企業(yè)財務信息化系統(tǒng)安全技術方案

1、企業(yè)財務信息化系統(tǒng)安全技術方案目 錄 TOC o 1-4 f u 1項目概述 PAGEREF _Toc57140646 h 32詳細規(guī)劃方案 PAGEREF _Toc57140647 h 42.1技術實現(xiàn)方案 PAGEREF _Toc57140648 h 42.1.1系統(tǒng)安全技術方案 PAGEREF _Toc57140649 h 42.1.1.1IT系統(tǒng)安全體系 PAGEREF _Toc57140651 h 42.1.1.2安全管理制度 PAGEREF _Toc57140652 h 52.1.1.3安全系統(tǒng)設計 PAGEREF _Toc57140653 h 52.1.1.4網(wǎng)絡安全 PAGER

2、EF _Toc57140654 h 62.1.2系統(tǒng)性能要求方案 PAGEREF _Toc57140655 h 8項目概述通過架構頂層設計和統(tǒng)一管理，加強數(shù)據(jù)共享和業(yè)務協(xié)同、支撐未來業(yè)務快速上線。對于財務核算系統(tǒng)建設的總體目標，理解主要包括以下兩個方面：提升集團“財務服務能力”：基于統(tǒng)一核算規(guī)則，全流程貫通，全面協(xié)同，提升管理效率，降低管理成本，支持財務轉型；提升集團“財務管控能力”：一套系統(tǒng)、集中部署，落實全集團核算過程的統(tǒng)一，利用主數(shù)據(jù)、合并報告等手段，整體提升集團層面集中管控能力。具體來看，本期工程重點要達成以下目的：建設集中化的財務核算系統(tǒng)，通過集團統(tǒng)一核算規(guī)則及管控規(guī)則的集中固化，替

3、換原總部及各工程局、專業(yè)公司、設計院等子屬分散部署的財務核算系統(tǒng)；與資金系統(tǒng)、報賬系統(tǒng)集成，形成業(yè)財協(xié)同和財財融合體系，實現(xiàn)核算自動化，提升交易處理效率；實現(xiàn)總部、各工程局、專業(yè)公司、設計院等子屬之間的關聯(lián)交易協(xié)同，提升對賬準確性和及時率；與合并系統(tǒng)集成，實現(xiàn)對外披露報表的自動化，實現(xiàn)全集團報表一點出具；與預算系統(tǒng)、資金系統(tǒng)、稅務系統(tǒng)集成，提升財務專業(yè)運營能力，支撐管理會計體系的構建，助力財務轉型。通過上述目標的達成，最終實現(xiàn)“縱向上，集團管理貫穿所有組織層級，實現(xiàn)縱向信息穿透、管理一體化；橫向上，業(yè)務橫向貫穿業(yè)務部門，實現(xiàn)業(yè)財協(xié)同；決策上，實現(xiàn)一個、一副面孔，一個數(shù)據(jù)口徑、一套決策體系” 的

4、集中化財務管理平臺。詳細規(guī)劃方案技術實現(xiàn)方案系統(tǒng)安全技術方案 IT系統(tǒng)安全體系在安全體系建設過程中，需要綜合考慮安全要素，主要包含貫穿始終的安全策略、安全評估和安全管理；而在技術層面上需要考慮實體的物理安全，網(wǎng)絡的基礎結構、網(wǎng)絡層的安全、操作系統(tǒng)平臺的安全、應用平臺的安全，以及在此基礎之上的應用數(shù)據(jù)的安全。這幾個方面，既是一種防護基礎，也是相互促進的，同時，也是一個循環(huán)遞進的工程，需要不斷的自我完善和增強，才能夠形成一套合理有效的整體安全防護系統(tǒng)。整體安全包括如下幾個部分：策略安全，包括安全的范圍、等級、公司的政策、標準。安全評估，包括威脅評估、漏洞評估、制度評估。物理安全，包括門禁系統(tǒng)、防靜

5、電防磁、防火防盜、多路供電。系統(tǒng)安全，包括系統(tǒng)漏洞掃描、系統(tǒng)加固、系統(tǒng)入侵偵測和響應、主機訪問控制、集中認證。網(wǎng)絡安全，包括網(wǎng)絡漏洞掃描、網(wǎng)絡入侵偵測和響應、路由器訪問控制列表（ACL）、集中認證、防火墻、VLAN、QoS、路由欺騙、地址欺騙。身份認證，包括接入系統(tǒng)的身份認證，門戶系統(tǒng)的身份認證。應用和數(shù)據(jù)庫安全，包括數(shù)據(jù)庫漏洞掃描，數(shù)據(jù)庫安全管理。數(shù)據(jù)和內(nèi)容安全，包括網(wǎng)絡和網(wǎng)關式病毒掃描服務、VPN加密。具體請參照下圖：圖：IT系統(tǒng)安全體系架構安全管理制度安全最重要的方面就是管理，只要制定完善的安全管理制度，并有一支隊來嚴格按照此支隊進行安全管理，同時配以相應的安全產(chǎn)品，才能做到真正的安全。

