普华网络安全

1. 会计师事务所排名

摘要 1、普华永道

2. 企业内网安全的保障如何做到呢

1、注意内网安全与网络边界安全的不同
内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击，主要是防范来自公共的网络服务器如HTTP或SMTP的攻 击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。内网安全威胁主要源于企业内部。恶性的黑客攻击 事件一般都会先控制局域网络内部的一台Server，然后以此为基地，对Internet上其他主机发起恶性攻击。因此，应在边界展开黑客防护措施，同时 建立并加强内网防范策略。
2、限制VPN的访问
虚拟专用网(VPN)用户的 访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的。因此要避免给每一位 VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别，即只需赋予他们所需要的访问权限级别即可，如访问邮件服 务器或其他可选择的网络资源的权限。
3、为合作企业网建立内网型的边界防护
合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来完固防火墙，保护MS-SQL，但是Slammer蠕虫仍能侵入 内网，这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此，既然不能控制合作者的网络安全策略和活动，那么就应该为每一个合作企业创建一个 DMZ，并将他们所需要访问的资源放置在相应的DMZ中，不允许他们对内网其他资源的访问。
4、自动跟踪的安全策略
智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。它带来了商业活动中一大改革，极大的超过了手动安全策略的功效。商业活动的现状需要 企业利用一种自动检测方法来探测商业活动中的各种变更，因此，安全策略也必须与相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用情况并记录与 该计算机对话的文件服务器。总之，要做到确保每天的所有的活动都遵循安全策略。
5、关掉无用的网络服务器
大型企业网可能同时支持四到五个服务器传送e-mail，有的企业网还会出现几十个其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服 务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用 的，关掉该文件的共享协议。
6、首先保护重要资源
若一个内网上连了千万台 (例如30000台)机子，那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择优问题。这样，首先要对服 务器做效益分析评估，然后对内网的每一台网络服务器进行检查、分类、修补和强化工作。必定找出重要的网络服务器(例如实时跟踪客户的服务器)并对他们进行 限制管理。这样就能迅速准确地确定企业最重要的资产，并做好在内网的定位和权限限制工作。
7、建立可靠的无线访问
审查网络，为实现无线访问建立基础。排除无意义的无线访问点，确保无线网络访问的强制性和可利用性，并提供安全的无线访问接口。将访问点置于边界防火墙之外，并允许用户通过VPN技术进行访问。
8、建立安全过客访问
对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet访问”的策略，使得员工给客户一些非法的访问权限，导致了内网实时跟踪的困难。因此，须在边界防火墙之外建立过客访问网络块。
9、创建虚拟边界防护
主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的)，还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企 业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样，如果一个市场用户的客户机被侵入了，攻击者也不会由此而进入到公司的R&D。因此 要实现公司R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护，现在也应该意识到建立网上不同商业用户群之间 的边界防护。
10、可靠的安全决策
网络用户也存在着安全隐患。有的用户或 许对网络安全知识非常欠缺，例如不知道RADIUS和TACACS之间的不同，或不知道代理网关和分组过滤防火墙之间的不同等等，但是他们作为公司的合作 者，也是网络的使用者。因此企业网就要让这些用户也容易使用，这样才能引导他们自动的响应网络安全策略。
另外，在技术上，采用安全交换机、重要数据的备份、使用代理网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺少。

3. 1. 现在老是听到有人在说内网安全，什么是内网安全，为什么做内网安全。内网安全做了是干什么的

信息数据安全如何保障
由普华永道与CIO、CSO举办，130个国家和地区、7200多名管理人员参与的全球信息安全调查显示，企业信息安全要“对症下药”，首先必须考虑数据的安全防护。56%的受访者表示自己的企业缺乏数据丢失防护能力。而接近半数的中国受访者表示，数据丢失保护的同时，没有实行数据访问授权控制的措施。
在今天，企业的信息和数据大多以为电子文档的形式进行存储和传递。从设计图纸到客户信息，从财务数据到无纸化公文，电子文档大大加快了信息的流动与共享，加速了组织的业务流程。但是，电子文档本身所具有的易获取、易复制、易传播的开放性特征，以及发达的互联网应用，随处可见的移动存储设备，都是电子文档安全防护过程中不可回避的难题。
系统应用效率难以评估和控制
最近公布的一项调查结果表明，在工作中使用MSN、QQ等聊天的人数高达89.2%，网页浏览中新闻网页占65.9%居于首位。一个月薪2000元的员工，每天“隐性旷工”2小时，每年为企业带来的直接损失高达6000元。一个拥有50人的企业仅此一项每年将损失30万。并且滥用网络和系统资源还可能将暗藏于互联网的安全隐患带入企业网络内，威胁系统安全。
系统维护及资产管理繁琐
Gartner及ForresterResearch的研究指出，IT部门接近一半的工作时间用于为计算机安装及升级软件，IT人员为PC做简单的日常维护工作占其总工作量的70-80%，大大增加计算机网络的综合管理成本。如果问题没有得到及时有效的处理，也会极大影响企业的业务连续性。

