前言:中文期刊網精心挑選了金融企業信息安全范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
金融企業信息安全范文1
建立金融信息安防體系刻不容緩
“互聯網+金融”成為傳統金融行業轉型“觸電”的新模式,新形式下的數據安全狀況變得越發嚴重,金融行業已經淪為數據泄密的重災區,再次給人們敲響數據安全的警鐘,其中直接由于純粹是信息安全技術缺失所導致的風險案例不勝枚舉。麥肯錫公司在其的《中國銀行業創新系列報告》中指出,2015年年底,中國互聯網金融的市場規模達到12萬-15萬億元,占GDP的近20%。互聯網金融用戶人數已經超過5億,這樣龐大的用戶群和涉及面,如果信息安全事件愈演愈烈甚至失控,將會對國家和社會造成不可估量的損失,互聯網金融信息安全已經刻不容緩。
目前,金融企業內部IT系統更為復雜化,外包合作使內部風險管理更加復雜,BYOD(攜帶自己的設備辦公)使企業信息資產無處不在,大數據使核心資產淹沒在之中難以識別,云計算打破了傳統的網絡邊界防護。李晨指出,企業安全威脅也在逐漸升級,正在從以蠕蟲病毒、拒絕服務攻擊、溢出類漏洞攻擊、注入等Web攻擊為主的傳統威脅升級到以0Day攻擊、多態及變形等逃避技術、多階段組合攻擊、有組織的定向攻擊為主要手段的新一代威脅,企業安全運維面臨更多的新的挑戰。與會專家再次呼吁,建立金融信息安全防御體系刻不容緩。
綠盟科技智慧安全2.0戰略應運而生
信息安全行業專家綠盟科技積極應對,幫助銀行、保險等各類企業實現變革,助力金融智能安全運營防線的構建,綠盟科技智慧安全2.0戰略應運而生。
綠盟科技智慧安全2.0戰略是一個企業整體運營的升級換代過程,它幫助企業安全防護真正做到智能、敏捷和可運營。該方案包含綠盟云、安全態勢感知解決方案、云計算安全解決方案以及下一代威脅防御解決方案。李晨表示,態勢感知使安全耳聰目明、軟件定位給安全運維帶來敏捷應變、縱深防御帶來彈性和生存能力。它緊緊圍繞用戶需求,大力提升線上也就是云中的安全能力,打通技術、產品和服務、解決方案、交付運營等各個環節,構建真正的智能安全防御系統。
同時,綠盟科技可協助客戶建立企業安全應急響應中心(SRC),幫助企業建立和維護自主可控的自有業務漏洞收集平臺,從而避免漏洞在第三方平臺上暴露。通過SRC的運維數據積累,企業建立貼合自有業務的漏洞知識庫來提升安全團隊技術能力,并且通過SRC可與白帽子直接建立長期的信任互贏關系,幫助企業更從容地面對安全威脅。
數據安全歷來是企業信息安全工作的“最高使命”。綠盟科技適時推出了數據泄露防護系統,基于數據存在的三種形態(存儲、使用、傳輸),對數據生命周期中的各種泄密途徑進行全方位的監查和防護,保證了敏感數據泄露行為事前能被發現,事中能被攔截和監查,事后能被追溯。
金融企業信息安全范文2
事實上,與其他聯網設備一樣,對于企圖侵犯數據的破壞者而言,打印機也是可以被伺機入侵的終端。
除了辦公室和寫字樓,在學校、醫院、工廠、金融機構以及公共服務部門等場所,只要是有信息打印輸出和流轉的地方,就存在著對文印安全的需求。
幾個月前,惠普創意工作室(HP Studios)攜手美國影星克里斯汀?史萊特(Christian Slater),推出了聚焦辦公室信息安全的系列短片“狼”(The Wolf),在海內外引起不小反響。短片中男主角利用未加防護的文印設備和電腦,直接侵入一家大型財務公司的IT系統并影響了關鍵談判的結果。近日,“The Wolf”第二季短片再度曝光。片中,黑客利用未加防護的打印機和電腦,在一家醫療軟件公司首席信息安全官Todd就診期間,輕松修改了系統中Todd的身份信息和診斷記錄,切斷了外界聯系,致使其公司的安全防御系統陷入癱瘓,上百萬病人的醫療數據被盜取。雖然是虛擬場景,但是這場由一張醫療診斷書引發的大規模信息安全危機,為更多行業的文印安全再一次敲響了警鐘。
文印安全迫在眉睫
事實上,影片中的案例毫不夸張。據調查,僅在2016年,全球就有超過400萬條信息記錄暴露在危險之中,相比兩年前增長了4倍。信息安全的形勢日益嚴峻,企業內部的安全防護亟需提升。
調查顯示,企業的銷售和人力資源部門分別有高達93%和76%的信息安全風險都源自缺乏安全防護的打印設備。缺乏安全防護措施的打印機,會在不知不覺中發生信息泄露,使信息安全陷入威脅之中。
隨著相關安全解決方案的推廣,越來越多的企業和機構開始意識到,在辦公環境中,IT設備的安全對于公司的運營至關重要。行業客戶對安全的需求不斷提升,推動了包括惠普文印管理服務(MPS)在內的管理解決方案的創新和發展。在全球范圍內,惠普文印管理服務(MPS)的客戶已經覆蓋了金融、教育、文娛、醫療、制造、公共服務等領域,客戶數量也在持續增長。據IDC預測,亞太區(不含日本)安全服務市場規模將在未來四年間保持20.5%的年復合增長率,其中,安全管理服務細分市場的規模預計將在2020年增長到38.6億美元。很顯然,根據各行業的不同需求,為企業客戶提供定制化的安全解決方案,已成為未來安全管理服務的發展方向。
從醫療到制造
為文印安全保駕護航
惠普在安全管理方面具有豐富的技術積累和服務經驗,致力于為客戶研發和提供文印安全解決方案。行業客戶借助惠普文印管理服務(MPS),部署和應用一流的文印安全解決方案,從架構層面加強文印安全防護水平,提升工作效率,降低整體運營成本。
如同“The Wolf”中所呈現的,醫療機構經常通過打印設備輸出包括病歷、檢查結果、處方在內的重要信息。作為核心節點,打印設備的安全關系到醫師和患者的隱私,也直接影響到醫院的服務水平。
以美國Baptist Health公司為例,其旗下運營著7家醫院和300多家附屬機構,擁有近2000名專業醫生,采購了近3000臺惠普激光打印機和多功能復合機,日夜工作記錄和傳輸醫療信息。隨著文印安全問題逐漸成為行業焦點,Baptist Health公司亟需進一步加強醫療隱私保護,提升整體文印安全水平。