6、安全管理的基礎是建立網(wǎng)絡安全管理組織，落實管理制度。應從領導層、技術層、職能層和基礎層全面進行組織建設，以支持安全法規(guī)、政策、標準的貫徹執(zhí)行。安全管理的核心是管好人。要重視信息網(wǎng)絡安全的教育，提高工作人員的安全意識，使網(wǎng)絡安全管理措施的落實，逐步轉變成法律約束之下的自律行為，這是實現(xiàn)信息網(wǎng)絡安全的關鍵因素。在此基礎上，培養(yǎng)一批信息安全管理的專門人才，解決信息網(wǎng)絡安全的根本性問題。安全系統(tǒng)設計安全是現(xiàn)今所有建設的數(shù)據(jù)系統(tǒng)應當首先考慮的問題，企業(yè)IT建設中需要許多內(nèi)部的應用系統(tǒng)相關聯(lián)，需要時IT系統(tǒng)要接入Internet，所以安全是系統(tǒng)建設者需要首先考慮的一個重要問題。安全性不是一個附加的或獨立的

7、項目，設計一個IT系統(tǒng)必須從一開始就考慮安全性。系統(tǒng)安全架構將從三個層次來考慮：網(wǎng)絡層、主機/服務器系統(tǒng)及應用層。網(wǎng)絡層的安全主要是防范對于整個網(wǎng)絡的非法訪問，一般通過防火墻來實現(xiàn)。通過配置了多級防火墻，以隔離數(shù)據(jù)中心網(wǎng)絡各個組成部分相互之間的非法訪問（合法訪問可以通過）；對于Internet用戶來講，如果想非法侵入數(shù)據(jù)中心的內(nèi)部網(wǎng)絡，必須突破防火墻的防范。另外，各級防火墻可采用不同的產(chǎn)品，以提高網(wǎng)絡整體的安全性。主機/服務器系統(tǒng)的安全是針對個別機器的。除了主機/服務器的操作系統(tǒng)自身的安全性之外，目前有多種產(chǎn)品可供選擇。應用層的安全將從三個方面來考慮：增強應用服務器系統(tǒng)的安全；采用身份認證機制

8、，以支持應用的可靠性；采用數(shù)據(jù)加密技術和防病毒軟件，以支持應用的安全性。網(wǎng)絡安全網(wǎng)絡安全域規(guī)劃系統(tǒng)根據(jù)各應用對安全防護需求劃分不同的安全域，針對各安全域制訂相應的ACL訪問過濾策略，以提高網(wǎng)絡的安全性。其中外部對安全域的訪問通過的防火墻的ACL訪問過濾策略實現(xiàn)，只有符合業(yè)務規(guī)定的訪問數(shù)據(jù)流才被防火墻允許通過。對于安全域內(nèi)部的子系統(tǒng)之間，可通過劃分VLAN進行隔離，通過三層交換機在VLAN間配置訪問控制列表，建立安全域內(nèi)部VLAN間的安全訪問控制策略。網(wǎng)絡邊界防護網(wǎng)絡邊界防護主要包括部署入侵檢測設備以及防火墻等安全防護設備。防火墻防火墻作為網(wǎng)絡的第一道安全屏障，其主要目標是要在核心網(wǎng)和外網(wǎng)之間建

9、立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出網(wǎng)絡的服務和訪問的審計和控制，保護內(nèi)部資源，防止信息泄漏和外部入侵，提供對網(wǎng)絡資源的訪問控制。在公網(wǎng)出口與業(yè)務網(wǎng)絡間采用異構的兩層防火墻進行安全隔離，以提高核心層網(wǎng)絡的安全性。公網(wǎng)系統(tǒng)只能通過防火墻的前端接口服務器訪問業(yè)務網(wǎng)絡的后端業(yè)務數(shù)據(jù)，避免外網(wǎng)系統(tǒng)直接訪問核心業(yè)務網(wǎng)絡，防范來自公網(wǎng)進行的侵入、攻擊；在內(nèi)部互聯(lián)區(qū)與業(yè)務網(wǎng)絡網(wǎng)絡間通過防火墻進行安全隔離，通過防火墻的訪問控制策略，防止來自內(nèi)網(wǎng)用戶對遠程醫(yī)療服務平臺系統(tǒng)的侵入、攻擊。入侵監(jiān)測入侵監(jiān)測設備是專用型高性能網(wǎng)絡安全“設備”，能夠阻止網(wǎng)絡上的非法惡意行為，例如黑客

