务院国有资产监督管理委员会等分别颁布了相关的法规制度，如中华人民共和国会计法企业会计制度企业财务会计报告条例企业集团财务公司管理办法修订申请设立企业集团财务公司操作规程商业银行合规风险管理指引电子银行业务管理办法电子银行安全评估指引等，要求对企业财务会计系统进行应用控制和控制。

需求分析系统现状资金申请审批系统中国石化资金申请审批系统是中国石化为应对经济全球化所带来的挑战，以先进的计算机技术为手段，把资金集中管理的规章制度和业务流程体现到计算机的应用管理程序上来予以固化，减少人为因素，实现高效有序的信息化管理，达到统软件平台统规章制度统信息及业务编码统管理统监督的体化要求，实现财务资金的有效管理合理应用，节约了运营成本，增强了市场竞争力，提高了管理决策水平。

资金申请审批系统是在中国石化经济金融体制双重改革不断深化的背景下产生并随之发展壮大的，资金申请审批系统在中国石化发展的同时自身也有了长足的发展，在中国石化的经营活动中起到了举足轻重的作用，为资金的统管理统分配提高使用效率降低运行成本起到了积极的作用。

中国石化资金申请审批系统是个庞大而复杂的系统，涉及到总部和下属近家企业，用户多地理范围广，资金申请审批系统的结构示意图如所示。

图资金申请审批系统结构示意图资金申请审批系统由总部资金申请审批系统企业资金申请审批系统移动用户等三个部分构成。

总部资金申请审批系统总部资金申请审批系统包含有开发测试区生产区数据交换系统以及客户端，其中开发测试区包括浪潮用款申请系统开发测试区测试区数据交换系统测试区生产区包括浪潮用款申请系统服务器以及存储备份系统数据交换系统包括中国石化总部和银行两个部分，其中在总部包括服务器前置服务器加密机防火墙等，在银行部分，涉及到与工行建行中行农行四个银行的连接，设备包括银行前置服务器加密机防火墙等客户端是指会计处资金处等业务用户在进行资金审批业务时使用的客户端，采用浏览器的方式和浪潮用款申请系统连接进行业务处理。

企业资金申请审批系统企业资金申请审批系统是指企业在提报资金申请时使用的客户端，采用浏览器的方式和总部浪潮用款申请系统连接进资金申请。

移动用户浪潮用款申请系统的移动用户是指通过连接到总部浪潮用款申请系统进行资金申请和审批的用户。

浪潮用款申请系统是个结构的业务处理系统，无论是总部的用户还是企业的用户，只要拥有合法权限的业务账号，就可以通过浏览器登录到总部浪潮用款申请系统进行相关权限的业务处理，业务流程示意图如所示。

首先，浪潮用款申请系统在管理上要求总部的相关部门及各个企业，在银行设立收支两种类型的账户，总部的银行账户通过银行系统每天将各个企业和部门的收支两类账户的所有资金统回收到总部的银行账户进行管理，各个企业和部门若使用资金，需要通过浪潮用款申请系统的客户端浏览器提前天提报申请。

审批人员按照固化在系统的流程通过浪潮用款申请系统的客户端浏览器进行签批，然后进入服务器按照规定的流程进行审批。

在服务器审批通过后，向数据交换系统发出转账请求。

数据交换系统的服务器接到转账请求后，将转账请求转发给前置服务器，前置服务器将转账请求加密后传送到银行前置服务器，银行前置服务器解密转账请求后，将其转发到银行业务系统进行转账处理，完成数据交换系统的功能，数据交换系统示意图如图二图三所示。

图二资金申请审批系统业务流程示意图银行数据交换系统系统中国石化前置服务器发送交易信息加解密交易信息和银行进行数据交换发送交易信息密文银行前置服务器加解密交易信息和中国石化进行数据交换发送交易信息银行业务系统进行交易处理返回交易信息返回交易信息密文返回交易信息中国石化数据交换系统图三数据交换系统示意图财务系统相关主机财务相关系统是指资金管理系统系统筹融资系统财务报表生成系统等四个系统，这四个系统对于保障企业正常运营具有重要的意义，也是内部控制要求定期评估的对象。

总部网络系统经过多年的建设，中国石化已经建成了覆盖所有下属企业的光纤主干网，网络上运行着各种应用系统，实现了生产数据实时传输，形成了管控体化的网络体系。

成为中国石化提高工作效率降低成本提供了有效的手段。

网络系统已经成为企业生产经营依赖的不可或缺的重要信息基础设施。

但是。

这在客观上也造成了业务系统面临的威胁及风险可能性也大大增加，随着中国石化信息化建设的发展，相关业务对信息系统依赖程度将越来越大，信息基础设施网络系统主机系统的任何意外事故都可能会给中国石化业务及声誉带来重大影响。

企业对外信息发布站点企业对外信息发布站点经过多年的建设，对企业的宣传起着重要的作用，旦被人恶意攻击修改，对企业会造成影响，比如服务器崩溃，各种应用服务停止服务脚本的安全漏洞，远程溢出漏洞通过服务获取系统的超级用户特权通过服务上传木马等非法后门程序，以达到对整个服务器的控制服务器的数据源被非法入侵，用户的些私有信息被窃利用服务器作为跳板，进而攻击内部的重要数据库服务器。

