大型企业资金信息系统安全保障策略及设计
【Abstract】For the security of important information system of the enterprise, we usually construct it according to the relevant standards and the level of information security protection system. Based on third level regulation of the "Basic Requirements of the Information System Security Level Protection", the paper puts forward the security strategy of the centralized fund management information system in a large enterprise, and the security design is made for the important links ,using a variety of security technologies to put it into effect to ensure the safety management of funds.
【Keywords】information system; funding system; hierarchy protection; third stage protection; fund safety
【中?D分类号】TP309 【文献标志码】A 【文章编号】1673-1069(2017)06-0027-03
1 引言
随着经济全球化的发展,企业面临着更多的机遇和挑战。资金是集团企业进行生产、经营等一系列经济活动的最基本要素,是企业的命脉。资金管理贯穿于企业整个生产经营的始末。对于经营者而言,掌握资金过去、现在、未来的流动状况,对投资决策和经营决策有举足轻重的作用。对于所有者而言,还需要掌握资金的安全和控制资金使用的合理性。因此,必须为资金管理寻找一个强有力的系统支持,满足对资金的集中管理,实现对各经营单位资金的监控,并为集团财务管理的决策和分析提供所有与资金相关的信息。由此,资金信息系统成了企业信息化系统的重要组成部分,对于资金管理系统的信息安全保障显得尤为重要。
信息安全等级保护制度是我国信息安全领域的一项基本制度,开展信息安全等级保护工作是保障重要信息系统安全的重大措施,是事关国家安全、社会稳定、国家利益的一项重要任务。当前,各行各业均在按照要求构建自己的信息系统安全保障体系。
信息系统安全保护等级分为五级,某大型企业资金集中管理系统是该企业安全性要求最高的信息系统,按照信息系统安全保护等级定级指南被划为三级保护[1]。第三级基本要求在技术上包括5个方面:物理安全、主机安全、网络安全、应用安全和数据安全。此文重点对资金集中管理系统的以上五个方面进行安全保障体系设计。按照“保障资金安全,保障系统安全,满足法律法规要求”的总体安全目标,依据国家信息安全等级保护三级标准,遵照人民银行、银监会信息安全监管要求,结合企业资金安全内控准则,针对应用安全控制的要求从业务应用、IT网络基础设施、安全管理运维三个层面进行资金信息安全建设。针对资金信息系统安全保障工作进行了详细阐述。
2 资金集中管理安全体系目标
资金集中管理的安全体系目标包括如下几个方面。
①业务流程安全
通过深入分析各业务流程可能存在的风险,并结合业务流程的特点,选择相应的安全保护措施(如:安全隔离、统一用户认证、专机认证保护、数字签名、数据加密、完整性保护等),确实保障各项业务流程的安全。
②信息系统安全
严格按照信息系统安全的要求,对核心业务系统采用专网保护,对关键业务流程采用专用系统进行隔离,信息系统间的数据交换根据机密性、完整性和抗抵赖性进行保护,强化负载均衡、备份容灾实现系统的高可用性。
③网络系统安全
建设财务公司专网,实现专网与其他网络的安全隔离。专网和其他网络之间的安全通信要进行访问控制;部署网管系统,对网络进行安全监控,保障专网和其他网络安全可靠地运行。
