某银行安全审计综合管理平台建设方案

某银行安全审计综合管理平台建设方案V1.2二○○九年三月目录1背景 42安全审计管理现状 62.1安全审计基本概念 62.2总行金融信息管理中心安全审计管理现状 92.2.1日志审计 92.2.2数据库和网络审计 112.3我行安全审计管理办法制定现状 112.4安全审计产品及应用现状 133安全审计必要性 134安全审计综合管理平台建设目标 145安全审计综合管理平台需求 165.1日志审计系统需求 165.1.1系统功能需求 165.1.2系统性能需求 195.1.3系统安全需求 205.1.4系统接口需求 215.2数据库和网络审计系统需求 225.2.1审计功能需求 225.2.2报表功能需求 235.2.3审计对象及兼容性支持 245.2.4系统性能 245.2.5审计完整性 256安全审计综合管理平台建设方案 256.1日志审计系统建设方案 256.1.1日志管理建议 256.1.2日志审计系统整体架构 266.1.3日志采集实现方式 286.1.4日志标准化实现方式 306.1.5日志存储实现方式 316.1.6日志关联分析 326.1.7安全事件报警 336.1.8日志报表 346.1.9系统管理 356.1.10系统接口规范 366.2数据库和网络审计系统建设方案 376.2.1数据库和网络行为综合审计 376.2.2审计策略 386.2.3审计内容 396.2.4告警与响应管理 426.2.5报表管理 427系统部署方案 437.1安全审计综合管理平台系统部署方案 437.2系统部署环境要求 447.2.1日志审计系统 447.2.2数据库和网络审计系统 457.3系统实施建议 457.4二次开发 461背景近年来，XX银行信息化建设得到快速发展，央行履行金融调控、金融稳定、金融市场和金融服务职能高度依赖于信息技术应用，信息安全问题的全局性影响作用日益增强。目前，XX银行信息安全保障体系中安全系统建设已经达到了一定的水平。建设了非法外联监控管理系统、入侵检测系统、漏洞扫描系统、防病毒系统及补丁分发系统，为客户端安全管理、网络安全管理和系统安全管理提供了技术支撑手段，有效提高了安全管理水平；完成制定《金融业星型网间互联安全规范》金融业行业标准，完善内联网外联防火墙系统，确保XX银行网络边界安全；制定并下发《银行计算机机房规范化工作指引》，规范和加强机房环境安全管理。信息安全审计技术是实现信息安全整个过程中关键记录信息的监控统计，是信息安全保障体系中不可缺少的一部分。随着电子政务、电子商务以及各类网上应用的开展得到了普遍关注，并且在越来越多的大型网络系统中已经成功应用并发挥着重要作用，特别针对安全事故分析、追踪起到了关键性作用。传统的安全审计系统局限于对主机的操作系统日志的收集和简单分析，缺乏对于多种平台下（Windows系列、Unix系列、Solaris等）、多种网络设备、重要服务器系统、应用系统以及数据库系统综合的安全审计功能。随着网络规模的迅速扩大，单一式的安全审计技术逐步被分布式安全审计技术所代替，加上各类应用系统逐步增多，网络管理人员/运维人员工作量往往会成倍增加，使得关键信息得不到重点关注。大量事实表明，对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志异常行为告警方式通知管理人员，及时进行分析并采取相应措施进行有效阻止，从而大大降低安全事件的发生率。目前我行信息安全保障工作尚未有效开展安全审计工作，缺少事后审计的技术支撑手段。当前，信息安全审计作为保障信息系统安全的制度逐渐发展起来；并已在对信息系统依赖性最高的金融业开始普及。信息安全审计的相关标准包括ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800等。这些标准从不同角度提出信息安全控制体系，可以有效地控制信息安全风险。同时，公安部发布的《信息系统安全等级保护技术要求》中对安全审计提出明确的技术要求：审计范围覆盖网络设备、操作系统、数据库、应用系统，审计内容包括各网络设备运行状况、系统资源的异常使用、重要用户行为和重要系统命令的使用等系统内重要的安全相关事件。为进一步完善信息安全保障体系，2009年立项建设安全审计系统，不断提高安全管理水平。2安全审计管理现状2.1安全审计基本概念信息安全审计是企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。信息安全审计能够为安全管理员提供一组可进行分析的管理数据，以发现在何处发生了违反安全方案的事件。利用安全审计结果，可调整安全策略，堵住出现的漏洞。