钢铁行业信息安全解决方案.pdf

钢铁行业信息安全解决方案 钢铁作为传统的制造行业， 已经摆脱了传统的业务模式， 开始走向信息化生产时代。 在 多年的信息化建设过程中， “如何保障信息系统的安全正常运行 ”的课题，一直是行业中讨论、 尝试的重点。 虽然信息化程度提高了， 但信息系统的安全问题不容忽视， 尤其是针对业务系 统的信息安全治理成为重中之重。 ERP 系统审计提高企业风险管理能力 重庆钢铁集团公司是重庆市最大的一家国有企业， 也是一家在历史上为中国冶金行业的 发展做出过贡献的老企业。重钢集团公司 93 年开始实施财务管理系统，现在已全部实现电 算化， 97 年实现了营销管理、生产管理及原材料管理信息化改造，建立了生产、销售、管 理一体化的信息系统（ ERP 系统）。精准的战略定位、卓越的研发创新实力，奠定了重庆钢 铁突出的主业竞争优势，其主导产品中厚板材被誉为中国第一板。重钢 ERP 系统经过不断 建设，已经形成了能够提供诸如销售（订单）管理、质量控制、生成流程管理等综合业务功 能的综合系统。 可以说， ERP 已经成为重钢的生命线，在未来的发展过程中，企业需要利用这个系统， 进行钢铁的生产、新钢材的研究以及产品销售管理。但众所周知， 信息系统的建设过程、使 用过程、以及相关的环境因素中都存在着大量的风险因素。如果不能对 ERP 系统的信息安 全问题进行有效的管理， 不但可能增加系统的实施成本， 稍有不慎， 还可能造成巨大的损失。 为了防范和降低风险，必须加强风险管理和风险控制，建立一套良好的 ERP 系统的信息安 全管理机制。这其中就包括了信息安全审计。 审计已经成为企业内控、 信息系统治理、 完善 风险管理的不可或缺的关键手段。 通过对市场上安全审计技术的评测和试用， 重庆钢铁集团最终选择了启明星辰的天玥安 全审计解决方案。重庆钢铁希望通过安全审计技术来解决针对重要的业务系统提供基于 CA 证书（ USB 令牌）的二次强身份认证，同时针对关键主机访问采取专项控制和管理；针对 企业 ERP 系统的应用操作与维护行为进行记录、审计、回放；针对企业 ERP 系统的后台 Oracle 数据库的访问行为进行记录、审计、回放。 细粒度审计报告，全面定位网络风险 ERP 系统的应用和发展为在市场经济大潮中奋力搏击的众多企业注入新的血液，在中 国和世界都掀起了一场管理思想和管理技术的革命。对企业 ERP 系统进行安全审计不能仅 仅局限在 FIS，ERP 软件的其他功能模块，如销售和分销（ SD ）、物料管理（ MM ）、生产计 划（ PP）、人力资源（ HR ）等，对于核实企业资产负债的真实性、交易过程的合规合法性， 检查企业内部控制的执行情况，都有重要的参考作用。 ERP 系统虽然实现了会计处理中间 过程的无纸化，但同时对 ERP 系统审计中如何取得充分、有效的证据也提出了挑战。 计报告是业务审计系统价值的具体体现， 它起到为制定决策提供重要依据的作用。 面对 用户越来越复杂的业务系统， 面对海量的信息和复杂的技术环境， 报告的细粒度已经成为业 务网络审计系统发展的必然。为了方便用户取证、追查和建立制度，报告应该越细越好。 在该案例中， 天玥网络安全审计系统能够通过实时镜像捕获通过各交换机的网络流量和 网络行为进行高强度监控，