珠海碧辟液化石油气有限公司TSRS - 管理建议书_v2.0.docVIP

珠海碧辟液化石油气有限公司管理建议书2008年月3日 安永 前言 3 1．完善信息系统程序修改以及维护的控制流程 4 2．正确配置应用程序，操作系统以及数据库的密码安全 5 3．加强对账户及其权限的管理 6 4．权责分工——业务流程（审计范围之外，仅作参考） 7 5．关帐控制——业务流程（审计范围之外，仅作参考） 8 附件1 系统密码设置建议 9 前言 安永科技与信息咨询服务部对贵公司进行的系统安全审计范围包括如下： 公司名称 涉及系统和程序 珠海碧辟液化石油气有限公司 SAP R/3 4.6 Windows Server 2003 Oracle 9i  1．完善信息系统程序修改以及维护的控制流程 发现 在审计过程中，我们注意到以下的问题： 服务器从上海迁移到珠海之后，公司还未对服务器操作系统和数据库的维护、配置制定相应的流程。 影响 如果程序变更没有依照相关流程进行有可能导致程序被非法修改，或修改的内容并不能满足最终用户的需求；因此有可能影响系统的运行，重要财务数据的完整性和正确性； 对服务器操作系统和数据库的更新缺乏审批记录，可能导致管理层无法确定修改是否经过审批； 如果没有对程序修改进行监控，便无法检查服务器操作系统，数据库和应用程序是否存在非法更改； 建议 公司公司管理层回复 正确发现 在审计过程中，我们注意到以及其相应的服务器上的目前的安全配置存在不足之处，详细情况参数 SAP R/3 4.Oracle 9i 最小密码长度 密码复杂程度 没有设置 密码过期的最长时间 42天 非法尝试密码的次数 没有设置 多少次数之内不能用之前用过的密码 没有设置 没有设置 超时锁定 00秒 没有设置 非法登录日志 没有设置 影响 建议 为了减少安全风险，我们建议贵公司以及其相应的服务器上的的安全配置。贵公司可根据实际情况选择设置公司管理层回复 发现 在审计过程中，我们注意到 影响 没有对账户进行有效的管理，会导致有非授权的用户存在于公司系统中，或者是在系统中存在一些无用的，过期的，甚至是不应该存在的账号，从而降低了系统的安全性以及增加了非授权用户登录系统对数据进行修改的风险 由于多位工作人员共同使用同一账号，当非法操作现象出现时，就难以追溯真正的操作人或错误原因。 建议 公司管理层回复 4．权责分工——业务流程（审计范围之外，仅作参考） 发现 ））））影响 建议 ））管理层5．关帐控制——业务流程（审计范围之外，仅作参考） 发现 影响 建议 管理层 附件1 系统密码设置建议 我们建议贵公司以及其相应的服务器上的的安全配置。参数 SAP R/3 4.Oracle 9i 最小密码长度 login/min_password_lng =4 或 6. 6 6 位 密码复杂程度 Enabled PASSWORD_VERIFY_FUNCTION NULL. 密码过期的最长时间 login/password_expiration_time 90天或以下 PASSWORD_LIFE_TIME UNLIMITED. PASSWORD_REUSE_TIME UNLIMITED, PASSWORD_REUSE_MAX UNLIMITED. 非法尝试密码的次数 login/fails_to_session_endlogin/fails_to_user_lock 12. 3 ～ 5次 应设定不多于3次 多少次数之内不能用之前用过的密码 login/failed_user_auto_unlock 5 ～ 10次 FAILED_LOGIN_ATTEMPTS UNLIMITED PASSWORD_LOCK_TIME UNLIMITED 超时锁定 rdisp/gui_auto_logout =900 到 2700 20分钟 IDLE_TIME UNLIMITED. 非法登录日志 rsau/enable rsau /max_diskspace/local 2GB（登录日志容量最大为2GB） Enabled TRANSACTION_AUDITING=TRUE （“TRUE”代表激活了系统自带的登录日志） AUDIT_SYS_OPERATIONS=TRUE（“TRUE”代表激活了系统自带的操作日志） 珠海碧辟液化石油气有限公司 管理建议书 期间：2008年1月1日至2008年12月31日