美国信息系统审计的权威专家RonWeber又将它定义为收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源。根据在信息系统中需要进行安全审计的对象与内容，主要分为日志审计、网络审计、主机审计。下面分别说明如下：日志审计：日志可以作为责任认定的依据，也可作为系统运行记录集，对分析系统运行情况、排除故障、提高效率都发挥重要作用。日志审计是安全审计针对信息系统整体安全状态监测的基础技术，主要通过对网络设备、安全设备、应用系统、操作系统、数据库的集中日志采集、集中存储和关联分析，帮助管理员及时发现信息系统的安全事件，同时当遇到特殊安全事件和系统故障时，确保日志存在和不被篡改，帮助用户快速定位追查取证。大量事实表明，对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志审计进行分析、告警并及时采取相应措施进行有效阻止，从而大大降低安全事件的发生率。数据库审计：主要负责对数据库的各种访问操作进行监控；是安全审计对数据库进行审计技术。它采用专门的硬件审计引擎，通过旁路部署采用镜像等方式获取数据库访问的网络报文流量，实时监控网络中数据库的所有访问操作（如：插入、删除、更新、用户自定义操作等），还原SQL操作命令包括源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等，发现各种违规数据库操作行为，及时报警响应、全过程操作还原，从而实现安全事件的准确全程跟踪定位，全面保障数据库系统安全。该采集方式不会对数据库的运行、访问产生任何影响，而且具有更强的实时性，是比较理想的数据库日志审计的实现方式。网络审计：主要负责网络内容与行为的审计；是安全审计对网络通信的基础审计技术。它采用专门的网络审计硬件引擎，安装在网络通信系统的数据汇聚点，通过旁路抓取网络数据包进行典型协议分析、识别、判断和记录，Telnet、HTTP、Email、FTP、网上聊天、文件共享、流量等的检测分析等。

主机审计：主要负责对网络重要区域的客户机上的各种上网行为、文件拷贝/打印操作、通过Modem擅自连接外网等进行审计。目前我行信息安全系统尚未有效开展安全审计工作，由于缺少对各网络设备、安全设备、应用系统、操作系统、数据库的集中日志采集、集中存储和关联分析等事后审计、追查取证的技术支撑手段,以至无法在遇到特殊安全事件和系统故障时确保日志存在和不被篡改，同时对主机和数据库的操作行为也没有审计和管理的手段，不同有效对操作行为进行审计，防止误操作和恶意行为的发生，因此我行迫切需要尽快建设安全审计系统（包括日志审计、数据库审计、网络审计），确保我行信息系统安全。2.2我行金融信息管理中心安全审计管理现状2.2.1日志审计作为数据中心的运维部门，负责运维内联网总行局域网、总行机关办公自动化系统及货币发行信息管理系统、国库信息处理系统等重要业务系统，保障信息系统IT基础设施的安全运行。为更好地制定日志审计系统建设方案，开展了金融信息管理中心日志管理现状调研工作，调研内容包括设备/系统配置哪些日志信息、日志信息包括哪些属性、日志采集所支持的协议/接口、日志存储方式及日志管理现状，金融信息管理中心日志管理现状调查表详见附件。通过分析日志管理现状调查表，将有关情况说明如下：一、日志内容。网络设备（包括交换机和路由器）、安全设备（包括防火墙、入侵检测设备、防病毒管理系统和补丁分发系统）、办公自动化系统和重要业务系统均配置一定的日志信息，其中每类设备具有一定的日志配置规范，应用系统（办公自动化系统和重要业务系统）的日志内容差异较大，数据库和中间件仅配置“进程是否正常”的日志信息。二、日志格式。网络设备和部分安全设备根据厂商的不同，其日志格式也不同，无统一的日志格式；应用系统根据系统平台的不同，其日志格式也不同，无统一的日志格式。三、日志采集协议/接口。网络设备和部分安全设备支持SNMPTrap和Syslog协议，应用系统主要支持TCP/IP协议，个别应用系统自定义了日志采集方式。四、日志存储方式。网络设备和部分安全设备日志信息集中存储在日志服务器中，其他设备/系统日志均存储在本地主机上。日志信息以文本文件、关系型数据库文件、Domino数据库文件和XML文件等方式进行存储。五、日志管理方式。主要为分散管理,且无日志管理规范。在系统/设备出现故障时，日志信息是定位故障，解决故障的主要依据。据了解，为加强网络基础设施运行情况的监控，金融信息管理中心通过采集交换机和路由器等网络设备的日志信息，实现网络设备日志信息的集中管理，及时发现网络设备运行中出现的问题。