的各种技术风险。 通过对财务相关系统相关主机的安全评估,了解财务系统主机的安全现状,确定财 务系统相关主机存在的漏洞,制定主机系统加固措施,保障财务系统相关主机的安 全。这也是内控的基本要求。 中国石化经过多年的网络建设，已经建成了以光纤主干网为基础覆盖所有下属企 业的网络体系，总公司通过主干网与下属企业实现网络连接，形成了个向下覆盖 所有下属企业主要生产部门的信息网络，网络上承载着和系统等重要生 产经营系统，公司的生产经营对网络和主机系统的依赖程度越来越高，主干网络出 现问题将严重影响公司的效益和声誉。对总部局域网主干网和出口进 行信息安全评估，明确网络的信息安全保障能力，对中国石化具有重要的现实意义。 对公司站点渗透测试，为站点的安全提供保障基础。 国内外现状及发展趋势 国外现状及发展趋势 信息安全与信息系统安全评估是整个信息安全工作的重点之，是安全体系建设的基 础。 多年来，国外信息技术的发展与应用已经渗透到企业的各个层面，信息安全与信息系统 安全已经成为了项基础性长期性的工作，已经把信息安全投入作为信息系统拥有成本的 基本组成考虑，为了增加安全投资的可靠性针对性有效性，已经将信息安全风险评估标 准与规范落实到了信息系统的整个生命周期之中，实现了信息系统从规划设计到建设运行各个阶段信息安全风险评估和安全保障体系的同步建设。 国外比较大型的企业已经基本上建立的自己的信息安全保障体系标准，信息安全风险管 理作为重点工作之，只有通过标准化工作，才能保证信息系统的功能性能的有效发挥， 他们把信息安全评估工作作为重要的战略进行部署并贯彻执行。通常，他们会对其重要系统 每半年进行次安全评估，每三年对整个信息技术基础设施进行次全面评估。 尤其是年以来，随着安然世通等财务欺诈事件的发生， 以及安达信为涉嫌造假的安然公司及世通公司提供财务保教审计，美国国会出台年 公众公司会计改革和投资者保护法案该法案由美国众议院金融服务委员会主席奥克斯利 和参议院银行委员会主席萨班斯联合提出，又名萨班斯法案，简写 为法，要求所有根据美国年证券交易法向或者被要求向证券交易委员会 递交定期报告的公司包括美国和非美国公司，在会计本，增强了市场竞争力，提高了管理决策水平。 资金申请审批系统是在中国石化经济金融体制双重改革不断深化的背景下产生并随之 发展壮大的，资金申请审批系统在中国石化发展的同时自身也有了长足的发展，在中国石化 的经营活动中起到了举足轻重的作用，为资金的统管理统分配提高使用效率降低 运行成本起到了积极的作用。 中国石化资金申请审批系统是个庞大而复杂的系统，涉及到总部和下属近家企业， 用户多地理范围广，资金申请审批系统的结构示意图如所示。 图资金申请审批系统结构示意图 资金申请审批系统由总部资金申请审批系统企业资金申请审批系统移动用户等三个部分构成。 总部资金申请审批系统 总部资金申请审批系统包含有开发测试区生产区数据交换系统以及客户端，其中 开发测试区包括浪潮用款申请系统开发测试区测试区数据交换系统测试区 生产区包括浪潮用款申请系统服务器以及存储备份系统 数据交换系统包括中国石化总部和银行两个部分，其中在总部包括服务器 前置服务器加密机防火墙等，在银行部分，涉及到与工行建行中行农行四个银行 的连接，设备包括银行前置服务器加密机防火墙等 客户端是指会计处资金处等业务用户在进行资金审批业务时使用的客户端，采用 浏览器的方式和浪潮用款申请系统连接进行业务处理。 企业资金申请审批系统 企业资金申请审批系统是指企业在提报资金申请时使用的客户端，采用浏览器的方 式和总部浪潮用款申请系统连接进资金申请。 移动用户 浪潮用款申请系统的移动用户是指通过连接到总部浪潮用款申请系统进行资 金申请和审批的用户。 浪潮用款申请系统是个结构的业务处理系统，无论是总部的用户还是企业的用 户，只要拥有合法权限的业务账号，就可以通过浏览器登录到总部浪潮用款申请系统进 行相关权限的业务处理，业务流程示意图如所示。 首先，浪潮用款申请系统在管理上要求总部的相关部门及各个企业，在银行设立收支两 种类型的账户，总部的银行账户通过银行系统每天将各个企业和部门的收支两类账户的所有 资金统回收到总部的银行账户进行管理，各个企业和部门若使用资金，需要通过浪潮用款申请系统的客户端浏览器提前天提报申请。