為此,惠普幫助該公司采用惠普智優安全解決方案(HP Jet Advantage Security Manager),定制并部署了覆蓋所有聯網打印設備的統一安全策略。它能夠立即識別安全網絡內新接入的打印設備,自動部署安全策略,保障設備安全。這一策略還通過移除默認密碼、設置多重密碼防護、禁用具有安全風險的外部打印協議、標準化訪問等方式,從多個維度提升設備安全。在惠普的支持下,Baptist Health從架構層面和設備端掌控了文印安全,為更安全放心的醫療服務提供了保障。
對于文印安全的需求不僅存在于醫療機構,在聚集科技和創新的硅谷,許多企業也在積極行動,提升文印安全。在一家領先的跨國科技制造企業,每天有超過2000臺惠普激光打印機和頁寬打印機為全球各地的業務部門提供文印服務。在過去,文印安全的漏洞隨處可見,例如員工將重要文件遺漏在打印機托盤,或是聯網打印設備因缺乏安全防護措施,直接面臨入侵風險。
近10年來,該企業與惠普保持長期和緊密的合作,通過文印管理服務來提升文印安全。惠普的專業工程師為其制定了一套完整的安全打印解決方案,幫助IT運維人員充分利用惠普智優安全解決方案,統一規劃和管理企業內的安全打印流程。此外,借助惠普訪問控制和安全拖打印(HP Access Control Secure Pull Printing)功能,員工把文件發送到打印服務器后,可以在公司任意一網惠普打印設備上輸入PIN碼或者刷工卡驗證身份,實現就近即時打印,同時保障安全。
專家建議
架構+設備兩手抓
從架構層面對文印安全進行整體部署和管理,是企業提升文印安全水平的重點所在。對于IT團隊來說,如何更科學地部署和管理設備?對此,惠普的文印安全專家提出以下幾點關鍵建議:
1.每個設備節點都面臨著潛在風險,必須將打印設備和PC設備的安全放在同等重要的位置;
2.網絡的安全取決于設備節點的安全,公司的每一網設備,都需要相應的安全管理策略;
3.隨著越來越多的移動設備通過網絡與打印設備相連,相關的數據傳輸通路都需要嚴密保護;
4.IT運維人員可以借助設備自帶的安全管理設置,以及內置行業標準安全策略的管理工具來簡化管理流程、保障網絡安全;
5.打印設備應當接入安全威脅和事件監測系統,并通過安全信息和事件管理(SIEM)工具,及時監測潛在的安全威脅。
防患未然,謹防文印之“狼”
設備安全也是文印安全中的重要一環,配置了安全防護措施的設備能夠從接入端防患于未然。反之,如果像“The Wolf”短片中的打印設備那樣缺乏安全防護措施,則會讓“狼”輕易入侵、監視和竊取數據。
作為在打印安全領域起步早、技術積累深厚的領先企業,為提升打印設備的安全性,惠普很早就將文印安全作為重點,不斷革新產品和相關解決方案。而在這方面最新的動作,則是A3智能復合機的推出。
今年4月,惠普新一代A3智能復合機系列正式推出,除了在彩打成本方面的優勢之外,多達30款A3彩色頁寬復合機和A3激光數碼復合機還配備了嵌入式安全防護功能,可以全面保護設備、文檔和數據的安全。該系列A3打印機支持PIN碼打印、白名單、實時入侵檢測、安全啟動、加密硬盤、訪問控制等安全解決方案,通^BIOS級別的安全防護有效監測和阻止外部入侵,確保重要信息的安全。企業的信息安全,往往取決于整個IT架構中最薄弱的一環。
金融企業信息安全范文3
多年來,得安科技先后承擔并參與了30多項國家和地方科研項目和產業化任務,并在面向金融領域的關鍵安全技術、信息安全基礎設施關鍵技術體系研究等關鍵領域做出了突出貢獻,取得了創新性的科研成果。得安科技載譽業內的實事,讓我們不得不去關注隱藏在其高速發展背后的研發實力和技術動力。今天的得安,對其自身如何定位?其發展潛力何在?以得安科技為代表的密碼核心技術提供商又如何看待國內信息安全市場發展趨勢?為尋找這些問題的答案,中國信息化周報記者約訪了得安科技技術總監孔凡玉。
中國信息化周報:商用密碼產品及服務是信息安全產業的重要一環,也是得安的核心競爭力。基于怎樣的背景,得安投入商用密碼技術研發?
孔凡玉:所謂網絡安全、信息安全,最重要的目標是保證信息系統和網絡環境中的“數據”、“信息”的安全,而不單是對計算機設備、網絡設備自身的安全防護。大到一個國家,小到一個企業和個人,多數黑客進行攻擊的真正目的就是竊取機密數據和信息,而不僅僅是破壞信息系統本身。因此,商用密碼產品及服務作為保障數據的機密性、完整性等安全性的關鍵一環,是信息安全產業的重要組成部分。
得安公司成立于1997年10月7日,是我國最早致力于商用密碼產品研發及產業化的企業之一,這與我國當時對網絡安全和商用密碼產品的迫切需求密切相關:一個是隨著互聯網技術的發展,網上銀行、網上證券等金融業務的開展迫切需要商用密碼產品和網絡安全系統的出現;另一個是,我國信息化建設的飛速發展迫切需要實現商用密碼技術的國產化,以保證信息安全核心技術的獨立性和自主性。
中國信息化周報:得安現有哪些科研成果?具有哪些核心技術優勢?
孔凡玉:得安科技自主研發的“SMS100-1網絡安全平臺”,這是國內最早通過國家密碼管理機構組織鑒定的商用密碼PKI產品,并榮獲國家科技進步三等獎和密碼科技進步二等獎,此系統已在上海證券中國證券登記結算公司的證券系統中成功使用。此外,得安公司也順利完成了中國金融認證中心CFCA的商用密碼模塊的國產化開發項目,實現了商用密碼產品和接口的國產化,并逐漸將服務器密碼機、智能IC卡等產品廣泛應用于中國建設銀行等各大銀行以及郵政、電信、稅務、電力、煤炭、石化、廣電、煙草、航空等行業。
十六年以來,得安公司一直注重商用密碼和信息安全核心技術的創新,在高速密碼服務器、數字認證系統、智能IC卡、VPN設備、安全文件傳輸系統、云安全密碼服務平臺、大數據安全、移動安全計算等方面具備良好的技術積累,得安參與研發的多項產品和技術填補了國內外空白,保證了核心技術的領先優勢。
中國信息化周報:從國家政策層面強化網絡安全意識,到首席安全官漸成大型企業標配職位的發展現狀,您如何理解密碼安全對于企業信息安全堡壘建設的核心意義?