通过上述现状的分析，目前日志管理存在如下问题：1、不同系统/设备的日志信息分散存储，日志信息被非法删除，导致安全事故处置工作无法追查取证。2、在系统发生故障后，才去通过日志信息定位故障，导致系统安全运行工作存在一定的被动性，应主动地在日志信息中及时发现系统运行存在的隐患，提高系统运行安全管理水平。3、随着我行信息化工作的不断深入，系统运维工作压力的不断加大，如不及时规范日志信息管理，信管中心将逐步面临运维的设备多、人员少的问题，不能及时准确把握运维工作的重点。在目前日志信息管理基础上，若简单加强日志信息管理，仍存在如下问题：1、通过系统/设备各自的控制台去查看事件，窗口繁多，而且所有的事件都是孤立的，不同系统/设备之间的事件缺乏关联，分析起来极为麻烦，无法弄清楚真实的状况。2、不同系统/设备对同一个事件的描述可能是不同的，管理人员需了解各系统/设备，分析各种不同格式的信息，导致管理人员的工作非常繁重，效率低。3、海量日志信息不但无法帮助找出真正的问题，反而因为太多而造成无法管理，并且不同系统/设备可能产生不同的日志信息格式，无法做到快速识别和响应。2.2.2数据库和网络审计目前我行没有实现对数据库操作和网络操作行为的审计。对系统的后台操作人员的远程登录主机、数据库的操作行为无法进行记录、审计，难以防止系统滥用、泄密等问题的发生。2.3我行安全审计管理办法制定现状在《银行信息安全管理规定》提出如下安全审计要求：第一百三十九条 各单位科技部门在支持与配合内审部门开展审计信息安全工作的同时，应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计，发现问题及时报本单位或上一级单位主管领导。第一百四十条 各单位应做好操作系统、数据库管理系统等审计功能配置管理，应完整保留相关日志记录，一般保留至少一个月，涉及资金交易的业务系统日志应根据需要确定保留时间。在《银行信息系统安全配置指引-数据库分册》提出如下安全审计要求：应配置审计日志，并定期查看、清理日志。审计内容包括创建、修改或删除数据库帐户、数据库对象、数据库表、数据库索引的行为；允许或者撤销审计功能的行为；授予或者取消数据库系统级别权限的行为；任何因为参考对象不存在而引的错误信息；任何改变数据库对象名称的动作；任何对数据库Dictionary或者数据库系统配置的改变；所有数据库连接失败的记录；所有DBA的数据库连接记录；所有数据库用户帐户升级和删除操作的审计跟踪信息。审计数据应被保存为分析程序或者脚下本可读的格式，时间期限是一年。所有删除审计数据的操作，都应在动态查帐索引中保留记录。只有DBA或者安全审核员有权限选择、添加、删除或者修改、停用审计信息。上述安全审计管理要求为开展日志审计系统建设提供了制度保障。2.4安全审计产品及应用现状目前市场上安全审计产品按审计类型也有很多产品，日志审计以SIM类产品为主，也叫安全信息和事件管理（SIEM），是安全管理领域发展的方向。SIM是一个全面的、面向IT计算环境的安全集中管理平台，这个平台能够收集来自计算环境中各种设备和应用的安全日志和事件，并进行存储、监控、分析、报警、响应和报告，变过去被动的单点防御为全网的综合防御。由于日志审计对安全厂商的技术开发能力有较高要求,国内一些较有实力的安全厂商能够提供较为成熟的日志审计产品。目前，日志审计产品已在政府、运营商、金融、民航等行业广泛成功应用。针对数据库和网络行为审计产品，国内也有多个厂家有比较成熟的产品，在很多行业都有应用。3安全审计必要性通过安全审计系统建设，落实信息系统安全等级保护基本技术和管理要求中有关安全审计控制点及日志和事件存储的要求，积累信息系统安全等级保护工作经验。通过综合安全审计平台的建设，进一步完善我行信息安全保障体系，改变事中及事后安全基础设施建设较弱的现状；为信息安全管理规定落实情况检查提供技术支撑手段，不断完善信息安全管理办法，提高信息安全管理水平；通过综合安全审计平台，实现信息系统IT基础设施日志信息的集中管理，全面掌握IT基础设施运行过程中出现的隐患，通过安全事件报警和日志报表的方式，在运维人员有限的条件下，有效地把握运维工作的重点，进一步增强系统安全运维工作的主动性，更好地保障系统的正常运行。同时，有效规避日志信息分散存储存在的非法删除风险，确保安全事故处置的取证工作。通过综合安全审计平台的建设，规范我行安全审计管理工作，指导今后信息化项目建设，系统也为安全审计管理规范的实现提供了有效的技术支撑平台。4安全审计综合管理平台建设目标根据总行金融信息管理中心日志管理工作现状及存在的问题，结合日志审计系统建成后的预期收益，现将系统建设目标说明如下：海量日志数据的标准化集中管理。