合力天下内网安全监控平台正是一个为企业解决上述问题的有力工具。合力天下内网安全监控平台运用系统管理思想，采用功能模块式设计，充分利用行为审计，分级授权，访问控制、集中管理和文档透明加解密等技术手段，为企业提供信息安全、应用效率和系统管理的全面解决方案。
其中，合力天下内网安全监控平台文档透明加解密模块，采用多种先进技术保证文档的完整性和可用性；同时，高速缓冲技术的加入也使其对系统性能的损耗微乎其微。其高安全性、高稳定性、高可用性的特点，适合各种规模的商业企业、政府机构、事业单位、科研院所等保护其机密信息。

4. #普华永道商务服务(成都)有限公司#这个是和普华永道审计有什么不一样的吗

属于服务内包，把普华全国各个所的一些简单业务集中到成都来降低成本，业务有收发函证，工资发放费用报销，翻译，核对报告，出差辅助前方事物所做内控，信息系统审计，资产盘点，承包别的公司的账务处理，辅助前方所的税务咨询部门做一些税务的工作，比较有技术含量一些的业务就是data组，帮助分析客户财务数据的完整性，并筛选审计样本，以及审计自动化工具的开发，还有网络安全组协同广州所做信息安全方面的咨询工作，现在换了新老板，主要以科技驱动企业发展，这些简单业务慢慢的会被自动化取代，前方所的一些容易标准化的科目的全流程审计也在转向sdc，比如银行存款等科目，成立了自动化组也在招专业的开发人员 来自职Q用户：张先生
成都SDC是服务外包，主要负责协助core assurance等部门的同事进行一些函证、翻译等行政性工作，不进行任何专业的审计、咨询等工作。 来自职Q用户：匿名用户

5. 大家普华永道的RA部门ESG组是做什么的

ESG组主要的业务就是完成风险咨询业务中的合规报告中的ESG报告，以及由该报告引申出的各类咨询业务（比如ESG框架搭建、制度完善业务等）。RA就是Risk Assurance，主要业务分两块，IT审计+风险咨询（包括企业内控、合规报告等）。

RA的业务线非常多，每个组的业务都不尽相同，和审计不同，审计不同的组干的事情都差不多，都是财务审计，只是行业不同而已，但是RA不一样，两个不同的组的同事可能在做的事情完完全全没有一点相似之处，就跟俩部门似的。

RA 的主要工作内容是什么？

目前就我的了解来看，RA的工作大概有三大块，分别是 EA（ITGC+ITAC+接口测试等），内控，以及其他项目（OAS）。

首先请明确一点，不管是 RA 还是传统的审计（Audit），目前在 Firm 内部的分类中都属于 Assurance 大类之下。从定位上就可以知道，RA 的工作和审计总是脱不了关系的。所以，如果想完全的告别审计（告别底稿），出门右转去 Consulting 吧。

但是，RA 的审计业务实际上是对财审工作的一种补充和辅助，也就是最 Basic 的 ITGC （IT General Control）。大致解释一下的话应该是：对所审计客户的信息系统及相关制度进行测试，以确保其产出的数据，尤其是财务方面的数据是准确、完整、可靠的。

所以会发现，ITGC 工作最终所交付的对象，既不是客户，也不是财报的受众，而是财审，也就是 Core Assurance. ITGC 的测试结果决定了财审那边对风险的测量，进而影响了其测试的工作量。

听起来似乎比传统的财审要有意思的多，而且相比较下来，实际的工作量也比财审要轻松（加班较少）。但是 ITGC 最为人诟病的一点在于，大部分来做这件事的人也并不是真正了解信息系统运作的“专家”，所以是以一种比较心虚的态度在做着这份工作。

不过，能不能学到东西也还是取决于态度吧：我有见到过只想着按照既定流程画完底稿的人，也见到过遇到任何不懂的概念都会抓着客户老师问个明白，或者一定要自己去探究清楚的朋友。所以，一份工作能给人的价值和成长，也许最终还是取决于自己的行为。

