简体中文  |   English
等保专题
等保成功案例--中央企业重要信息系统财务系统信息安全等级保护安全建设整改方案

   发布时间:2012-09-20 17:34:30 

1. 概述
        随着我国等级保护制度的不断完善和落实,中央企业重要信息系统也在等级保护大进程中不断加强其安全保障建设工作,并结合企业的实际情况,逐步与《中央企业全面风险管理指引》、《中央企业商业秘密保护暂行规定》以及《企业内部控制基本规范》等政策标准的相关要求加强融合,形成统一和有效的整体信息系统安全保障体系。根据《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号)中的相关要求,针对中央企业重要信息系统通过系统定级、备案、等级测评和建设整改等工作全面落实信息安全等级保护制度要求。
根据《信息安全技术 信息系统安全保护等级定级指南》对中央企业信息系统实施定级的过程中,财务公司的财务系统往往成为中央企业最为重要的信息系统,尤其是在非直接依托信息化进行企业业务运行的中央企业中。目前,各企业的财务系统也正逐步从本地财务业务支撑向全球财务管理的方向发展,同时要与多家商业银行形成系统互联,符合银监会的相关监管要求,执行银监会《商业银行信息科技风险管理指引》等相关标准规范,全面加强信息系统的安全防护能力成为财务系统逐步完善和支撑企业发展的一项重要工作。
因此,中央企业的财务系统要结合其组织结构的运行管理模式,全面落实国家信息安全等级保护制度,从信息安全管理和信息安全技术等多方面提升信息安全保障水平。

2. 系统安全需求
        财务系统一般可以划分为结算管理系统、结算操作系统及电票系统等核心业务模块或系统,这些模块或子系统承接不同的业务功能,其中结算管理子系统重点实现与商业银行或集团其他业务的对接,承接企业国内、国际等业务结算功能;结算操作子系统重点实现资金收付、信贷、资金监控等业务功能;电票子系统重点实现与人行点票系统的对接,承担纸票管理和点票管理等业务功能。经过长期的积累和发展,系统不断升级和完善,业务功能逐步强大,在数据处理的准确性和业务范围的支撑广度上都在不断提升,但与此同时,也带来了一些信息安全方面的问题和隐患,主要体现在:
        1) 信息系统功能逐步增强的过程中,对于应用软件中的安全功能关注度不够;
        2) 信息系统中存在未对关键信息加密的风险,例如密码、卡号等敏感信息字段未进行加密处理;
        3) 作为重要信息系统,系统关键硬件设备和关键节点并未设计冗余;
        4) 信息系统缺乏专职的安全管理人员,在整体的信息安全管理组织、人员和制度方面存在较大差距;
        5) 信息系统中的操作系统、数据库和设备缺乏定期或不定期的风险评估机制,缺乏对于信息系统的安全配置、应急响应等风险处置措施;
        6) 一些独立运行的系统缺乏对信息资产的规范性管理,包括运行环境的规范性、设备日常维护管理的规范性等;
        7) 信息系统缺乏综合的安全审计功能,从网络、主机到应用各层面需要进一步加强信息安全监控审计能力。
因此,根据信息安全等级保护制度相关要求以及财务系统自身的安全性需求,财务信息系统一方面要全面提升应用软件的安全性以及承载应用软件的计算环境和网络环境的安全防护机制,另一方面要加强符合风险管理、内控以及信息安全等级保护的安全管理要求,建立全面的信息安全风险管控机制,并结合信息安全等级保护要求的信息安全组织机构、人员管理和安全管理制度体系加强信息系统的信息安全保障能力。
        3. 系统安全方案设计
        财务系统作为核心重要系统要运行在企业的生产网中,并要与企业办公网以及测试、备份网络之间建立必要的安全隔离机制,同时结合财务系统的不同功能机制,对外连接的子系统与内部系统要进一步的划分安全子域,从而确保系统的网络安全运行环境的安全性,并为实施统一的安全策略奠定基础。
        3.1系统安全域
        财务系统根据其业务功能和运行环境,需根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级。信息系统是进行等级保护管理的最终对象,为体现重点保护重要信息系统安全,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则。结合财务系统的实际情况,一般可以分成接入层安全域、、前置层安全域、交换层安全域、核心服务层安全域以及终端接入层安全域,同时要与办公网等其他网络建立安全隔离机制,具体如下图所示:
 
                                                                                     安全域划分示意图
        财务系统位于企业的生产网中,并结合组织机构情况,可以设立独立的财务系统独立网络区域,并且要进一步划分成不同等级的功能子域,确保系统能够实时一致的安全策略。其中接入层重点是对外提供接入的区域,要加强链路和网络接入的管理和监控,并建立与银行通信安全的链路层加密机制;前置层重点是要放置前置机,加强前置机的运行管理和备份机制;交换层是内部网络的核心区域,要加强设备的冗余机制;核心服务层是业务的核心运行区域,一方面要加强系统的应用和数据安全,另一方面要加强系统的访问控制机制;终端接入是生产网的接入终端,要确保终端自身的安全性。
        3.2安全保障体系
        财务系统的信息安全保障体系框架,是以财务系统和信息网络作为基础的保护对象,通过采用“结构化”的分析和控制方法,把控制体系分成安全管理、安全技术、安全服务的控制体系框架,建立的满足等级保护和风险管控的整体安全控制要求的安全保障体系。
财务系统安全保障框架总体示意如下图所示:
 
                                                                                            安全保障体系框架
        安全保障框架所有安全控制都应以安全方针、策略做为安全工作的指导与依据,落实安全管理和安全技术两大维度的具体实施与维护,以业务系统的安全运营为信息安全保障建设的核心,并辅以安全评估与安全培训贯穿信息安全保障体系的全过程,形成风险可控的安全保障框架体系。各层面的具体说明如下:
?    业务系统:是安全保障框架的核心,实现业务功能的信息系统安全保护等级决定了整体安全保障的强度和力度。
?    安全策略体系:指导系统安全设计、建设和维护管理工作的基本依据,所有相关人员应根据工作实际情况履行相关安全策略,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全标准体系相关工作。
?    安全管理体系:落实安全管理机构、人员、建设、运维安全管理等相关要求,指导企业建立安全岗位设置和相关人员的安全管理,建立覆盖组织、策略和技术的流程和规范,重点关注系统建设和系统运维管理控制要求,指导企业安全管理、实施和运维的具体实现。
?    安全技术体系:落实安全技术相关控制要求,实现物理、网络、主机、应用和数据的所有安全控制项,通常采用安全产品加以实现,辅助安全技术以增强安全控制能力。
?     安全服务体系:在信息系统的整个生命周期中,通过安全风险评估、安全加固、应急响应及安全培训等信息安全技术,对信息系统的各个阶段进行评估、检查、控制与完善,形成与企业内容和风险管理相一致的信息系统安全保障体系,保障系统的持续稳定安全运行。

结束语:
        中央企业的财务系统在一些机构中是依托于财务公司的独立管理,信息系统的重要性需要全面提升,从安全管理组织机构、制度到安全技术措施的落实,同时为了能够配合企业、银行的风险管理和内控要求,在等级保护的安全保障体系建立过程中可以进一步加强安全服务体系的建设,从而把各项监管要求全面整合,形成符合企业风险管理和信息安全等级保护相一致的安全保障体系。

关于我们 | 法律声明 | 隐私条款 | 联系我们 | 网站地图
奇安信网神信息技术(北京)股份有限公司 版权所有 Copyright Legendsec Technology Co.Ltd all rights reserved
京公网安备 11010202010077号