钢铁作为传统的制造行业,已经摆脱了传统的业务模式,开始走向信息化生产时代。在多年的信息化建设过程中,“如何保障信息系统的安全正常运行”的课题,一直是行业中讨论、尝试的重点。虽然信息化程度提高了,但信息系统的安全问题不容忽视,尤其是针对业务系统的信息安全治理成为重中之重。
ERP系统审计提高企业风险管理能力
重庆钢铁集团公司是重庆市最大的一家国有企业,也是一家在历史上为中国冶金行业的发展做出过贡献的老企业。重钢集团公司93年开始实施财务管理系统,现在已全部实现电算化,97年实现了营销管理、生产管理及原材料管理信息化改造,建立了生产、销售、管理一体化的信息系统(ERP系统)。精准的战略定位、卓越的研发创新实力,奠定了重庆钢铁突出的主业竞争优势,其主导产品中厚板材被誉为中国第一板。重钢ERP系统经过不断建设,已经形成了能够提供诸如销售(订单)管理、质量控制、生成流程管理等综合业务功能的综合系统。
可以说,ERP已经成为重钢的生命线,在未来的发展过程中,企业需要利用这个系统,进行钢铁的生产、新钢材的研究以及产品销售管理。但众所周知,信息系统的建设过程、使用过程、以及相关的环境因素中都存在着大量的风险因素。如果不能对ERP系统的信息安全问题进行有效的管理,不但可能增加系统的实施成本,稍有不慎,还可能造成巨大的损失。为了防范和降低风险,必须加强风险管理和风险控制,建立一套良好的ERP系统的信息安全管理机制。这其中就包括了信息安全审计。审计已经成为企业内控、信息系统治理、完善风险管理的不可或缺的关键手段。
通过对市场上安全审计技术的评测和试用,重庆钢铁集团最终选择了启明星辰的天?安全审计解决方案。重庆钢铁希望通过安全审计技术来解决针对重要的业务系统提供基于CA证书(USB令牌)的二次强身份认证,同时针对关键主机访问采取专项控制和管理;针对企业ERP系统的应用操作与维护行为进行记录、审计、回放;针对企业ERP系统的后台Oracle数据库的访问行为进行记录、审计、回放。
细粒度审计报告,全面定位网络风险
ERP系统的应用和发展为在市场经济大潮中奋力搏击的众多企业注入新的血液,在中国和世界都掀起了一场管理思想和管理技术的革命。对企业ERP系统进行安全审计不能仅仅局限在FIS,ERP软件的其他功能模块,如销售和分销(SD)、物料管理(MM)、生产计划(PP)、人力资源(HR)等,对于核实企业资产负债的真实性、交易过程的合规合法性,检查企业内部控制的执行情况,都有重要的参考作用。ERP系统虽然实现了会计处理中间过程的无纸化,但同时对ERP系统审计中如何取得充分、有效的证据也提出了挑战。
审计报告是业务审计系统价值的具体体现,它起到为制定决策提供重要依据的作用。面对用户越来越复杂的业务系统,面对海量的信息和复杂的技术环境,报告的细粒度已经成为业务网络审计系统发展的必然。为了方便用户取证、追查和建立制度,报告应该越细越好。
在该案例中,网络安全审计系统能够通过实时镜像捕获通过各交换机的网络流量和网络行为进行高强度监控,利用计算机辅助审计技术更快速、更有效地对电子化的经济信息进行抽样、检查、核对、分析、比较和计算,有效地提高审计效率、扩大审查范围、提高审计质量,避免安全事故的发生,有效满足ERP系统对审计的挑战。
据介绍,网络安全审计系统提供设计一套完善的审计报告输出机制,审计报告多达上百种,包括符合SOX法案的专业报表,还可以根据用户需求定制审计报告。一方面将海量的日志信息通过多种有效、快捷的手段精确定位用户关注的审计结果,另一方面以美观、多样的呈现方式从各个角度直观展现业务系统的全局运行状况,为用户的IT内控治理提供多样化的分析数据。
从网络架构来看,重庆钢铁集团ERP系统涉及一个总厂和六个分厂,在总厂和六个分厂均配置有本次项目需要审计的Oracle数据库和应用服务器。根据自身的这种网络和系统架构,重庆钢铁集团结合启明星辰在大企业实施内控审计项目的相关经验,在总厂和六个分厂的骨干交换机处总共部署天?审计引擎7台,通过实时对经过各交换机的网络流量和网络行为进行高强度监控,能够有效规范内部工作人员对企业ERP系统重要资源的维护与访问行为,避免安全事故的发生。同时,通过总厂的审计管理控制中心,工作人员可以实时监控每个分厂的网络运行状况,实时对审计策略进行调整,以防护关键数据的完整性、减少物料浪费、提高运营效率、降低经营成本。