孔凡玉:在目前的互聯網時代,每一個企業和個人都在享受著互聯網給工作和生活帶來的便捷的同時,也遭遇著前所未有的信息安全的巨大風險。中央網絡安全和信息化小組的成立,標志著我國已經把網絡信息安全上升為國家戰略的層面。
在網絡信息安全防護中,以數據加密、身份認證、數字簽名等為代表的密碼技術和以網絡攻防、系統漏洞分析、防病毒、入侵檢測等為代表的系統安全技術是網絡信息安全的兩大類核心技術。所以,商用密碼安全產品和系統是信息安全市場的必不可少的重要組成部分。
近年來,發生的信息安全事件大致分為兩種:一種是單純的病毒、木馬、系統攻擊,沒有特別的針對性,造成的后果是計算機系統的崩潰或者網絡無法正常訪問;第二種是針對數據和信息的竊取,這會造成重要數據或個人隱私的泄露,帶來嚴重的后果。最近爆發的信息安全事件,八成以上都涉及到數據泄露問題,例如2013年底發生的美國第二大零售商Target的4000萬用戶的信用卡和借記卡信息泄露事件,近期爆出的OpenSSL的幾個嚴重漏洞,以及我國近年發生的多個網站的數據泄露問題,這都存在密碼技術防護措施不足的問題。這需要對數據的存儲和傳輸進行加密保護,并進行嚴格的身份認證、訪問控制、安全管理等。
得安科技大力推廣信息安全服務的理念,所提出的企業信息安全堡壘的建設方案,是一個從技術實現到管理制度、從硬件產品到軟件系統、從內部加固到外部防范的立體化的整體解決方案,實現服務端的核心數據的加密、安全可靠的網絡數據傳輸、遠程用戶的身份認證和訪問控制等功能,實現企業信息系統的高安全性和可靠性,為企業提供信息安全保障。
中國信息化周報:在與用戶接觸過程中,您認為目前企業信息安全系統普遍薄弱的環節有哪些?
孔凡玉:在云計算和大數據時代來臨之際,任何信息系統的核心都是“數據”,因此任何信息系統的安全最重要的就是保證“數據”的安全。而數據的安全,包括了數據的產生、存儲、傳輸、訪問、處理、共享、銷毀等各個環節的安全,這形成一個環環相扣的系統。
在與很多用戶進行交流時,我們了解到,現在企業信息安全系統普遍存在的問題是缺乏一個完整、系統的安全解決方案,僅在某一個或幾個方面進行了安全防護,但是仍然存在其他方面的漏洞,不能形成一個完整的防護體系。
中國信息化周報:對此,得安科技針對不同行業、不同應用場景下的安全問題,推出了哪些解決方案?
孔凡玉:得安公司一直專注于信息安全核心技術以及信息安全整體解決方案的研發和應用,針對不同行業、不同應用場景,已經在云計算安全、大數據安全、電子商務安全、企業級安全等領域形成了一系列先進的、成熟的、可靠的信息安全整體解決方案,包括云安全密碼服務平臺、遠程文件安全傳輸解決方案、數字證書認證系統解決方案、安全移動辦公解決方案、手機安全支付解決方案、桌面安全解決方案、統一認證授權平臺等。具體包括:
■云安全密碼服務平臺:這是得安公司研發的基于“云計算”技術的高性能密碼平臺,將多款高端密碼設備和軟件中間件技術有機融合,以高安全性、高效率、高穩定性為目標,以先進的分布式計算和并行處理技術為核心,提供高性能的數據加密、數字簽名、身份認證等密碼服務功能。
■遠程文件安全傳輸解決方案:此方案用于解決企業的總部與各分支機構、出差員工之間的文件安全傳輸問題,在數據的安全、可靠、高效的傳輸方面,可以解決FTP等傳統傳輸方式的種種不足,為廣大企業客戶所信賴。同時,該方案可以集成于各類企業的信息系統平臺中,實現企業的遠程文件的安全傳輸,目前已經廣泛應用于金融、證券、石油化工、電力等行業。
■數字證書認證系統解決方案:此方案用于解決企業內部的身份識別與認證的問題。數字證書是由權威機構―CA機構頒發的、標識身份信息的電子文件,提供了一種在網絡環境中驗證身份的方式,類似于日常生活中的身份證。得安數字證書認證系統簡稱CA系統,采用雙證書機制,利用PKI技術提供數字證書的簽發、驗證、注銷、更新等功能,將個人信息或單位信息及密鑰、密碼算法集合在一起,提供在虛擬的互聯網世界可用的“網上身份證”。得安數字證書認證系統,已經成功應用于廣東電子政務認證中心、貴州省數字認證中心的建設,并順利運行。
■安全移動辦公解決方案:此方案用于解決企業的各分支機構和出差員工的遠程辦公、移動辦公問題。通過采用IPSec VPN、SSL VPN、安全網關以及安全客戶端等產品,可實現各種復雜環境下的遠程和移動辦公系統。遠程用戶在通過互聯網登錄企業內部業務系統時,首先需要經過安全網關的身份認證,認證通過后才能訪問其權限范圍內的業務系統;可以在安全網關上進行細粒度的權限配置,保證接入終端的安全性;同時,安全網關支持客戶端訪問企業內網時不能同時訪問其它互聯網的功能,更加保證了接入的安全性。目前該解決方案已成功應用于國土資源、石油、煤炭、電力、電信、銀行等行業。
■手機安全支付解決方案:得安公司研發的智能SD卡以及軟件系統,是近年新興的一種信息安全產品,把高性能的安全模塊集成到SD卡中,這樣用戶既可以像使用普通SD卡那樣使用其大容量存儲功能,又可以像使用智能IC卡那樣使用SD卡中集成的安全模塊,具有密鑰管理、證書存儲、權限控制、數據加解密等功能,實現個人隱私數據的加密保護和安全支付。此方案已經在金融、電信以及中小企業中推廣使用。
■桌面安全解決方案:此方案用于解決企業內部計算機設備的安全控制和信息保密問題,采用智能密碼鑰匙、安全加密U盤、文件加密軟件、Word/PDF文件簽名等產品和技術,確保了信息在單位內的安全存儲,確保了計算機設備的安全使用。該系統是針對客戶端PC安全的整體解決方案,它的最大特點是既能“攘外”,又能“安內”,部署靈活且易于使用,特別適合金融、電信、政府機關、制造業等具有分布式網絡應用的行業。
■統一認證授權解決方案:本方案可以為企業的多個業務系統提供安全支撐,簡化業務系統的管理方式和使用方式,提高整體系統安全性。通過該解決方案,可以為企業提供各個業務系統的統一認證和登錄服務,提供數據傳輸的加密服務、高強度的身份認證、人員的集中管理和應用的集中管理,適合在具有多個業務信息系統的企業中部署實施。
中國信息化周報:在國內市場,用戶往往會在IT價值與IT風險之間尋求一個平衡。讓用戶為安全買單,很多用戶關心的問題是需要支付哪些成本?又能獲得哪些收益?得安科技的解決方案又是如何來降低用戶IT應用風險的?
