前言
国外发达国家的财务公司发展已有100多年的历史,全球500强企业中有2/3以上都有自己的财务公司。1987年5月,我国批设了第一家企业集团财务公司-东风汽车工业财务公司。目前我国102家中央企业中,已有73家已成立了自己的财务公司,主要集中在能源和资源业、制造业、交通运输业。集团企业财务公司是经中国银行业监督管理委员会批准的非银行金融机构,是以加强企业集团资金集中管理和提高企业集团资金使用效率为目的,为企业集团成员单位提供财务管理服务。实质上财务公司相当于企业集团的内部银行,集团公司与财务公司是"父子"关系。财务公司的其主要职能包括:对内的金融服务、资源配置、资本控制、内部结算、筹资融资、资信鉴证等职能,对外的消费信贷、融资租赁、投资管理、财务顾问等职能。
随着财务公司信息化水平的不断提高,信息技术已经成为财务公司赖以生存的重要基础,成为财务公司业务创新、经营理念创新的重要推动力。企业资金集中管理与使用对信息技术的高度依赖性,也使得信息技术风险、信息数据安全、网络安全对财务公司的影响变得更加突出。特别是当财务公司信息化建设全面进入以核心业务系统整合、数据大集中、数据综合统计分析为特征的阶段,信息技术风险、信息数据安全、网络安全可能对财务公司业务产生不可估量的影响,如何建立一套合格的信息安全风险防范体系,如何保证企业核心数据安全,成为财务公司信息化建设迫切需要解决的问题。
一、财务公司信息安全现状
财务公司作为非银行金融机构,信息安全问题一直是信息化建设面临的首要问题。财务公司会从组织上、技术上、管理上采取必要的措施,用来保障网络安全、数据安全、信息安全,使系统整体环境具备一定的安全防护能力,可较好地保障信息系统的稳定、安全运行和业务连续性的正常开展。
为了增强系统整体的健壮性,在信息安全建设方面,财务公司一般会对局域网进行区域划分,并在不同的网络区域之间部署防火墙及启用区域间访问策略,保证核心业务系统数据的安全。在互联网出口等网络边界处会部署入侵防护、防火墙等,实现了网络资源访问检测与控制。另外,还会对重要硬件系统定期进行健康度评估和硬件设备加固工作,进一步增强信息安全防范手段。
二、财务公司信息安全存在的问题
虽然大部分财务公司已经制定了一定的信息安全制度,在关键位置部署了安全设备,但信息系统安全工作仍不容乐观。其影响因素来源于信息技术的一般风险、数据的特定风险和操作规范性的行为风险,具体包括硬件系统、软件系统、数据存储、安全规划与制度建设、内部控制与人员责任等多个方面。
1.硬件系统风险。硬件是计算机正常运行的基础,任何软件都要建立在硬件之上。如果存在操作人员不正确的操作、人为的有意破坏以及不可预测的灾害所造成的破坏时,将会导致网络系统瘫痪,软件无法运行,业务处理停滞,给财务公司造成很大损失。
2.软件系统风险。财务公司核心业务系统在运行过程中,需要操作系统、中间件、数据库等相关软件的支撑,如果软件系统存在漏洞,信息的安全程度通常会受到威胁,会直接影响软件的运行效率。
3.数据存储风险。数据安全对企业尤其重要,在网络环境下,数据以电子格式存储于服务器端,财务数据容易产生信息丢失、人为的被盗和破坏。同时,数据在客户端和服务器端之间进行数据传递和交换时,也容易被截取、泄露或篡改。
4.安全规划与制度建设风险。缺乏统一的安全体系规划,存在"头痛医头,脚痛医脚"的盲目性,缺乏统一、有效的安全体系规划方案。信息安全管理制度不完善,部分现行制度间存在流程割裂、边界定义不明确、责任划分模糊不清,安全问责制无从落实。部门责任和岗位责任制得不到真正落实,已有的规章制度在执行层面缺乏权威性、强制性,执行监督机制薄弱,忽视信息技术审计工作的作用,信息安全管理尚未完全纳入到业务连续性风险管理中去。