至于内控项目，因为本人目前还没有接触到，所以不太能写出什么内容。但从一些朋友那边了解到的信息来看，内控项目的工作强度会稍稍大于 ITGC 。

但是比起专注于辅助财审的 ITGC ，内控的建设更自成一派，且能覆盖到更多的内容，同时也能对一家公司，甚至一个行业的制度化运作有更深入的了解，相比较来说应该会更有挑战与成长性一些。

其他 OAS 项目，会更广且更杂。比如 RA 内部会有 Cyber Security Team，专注于做网络安全领域的项目，大部分应该是合规的咨询，或者是一些云服务商的 SOC 审计。

或者还有 Data Team，会涉及到一些数据分析的工作。除此之外，还有一些可持续发展研究、食品安全等等的项目，都会被归为 OAS 类别之下。

所以在 RA，会涉及到的项目内容是极其多样化的，但这也像其他答主说的，如果不能找到自己的赛道，深耕一个领域，对个人的发展其实是不太好的。

6. 请问在普华永道的RA部门工作是什么体验,具体有哪些业务模块。感谢。

Risk Assurance（RA）部门
RA有哪些组？
RA的组分类比较特别，既不是完全按行业，也不是完全按业务，分组大概有汽车组、金融组、地产组、网络安全组、大数据组等等。校招入职的时候，基本上是随机分配，可能有些经理在挑人的时候会有些偏好，比如喜欢财务背景or技术背景，看你简历里有他偏好的背景或经历，就把你book到自己的组上了。社招入职的时候，去哪个组完全看面试你的经理或者高级经理所在的组，你入职会去面试你的经理所在的组。
RA具体是干什么的呢？
其实RA的业务线非常多，每个组的业务都不尽相同，和审计不同，审计不同的组干的事情都差不多，都是财务审计，只是行业不同而已，但是RA不一样，两个不同的组的同事可能在做的事情完完全全没有一点相似之处，就跟俩部门似的。
RA的非车组，大概做的事情有以下这么几类：
1.辅助审计部门在年审时做系统审计，RA会和审计部门的同事一起做年审，审计部门负责财务方面的审计，RA负责系统审计和CAATS；
2.内控项目，比如某公司要在美股上市，需要sox合规，某公司在港股上市，需要PN21合规
3.其他项目，如内审、风险相关的项目。给企业搭个风险框架啦，某金融机构需要满足监管，要出个xxx报告啦；还有一些其他咨询项目，种类繁多，无法一一列举。
4.网络安全组比较特殊，做的东西技术性更强些，顾名思义，网络安全，渗透测试之类的。
RA的车组，大概做的事情有以下这么几类：
1.大型车企经销商财务报表审阅。
2.发票、市场活动相关的项目
3.其他各种小型咨询项目，完全看客户们的需求。》》》点我咨询金融行业有哪些好的职业岗位
RA工作强度大吗？
因组而异，因项目而异，因经理而异。总之我目前为止很少加班，一般六七点下班，忙季大部分时间都8点多点下班，偶尔会有到12点的情况，基本保证有双休日。但是有些组加班比较多，经常10点以后，但也是周期性的，可能每季度一两周每月一周这种，不会一直持续这种高强度。
但是和审计比起来，加班因为不那么多，审计忙季基本一周6天，每天10点以后的节奏，所以OT没那么多，OT假几乎不会有。
RA的出路有哪些？
最对口的应该是各种机构的内审、内控、风控之类的中后台部门。
所以如果你是很有野心那种，希望未来跳槽到券商投行前台，私募投资经理，资管投研这种岗位，ra并不是那么对口的，确切的讲，也不只是ra，最近几年四大的人不论什么部门往这些方向跳都越来越难了。
待遇
和审计部门一样，没差别。
最后说一句，写这个最大的目的是想让没入职的人了解我们这部门是干什么的，因为我们部门太低调，外人对我们的工作内容经常误解，免得入职了发现和自己想的完全不一样，屁股都没坐热就着急离职了，这种情况出现过不少，这样既耽误了入职者的时间，也对入职者所在项目组的工作有影响。
还有不少人问为啥审计的人不待见ra，emmmm，这是个好问题。说实话，能和审计合作的项目，ra的角色通常是支持性工作，审计就会觉得ra在整个项目里的角色没自己重要，进而觉得整个ra部门只会干一点审计支持工作。