孔凡玉:得安科技采用的是一套科學的、系統的信息安全工程建設方法,達到用戶的IT價值和風險、收益和成本之間的平衡。
首先,用戶的信息系統和數據的有形資產和無形資產是可以進行估算的。這些數據的重要程度,一旦泄露會產生什么樣的后果,決定了數據的價值。數據的價值越高,一旦泄露帶來的后果越嚴重,因此需要投入的安全成本就越高。舉例來說,價值100萬的數據,如果投入200萬進行安全防護可能是不必要的;同樣,價值1億的數據,僅投入1萬元進行安全防護則可能具有極大的安全風險。
評估了資產的價值后,然后就要分析信息系統存在的風險和威脅,包括目前的信息系統存在哪些漏洞和弱點,內部和外部可能有哪些潛在的攻擊威脅等。之后,就要和企業一起制定信息安全保障系統建設的內容,這主要取決于哪些風險必須要降低,降低到什么程度,采用哪些技術手段,成本是多少等。這樣,在系統建設之前,用戶很清楚建設目標是什么,需要花費多大的成本,會帶來怎樣的收益,做到有的放矢、未雨綢繆。在系統建設、維護運行以及管理等方面,還有一系列的方法和措施,以保證信息安全項目建設的可控性。
中國信息化周報:相比其他應用安全企業,得安科技有何自身特色?具體到商用密碼解決方案,相比其他軟件公司,得安科技有哪些獨特的優勢和創新?
孔凡玉:與其它信息安全企業相比,得安公司的特色體現在三方面。
第一,在商用密碼及信息安全核心技術方面具有創新優勢。作為國內最早從事商用密碼產品研發及產業化的企業之一,得安公司在商用密碼以及信息安全核心技術方面具有18年的積累,在高速密碼算法實現、數字認證技術、云計算安全、大數據安全、移動互聯網安全等方面具備核心技術的創新優勢。
第二,在參與國家和行業標準制定方面具有領先優勢。作為商用密碼基礎設施技術標準組的成員單位,得安公司主持或參與了服務器密碼機技術規范等20多項國家標準、行業標準的制定,因此在把握行業的發展趨勢方面具有優勢。2012年,得安牽頭制定的《密碼應用標識規范》作為我國第一批密碼行業標準進行頒布;兩年來,《服務器密碼機技術規范》、《簽名驗證服務器技術規范》等行業標準也陸續正式頒布。
第三,具備成熟的信息安全服務理念,并在多個行業成功應用實施。得安一直秉承為用戶提供信息安全服務的理念,以可靠的技術實力、穩定的產品性能、優質的服務團隊、強大的分支網絡贏得了用戶的信賴,成功案例遍布于金融、證券、稅務、電信、郵政、石油、煤炭等行業。
得安科技的商用密碼解決方案,具有以下獨特的優勢和創新:
(1) 核心產品可靠性和高效性:解決方案中所采用的硬件產品和軟件系統必須具有高可靠性和高效性,才能保證整個信息系統的安全性和穩定性。例如,云安全密碼服務平臺采用了多機并行、動態分配、冗余配置、負載均衡等技術,保證整個平臺的可靠和高速。
(2) 量身定制的整體安全架構:這些解決方案不是單純的硬件和軟件的累加,而是經過系統的整體設計后形成的有機整體,而且每一個方案的確立和實施,都要根據用戶的信息系統的特點進行量身打造,以保證方案的科學性和合理性。
(3) 運維支持和管理制度:信息安全設施的建設,三分憑技術,七分靠管理。每一個解決方案中都包含了系統的運行維護方案和管理制體系,保證信息安全系統運行期間的動態實時監控和管理崗位的協同工作。
中國信息化周報:得安科技未來的市場競爭策略和發展目標是什么?
孔凡玉:得安未來的市場競爭策略和發展目標,可概括為兩個詞。
一是“共贏”。“共贏”是指與客戶的關系,是對“服務”理念的拓展。“服務”是被動地滿足用戶的安全需求;“共贏”是主動地去幫助客戶發現信息系統中的安全問題并提出科學的解決方案,從而達到與客戶共贏的最終目標。
二是“領先”。“領先”是指保持公司的核心競爭力,是對“創新”理念的拓展。不僅要“創新”,還要領先一步,在新的技術出現和產業變化來臨之際,率先致力于未來核心技術和產品的研發,領先于時代,領先于同行。
金融企業信息安全范文4
摘要:隨著金融會計信息系統進入網絡化時代,由于黑客病毒等因素造成各類電子信息文件篡改,嚴重地破壞銀行會計信息系統,對金融會計信息造成安全隱患,因此構建金融會計信息系統安全體系就顯得非常必要。本文從網絡金融會計信息系統的含義出發,分析對網絡條件下金融會計信息系統存在的主要安全隱患,提出如何建立全方位網絡金融會計信息系統安全體系的框架。
關鍵詞: 會計信息系統;系統安全體系;金融會計
一、網絡金融會計信息系統的含義
網絡金融會計信息系統是指建立在網絡環境基礎上的會計信息系統網絡環境,包括兩部分:一是金融企業內部網絡環境,即內網,通過組建金融企業內部網絡結構實現內部各部門之間的信息交流和共享;二是國際網絡環境,即通過互聯網使金融企業同外部進行信息交流與共享,基于互聯網的會計信息系統,也可以說是基于內聯網的會計信息系統,即金融企業的內聯網和互聯網連接,為金融企業內各部門之間,金融企業與客戶、稅務、審計等部門之間建立開放、分布、實時的雙向多媒體信息交流環境創造了條件,也使金融企業會計與業務一體化處理和實時監管成為現實,原來封閉的局域網會計信息系統被推上開放的互聯網世界后,一方面給金融企業帶來了前所未有的會計與業務一體化處理和實時監管的優越性,另一方面由于互聯網系統的分布式、開放性等特點,其與原有集中封閉的會計信息系統比較,系統在安全上的問題也更加突出,互聯網會計信息系統的風險性更大。
二、當前網絡金融會計信息系統存在安全隱患
(一)金融會計信息安全組織管理體系不完善
目前,金融企業尚未建立起一套完整的計算機安全管理組織體系,金融會計信息系統的建設在安全設計方面缺乏總體考慮和統一規劃部署,各系統根據自己的理解進行規劃建設,技術要求不規范,技術標準各異,技術體制混亂。國家標準制定嚴重滯后,法律法規不能滿足金融會計信息系統的安全需求,現行計算機安全法律法規不能為金融會計信息系統安全管理提供完整配套的法律依據,在一定程度上存在法律漏洞、死角和非一致性。
(二)網絡金融會計信息數據不安全