5. 内部控制与人员责任风险。在内控管理方面,缺乏流程化、规范化管理模式,人员职责不清,协作水平低,跟踪不完整,应急反应迟缓;在运行维护方面,存在重开发、轻运维的问题,系统运维工作未建立体系,存在过分依赖外包服务技术人员;在人员责任方面 ,存在外包服务技术人员责任心不强或者管理人员技术不精,防范措施不严格
三、财务公司信息安全风险防范体系建立的思考
3.1 统一认识,建立定期制定信息安全发展规划机制。
结合公司的实际情况,建议应以3年为一个周期做好信息安全发展规划工作。一个企业的信息化工作除了业务信息化外,必须重点考虑信息安全信息化,基础牢则提升快,否则就会出现"小马拉大车"的局面。解决信息安全问题不仅仅是信息技术部门的事情,需要领导重视,机制保障,需要跨部门共同协调解决,需要融合技术与管理、形成合力来解决。信息安全工作是具有阶段性特征又存在长期性特点的一项日常性工作,需要制度性保证,需要全员的自觉行动。
3.2 预防为主,做好事前控制。
信息安全工作应以安全防范为主。信息安全如何做?风险防范如何落地?我的理解主要"两个条件",一是信息安全的内控管理这是软条件,包括信息系统项目实施管理、程序变更管理、版本标准化管理、定期检查管理、远程访问管理等内控管理方法;二是硬条件其实就一句话按照信息系统等级保护的要求"上安全设备",比如堡垒机、入侵防御、漏洞扫描、防毒墙,有些设备上与不上没有必须与不必须之说,但在发生攻击、黑客入侵、甚至误操作等情况下,是可以为信息技术人员提供线索和原因方面的依据。
在防范信息系统重大运行故障、控制应用层入侵攻击行为、确保数据安全上,财务公司信息安全风险防范工作的核心在于防范和化解风险,工作要做在前面,注重事前控制。这就要求信息安全工作必须结合实际,及时采取各种主动防御措施。
四、财务公司信息安全风险防范体系的几项重点工作
1. 建立统一的财务公司行业信息安全风险防范标准
财务公司行业管理机构应推动建立全财务公司行业统一的信息安全风险防范标准,用来指导各企业信息安全风险防范体系建设工作。各企业应以信息安全技术与信息安全法律法规、行业标准、集团公司相关制度相结合,加快具有本企业行业特点的信息安全风险防范标准规范和制度体系建设工作,加紧建立和不断完善集中式数据灾备中心建设并规范其运营模式,加强信息安全和风险防范各项规章制度建设,全面落实"依法办事,有法可依"的信息安全风险防范管理准则。
2. 建立技术与管理相结合的信息安全风险防范体系
2.1 加强安全技术防范手段
从网络安全防护角度,对公司网络系统要综合运用防火墙、虚拟专网、数字证书与认证安全网关等专业技术,建立多层次的网络安全体系,进而实现全面的网络信息安全保护。
从计算机病毒防范和非法入侵控制角度,由于核心业务系统运行于单位内网之中,有条件的可以实行内外网严格分离制度,内外网之间进行物理隔离,无条件的也必须做到内外网之间进行逻辑隔离。同时要做好所有计算机安装统一的杀毒软件,建立统一的查杀和更新病毒库机制;其次要按照等级保护要求配备网络漏洞监测与攻击防范系统,加强网络安全监控,及时发现网络中的异常情况,果断进行处理。
从核心业务数据保护角度,技术上企业要根据信息系统重要性,将信息系统分级,每一级别采用不同的数据保护和数据备份方式,传统的数据备份技术和新兴的数据复制技术可以同时且并行采用;操作权限管理上为防止核心业务数据被非法拷贝或毁坏,要加强对系统中的备份数据的管理,合理确定管理人员和维护人员操作权限,不允许任何人、任何时间访问主数据库,只允许在限定的范围内对备份数据库进行只读操作,不赋予改写权限。为确保核心业务数据的安全,未经批准,不相关人员不得接触软硬件系统。
从身份认证管理角度,建立CA数字认证体系,登录时采用数字证书方式,确保系统数据的完整性、保密性和行为的不可否认性。在数据进行传递和交易时,使用认证体系杜绝可能出现的非法访问、非法篡改、假冒伪造等安全问题。
2.2 完善信息安全风险防范措施与突发事件应急处理预案
