控制和控制。需求分析系统现状资金申请审批系统中国石化资金申请审批系统是中国石化为应对经济全球化所带来的挑战，以先进的计算机技术为手段，把资金集中管理的规章制度和业务流程体现到计算机的应用管理程序上来予以固化，减少人为因素，实现高效有序的信息化管理，达到统软件平台统规章制度统信息及业务编码统管理统监督的体化要求，实现财务资金的有效管理合理应用，节约了运营成本，增强了市场竞争力，提高了管理决策水平。资金申请审批系统是在中国石化经济金融体制双重改革不断深化的背景下产生并随之发展壮大的，资金申请审批系统在中国石化发展的同时自身也有了长足的发展，在中国石化的经营活动中起到了举足轻重的作用，为资金的统管理统分配提高使用效率降低运行成本起到了积极的作用。中国石化资金申请审批系统是个庞大而复杂的系统，涉及到总部和下属近家企业，用户多地理范围广，资金申请审批系统的结构示意图如所示。图资金申请审批系统结构示意图资金申请审批系统由总部资金申请审批系统企业资金申请审批系统移动用户等三个部分构成。总部资金申请审批系统总部资金申请审批系统包含有开发测试区生产区数据交换系统以及客户端，其中开发测试区包括浪潮用款申请系统开发测试区测试区数据交换系统测试区生产区包括浪潮用款申请系统服务器以及存储备份系统数据交换系统包括中国石化总部和银行两个部分，其中在总部包括服务器前置服务器加密机防火墙等，在银行部分，涉及到与工行建行中行农行四个银行的连接，设备包括银行前置服务器加密机防火墙等客户端是指会计处资金处等业务用户在进行资金审批业务时使用的客户端，采用浏览器的方式和浪潮用款申请系统连接进行业务处理。企业资金申请审批系统企业资金申请审批系统是指企业在提报资金申请时使用的客户端，采用浏览器的方式和总部浪潮用款申请系统连接进资金申请。移动用户浪潮用款申请系统的移动用户是指通过连接到总部浪潮用款申请系统进行资金申请和审批的用户。浪潮用款申请系统是个结构的业务处理系统，无论是总部的用户还是企业的用户，只要拥有合法权限的业务账号，就可以通过浏览器登录到总部浪潮用款申请系统进行相关权限的业务处理，业务流程示意图如所示。首先，浪潮用款申请系统在管理上要求总部的相关部门及各个企业，在银行设立收支两种类型的账户，总部的银行账户通过银行系统每天将各个企业和部门的收支两类账户的所有资金统回收到总部的银行账户进行管理，各个企业和部门若使用资金，需要通过浪潮用款申请系统的客户端浏览器提前天提报申请。审批人员按照固化在系统的流程通过浪潮用款申请系统的客户端浏览器进行签批，然后进入服务器按照规定的流程进行审批。在服务器审批通过后，向数据交换系统发出转账请求。数据交换系统的服务器接到转账请求后，将转账请求转发给前置服务器，前置服务器将转账请求加密后传送到银行前置服务器，银行前置服务器解密转账请求后，将其转发到银行业务系统进行转账处理，完成数据交换系统的功能，数据交换系统示意图如图二图三所示。图二资金申请审批系统业务流程示意图银行数据交换系统系统中国石化前置服务器发送交易信息加解密交易信息和银行进行数据交换发送交易信息密文银行前置服务器加解密交易信息和中国石化进行数据交换发送交易信息银行业务系统进行交易处理返回交易信息返回交易信息密文返回交易信息中国石化数据交换系统图三数据交换系统示意图财务系统相关主机财务相关系统是指资金管理系统系统筹融资系统财务报表生成系统等四个系统，这四个系统对于保障企业正常运营具有重要的意义，也是内部控制要求定期评估的对象。总部网络系统经过多年的建设，中国石化已经建成了覆盖所有下属企业的光纤主干网，网络上运行着各种应用系统，实现了生产数据实时传输，形成了管控体化的网络体系。成为中国石化提高工作效率降低成本提供了有效的手段。网络系统已经成为企业生产经营依赖的不可或缺的重要信息基础设施。但是。这在客观上也造成了业务系统面临的威胁及风险可能性也大大增加，随着中国石化信息化建设的发展，相关业务对信息系统依赖程度将越来越大，信息基状调查表主机操作系统版本补丁状况口令账号管理文件管理服务管理备份安全措施等网络及物理环境现状调查表链路状况网络拓扑设备产品部署管理平台手段配置状况端口服务安全措施机房环境等。检查表利用检查表检查系统是否存在弱点，检查表由评估人员在安全检查与测试时使用，本次风险评估使用的检查表可能包括业务及应用安全检查表安全管理检查表服务器安全检查表数据库安全检查表操作系统安全检查表物理安全检查表网络设备安全检查表安全设备安全检查表自动化测试工具自动化测试工具包括扫描工具口令破解攻击攻击工具等。用于检测系统可能存在的漏洞或弱点。关键技术其中主要涉及的关键技术包括威胁建模应用设计安全分析渗透测试投资估算人天估算本评估项目人天估算如表六所示。