網絡金融會計數據是記錄在各種單、證、賬、表原始記錄或初步加工后的會計資料,它反映企業的經營情況和經營成果,對外具有較高的保密性,連接互連網后,會計數據能迅速傳播,其安全性降低,風險因素大大增加,網絡金融會計的信息工作平臺是互聯網,在其運作過程中,正確性、有效性會受到技術障礙的限制和網絡與應用軟件接口的限制,如網絡軟件選配不合適,網絡操作系統和應用軟件沒有及時升級,或安全配置參數不規則,網絡線路故障導致工作站癱瘓、操作失誤等,系統間數據的大量流動還可能使金融企業機密數據無形中向外開放,數據通過線路傳輸,某個環節出現微小的干擾或差錯,都會導致嚴重的后果,互連網結構的會計信息系統,由于其分布式、開放性、遠程實時處理的特點,系統的一致性、可控性降低,一旦出現故障,影響面更廣,數據在國際線路上傳輸,數據的一致性保障更難,系統恢復處理的成本更高。
(三) 網絡金融信息泄露導致金融會計信息失真
在信息技術高速發展的今天,信息己經成為金融企業的一項重要資本,甚至決定了金融企業在激烈的市場競爭中的成敗。而金融會計信息的真實、完整、準確是對金融會計信息處理的基本要求。由于金融會計信息是金融企業生產經營活動的綜合、全面的反映。金融會計信息的質量不僅僅關系到金融會計信息系統,還影響到金融企業管理的其他系統,目前利用高技術手段竊取金融企業機密是當今計算機犯罪的主要目的之一,也是構成金融會計信息系統安全風險的重要形式。其主要原因:一是電信網絡本身安全級別低,設備可控性差,且多采用開放式操作系統,很難抵御黑客攻擊;二是由于電信網絡不負責對金融企業應用系統提供安全訪問控制,通信系統己成為信息安全的嚴重漏洞,但許多金融企業對此未加以足夠重視而采取有效的防護措施。由于這些原因導致了金融會計信息系統的安全受到侵害,造成了信息的泄露,使金融會計信息失真。
(四)金融會計信息系統的存在安全威脅
目前金融企業計算機已廣泛聯網,這是金融企業擴大業務范圍,實現信息共享的必然結果。由于網絡分布廣,不容易集中管理,許多系統又是在存在安全漏洞與威脅的環境下工作的,不法分子可以在網上任意地點攻擊,使金融企業不知不覺中被偷盜資金或泄露機密。金融企業經營的資金,不法分子作案得逞就能弄到金錢,因此其已成為犯罪分子攻擊的主要目標,且作案手段繁多,方法越來越高明。作案分子有以下三類: (1)內部人員作案。金融企業內部人員熟悉金融企業業務和金融企業會計軟件的薄弱環節與漏洞,若禁不住金錢的誘惑,就會鋌而走險,鉆制度不嚴的空子,利用合法身份或明或暗或用高科技手段作案,侵吞國家資產或非法轉移客戶存款。( 2)外部攻擊。外部攻擊具有作案地點廣泛、案情復雜且作案手段日趨技術化、智能化等特點,給金融企業及客戶造成巨大損失,跟蹤與破案難度很大。(3)內外勾結作案。犯罪分子利用金融企業管理上的漏洞與松懈,內外勾結,沖破重重關卡聯合作案。此類攻擊后果尤為嚴重,風險最大。
三、構建網絡金融會計信息系統安全體系思路與方法
采用現代信息系統實用安全概念、安全防護、安全檢測、安全反應是構成計算機安全管理的核心環節,各個環節形成循環密切相關。構建網絡金融會計信息系統安全體系關鍵在以下幾個方面把握:
1、完善網絡金融會計信息系統技術法規、標準和制度體系建設
加快標準規范和制度體系基礎工作步伐,統
籌規劃、結合國家和行業監管部門,重點加強電子支付及信息產品與服務的測評、準入、認證等相關技術法規與標準。密切結合金融企業信息化發展實際,借鑒國內外先進經驗和做法,加緊建立和不斷完善集中式數據中心運營規范和制度體系,加強網絡金融會計信息安全的各項規章制度建設,逐步實現一個崗位一項制度,全面落實“讓標準說話,按制度辦事”的信息安全管理準則。
2、金融會計信息系統的物理安全的控制
建立金融會計信息物理安全控制,主要有三種關鍵技術:第一種是防火墻技術。防火墻是一組基于互聯網和金融企業內聯網之間的訪問控制系統,它充當屏障作用,保護金融企業信息系統(內聯網)免受來自互聯網的攻擊。防火墻由軟件系統和硬件設備組合而成,它執行安全管理措施,記錄所有可疑事件。防火墻產品主要包括過濾型和應用網關型兩種類型。所有互聯網與金融企業內聯網之間的信息流都必須經過防火墻,通過條件審查確定哪些內容允許外部訪問,哪些外部服務可由內部人員訪問。因此,防火墻以限制金融會計信息的自由流動為代價來實現網絡訪問的安全性。第二種是反病毒技術。在金融會計信息系統的運行與維護過程中,應高度重視計算機病毒的防范及相應的技術手段與措施。如采用基于服務器的網絡殺毒軟件進行實時監控、追蹤病毒等等。第三種是備份技術。備份是防止網絡環境下金融會計信息系統意外事故最基本、最有效的手段,它包括硬件備份、系統備份、會計軟件系統備份和數據備份四個層次。
3、構建金融會計信息保密的安全體系
(1)建立用戶分類安全控制體系。在金融企業內部,不同的信息使用者,由于他們的身份不同,以及他們對獲取的會計信息要求也不同,因而有必要對這些用戶進行分類,以保證不同身份的用戶獲取與其身份及要求相符的會計信息。對用戶分類是通過對用戶授予不同的數據管理權限來實現的,一般將權限分為三類即數據庫登錄權限、資源管理權限和數據庫管理員權限等。只有獲得了數據庫登錄權限的用戶才能進入數據庫管理系統,才有可能進行數據的查詢,以獲取自己所需的金融會計數據或金融會計信息,但其不能對數據進行修改。而擁有數據管理權限的用戶除了擁有上述數據訪問權限之外,還可擁有數據庫的創建、索引及職責范圍內的修改權限等。至于擁有數據庫管理員權限的用戶他將有數據庫管理的一切權限,包括訪問其他用戶的數據,授予或收回其他用戶的各種權限,完成數據的備份、裝入與重組以及進行系統的審計等工作。但這類用戶一般僅限于極少數的用戶,其工作帶有全局性和謹慎性,對于金融會計信息系統而言,會計主管就可能是一個數據庫管理員。
(2)建立金融會計數據分類安全體系。雖然對用戶進行了分類,但并不等于一定能保證用戶都根據自己的職責范圍訪問相關金融會計數據,這是因為同一權限內的用戶對數據的管理和使用的范圍是不同的,如金融會計工作中的憑證錄入員與憑證的審核人員,他們的職責范圍就明顯地限定了其對數據的使用權限。因此,數據庫管理員就必須根據數據庫管理系統所提供的數據分類功能,將各個作為可查詢的金融會計數據邏輯歸并起來,建立一個或多個視圖,并賦予相應的名稱,并把該視圖的查詢權限授予相應的用戶,從而保證各個用戶所訪問的是自己職責范圍內的會計數據。