根据即定采集策略，采集信息系统IT基础设施日志信息，规范日志信息格式，实现海量日志数据的标准化集中存储，同时保存日志信息的原始数据，规避日志信息被非法删除而带来的安全事故处置工作无法追查取证的风险；加强海量日志数据集中管理，特别历史日志数据的管理。系统运行风险及时报警与报表管理基于标准化的日志数据进行关联分析，及时发现信息系统IT基础设施运行过程中存在的安全隐患，并根据策略进行及时报警，为运维人员主动保障系统安全运行工作提供有效的技术支撑；实现安全隐患的报表管理，更好地支持系统运行安全管理工作。为落实有关信息安全管理规定提供技术支撑利用安全审计结果可以评估信息安全管理规定的落实情况，发现信息安全管理办法存在的问题，为完善信息安全管理办法提供依据，持续改进，进一步提高安全管理水平。规范信息系统日志信息管理。根据日志管理工作现状，提出信息系统日志信息管理规范，明确信息系统IT基础设施日志配置基本要求、日志内容基本要求等，一方面确保日志审计系统建设实现即定目标；另一方面指导今后信息化项目建设，完善信息安全管理制度体系，进一步提高安全管理水平。实现对我行各业务系统主机、数据库行为审计。对各业务系统的主机、数据库行为的审计，主要是在不影响业务系统正常运行的前提下，通过网络镜像流量的方式辅以独立日志分析等其它方式对用户行为进行隐蔽监视，对用户访问业务系统的行为进行审计，对用户危险行为进行告警并在必要时进行阻断，对事后发现的安全事件进行会话回放，进行网络通讯取证。5安全审计综合管理平台需求5.1日志审计系统需求5.1.1系统功能需求日志采集功能需求采集范围日志审计系统需要对我行信息系统中的网络设备、主机系统、应用系统、安全系统及其他系统（如网络管理系统、存储设备等）进行日志采集。数据库是我行数据管理的基础，任何数据泄漏、篡改、删除都会对税务的整体数据造成严重损失。数据库审计是安全管理工作中的一个重要组成部分，通过对数据库的“信息活动”实时地进行监测审计，使管理者对数据库的“信息活动”一目了然，能够及时掌握数据库服务器的应用情况，及时发现客户端的使用问题，存在着哪些安全威胁或隐患并予以纠正，预防应用安全事件的发生，即便发生了也能够可以快速查证并追根寻源。虽然数据库系统本身能够提供日志审计功能，但是数据库系统自身开启日志审计功能会带给系统较大的负担。为了保证数据库的性能、稳定性，建议采用国内已较为成熟的数据库审计技术，通过在网络部署专门的旁路数据库审计硬件设备,采用镜像等方式获取数据库访问的网络报文流量，实现针对各种数据库用户的操作命令级审计，从而随时掌握数据库的安全状况，及时发现和阻止各类数据操作违规事件或攻击事件，避免数据的各类安全损失，追查或打击各类违规、违法行为，提高数据库数据安全管理的水平。该采集方式不会对数据库的运行、访问产生任何影响，而且具有更强的实时性，是比较理想的数据库日志审计的实现方式。数据来源与内容数据来源：审计数据源需要包括我行信息系统各组件的日志产生点，如主机操作日志、操作系统日志、数据库审计日志、FTP/WEB/NNTP/SMTP、安全设备日志等。数据内容：异常信息在采集后必须进行分类，例如可以将异常事件信息分成泄密事件和安全运行事件两大类，以便于我行日志审计系统管理人员能快速对事件进行分析。采集策略采集策略需要包括采集频率、过滤、合并策略与信息传输策略。支持根据采集对象的不同，可以设置实时采集、按秒、分钟、小时等采集频率。支持日志或事件进行必要的过滤和合并，从而只采集有用的、需要关注的日志和事件信息，屏蔽不需要关注的日志和事件信息。通过预先设定好的日志信息传输策略，使采集到的信息能够根据网络实际情况有序地传输到数据库服务器进行入库存储，避免因日志信息瞬间激增而对网络带宽资源的过度占用，同时保证信息传输的效率，避免断点重传。采集监控系统可以监控各采集点的日志传输状态，当有采集点无法正常发送日志信息时，系统可以自动进行告警通知管理员进行处理。日志格式标准化需求根据日志格式标准，对系统采集的信息系统IT基础设施日志信息进行标准化处理。日志集中存储需求我行日志审计系统将对300余个审计对象进行日志审计，此系统需要具有海量的数据存储能力，其后台数据库需要采用稳定以及先进的企业级数据库（如DB2、MSSQLServer数据库）；需要有合理的数据存储管理策略；需要支持磁盘阵列柜以及SAN、NAS等存储方式。日志关联分析需求为了解决目前日益严重的复合型风险威胁，我行日志审计系统需要具有关联分析功能：将不同安全设备的响应通过多种条件关联起来，以便于管理员的分析和处理。