为确保网络与信息系统安全、稳定运行,合理规避操作风险,大限度地减少网络与信息安全突发事件带来的损失,应建立完备的信息安全风险防范控制措施与突发事件应急处理预案。
2.2.1 信息安全风险防范控制措施
(1)完善责权划分,加强信息安全风险监管。信息安全风险监管工作先要明确安全责任,并将其纳入财务公司安全生产考核范围,对于业务应用部门应实行"谁主管谁负责、谁使用谁负责"的管理要求,将责任落实到人。同时强化信息风险管理的一把手负责原则,确保信息安全工作责权清晰。
(2)提升全员的信息安全风险防范素质。在职工信息安全素质培养方面,应按其所在部门性质有针对性地进行信息安全普及教育;在职工信息安全专业培养方面,应定期对重点岗位职工进行信息安全专业技术与管理培训。
(3)确保外购软件产品的自主可控。为了保证外购信息系统软件产品在风险防范上的自主可控,应在系统开发环节通过书面方式,约定要求软件公司对财务公司核心业务软件公开系统源代码,并由企业风险管理部门和信息技术部门存档,以便系统重大升级和安全隐患分析时之用。在系统建成后的运维阶段,企业信息技术部门应指定专人负责外包运维人员可维护系统问题,但是在涉及公司重要业务数据时应建立监督、授权双轨机制。
2.2.2 突发事件应急处理预案
(1)企业风险管理部门、业务部门和信息技术部门从保障业务连续性角度制定突发事件应急预案。提高对系统安全事件的快速反应和恢复能力。针对可能发生的计算机网络与信息系统突发(灾难)事件进行预先演练,保证安全事件发生时以最快速度做出反应,按照预先计划的应急处理步骤,有序地尽快恢复信息系统的对外运营和内部管理。
(2)企业信息技术部门应建立应急保障通道。遇到系统重大故障或突发事件,信息技术人员应迅速集合,集体攻关。具体分为3个组进行应急处理工作:
故障检修组:集中系统管理员继续分析障、查找原因、修复系统。
技术联络组:迅速与软、硬件供应商取得联系,采取有效手段获得技术支持。
内部协调组:通知公司各部门故障情况,并到关键部门协助数据保存。
五、基于ITIL,构建符合财务公司自身特色的IT服务体系
符合自身特色的IT服务体系是企业做好信息安全风险防范工作的工具。ITIL作为一种主流的IT服务管理框架,已经受到世界范围内的普遍认可,财务公司可借鉴ITIL 最佳实践建立信息运维保障体系。该体系应规定IT运维中各项活动的流程和一系列的关键性能指标和活动,为运维人员提供了标准化的行为准则,同时也保证了IT服务的质量。
1. 建立帮助台。帮助台是信息系统最终用户与信息技术部门的联络点和报障台,也是信息技术部门掌握系统运行情况,指挥技术人员进行故障处理等维护工作的平台。帮助台的主要任务是登记报障记录、指挥维护人员执行维护流程、监督维护过程,以及综合协调解决维护出现的各种突发问题。
2. 建立了系统巡检体系。信息技术部门与运维服务人员约定每日、每周、每月、每季度巡检工作细则,主动预防、及早发现系统存在的隐患,并运用问题处理流程消除之。系统巡检体系除了定期对设备、系统进行健康度检查外,还有应不定期主动出击,通过系统运行状态安全巡检方式发现系统隐患,通过统计分析、问题跟踪、变更管理等手段,由维护人员甚至软件产品提供商、设备原厂商的二线、三线人员提出建议方案,之后进入方案评估和审批环节,方案批准后加以执行,同时也应做好配置管理和版本管理。
3. 建立网络运行监控系统。通过该系统实现网络拓扑管理、通断管理、设备性能统计和分析、应用服务器管理和网络流量分析等系统功能,实时监控公司网络、主机、应用和桌面系统的运行和安全状态。
六、结束语
信息安全风险防范是财务公司信息安全管理的主要工作,我们要把风险防范工作提升到企业信息安全管理的全局视角,在管理和控制等多个方面与层次上,统筹规划、制定和实施相应的配合与协调机制,在企业内部构建一个立体化的整体安全网络,才能为集团企业财务公司的稳健经营建立一个安全稳定的运行环境,使信息安全风险减小到最低。