(3)建立會計數據加密安全體系。普通的保密技術能夠滿足一般系統的應用要求,只是通過密碼技術對信息加密,是安全的手段。信息加密的核心是密鑰,密鑰是用來對數據進行編碼和解碼的一種算法。根據密鑰的不同,可將加密技術分為對稱加密體制、非對稱加密體制和不可逆加密體制三種。對一般數據庫來說是較為有效的,但是對金融會計信息系統來說,僅靠普通的保密技術是難以確保金融會計數據安全的。為了防止其他用戶對會計數據的非法竊取或篡改,為防止非法用戶竊取機密信息和非授權用戶越權操作數據,在系統的客戶端和服務器之間傳輸的所有數據都進行雙層加密。即第一層加密采用標準SSL協議,該協議能夠有效地防破譯、防篡改,是一種安全可靠的加密協議;第二層加密采用私有的加密協議,該協議不公開、不采用公算法并且有非常高的加密強度。兩層加密確保了會計信息的傳輸安全,從而保證金融會計信息的安全性。
4、建立網絡金融會計信息系統應急預案
制訂應急預案的目的是為了確保金融企業正常的金融服務和金融秩序,提高金融企業應對突發事件的能力,在網絡金融會計信息系統故障時,將系統中斷時間、故障損失和社會影響降到最低,應急預案的核心是建立應急模式下的業務處理流程,詳細闡述應急模式的操作步驟,建立相應的事后數據補錄和稽核制度,網絡金融會計信息系統安全應急預案規定:系統應用部門發現信息系統故障,應及時通知部門負責人;部門負責人應立即通知計算機中心;計算機中心應立即著手查明故障原因,預計系統修復時間,并通知相應部門負責人;若暫時不能修復(超過15分鐘),應向安全領導小組報告,由金融企業領導確定是否啟動緊急預案;緊急預案啟動后,計算機中心應通知各相關部門,啟動緊急預案中相關的應急措施;在故障消除后,計算機中心應立即通知各應用部門,并報告安全領導小組,請求結束應急預案的實施;事后計算機中心應將詳細的故障原因和處理結果報有關領導。
建立健全網絡金融會計信息安全檢查機制,加大監督檢查工作力度。依據業已確立的技術法規、標準與制度,定期開展信息安全檢查工作,確保信息安全保障工作落到實處。建立責任通報制度,對檢查中發現的違規行為,按規定處罰相關責任人,對檢查中發現的安全問題和隱患,明確責任部門和責任人,限期整改。在開展合規性檢查的同時,應綜合運用檢測工具,明確安全控制目標,加強深度的專項安全檢查工作,保證檢查工作的針對性、深入性和時效性。
總之,網絡金融會計信息系統所面臨的外部和內部侵害,使得我們必須采取切實可行的安全對策,以確保系統具有信息保密性、身份的確定性、不可否認性、不可篡改性、可驗證性和可控制性。
參考文獻:
[1]周慧.《商業銀行電子化的風險控制》.《金融與保險》,2003第9期
[2]喬立新、袁愛玲、馮英俊.《建立網絡銀行操作風險內部控制系統的策略》.《商業研究》,2003年第8期
[3]劉昊.《論我國網絡銀行的風險及其控制》.《新金融》,2003年第1期
[4]楊周南.《論會計管理信息化的ISCA模型》.《會計研究》,2003年第10期
[5]劉貴栓.《金融企業會計信息失真探析》,《經濟師》,2003年第1期
[6]張金城.《計算機會計信息失真風險防范》,浙江人民出版社,2003年1月第1版
[7] 謝贊恩.《中國金融信息化二十年》,《互聯網周刊》, 2004年第3期
[8]顧浩.《中國金融企業信息化任重道遠》.《上海金融高等專科學校學報》,2003年第4期
金融企業信息安全范文5
2009年“險中取勝”
在很多人眼中,信息安全很重要,但卻是一個難以出現大企業的行業。經歷了2009年“險中取勝”的中國本土信息安全企業,要想謀求更大的發展還需做出發展思路的轉變。
孫定: 2009年,隨著信息安全行業主管部門的機構調整,等級保護等信息安全工作的推進也不像之前那么高調了。這種情況是不是給我們的信息安全產業造成一些新的問題?2009年,網御神州的發展情況如何?
任增強: 確實如此。2009年,政府機構的變化給信息安全行業也帶來了一些思路的變化。但是,作為信息安全建設的一項基本工作,我相信等級保護工作一定會持續、穩定地向前推進。主要有兩方面的原因: 第一,等級保護工作的開展有益于信息安全行業的健康發展; 第二,等級保護工作對整個國家的安全建設有巨大的支撐作用。其實, 2009年等級保護在政府各個機構的信息安全建設中發揮了明顯的作用,我相信2010年等級保護的推進力度會繼續加大。當然,這項工作的推進也會促進信息安全企業產品、服務的相應升級。
對于網御神州來說,2009年與2008年形成了鮮明的對比。參考2006年和2007年的發展情況,2008年初期我們制定了“大干、快上”的發展路線,但受雪災、地震以及金融危機的影響,全年我們僅實現了20%左右的增長。2009年則截然不同,考慮到金融危機的“余威”,年初我們制定的目標也比較保守,甚至一度認為業績只要不出現下滑就是勝利。但從目前的統計結果看,我們全年實現了50%左右的增長,這有點“險中取勝”的味道。
2009年的取勝,首先應該得益于信息安全行業的特殊性。受金融危機的影響,企業對自己核心數據的保護意識加強,從而加大了在信息安全方面的投入。其次,應該歸功于我們在產品創新、用戶需求方面的突破。2009年8月,我們了業內領先的SOC2.0概念以及相關新產品,實現了在安全管理領域的再次領先,也進一步擴大了我們“安全管理市場第一”的優勢。同時,我們以客戶需求為中心,研發推出了泰山紅日“小包王”系列,解決了很多用戶在小包上遇到的難題,這也成為我們業績快速增長的關鍵點。
信息安全企業一向求穩,但如果能夠放開手腳發展,信息安全產業的發展速度也是不容小視的,只不過現在的信息安全市場還是一個溫和發展的市場。當然,信息安全企業要適應產業將來快速發展的速度,就必須做出思路轉變。
孫定: 如果等級保護能夠在全社會推行,對政府、對所有企業來說都是一個規范的過程。那么,安全企業為用戶提供的業務服務樣式是否應該發生一些變化呢?