例如当一个严重的事件或用户行为发生后，从网络层面、主机/服务器层面、数据（库）、安全层面到应用层面可能都会有所反应（响应），这时候审计系统将进行数据挖掘，将上述多个层面、多个维度的事件或行为数据挖掘和抽取、关联，将关联的结果呈现给使用者。安全事件报警需求为了快速、准确定位安全事件来源，及时处理安全事件，我行日志审计系统必须具备实时报警功能，报警方式应该多样化，如实时屏幕显示、电子邮件和短信等。日志报表需求我行日志审计系统的报表需要支持细粒度查询，使管理人员能够快速对安全事件进行正确的分析，其查询细粒度应该包括关键字、时间段、源地址、目的地址、源端口、目的端口、设备类型、事件类型、特定审计对象等多个条件的组合查询，并支持模糊查询。5.1.2系统性能需求目前我行日志审计系统需要审计300台以上的设备，以一台设备3000条/小时，每条日志1KB为标准计算，300台设备每天的总日志条数为2160万条，总日志量约为21G。基于上述计算结果，结合同行业成功案例，建议系统性能如下：处理能力支持安全事件与日志每天2千万条以上；支持120G以上的数据库存储；支持的原始日志和事件的存储容量可达到5亿条；提供对原始日志及审计结果的压缩存储，文件存储压缩比一般不应小于1：10；根据审计要求，原始信息及审计结果需保留6个月-1年，因此，需支持磁盘阵列、NAS和SAN等多种存储方式，存储容量需达到7TB以上。5.1.3系统安全需求权限划分需求：日志审计系统需要进行管理权限的划分，不同的管理员具有不同的管理权限，例如管理配置权限与审计操作权限分离，系统中不允许出现超级用户权限。登录安全需求：日志审计系统在用户登录上需要强身份鉴别功能以及鉴别失效处理机制。传输安全需求：日志审计系统各个组件之间的通讯协议必须支持身份认证与传输加密，确保数据在传输过程中不被泄漏、篡改、删除。存储安全需求：日志审计系统的后端数据库必须采用安全可靠的大型数据库，数据库的访问以及对日志审计系统的操作都要通过严格的身份鉴别，并对操作者的权限进行严格划分，保证数据存储安全。接口安全需求：日志审计系统各组件之间应该采用其厂商自身的，未公开并且成熟可靠的协议进行通信。日志审计平台与其他系统（网络设备、主机/服务器、应用系统、安全设备）的接口可采用标准的SNMP、Syslog等协议。5.1.4系统接口需求我行日志审计系统主要提供如下接口进行日志采集：1、Syslog方式，支持SYSLOG协议的设备，如：防火墙、UNIX服务器等；2、ODBC/JDBC方式，支持数据库联接的设备；3、SNMPTrap方式，支持SNMP协议的设备，如：交换机、路由器、网路安全设备等；4、XML方式，支持HTTP协议的设备；5、EventLog方式，支持Windows平台；6、特定接口方式，对于不支持通用协议的设备，需要定制开发，如：某网闸隔离系统；7、其他厂商内部专用协议。通过标准的接口，可以采集到网络设备、安全设备、主机系统、应用系统的各种类型日志：包含登陆信息、登陆认证失败信息、应用程序启动信息、进程改变信息、违反防火墙规则的网络行为、IDS检测到的所有入侵事件和IDS自身生成的各种日志等。日志信息的采集可以根据我行信息系统的现实情况进行实时传输或者定时传输。5.2数据库和网络审计系统需求5.2.1审计功能需求安全审计策略系统应允许使用者能够针对访问者、被保护对象、操作行为，访问源，事件类型等特征等制定具体的安全审计策略。策略制定方式应简单灵活，既可以制定适应于批量对象的公共策略，也可以制定适用于单个被保护对象的详细策略。系统应提供行为全部记录的默认审计策略。审计记录应该反应出用户的登录身份，登录操作时使用的主机或数据库账号信息。在建设身份认证和访问控制功能后，可以禁止或允许用户使用某个主机或数据库账号进行登录和操作。审计记录应该反应出用户的登录身份，登录操作时使用的主机、网络设备或数据库账号信息。事件实时审计、告警、命令控制能灵活配置实时安全审计控制策略和预警参数，实时发现可疑操作（如操作系统rm命令、数据库drop、delete命令等），实时发出告警信息（向控制台发出告警信息、向管理员邮箱发送告警电子邮件、向管理员手机发出告警短消息、通过SNMP命令向日志审计系统、网管系统发出告警等）。行为审计功能根据制定的安全审计策略，系统应对访问者访问被保护对象的操作交互过程进行记录，并允许选择记录整个操作过程的上行、下行数据。系统应能够将审计记录重组为会话的能力。单个会话的全部操作行为应能够进行回放。每一条审计记录应至少提供操作时间、访问者的身份信息、IP地址、被保护对象（主机名称、IP地址等）、操作内容、系统返回内容。审计记录结果要实现集中存储、集中管理、集中展现。事件查询功能系统需要提供丰富的查询界面，可以通过数据库事件查询、Telnet事件查询、Ftp事件查询、事件会话关联查询、告警查询等不同的维度查询结果。