表人天估算类别评估项目评估时间天评估人员备注资金管理系统应用安全评估业务流程控制有效性高级安全咨询顾问人业务顾问人应用系统架构和设计安全应用安全专家人应用技术顾问人应用系统实现安全高级安全咨询顾问人应用技术顾问人页面安全高级安全咨询顾问人应用运行管理高级安全咨询顾问人模块接口安全应用安全专家人应用技术顾问人财务相关系统主机评估主机系统高级安全咨询顾问人数据库高级安全咨询顾问人运行管理高级安全咨询顾问人总部网络系统安全评估网络结构设计资金管理系统部分总部局域网骨干网总部局域网互联网出口高级安全咨询顾问人安全咨询顾问人网络设备安全咨询顾问人安全设备高级安全咨询顾问人安全咨询顾问人企业站点站点渗透测试高级安全咨询顾问人分项总计应用安全专家高级安全咨询顾问业务顾问应用技术顾问安全咨询顾问注上述每项时间包含前期准备时间现场时间后期分项文档时间综合分析应用安全分项与基础设施分项综合分析应用安全专家人高级安全咨询顾问人总计业务顾问人天应用技术顾问人天应用安全专家人天高级安全咨询顾问人天安全咨询顾问人天项目预算注业务顾问是指熟悉中国石化业务流程的资深人员应用技术顾问是指和技术顾问应用安全专家是指熟悉资金申请审批系统应用的评估人员高级安全咨询顾问是指熟悉安全咨询标准具有丰富评估经验的人员安全咨询顾问是指了解安全咨询标准熟悉安全评估内容的人员。投资估算投资估算总额为元，具体内容如下。表投资估算序号内容数量单价元小计元备注技术服务费用业务顾问评估人员现场费用应用技术顾问应用安全专家高级安全咨询顾问安全咨询顾问专用硬件设备,专用软件测试及工具,项目管理费,合计验收指标阶段划分在项目的实施中，将项目分为项目准备阶段现状调研阶段现状分析阶段检查与测试阶段分析评价阶段报告编制阶段等六个阶段，如图五所示。图五项目阶段划分本次风险评估项目分项目准备调研现状分析检查与测试分析评价及起草评估报告六步骤，各步骤验收的内容如下项目准备阶段提交中国石化信息基础设施安全评估项目实施计划中国石化资金申请审批系统安全评估项目实施计划现状调研阶段提交调查报告及测试报告分析评估提交风险分析报告报告编制阶段提交风险评估工作报告及建议。总体验收内容及指标安全评估方案安全评估实施方案资金申请审批系统应用控制有效性穿行测试报告资金申请审批系统应用安全设计与实现评估报告资金申请审批系统用款申请系统渗透测试报告资金申请审批系统模块接口测试报告资金申请审批系统应用及基础设施运行管理风险评估报告资金集中管理信息系统安全评估报告资金集中管理信息系统安全建议总部网络风险评估报告财务相关系统主机主机设备数据库评估报告企业站点渗透测试报告财务相关主机加固建议企业站点加固建议。项目实施计划组织机构及人员安排为了切实落实并且保证本次项目管理的有效性，由中国石化财务部信息系统管理部石化盈科和江南天安，将联合组成评估项目组，担任本次安全评估工作。从项目的组织机构项目信息流通方向项目信息审批和项目文档管理几个方面来进行项目组的建设和责任分工。此种管理方式保证本项目可以有效地调动项目组的各类资源支持项目的开展。并且通过项目组的密切沟通和支持可以确保用户方中国石化的最大利益。负责单位信息系统管理部实施单位石化盈科江南天安参加单位资金申请审批系统使用部门开发商集成商。为使评估项目更好的实施，成立领导组管理组安全组协调组实施组等，组织结构图如所示。图六组织结构图进度计划该项目的进度计划如图七所示，预计在三个月完成，图中以月日开始为例，那么项目的结束时间为月日。图七进度计划可行性分析技术可行性分析石化盈科江南天安长期从事信息安全的研究，多次承担了国家信息系统安全风险评估工作，积累了大量的工作经验，为国家部委制定了系列安全技术和安全管理标准，并拥有支高水平的信息安全评估服务队伍，完全有能力承担本次任务。该项目符合中国石化信息化安全稳定发展的需要，符合资金申请审批系统业务高速安全发展的需要，符合资金申请审批系统安全建设策略要求。项目目标清晰内容完整过程规范技术成熟。投入产出分析投入分析产出分析通过本项目的实施，可以使各级领导各级管理部门建设与运维部门操作与控制人员分层分级地把握信息基础设施和资金申请审批系统的安全风险，了解整个系统的安全状况，明确安全保障目标和任务，突出重点，能有效提高信息基础设施和资金申请审批系统安全管理水平，提高安全建设投资效率和安全工作效率，更有利于市场竞争能力提高。风险分析及规避安全评估实施计划评审在项目实施过程中，对安全评估实施计划的内容进行评审，并形成正规化文件。评估实施严格按评估实施方案和安全评估实施计划实施评估。参与评估的人员实施保密教育，签署保密协议。文件管理对评估活动中的所有项目文档，采取专机专用专管专控措施，保证评估的正规化规范化，杜绝失泄密。这些文件包括评估实施方案安全评估实施计划工具集以及中间文档记录等。实施过程中的风险控制由于评估过程中将使用多种攻击性工具，因此评估可能对信息系统安全造成定的潜在威胁，对此主要采取以下控制措施。评估实施前制定详细实施计划，编制项目章程，签署保密协议。所有工作计划必须获得领导批准，并严格按照计划执行。项目章程要明确组织领导关系联系沟通方式报告与会议制度保密制度文档流转控制制度变更控制