部門在年審時做系統審計，RA會和審計部門的同事一起做年審，審計部門負責財務方面的審計，RA負責系統審計和CAATS；
2.內控項目，比如某公司要在美股上市，需要sox合規，某公司在港股上市，需要PN21合規
3.其他項目，如內審、風險相關的項目。給企業搭個風險框架啦，某金融機構需要滿足監管，要出個xxx報告啦；還有一些其他咨詢項目，種類繁多，無法一一列舉。
4.網路安全組比較特殊，做的東西技術性更強些，顧名思義，網路安全，滲透測試之類的。
RA的車組，大概做的事情有以下這么幾類：
1.大型車企經銷商財務報表審閱。
2.發票、市場活動相關的項目
3.其他各種小型咨詢項目，完全看客戶們的需求。》》》點我咨詢金融行業有哪些好的職業崗位
RA工作強度大嗎？
因組而異，因項目而異，因經理而異。總之我目前為止很少加班，一般六七點下班，忙季大部分時間都8點多點下班，偶爾會有到12點的情況，基本保證有雙休日。但是有些組加班比較多，經常10點以後，但也是周期性的，可能每季度一兩周每月一周這種，不會一直持續這種高強度。
但是和審計比起來，加班因為不那麼多，審計忙季基本一周6天，每天10點以後的節奏，所以OT沒那麼多，OT假幾乎不會有。
RA的出路有哪些？
最對口的應該是各種機構的內審、內控、風控之類的中後台部門。
所以如果你是很有野心那種，希望未來跳槽到券商投行前台，私募投資經理，資管投研這種崗位，ra並不是那麼對口的，確切的講，也不只是ra，最近幾年四大的人不論什麼部門往這些方向跳都越來越難了。
待遇
和審計部門一樣，沒差別。
最後說一句，寫這個最大的目的是想讓沒入職的人了解我們這部門是干什麼的，因為我們部門太低調，外人對我們的工作內容經常誤解，免得入職了發現和自己想的完全不一樣，屁股都沒坐熱就著急離職了，這種情況出現過不少，這樣既耽誤了入職者的時間，也對入職者所在項目組的工作有影響。
還有不少人問為啥審計的人不待見ra，emmmm，這是個好問題。說實話，能和審計合作的項目，ra的角色通常是支持性工作，審計就會覺得ra在整個項目里的角色沒自己重要，進而覺得整個ra部門只會干一點審計支持工作。

7. 黑客是怎麼利用揚聲器，發出對人體有害的音源

我們的電子設備遭到黑客入侵，然後被當成武器使用，這並不是什麼科幻小說里的情節，從理論上說，它確實是可以實現的。
根據《連線》的報道稱，在近期舉辦的 Def Con 黑客大會上，英國普華永道網路安全主管 Matt Wixey 在一份研究報告中指出，黑客能夠利用電子設備的揚聲器，讓它們長時間發出對人體有害的音源。
「現在許多電子設備都沒有對揚聲器模塊做特定的保護，這使它們很容易成為黑客入侵的目標之一。」Wixey 說道。
報告列舉了一些我們日常經常能看到的設備，比如筆記本電腦、智能手機、藍牙音響、車載廣播系統等，研究人員靠已知漏洞獲得了這些設備的揚聲器控制權，然後通過本地或遠程的方式植入惡意腳本。
這意味著，就算是黑客沒有跟你面對面，也能靠 Wi-Fi 或藍牙手段掌控設備的揚聲器，再播放那些對身體有害，且人耳無法捕獲的攻擊性雜訊。
雖然這類聲波還無法致人死亡，但也會帶來一些生理副作用，比如說讓人感到惡心、頭痛或眩暈。

「現在全球有很多聯網設備更容易被控制，這使得攻擊面變得更加廣泛。現在我們只是發現了冰山一角，聲波攻擊完全可以出現在更大范圍的場所中，比如說控制大型商場或辦公樓內的擴音器。」

在研究之後，Wixey 也和這些設備的製造商進行了聯系，讓他們及時更新自己的安全補丁，同時他也建議廠商能夠為設備揚聲器設定聲音頻率的上下限，從而在物理層面隔絕聲波攻擊的可能性，又或者是對揚聲器設立更嚴格的控制許可權。

8. 如何評價普華永道的 Risk Assurance(RA)部門

RA的組分類比較特別，既不是完全按行業，也不是完全按業務。

分組大概有汽車組、金融組、地產組、網路安全組、大數據組等等。校招入職的時候，基本上是隨機分配，可能有些經理在挑人的時候會有些偏好，比如喜歡財務背景or技術背景，看簡歷里有他偏好的背景或經歷，就把book到自己的組上了。

社招入職的時候，去哪個組完全看面試經理或者高級經理所在的組，入職會去面試經理所在的組。其實RA的業務線非常多，每個組的業務都不盡相同，和審計不同，審計不同的組乾的事情都差不多，都是財務審計，只是行業不同而已。

RA的非車組分類

1.輔助審計部門在年審時做系統審計，RA會和審計部門的同事一起做年審，審計部門負責財務方面的審計，RA負責系統審計和CAATS。

2.其他項目，如內審、風險相關的項目。給企業搭個風險框架啦，某金融機構需要滿足監管，要出個xxx報告啦；還有一些其他咨詢項目，種類繁多，無法一一列舉。

9. 大數據帶來解決網路安全新機遇

大數據帶來解決網路安全新機遇_數據分析師考試

2015年中國互聯網大會近日在北京召開，網路安全成為討論熱點，在專家看來，傳統防禦手段已經失效。

普華永道發布的調查報告指出，2014年全球所有行業監測到的網路攻擊共有4280萬次，比上一年增長了48%。有專家分析，隨著大數據時代的到來，解決網路安全問題變得越來越難。

360公司總裁齊向東認為，以前的互聯網安全，企業面臨的是只是操作系統的安全問題，用軟體就能夠解決。但是進入萬物互聯的時代以後，包括智能攝像機、路由器、汽車，甚至隨身穿戴、智能醫療設備等，都趨於智能化、網路化，解決這些智能硬體的安全問題，無法用上網安全的解決方案完成。

齊向東透露了一組數據：2011年到2014年，國內互聯網公開的安全事故已經造成了累計11.3億用戶的信息泄露。95%的網站能夠被黑，40%網站存在後門，70%網站存在漏洞。」

隨著大數據、雲服務的普及，物聯網成為攻擊對象，網路安全威脅如「細胞分裂」般擴散。在新一代技術革命的浪潮下，信息資源已經成為基礎性社會資源，融入到了社會生活的各個領域，顛覆性地改變著人類的生活方式和生產方式。

齊向東表示，「在個人網路安全領域，360已擁有超過12億的用戶，這就相當於12億個安全大數據的「探測器」，分布在互聯網每一個節點上。每一個用戶在使用產品的同時，這些終端設備都可以實時感知各種威脅和攻擊，匯集到雲端。」

以上是小編為大家分享的關於大數據帶來解決網路安全新機遇的相關內容，更多信息可以關注環球青藤分享更多干貨