并支持导出报表。审计信息的存储审计信息要求安全存储，分级别进行管理，普通管理员无法修改删除。用户登录认证及操作日志要求安全存储，普通管理员无法修改删除。系统应该提供灵活的审计信息存储策略，以应对大规模审计存储的要求；可以根据用户登录身份、使用的主机或数据库账号来制定审计信息存储策略。重复事件归并通过配置归并规则，系统可以对大批量的重复事件做统一归并，并记录归并次数。权限管理系统需要分管理员和审计员权限，审计员只能审计授权审计的系统的审计信息。5.2.2报表功能需求查询功能系统用户应可按照时间段、访问者、主机或数据库账号、被保护对象、行为方式、行为特征等关键字进行精确或模糊匹配查询。操作人员根据查询结果可以关联查看整个会话的内容。统计报表功能系统应提供完整的报表系统。系统应按照访问者、被保护对象、行为方式、操作内容（例如数据库表名称）等生成统计报表，并按照要求添加、修改报表数量、格式及内容，以满足安全审计的要求。5.2.3审计对象及兼容性支持应当包括（但不限于）：Telnet,ftp,SQL等应用。操作系统支持：Unix,HP-UNIX,Solaris数据库支持：Oracle,DB2,Infomix,Mysql,Sqlserver应确保无遗漏等现象发生。5.2.4系统性能系统应满足大数据量的审计要求。满足千兆骨干网络审计要求，无丢包、漏包现象发生；系统应提供良好的查询能力；系统应至少满足1年的审计数据在线存储的需求，并提供相应的离线备份机制，对于超过在线存储时限的审计数据应提供导入导出的机制。5.2.5审计完整性系统应能实现对所有访问者通过审计途径对现网内被保护对象的远程访问行为的审计，无遗漏、错报等现象的发生。6安全审计综合管理平台建设方案6.1日志审计系统建设方案6.1.1日志管理建议基于我行日志审计系统的建设目标，需要对我行信息系统中的网络设备、主机系统、应用系统、安全系统等进行日志采集，各采集对象的设备系统类型、采集的日志内容、采集方式及采集频率说明如下：审计内容具体审计需求描述日志内容包括拟采用的采集方式采集频率操作系统SolarisAIXLinuxHP-UNIX帐户登录注销、帐号权限变更、操作系统启动关闭、shell操作日志、SYSlOG日志。Agent方式；针对UNIXSYSLOG日志可通过syslog方式发送通过日志安全审计中心设置采集频率策略,建议1分钟采集一次Windows2000serverWindows2003server帐户登录注销、帐号权限变更、操作系统启动关闭、应用程序运行状态、系统文件和文件属性修改等Agent方式通过日志安全审计中心设置采集频率策略,建议1分钟采集一次安全设备防火墙用户登录、修改配置、收集到的攻击日志等等Syslog、SNMPTrap方式采集在安全设备上配置日志传输频率，建议1分钟采集一次网络设备交换机路由器等（CISCO、华为、华三等）。用户登录、修改配置等Syslog、SNMPTrap方式采集在网络设备上配置日志传输频率，建议1分钟采集一次数据库ORACLESQLSERVERDB2SYBASEInformix用户登录、注销、数据查询、插入、数据修改、数据删除、修改配置等。通过部署旁路数据库审计硬件设备,采用镜像等方式获取数据库访问的网络报文流量，从而实现针对各种数据库用户的操作命令级审计。该采集方式不会对数据库的运行、访问产生影响通过日志安全审计中心设置数据库审计日志采集频率策略，建议1分钟采集一次应用系统Webserver、Emailserver、Domino等应用系统；在实际项目中，还需要收集业务系统日志。Webserver主要包括：WebSphereApacheWebLogicMicrosoftIIS等用户登录、修改配置、应用层的操作等Agent方式、Syslog、SNMPTrap、ODBC/JDBC方式通过日志安全审计中心设置数据库审计日志采集频率策略，建议1分钟采集一次6.1.2日志审计系统整体架构我行日志审计系统整体架构图如下：整体架构图说明：我行日志审计系统为软件架构，由采集服务器、管理服务器、数据库服务器三大部分组成。对被审计对象进行必要的设置或安装采集代理，即可实现对整个系统的综合审计；我行日志审计系统采用Browser/Server/DataBase三层架构，管理人员无需安装任何客户端即可登录到日志审计系统进行审计管理操作。我行日志审计系统功能结构图如下：功能结构图说明：我行日志审计系统将包括日志采集、日志存储、日志分析、系统管理、综合显示等功能模块，这些功能模块将有效满足我行针对日志审计系统各种功能需求。