拒绝服务攻击或分布式拒绝服务攻击恶意的，攻击等。

评估需求中国石化已经对加油卡系统做了系统化的安全评估，取得了很好的效果，对加油卡系统的下步安全建设提供了依据。

为了保证中国石化信息基础设施和资金申请审批系统安全稳定可靠运行，保证各种应用的有效运转，按照有关领导的告及建议。

总体验收内容及指标安全评估方案安全评估实施方案资金申请审批系统应用控制有效性穿行测试报告资金申请审批系统应用安全设计与实现评估报告资金申请审批系统用款申请系统渗透测试报告资金申请审批系统模块接口测试报告资金申请审批系统应用及基础设施运行管理风险评估报告资金集中管理信息系统安全评估报告资金集中管理信息系统安全建议总部网络风险评估报告财务相关系统主机主机设备数据库评估报告企业站点渗透测试报告财务相关主机加固建议企业站点加固建议。

项目实施计划组织机构及人员安排为了切实落实并且保证本次项目管理的有效性，由中国石化财务部信息系统管理部石化盈科和江南天安，将联合组成评估项目组，担任本次安全评估工作。

从项目的组织机构项目信息流通方向项目信息审批和项目文档管理几个方面来进行项目组的建设和责任分工。

此种管理方式保证本项目可以有效地调动项目组的各类资源支持项目的开展。

并且通过项目组的密切沟通和支持可以确保用户方中国石化的最大利益。

负责单位信息系统管理部实施单位石化盈科江南天安参加单位资金申请审批系统使用部门开发商集成商。

为使评估项目更好的实施，成立领导组管理组安全组协调组实施组等，组织结构图如所示。

图六组织结构图进度计划该项目的进度计划如图七所示，预计在三个月完成，图中以月日开始为例，那么项目的结束时间为月日。

图七进度计划可行性分析技术可行性分析石化盈科江南天安长期从事信息安全的研究，多次承担了国家信息系统安全风险评估工作，积累了大量的工作经验，为国家部委制定了系列安全技术和安全管理标准，并拥有支高水平的信息安全评估服务队伍，完全有能力承担本次任务。

该项目符合中国石化信息化安全稳定发展的需要，符合资金申请审批系统业务高速安全发展的需要，符合资金申请审批系统安全建设策略要求。

项目目标清晰内容完整过程规范技术成熟。

投入产出分析投入分析产出分析通过本项目的实施，可以使各级领导各级管理部门建设与运维部门操作与控制人员分层分级地把握信息基础设施和资金申请审批系统的安全风险，了解整个系统的安全状况，明确安全保障目标和任务，突出重点，能有效提高信息基础设施和资金申请审批系统安全管理水平，提高安全建设投资效率和安全工作效率，更有利于市场竞争能力提高。

风险分析及规避安全评估实施计划评审在项目实施过程中，对安全评估实施计划的内容进行评审，并形成正规化文件。

评估实施严格按评估实施方案和安全评估实施计划实施评估。

参与评估的人员实施保密教育，签署保密协议。

文件管理对评估活动中的所有项目文档，采取专机专用专管专控措施，保证评估的正规化规范化，杜绝失泄密。

这些文件包括评估实施方案安全评估实施计划工具集以及中间文档记录等。

实施过程中的风险控制由于评估过程中将使用多种攻击性工具，因此评估可能对信息系统安全造成定的潜在威胁，对此主要采取以下控制措施。

评估实施前制定详细实施计划，编制项目章程，签署保密协议。

所有工作计划必须获得领导批准，并严格按照计划执行。

项目章程要明确组织领导关系联系沟通方式报告与会议制度保密制度文档流转控制制度变更控制制度。

对于项目中的任何变更，项目实施人员均要通知项目组长或领导组成员，项目组长或领导组成员需要对是否允许变更做出批示。

对于重要的变更，需要书面的变更申请，并更新相关计划。

评估实施前信息平台重要数据，如网络系统关键设备配置服务器系统配置参数以及应用环境和数据，需做好备份，保证能够快速恢复系统。

做好各种可能的应急预案。

结论该项目符合中国石化信息化安全稳定发展的需要，符合中国石化信息基础设施和资金集中管理业务高速安全发展的需要，符合中国石化信息基础设施和资金集中管理业务系统安全建设策略要求。

目标清晰内容完整过程规范技术成熟费用合理。

参考文献资料中国石化信息安全规划初稿信息安全评估指南送审稿安全管理体系要求，替代原替代原安全管理实践信息安全技术信息系统安全管理要求信息安全技术信息系统通用安全技术要求信息系统安全等级保护测评准则信息技术安全技术安全管理指南第部分安全的管理和规划信息技术安全技术信息技术安全性评估准则第部分安全功能要求信息处理系统开放系统互连基本参考模型第部分安全体系结构信息系统安全工程的成熟度模型其它内控安全要求。

目录编制依据和原则编写依据项目意义国内外现状及发展趋势国外现状及发展趋势国内现状及发展趋势需求分析系统现状评估需求评估目标和评估内容项目目标项目内容工作策略技术方案和技术路线技术方案技术路线评估手段评估工具关键技术核准通过，归档资料。

未经允许，请勿外传，投资估算人天估算投资估算验收指标阶段划分总体验收内容及指标项目实施计划组织机构及人员安排进度计划可行性分析技术可行性分析投入产出分析风险分析及规避结论参考文献资料编制依据和原则编写依据国家信息化办公室要求国有大型企业对信息系统实施全面的安全评估中国人民代表大会