10、發(fā)動的攻擊。通過實時分析流量，使用戶能夠快速對安全問題作出反應。本次方案在公網(wǎng)出口部署入侵檢測設備，以及時的阻止來自公網(wǎng)上的非法惡意行為。在數(shù)據(jù)庫產(chǎn)品配置和應用系統(tǒng)實現(xiàn)上，使用敏感數(shù)據(jù)存儲和網(wǎng)絡傳輸（尤其是基于公網(wǎng)的數(shù)據(jù)傳輸）的安全性設計。網(wǎng)絡安全規(guī)范可分為安全、認證兩方面的規(guī)范。安全規(guī)范當前網(wǎng)絡的安全規(guī)范包括加密算法、報文摘要算法、安全通信協(xié)議等方面的規(guī)范。加密技術是使數(shù)據(jù)不可讀的處理過程。有許多不同的（和復雜的）打亂和恢復信息的方法。目前有兩種方案可供選擇，一種是訪問使用了服務器證書的安全Web站點，故稱之為服務器端加密技術。另一種用于接收和發(fā)送加密電子郵件。這兩種用途中的加密處理方法都包

11、含了交換公鑰過程。在加密過程中，使用公鑰或私鑰來加密信息，反之使用與之匹配的私鑰或公鑰來解密信息。例如，當訪問一個安全Web站點時，客戶端計算機接收到這個Web站點的公鑰（公鑰存儲在證書里），客戶端計算機對WEB站點發(fā)送的信息使用WEB站點的公鑰加密，解密這些信息的唯一方法是Web站點使用他們的私鑰。數(shù)字簽名數(shù)字簽名（Digital Signature）是應用公開密鑰加密技術，用發(fā)送方的私有密鑰加密報文摘要，然后將其與原始的信息附加在一起，合稱為數(shù)字簽名。其使用方式是：報文的發(fā)送方從報文文本中生成一個128位或160位的單向散列值（或報文摘要），并用自己的私有密鑰對這個散列值進行加密，形成發(fā)送

12、方的數(shù)字簽名；然后，將這個數(shù)字簽名作為報文的附件和報文一起發(fā)送給報文的接收方；報文的接收方首先從接收到的原始報文中計算出128位的散列值（或報文摘要），接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密；如果這兩個散列值相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠實現(xiàn)對原始報文的鑒別與驗證，支持報文的完整性、權威性和發(fā)送者對所發(fā)報文的不可抵賴性。數(shù)字證書“數(shù)字證書”是一個經(jīng)證書認證中心（CA）數(shù)字簽名的、包含證書申請者（公開密鑰擁有者）個人信息及其公開密鑰的文件?；诠_密鑰體制（PKI）的數(shù)字證書是網(wǎng)絡安全體系的核心，用途是利用公共密鑰加密系統(tǒng)來保護與驗證公眾的密鑰。C

13、A對申請者所提供的信息進行驗證，然后通過向網(wǎng)絡中各參與方簽發(fā)數(shù)字證書，來確認各方的身份，支持網(wǎng)上業(yè)務的安全性。公鑰基礎設施(PKI)PKI是通過使用公開密鑰技術和數(shù)字證書來支持系統(tǒng)信息安全并負責驗證數(shù)字證書持有者身份的一種體系。企業(yè)可以建立公鑰基礎設施（PKI）體系來控制對其計算機網(wǎng)絡的訪問。 PKI采用各參與方都信任一個同一CA（認證中心），由該CA來核對和驗證各參與方身份的身份這種信任機制。系統(tǒng)性能要求方案對于本次項目涉及軟件系統(tǒng)應用除EBS系統(tǒng)外，其他系統(tǒng)的應用均提供Web服務，客戶端直接通過瀏覽器訪問，基本操作響應時間Web應用響應時間要求，對于數(shù)據(jù)量較大的查詢操作建議采用后臺請求的方

14、式。另外，Oracle EBS提供Form應用操作界面，在用戶首次打開form應用時需要從服務器更新下載必要的jar文件，登錄時間相對較長，一旦登錄以后form應用在網(wǎng)絡間的數(shù)據(jù)傳輸量將大幅降低。但是Oracle EBS系統(tǒng)form應用本身包含了部分大數(shù)據(jù)量的復雜應用程序，如果這部分應用出現(xiàn)性能問題，主要通過應用程序優(yōu)化提升效率。在滿足保證性能保障方面，我們根據(jù)各系統(tǒng)注冊用戶數(shù)量以及并發(fā)用戶數(shù)量的評估，在資源配置上主要從兩個方面建議如下：集群部署支持硬件資源橫向擴展對于ERP系統(tǒng)和合并&預算系統(tǒng)的數(shù)據(jù)庫部署Oracle Rac集群，當計算資源性能出現(xiàn)瓶頸影響前端應用響應時間的時候可以通過增加集群中服務器節(jié)點數(shù)量來提高集群的并發(fā)處理計算能。應用系統(tǒng)采用多節(jié)點部署以及網(wǎng)絡負載均衡相結合的方式實現(xiàn)應用服務的計算資源橫向擴展。使用超高IO存儲設備針對ERP系統(tǒng)和合并&預算系統(tǒng)大數(shù)據(jù)量處理的特點，建議數(shù)據(jù)庫的存儲