④业务操作环境安全
核心业务系统及关键业务流程只能通过专机,在用户使用UKey认证登录后才能访问。 并且,所使用的专机只能是通过特别认可并授权的专机设备,它们要具有安全的计算机终端环境。
⑤安全审计系统
从性能、功能上,对安全审计系统进行全面提升,满足安全审计需求;实现审计日志的全面收集、关键风险的有效识别;智能发现、识别风险,实时报警。
⑥网络管理系统
对整个系统实施全面、实时监控、预警报警。
⑦系统运维安全
在处理总部机房内部设备的测试、维护、升级等工作时,要使用现场运维专用笔记本。现场运维专用笔记本的安全存放、使用以及维护管理要遵守相应的管理办法。
3 资金信息系统安全体系策略
资金集中管理系统安全范围包括:财务公司本部及所有分支机构;所有资金集中业务关键支付流程、支付环节、支付岗位和支付操作人员。信息系统安全体系策略主要涵盖以下几个方面: ①ESB、业务支撑平台、CAS统一登录等应用系统在现有安全认证加密的基础上,进一步进行安全隔离拆分,实现专用接口专用前置;
②网络系统在现有防火墙、VPN逻辑隔离的基础上,进一步实现网络物理安全隔离,实现专网专线;
③在现有关键业务流程Ukey认证、签名验证的基础上,进一步将支付业务与管理流程进行拆分,对所有支付业务环节、岗位配备专用终端,实现专机专用;
④在现有安全管理运维制度的基础上,进一步强化现场运维机制,配备现场专用运维终端,实现专管专维。
4 资金信息系统安全体系架构设计
公司资金管理核心业务系统安全隔离及加固后的总体架构方案如图1所示。
4.1 网络隔离
按照公司资金系统的业务安全需求,建立财务公司专网,专网内系统包括:ATOM核心系统、财务公司专网CAS、财务公司SAP、财务监管报表系统、ATOM数据抽取系统(ETL SERVER)。
企业内网系统包括:内部ESB、外部ESB、业务支撑平台系统、固定报表系统、TMS系统、SAP系统。
4.2 系统隔离
①CAS拆分
建立专网CAS,专门负责财务公司专网用户的身份认证和专机认证;同时对企业网CAS进行性能扩充。
②信息交换平台拆分
新建内部ESB,负责对企业内部系统的信息交换,包括TMS、SAP-XI和?I务支撑平台与ATOM的信息交换。原ESB系统仅负责ATOM与外部银行的信息交换,不再承担上述企业内部系统的信息交换。(图1)
4.3 认证加固
①财务公司专网用户的认证加固
建设财务公司专网AD和DNS,限制财务公司专网CAS只能访问专网内的AD和DNS。
财务公司专网CAS作为财务公司专网的资金集中系统的登录平台,限制了财务公司专网用户,必须使用专机并通过数字证书认证才能访问核心业务系统[2]。
②企业内网用户的认证加固
企业内网CAS为企业内网的资金集中系统提供统一登录的功能。对于支付岗位用户,在现有数字证书认证前提下,还应当进行专机认证。
4.4 财企接口加固
①TMS支付平台和内部ESB之间实现关键业务数据的完整性(防篡改)、抗抵赖性。
TMS支付平台在向内部ESB发送数据时,由原先项目可研设计中的MAC机制改为使用数字签名安全机制对关键业务数据进行保护,保证关键业务数据的防抵赖性、完整性(防篡改性)。
②公司XI和内部ESB之间实现关键业务数据的保密性
XI和内部ESB进行通信时,通过HTTPS实现网络通讯数据加密,保证关键业务数据的保密性,在项目上线后将根据实际情况增加签名验证机制保证数据的防抵赖性、完整性(防篡改性)。
4.5 内部系统加固
①实现ATOM和内部ESB之间的关键业务数据完整性(防篡改)保护ATOM和ESB之间延续原有的安全设计,使用MAC机制实现关键业务数据的完整性(防篡改性)保护。
②实现内部ESB和业务支撑平台之间的关键业务数据的完整性(防篡改)、抗抵赖性
内部ESB和业务支撑平台之间发送数据时,由原先项目可研设计中的MAC机制改为使用数字签名技术,由内部ESB和业务支撑平台之间实现对关键业务数据的签名,完成对业务数据的抗抵赖性、完整性(防篡改)保护。
5 结语
资金管理对于保障企业正常的生产经营活动具有重要作用。本文基于信息安全等级保护标准,针对某大型企业资金集中管理系统的安全保障策略进行了分析,按照信息系统安全等级保护第三级的规定,对系统各个重要环节进行了安全设计,可有效确保企业资金安全管理。