任增強: 你說得特別對。其實安全要真正起作用,它應該是各個方面配合的整體方案,而不僅是某一個產品在起作用。等級化其實就是從系統的角度來看怎么保護用戶的安全,廠家必須要適應這個方向。
我們很早以前就在推系統級的等級保護――可控安全。這里的可控安全是指局面是可控的,實現這種可控的關鍵是我們的SOC系統管理平臺。它以SOC為核心,用技術手段實現對風險的統一管理和控制,從而實現整個安全局面的可控。它不僅能提供強有力的產品,同時還能提供整體的安全風險解決方案,必將成為信息安全行業內新的發展趨勢,很有幸,我們率先邁入了這一領域。
中小企業、家庭、3G的新機遇
本土信息安全企業要實現規模突破就需要找到新的發展機遇。我們關注的新興市場包括中小企業信息安全、家庭信息安全,以及3G信息安全等。
孫定: 您認為, 2010年中國信息安全的新興機遇在哪里?
網御神州科技有限公司總裁任增強
任增強: 首先,政府工程仍然是很大一塊市場,比如電子政務的推進、稅務等專業系統的建設。其次,就是政府投資拉動的社會信息工程建設,如社保系統、醫療系統等。在金融加大監管、電信加大投資的背景下,未來信息安全的機會有很多。我們正在關注的新興市場包括中小企業信息安全、家庭信息安全,以及3G信息安全等。
如今中小企業十分活躍,各類公司不斷涌現,很多企業為了降低成本都開展網上業務,當這種業務達到一定規模以后,加強網絡信息安全建設就成為必然。以美國為例,由于美國的中小企業尤其活躍,所以美國信息安全企業的投入也很多。
另一方面,隨著中國經濟的發展、人們的財富尤其是個人財富的增加,網上交易開始日益發達。有的家庭甚至已經有了幾臺電腦,這些電腦上用于網上交易的銀行賬號都需要管理。所以,一個家庭除了物理上的“門”之外,還需要在虛擬的網絡里設一個“門”。無論是中小企業還是家庭用戶,對安全產品都有很高的要求,即未經授權的人無法開啟,而自己能簡單、快捷地開啟。因此,這些產品雖然屬于低端產品,但也需要高端的技術和服務。
此外,隨著3G的日益成熟,3G的安全問題也開始備受關注,我們在2006年就開始著手手機安全領域的布局,這一方面我們已經走在了大多數信息安全廠商的前面。
孫定: 本土信息安全企業的發展需要技術和服務創新來支撐,網御神州也是非常熱衷創新的民族信息安全企業代表。網御神州為什么要不斷創新?創新是信息安全企業發展的必由之路嗎?
任增強: 中國GDP如今已是世界第二,要實現從第二向第一的跨越,科技創新是主要推動力。面對資源有限的環境,只有用自主創新產生新的附加值、用科技手段充分提高效率,我國經濟才能在整體上有一個質的飛躍。信息安全行業更是如此,要想成為一個國際性的企業,就需要研發有特色的企業產品,而這些必須依靠創新。
網御神州的創新節奏把握得還是不錯的,我們有自己的創新脈絡: 2006年、2007年,我們的重點在于市場發展的高速; 2008年我們在品牌上做了很多工作; 從2008年后半期到現在,以及未來若干年內,產品技術上的創新將是主流。
這兩年我們的發展速度比別的廠商快得多,2009年公司研發投入占了總投入的55%,研發人員達到了公司總人數的50%。研發總是體現了技術的前瞻性,比如我們獨立研發的多核操作系統Secos,在業界率先實現了全線多核; 接著是SOC2.0平臺,以及“小包王”的出現,這種創新速度是業內其它廠商無法比擬的。
我們希望通過這兩三年的積淀,公司產品能夠在業界全面打開局面。現在我們的SOC、“小包王”已經有明顯的領先優勢了,我們也希望其它產品實現新的突破,這對我們整個業務發展會有很大的推動作用。
孫定: 除了產品和技術的創新,我們的服務創新最近有怎樣的發展呢?
任增強: 中國信息安全服務還有很大的發展空間。在美國市場,服務已經占整體市場的40%~50%,而中國市場服務的比例大約只有10%。我們向用戶提供的方案中,不僅有產品和技術,還有服務。服務從咨詢開始,一直持續到后續運維。
現在,我們不僅為政府項目提供了很好的服務,也為中小企業用戶提供了更便捷、靈活的服務。中小企業的需求可能比政府的簡單,但它們的問題更多、需求更個性化。在家庭用戶上,我們也在考慮調整服務模式,為數量龐大的家庭用戶提供類似企業級的上門咨詢以及運維服務,這是很難實現的,因此為家庭用戶提供的服務應該是自助的、更“聰明”的。
向海外市場要空間
對中國信息安全企業來說,海外市場有更廣闊的發展空間,但是資金的缺乏、文化的差異、異國政策的壁壘都構成了中國信息安全企業拓展海外的瓶頸,而“抱團出海”不失為一條捷徑。
孫定: 為拓展生存空間,網御神州在2010年有什么具體的計劃嗎?
任增強: 2009年我們在市場上已經取得了不俗的成績,2010年我們首要的任務還是深耕政府市場,挖掘金融領域的潛力,在目前的基礎上再上一個臺階。針對中小企業市場,我們也將加大投入,開發出適合它們的產品。在產品技術上,我們會加大產品創新的力度,使產品獲得更多的發言權。最后,我們在國際化上可能還有一些動作。
說到國際化,以前我們從來沒有宣傳過,其實我們現在海外市場的收入已經占到整體收入的大約10%。目前我們主要的國際市場是韓國、日本和東南亞。今年,我們希望國外市場所占的比例能夠提升到大約15%。未來5年里,希望國外的收入能占到總收入的1/3,甚至70%。如果做得好,我們很快就能實現,畢竟國際上有100多個國家和地區,中國只是其中之一的市場。
孫定: 本土信息安全企業像這樣拓展海外市場的還不多見,這會是行業的趨勢嗎?大規模向海外進軍,中國本土信息安全企業會遇到什么挑戰,如何解決?