6.1.3日志采集实现方式系统支持的标准接口和协议1、Syslog方式，支持SYSLOG协议的设备，如：防火墙、UNIX服务器等；2、ODBC/JDBC方式，支持数据库联接的设备；3、SNMPTrap方式，支持SNMP协议的设备，如：交换机、路由器、网路安全设备等；4、XML方式，支持HTTP协议的设备；5、EventLog方式，支持Windows平台；6、特定接口方式，对于不支持通用协议的设备，需要定制开发，如：某网闸隔离系统。7、其他厂商内部专用协议。Syslog和SNMPTrap方式作为最常见、传统的方式，被大部分设备厂商和日志审计系统所采用，建议我行采用这两种方式进行日志采集。Syslog和SNMPTrap方式作为最成熟的网络协议，已经广泛应用在网络设备、安全设备等设备之上，用来传输各种日志信息，对系统本身影响很小。8、数据库日志审计数据库自身日志功能开启情况下，可通过ODBC方式收集数据库日志，但是在数据库日志量较大的情况下，数据库系统自身开启日志审计功能会带给系统较大的负担，不建议采用该方式收集数据库日志。为了保证数据库的性能、稳定性，建议采用国内已较为成熟的数据库审计技术，通过在网络部署专门的旁路数据库审计硬件设备,采用镜像等方式获取数据库访问的网络报文流量，实现针对各种数据库用户的操作命令级审计。该采集方式不会对数据库的运行、访问产生任何影响，而且具有更强的实时性，是比较理想的数据库日志审计的实现方式。采集对象日志采集实现方式采集对象需支持通过安装审计代理程序或修改系统配置来进行日志的采集，通过日志收集策略定制来开启与关闭各系统的日志采集功能及确定应采集的日志的种类。为了保证被监控系统的保密性，原则上被监控系统要主动向日志审计系统发送自身生成的日志信息，日志审计系统尽可能的不主动访问被监控对象。6.1.4日志标准化实现方式由于日志采集模块收集到多种类型的日志，而这些日志定义的格式和内容不尽相同，日志标准化将不同的数据格式转换成标准的数据格式并存储，为上层应用提供数据支持。由于不同的设备，对事件的严重程度定义及侧重点不尽相同，不利于根据统一的安全策略进行处理。日志标准化将按照日志来源类型、事件类别、事件级别等可能的条件及条件的组合对事件严重级别进行重定义，便于日志分析模块的分析处理。下面是日志信息标准化要求：日志事件信息的标准化字段包括事件编号信息（此字段信息应全局唯一，作为标识事件的主键）、事件名称、事件原始时间、事件采集时间、事件内容、事件类型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始级别、事件标准化后的级别、事件采集来源、事件涉及协议、会话信息等。我行日志审计系统对于今后新增加的被审计对象（如新增的应用系统），将使用标准的Syslog或SNMP协议作为其日志形式和接口，并协调日志审计系统厂商与新系统厂商提供技术方面的支持。新增的被审计对象，必须能满足如下条件：1）提供标准的Syslog或SNMP接口；2）被审计对象需要提供详细的日志信息，包括：登陆信息、状态信息、依据自身业务逻辑产生的数据等；3）日志事件信息的标准化字段包括事件编号信息（此字段信息应全局唯一，作为标识事件的主键）、事件名称、事件原始时间、事件采集时间、事件内容、事件类型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始级别、事件标准化后的级别、事件采集来源、事件涉及协议、会话信息等；4）如果是应用系统日志，应该包含用户信息，对于应用系统日志其级别的定义变得极其重要；5）提供设备所能产生的全部类型的日志样本；6）提供全部日志类型中的字段的说明（尤其是数值与相应内容的对照表）以及相应文档；6.1.5日志存储实现方式我行日志审计系统将采用DB2或MSSQLServer数据库作为日志审计系统的在线存储方式，根据审计要求，原始信息及审计结果需提供压缩存储，文件存储压缩比一般不应小于1：10；并保留6个月1年以上，系统需支持磁盘阵列柜以及SAN、NAS等存储方式，存储容量需达到7TB以上。除了在线存储方式外还将支持磁带机作为离线存储备份方式，离线数据可以通过导入到当前库不同的表中进行查询和分析，以避免对当前数据造成不利的影响。6.1.6日志关联分析我行日志审计系统将提供多种关联分析方法，包括：相同源IP的事件关联分析、相同目的IP的事件关联分析、相同事件类型的关联分析以及基于规则的事件关联分析、统计关联分析和漏洞关联分析（需要采用脆弱性模块）。通过关联分析能够更加准确地定义和定位安全事件。相同源IP的事件关联分析：通常用于对主机终端的活动进行分析审计，它把相同源IP地址所产生的事件按照时间顺序一一列出，帮助管理人员对该IP地址所进行的各项操作行为进行分析和审计，从而对其操作行为的目的性进行分析。