财务结算中心网络安全系统建设方案.docVIP

财务结算中心网络安全系统建设方案【摘 要】财务结算中心也称资金结算中心，是油田负责资金调剂和资金管理的内部职能机构。结算中心的基本运作模式是油田内各成员单位取消其在银行开立的账户，全部到结算中心开户存款并通过结算中心统一对外办理结算；结算中心可以监控各成员单位的资金运作，也可以将各成员单位暂时闲置的资金调剂给符合条件的其它成员单位使用。随着中原油田局域网覆盖范围的不断延伸，以及财务信息化系统在我单位应用的不断深入，网络信息安全已日益成为各类财务系统平稳运行和业务持续开展的重中之重。由于我单位网络终端用户和联网设备数量超过200台，网络结构相对复杂，除中心本部外，还有冀东、普光、陕北、新疆、东北五个外部结算处，通过油田VPN与总公司及本部财务数据库相连。因此，尽快建立完善的网络信息安全管理系统就成为当务之急。 【关键词】安全管理 财务结算 建设 网络 【中图分类号】TP311【文献标识码】A【文章编号】1672-5158（2013）02-0057-02 一、单位网络信息安全现状 经过多年的信息化建设，财务结算中心已建成千兆互联到终端桌面，所使用的主要财务软件如下： （1）中原油田财务结算系统（安装该系统仅为查询历史财务数据）。 （2）中国石化资金集中管理信息系统。 （3）中国石化会计集中管理信息系统。 （4）中原油田关联交易系统。 在网络应用方面，与日常工作密切相关的财务应用系统相继投入使用，网络信息安全系统的建设却相对薄弱。 1、网络系统安全现状 近几年，随着局域网规模的日益扩大，网络结构及设备日趋复杂，网络病毒、黑客攻击、网络欺骗、IP盗用、非法接入等现象，给中心网络的管理、维护带来了前所未有的挑战。中心网络、员工微机经常受到油田局域网以及来自大网非法连接的攻击，IP地址冲突时有发生。ARP攻击导致网络中断、甚至瘫痪；病毒、蠕虫、木马、恶意代码等则可能通过网络传递进来，造成操作系统崩溃、财务数据丢失、泄漏。而各类财务软件的日常应用，必然要进行各种外连和数据传递。如何进行安全地连接网络、传输数据，日益成为中心亟待解决的问题。 2、网络信息监控状况 对于互联网出口的外发信息无法进行记录和查询，缺乏有效的信息审计和日志保存手段，从而不能有效贯彻和满足油田以及国家关于企业网络安全管理制度的落实。 来自网络的安全威胁日益增多，很多威胁并不是以网络入侵的形式进行的，这些威胁事件多数是来自于油田局域网内部合法用户的误操作或恶意操作，仅靠系统自身的日志功能并不能满足对这些网络安全事件的审计要求，网络安全审计通常要求专门细致的协议分析技术，完整的跟踪能力和数据查询过程回放等功能实现。 3、上网行为管理能力 中心网络资源能否合理使用，带宽是否会被非工作需要的网络应用占用，日常工作所需的网络流量和稳定性能否得到保障，当网络出现拥堵，或者异常流量、异常攻击爆发时，是否能及时分析、排查流量使用情况并几时进行有效控制，这些状况主要表现为：网络用户非工作范畴（用于娱乐）的网络应用流量极大，如：各类多线程P2P软件下载、大型网络游戏、P2P类的音视频、网络电视等应用。 二、中心网络信息安全建设目标 为了确保信息资产的价值不受侵犯，保证信息资产拥有者面临最小的安全风险和获取最大的安全利益，使包含物理环境、网络通讯、操作系统、应用平台和信息数据等各个层面在内的整体网络信息系统具有抵御各种安全威胁的能力，我们制订了如下的安全目标： 1、保密性 确保各类财务数据不会泄漏给任何未经授权的个人和实体，或供其使用。 2、可用性 确保财务信息系统正常运转，并保证合法用户对财务信息的使用不会被不正当地拒绝。 3、完整性 防止财务信息被未经授权的篡改，保证真实的信息从真实的信源无失真地到达真实的信宿。 4、真实性 应能对通讯实体所宣称身份的真实性进行准确鉴别。 5、可控性 保证财务数据不被非法访问及非授权访问，并能够控制使用资源的人或实体对资源的使用方式。 6、不可抵赖性 应建立有效的责任机制，防止实体否认其行为。 7、可审查性 应能记录一个实体的全部行为，为出现的网络安全问题提供有效的调查依据和手段。 8、可管理性 应提供统一有效的安全管理机制和管理规章制度，这是确保信息系统各项安全性能有效实现的根本保障，同时合理有效的安全管理可以在一定程度上弥补技术上无法实现的安全目标。 三、中心网络信息安全建设方案 通过上述对中心网络的现状及安全需求分析，并结合油田网络安全与信息安全的具体要求，我们建议实施部署网络出口防火墙系统、网络日志审计系统、网络访问内容和行为审计系统