审批人员按照固化在系统的流程通过 浪潮用款申请系统的客户端浏览器进行签批，然后进入服务器按照规定的流程进 行审批。在服务器审批通过后，向数据交换系统发出转账请求。数据交换系统的 服务器接到转账请求后，将转账请求转发给前置服务器，前置服务器将转账请求加密后传送 到银行前置服务器，银行前置服务器解密转账请求后，将其转发到银行业务系统进行转账处 理，完成数据交换系统的功能，数据交换系统示意图如图二图三所示。 图二资金申请审批系统业务流程示意图 银行数据交换系统 系统 中国石化前置 服务器 发送交易信息 加解密交易信息 和银行进行数据交换 发送交易信息 密文 银行前置 服务器 加解密交易信息 和中国石化进行数据交换 发送交易信息 银行业务 系统 进行交易处理 返回交易信息 返回交易信息 密文 返回交易信息 中国石化数据交换系统 图三数据交换系统示意图 财务系统相关主机 财务相关系统是指资金管理系统系统筹融资系统财务报表生成系统等四个 系统，这四个系统对于保障企业正常运营具有重要的意义，也是内部控制要求定期评估的对 目录 编制依据和原则 编写依据 项目意义 国内外现状及发展趋势 国外现状及发展趋势 国内现状及发展趋势 需求分析 系统现状 评估需求 评估目标和评估内容 项目目标 项目内容 工作策略 技术方案和技术路线 技术方案 技术路线 评估手段 评估工具 关键技术 核准通过，归档资料。 未经允许，请勿外传,投资估算 人天估算 投资估算 验收指标 阶段划分 总体验收内容及指标 项目实施计划 组织机构及人员安排 进度计划 可行性分析 技术可行性分析 投入产出分析 风险分析及规避 结论 参考文献资料 编制依据和原则 编写依据 国家信息化办公室要求国有大型企业对信息系统实施全面的安全评估 中国人民代表大会发布的中华人民共和国公司法要求 中华人民共和国财政部发布的中华人民共和国会计法及企业会计制度要求 中国银行业监督管理委员会发布的企业集团财务公司管理办法电子银行业务 管理办法电子银行安全评估指引要求 中国石化信息安全规划初稿要求 中国石化财务部将资金申请审批系统的安全稳定运行作为今后重点工作之，以保 证资金申请审批系统和业务的可持续发展 中国石化各级领导高度重视资金申请审批系统的安全，高层领导指示要了解资金申 请审批系统的安全状况，对资金申请审批系统进行全面的安全评估工作 内控对信息安全的要求。 项目意义 中国石化资金申请审批系统发展至今，已在全国家企业应用。为了保证系统可 靠稳定运行，巩固成果持续发展，有必要通过体系的安全评估，了解目前资金申 请审批系统面临的内外安全风险，为后续建设提供科学的决策信息，进步提高资 金申请审批系统服务能力服务水平。 通过对资金申请审批系统的安全评估，满足中国人民银行中华人民共和国财政部 中国银行业监督管理委员国务院国有资产监督管理委员会对财务会计系统的合规 性要求。 通过中国石化资金申请审批系统的安全评估，进步提高资金申请审批系统安全保障能力，提高信息化水平和信息安全管理水平。 通过中国石化资金申请审批系统体系化的安全评估工作，明确下步基础设施建设 策略，为整个资金申请审批系统安全保障体系建设做出科学可行规划，控制建设 部署运维管理业务发展方面的各种技术风险。 通过对财务相关系统相关主机的安全评估,了解财务系统主机的安全现状,确定财 务系统相关主机存在的漏洞,制定主机系统加固措施,保障财务系统相关主机的安 全。这也是内控的基本要求。 中国石化经过多年的网络建设，已经建成了以光纤主干网为基础覆盖所有下属企 业的网络体系，总公司通过主干网与下属企业实现网络连接，形成了个向下覆盖 所有下属企业主要生产部门的信息网络，网络上承载着和系统等重要生 产经营系统，公司的生产经营对网络和主机系统的依赖程度越来越高，主干网络出 现问题将严重影响公司的效益和声誉。对总部局域网主干网和出口进 行信息安全评估，明确网络的信息安全保障能力，对中国石化具有重要的现实意义。 对公司站点渗透测试，为站点的安全提供保障基础。 国内外现状及发展趋势 国外现状及发展趋势 信息安全与信息系统安全评估是整个信息安全工作的重点之，是安全体系建设的基 础。 多年来，国外信息技术的发展与应用已经渗透到企业的各个层面，信息安全与信息系统 安全已经成为了项基础性长期性的工作，已经把信息安全投入作为信息