7. 黑客是怎么利用扬声器，发出对人体有害的音源

我们的电子设备遭到黑客入侵，然后被当成武器使用，这并不是什么科幻小说里的情节，从理论上说，它确实是可以实现的。
根据《连线》的报道称，在近期举办的 Def Con 黑客大会上，英国普华永道网络安全主管 Matt Wixey 在一份研究报告中指出，黑客能够利用电子设备的扬声器，让它们长时间发出对人体有害的音源。
“现在许多电子设备都没有对扬声器模块做特定的保护，这使它们很容易成为黑客入侵的目标之一。”Wixey 说道。
报告列举了一些我们日常经常能看到的设备，比如笔记本电脑、智能手机、蓝牙音响、车载广播系统等，研究人员靠已知漏洞获得了这些设备的扬声器控制权，然后通过本地或远程的方式植入恶意脚本。
这意味着，就算是黑客没有跟你面对面，也能靠 Wi-Fi 或蓝牙手段掌控设备的扬声器，再播放那些对身体有害，且人耳无法捕获的攻击性噪声。
虽然这类声波还无法致人死亡，但也会带来一些生理副作用，比如说让人感到恶心、头痛或眩晕。

“现在全球有很多联网设备更容易被控制，这使得攻击面变得更加广泛。现在我们只是发现了冰山一角，声波攻击完全可以出现在更大范围的场所中，比如说控制大型商场或办公楼内的扩音器。”

在研究之后，Wixey 也和这些设备的制造商进行了联系，让他们及时更新自己的安全补丁，同时他也建议厂商能够为设备扬声器设定声音频率的上下限，从而在物理层面隔绝声波攻击的可能性，又或者是对扬声器设立更严格的控制权限。

8. 如何评价普华永道的 Risk Assurance(RA)部门

RA的组分类比较特别，既不是完全按行业，也不是完全按业务。

分组大概有汽车组、金融组、地产组、网络安全组、大数据组等等。校招入职的时候，基本上是随机分配，可能有些经理在挑人的时候会有些偏好，比如喜欢财务背景or技术背景，看简历里有他偏好的背景或经历，就把book到自己的组上了。

社招入职的时候，去哪个组完全看面试经理或者高级经理所在的组，入职会去面试经理所在的组。其实RA的业务线非常多，每个组的业务都不尽相同，和审计不同，审计不同的组干的事情都差不多，都是财务审计，只是行业不同而已。

RA的非车组分类

1.辅助审计部门在年审时做系统审计，RA会和审计部门的同事一起做年审，审计部门负责财务方面的审计，RA负责系统审计和CAATS。

2.其他项目，如内审、风险相关的项目。给企业搭个风险框架啦，某金融机构需要满足监管，要出个xxx报告啦；还有一些其他咨询项目，种类繁多，无法一一列举。

9. 大数据带来解决网络安全新机遇

大数据带来解决网络安全新机遇_数据分析师考试

2015年中国互联网大会近日在北京召开，网络安全成为讨论热点，在专家看来，传统防御手段已经失效。

普华永道发布的调查报告指出，2014年全球所有行业监测到的网络攻击共有4280万次，比上一年增长了48%。有专家分析，随着大数据时代的到来，解决网络安全问题变得越来越难。

360公司总裁齐向东认为，以前的互联网安全，企业面临的是只是操作系统的安全问题，用软件就能够解决。但是进入万物互联的时代以后，包括智能摄像机、路由器、汽车，甚至随身穿戴、智能医疗设备等，都趋于智能化、网络化，解决这些智能硬件的安全问题，无法用上网安全的解决方案完成。

齐向东透露了一组数据：2011年到2014年，国内互联网公开的安全事故已经造成了累计11.3亿用户的信息泄露。95%的网站能够被黑，40%网站存在后门，70%网站存在漏洞。”

随着大数据、云服务的普及，物联网成为攻击对象，网络安全威胁如“细胞分裂”般扩散。在新一代技术革命的浪潮下，信息资源已经成为基础性社会资源，融入到了社会生活的各个领域，颠覆性地改变着人类的生活方式和生产方式。

齐向东表示，“在个人网络安全领域，360已拥有超过12亿的用户，这就相当于12亿个安全大数据的“探测器”，分布在互联网每一个节点上。每一个用户在使用产品的同时，这些终端设备都可以实时感知各种威胁和攻击，汇集到云端。”

以上是小编为大家分享的关于大数据带来解决网络安全新机遇的相关内容，更多信息可以关注环球青藤分享更多干货