任增強: 本土信息安全企業要做大做強、尋求進一步發展,拓展海外市場一定是必然選擇,而海外突圍要面臨的問題也確實不小。
第一個要面臨的就是資金問題。海外市場為民族信息安全企業提供了一片廣闊的發展空間,卻也需要花費不少資金,比如說辦事處的設立、營銷費用的支出等。現階段,網御神州主要將資源和精力集中在國內信息安全市場,等到時機成熟,相信我們會在國際舞臺上嶄露頭角的。
其次是國際人才缺乏。很多跨國公司在成立之初就定位于國際化,人才平臺也是國際化的,它們能很好地利用各國人才。而中國的信息安全企業目前很難做到這點。
第三個困難就是海外渠道的拓展與維護。海外渠道很難開發,維護也很耗費財力和精力。傳統的辦法就是靠國家支持,但等待可能會失去機會。缺資金可以在資本市場尋求支持,比如網御神州就在計劃登陸創業板。還有一種很好的方法就是合作,比如賣防火墻的企業不一定有IDS,那就可以找有IDS的企業打包銷售,共同開發海外渠道與營銷,也就是“抱團出海”。
采訪手記
網御神州的“二五規劃”
今年是網御神州成立的第五個年頭。在過去的“第一個五年規劃”里,網御神州完成了一家本土高科技公司從創立到最終形成自主創新的技術風格和穩健的市場風格的轉變。
而今,從“IT新貴”成長為“業界翹楚”的這家本土信息安全企業,又提出了新的五年規劃。中國的GDP從世界100多位發展到世界第二位,接下來還要從第二發展到第一。網御神州其實也是按著這么一個節奏來發展的。建立的頭5年,公司基本上實現了做一個一流公司的理想; 今后5年,公司要向大規模、國際知名品牌突破。
“信息安全產業的大規模或者國際知名,就是朝著1~2億美元這種市場規模去發展。當然,這種規模相對其它產業來說還是比較小的。”網御神州科技有限公司總裁任增強坦言,若想發展到上億美元的規模,光靠自有資金和國內市場恐怕不足以支撐。因此,上市和國際化是網御神州現在的頭等大事。同樣重要的還有人才培養,任增強希望再過5年,他的主要工作是考慮公司的戰略規劃,而更加具體的事務則由新培養的青年才俊打理。(文/李敬)
總裁感悟
做信息安全要有國際視野
“如果僅依靠國家的保護來發展,企業可能一睜眼突然發現自己已經落后了。”網御神州科技有限公司總裁任增強認為,人類社會其實已經非常國際化了,我們的信息安全企業也必須有國際化的視野,在國際化的平臺下做成一個優秀的企業。
金融企業信息安全范文6
在融合中自檢
面對兩化深度融合的新要求,五礦集團認為想要解決現有問題,必須從解決企業信息化的基本需求人手,將問題逐一攻克。首先,礦業企業的信息化建設還需要解決行業特殊性的問題,如礦產品的成本核算、礦產品的庫存管理、礦產品的以質計價等。作為一家以進出口貿易起家的大型國有企業,五礦集團成功轉型為產融結合、上下游一體化的綜合性金屬礦產集團。通過實施SAP ERP和SAP GTM(全球貿易管理),五礦集團整合業務與信息系統,建立集團公司風險管控平臺,支持運營與管理持續優化,以統一的決策支持平臺實現集團業務的協同和創新發展,為五礦集團的國際化運作和長遠發展打下了堅實的基礎,幫助五礦集團在全球金屬礦業新一輪洗牌中始終具有快速反應能力和最佳運營效率,引領金屬礦業的可持續發展。
閆曉青回憶,五礦集團建成的信息化平臺系統,自運行以來取得了顯著成效,并成為提高企業競爭力的有力武器,是五礦實現國際化運作的突破口。兩化融合解決的不僅僅是企業信息化向更深更高層次發展的問題,同時也是企業認清自身信息化水平的機會。
隨著五礦業務規模的增長和發展,以及信息化建設的推進,系統互聯互通和信息共享已成為制約集團信息化建設健康有序發展的瓶頸。加快信息標準化進程,成為推進集團公司信息化建設的戰略要求,同時也是企業實現兩化融合發展目標的必經之路。
在此基礎上,五礦架設了企業內部的信息港,信息港以先進的TRS采編發及全文檢索系統為內核的企業內部綜合信息交流、展示平臺。涵蓋有色金屬、黑色金屬、非金屬礦產品的國際、國內市場信息,并提供相關業務的各類歷史數據、市場分析,五礦信息港還提供了內容廣泛的行業新聞、及時的新聞報道、金融信息、國家政策法規等宏觀信息。隨著集團公司的發展和信息化建設步伐的加快,保障集團公司核心信息資產的安全成為一項重要的戰略任務。
為保證信息港的正常運行,五礦集團啟動《信息安全規劃》項目,遵循整體規劃、分步實施、分工協作的工作思路,以風險分析為基礎,以國際信息安全標準BS7799為依據,根據五礦業務發展趨勢、行業環境、技術發展狀況和資源準備度等多方面因素,對五礦集團公司的組織、信息系統和基礎設施架構進行了認真研究和規劃,在組織、政策、技術防護、日常運作監控管理等幾個方面構建信息安全保障體系,建立以管理為核心,以技術為支撐的信息安全體系架構。
按照信息安全規劃的要求,集團公司建立分層分級、協同合作的組織體系,由集團公司保密委員會履行信息安全工作管理職責,在集團公司保密委員會下設立專門的信息安全管理小組,作為集團信息安全工作管理機構,負責信息安全工作整體策劃、統籌和推進工作;在各二級單位下設保密工作組,協助相關信息安全工作開展。
為有效保護集團公司核心信息資產,制定了資產分類指導辦法,并在集團應用體系的建設中,依據信息資產的重要程度和業務特點劃分安全級別,采取不同的保護措施,包括根據等級明確不同的授權審批流程、采取不同力度的身份標識和鑒別力度、分級部署用戶對資源的安全訪問策略等等。通過貫徹和落實信息資產分類指導辦法,對信息資產實行等級保護,實現了集中資源優先保護核心信息資產,切實保證核心信息資產的保密性、完整性和可用性。
在深化中沖刺
2011年,五礦通過采用神州數碼ServiceJet-MC2運營管理中心解決方案,對自身的IT服務流程、IT資產管理流程、IT管理制度進行了統一梳理,打造起一個入口、一個平臺、一套流程的“三個一”高效服務管理體系。通過項目的實施,五礦集團IT管理效率和客戶滿意度大幅提升,成為五礦集團推進戰略轉型和實施管理變革的重要支撐。
促進兩化融合不是發展“工業的第二產業”,而是要立足工業本身,實現包括技術、營銷模式和資源利用在內的一系列創新;提升包括成本、質量、品牌和服務在內的一攬子工作效率;實現節能減排,形成循環經濟和可持續發展。2012年五礦集團決定采用SAP ERP、SAP BusinessObjects解決方案和SAP MaxAttention支持服務,將應用從總部財務和貿易的應用推廣到采礦冶煉,以應對嚴峻的國際金屬礦業市場競爭,深化兩化融合發展。
閆曉青介紹,目前五礦集團現有ERP系統已經成功升級到最新增強包EHP 6版本(Enhancement Package 6),在功能和平臺架構上更好地支持了業務發展。
建立統一的財務報表查詢平臺,通過財務庫存分析,實現財務及業務的一體化。
