欢迎访问内蒙古会计网!
设为首页 | 加入收藏
 最新信息
财务公司:信息安全一体化建设成功方案
日期:2018.08.03 18:46:15         点击:

   随着财务公司信息系统规模的不断扩大,财务公司的业务系统和网络架构越来越复杂,应用软件和服务器的种类不断增加,信息安全风险也不断加大。为此,山东能源集团财务有限公司成立了信息安全建设研究项目组,研究借鉴信息安全发展的前沿理论,结合财务公司的具体实际,给出信息安全建设的创新性指导思想,并以创新的理念为指导,制定信息安全建设方案的目标需求和技术路径,形成一套行之有效的方法,在财务公司及相关单位推广。

    指导思想

  通过对信息安全建设框架理论的学习和总结,结合财务公司的实际情况,课题组提出了信息系统安全管理一体化建设的指导思想,具体来说包括3个方面要求。

  一是运维管控一体化。在空间维度上,采集安全设备上的工作状态、监测报告等信息,进行关联分析后形成总体的安全态势报告和统一的防护策略,将分散的安全控制措施打造成一个高效的整体防护体系,并通过一个统一的管理平台对当前的安全态势和绩效进行呈现,实时地调整安全规则策略。

  二是生命周期一体化。在时间维度上,安全控制措施应覆盖信息系统的设计、研发、测试、运行等整个生命周期的不同阶段,也就是将安全控制机制尽量向问题的源头延伸,防患于未然。安全工作介入到信息系统全生命周期中,还有利于安全事件的原因定位和快速响应。

  三是专业功能一体化。从业务维度看,一体化的安全管理还必须覆盖全部的信息安全功能域。通常信息安全控制措施被划分为8个功能域:身份认证、访问控制、检测防护、合规审计、数据加密、风险评估、数据安全、运维管理等。有些安全功能还需要整合公司外部的资源,借助外部专业技术支撑,缓解内部人员不足的矛盾,最大限度地提高安全运维工作的绩效。

    具体做法

  集团财务公司构建了统一的网络安全管理平台,建立起事前、事中和事后3个维度的闭关安全管理体系。而统一的安全管理平台可以实现安全一体化安全策略,实现对财务公司整个业务系统安全状况的统筹管理,实现安全设备之间的互联互通操作,消除信息安全孤岛,实现内部异常行为的检测与安全综合预警机制。

  公司还进行了身份认证体系和相关安全支撑基础设施的建设。通过采用公钥密码体制的安全基础设施和应用安全平台技术,将数字证书认证、数字签名、密码服务与密钥管理、可信时间戳服务、电子印章等技术进行有机集成,实现了集团总部及6家权属企业网络之间安全的互联互通;实现了与现有应用系统的无缝结合;实现了为财务公司资金管理系统用户提供数字证书身份认证、强认证手段,满足关键交易防抵赖、防篡改、事后责任的可追溯;实现了网络之间数据和单据印章的远程安全传输;满足了将来可能不断出现新业务对平台的可扩展性。

  以上做法为集团财务公司信息系统的安全运营提供了强有力的支持,极大地提升了公司信息系统的风险控制能力和竞争力。

    收获成效

  财务公司信息系统一体化安全建设实施以来,在3个方面取得了成效。

  一是有效地降低了集团的总体成本。通过虚拟化手段将IT资源标准化,并统一规范平台性支撑软件,从而更好地实现对财务公司整体环境的统一监控。同时,通过资源的自动化调度、软件及应用的自动化部署和配置,问题及事故的智能化处理等手段,极大地降低了运维人员的劳动强度和工作量,从而实现了人力成本的大幅度降低,其运维成本在总体成本中的占比平均可以从60%降低到30%。资源利用率则得到大幅度提升,满足同样的业务需求,只需要保有更少的资源和设备,所需的场地机房面积也将更小,IT相关设备所需电力、空调所需电力也随之大幅减少。综上所述,通过信息系统安全一体化建设,可以有效地降低集团的总体成本。统计显示,数据中心总体拥有成本平均降低了57%。

  二是提升了信息化的业务支撑能力,改善了业务部门的使用体验。在对业务需求变更的响应方面,由于采用高度自动化的资源调度、支撑环境构建、平台软件部署配置和应用发布等手段,使得新功能和新应用的上线周期极大地缩短,业务部门的需求可以在最短的时间内转化为生产环境中可运行的应用系统。应用系统的上线交付时间从平均两至三周减少为几十分钟以内。

  三是促进了业务创新,实现了信息化功能转型。利用数据中心的海量数据,可以实现对业务、管理有效的数据支持。同时由于对区域的在运行系统所有数据具备了跟踪能力,行政管理更加主动、及时、高效。通过网络可随时查阅IT平台各种最新的统计数据,加强宏观管理,优化IT平台资源的配置。此外,通过集中IT平台各种数据,更利于进行采集、归并与挖掘分析,更利于为公司的决策分析提供准确依据。 

  作者:王立春 张国庆 谢斌/文      来源:中国会计报20180803
会计相关
财政相关
友情链接
 

用微信扫一扫

内蒙古会计网