相同目的IP的事件关联分析：通常用于对服务器被访问和操作的活动进行分析和审计，它把相同目的IP地址所产生的事件按照时间顺序一一列出，帮助管理人员对该IP地址被访问的活动进行分析和审计，从而发现内部人员对服务器所进行非授权或可疑的操作。相同事件类型的事件关联分析：通常用于对特定事件的影响范围进行分析，它把所发生的相同事件类型的按照时间顺序一一列出，帮助管理人员对事件的波及面进行分析和审计。基于规则的事件关联分析：是把各种安全事件按照时间的先后序列与时间间隔进行检测，判断事件之间的相互关系是否符合预定义的规则，从而触发分析总结出来的关联分析后事件。统计关联分析：是用户通过定义一定时间内发生的符合条件的事件量达到规定量，从而触发关联事件。所有能够发送日志信息的IT基础设施都可以做关联分析，通过关联分析可以及时发现IT基础设施潜在风险。6.1.7安全事件报警我行日志审计系统将提供实时屏幕显示、电子邮件、工作任务单、入库（和短信）等报警方式；可以调整实时报警的排序方式；可以定义实时报警的显示内容，显示内容包括：发生的时间来源事件类型主体描述和结果（成功、失败或待验证等）；可以调整实时报警策略，并且显示的内容与当前用户的管理角色相关联。可提供事件的上报机制，通过策略的设置明确哪些类型（如泄密事件、安全运行事件）、哪些等级（高、中高、中、中低、低等级以上）的安全事件需要随时上报。6.1.8日志报表我行日志审计系统可提供的报表包括以下种类：事件信息报表提供事件分布报表，按照不同事件类别提供各类事件的趋势报表。综合分析与预警报表综合安全风险分析的报表，提供风险查询报表，可以根据资产、域、趋势等进行分类输出，包括分析数据分布范围、受影响的系统、可能的严重程度等。响应过程报表提供响应模块发生的响应事件的统计报表，按照响应事件的紧急程度、响应对象、响应人员分类列表。综合显示报表提供综合显示模块的实时截屏报表，包括列表显示报表输出、拓扑安全信息报表输出、电子地图安全信息报表输出。平台自身日志报表提供平台自身日志的报表，包含访问人、访问次数、访问时间等。可以按照审计对象展现日志信息。报表输出格式可转换为PDF、HTML、RTF、CSV等多种常用的标准格式，我行用户可自定义报表。6.1.9系统管理我行日志审计系统设有用户管理员、系统管理员、安全管理员和安全审计员四种操作和管理角色，每种操作管理角色中又可安排多个操作管理用户，在系统中不存在超级用户。通过角色的划分并给予角色相应的授权实现了系统管理员、安全管理员和安全审计员的三权分立。用户管理员权限：用户管理员负责对用户、用户组进行管理，包括建立、维护和删除用户组，并将用户分配到相应的用户组中。用户管理员不参与综合审计系统的各项具体操作。系统管理员权限：系统管理员负责设定各个用户组的管理和操作权限，包括管理区域范围、管理的设备和对象、各项管理功能（如策略制定、关联分析、审计查询、审计报表、数据备份等）的操作权限等，权限控制分为“完全控制”、“读取”、“写入”、“更改”、“删除”几类。系统管理员不参与综合审计系统的各项具体操作。安全管理员权限：安全管理员负责在权限许可的范围内利用日志审计系统开展各项安全审计和管理操作。安全管理员的操作进行通过系统审计日志记录下来，以备审计管理员对安全管理员的各项管理操作进行审计。安全审计员权限：审计管理员仅具有对用户管理员、系统管理员、安全管理员所从事的各项安全管理操作进行审计的权限，包括用户登录注销、新增、修改、删除用户或用户组等功能。6.1.10系统接口规范我行日志审计系统的接口规范为标准协议：Syslog、SNMP。被监控对象通过Syslog、SNMP协议主动把自身的日志信息发送到日志审计系统。日志审计系统要对外提供如下接口：WindowsEventLog：可以通过该接口采集Windows主机的日志信息。Syslog：通过该接口可以采集网络设备、安全设备、主机系统等日志信息。SNMP：通过该接口可以采集网络设备、安全设备、主机系统等日志信息。OPSEC：通过该接口可以采集nokia、checkpoint的日志信息。XML：通过该接口可以采集漏洞扫描系统的扫描结果。ODBC：通过该接口可以采集数据库的日志信息。读文件：通过该接口可以采集ftp、DNS等应用系统的日志信息。日志审计系统自身会有简单的资产管理功能，如果我行没有与现有资产管理系统进行数据同步的要求，不需要和现有的资产管理系统进行整合。如果要求做到和现有的资产管理系统整合，需要通过定制开发实现。与第三方的资产管理系统进行整合需要定制开发。6.2数据库和网络审计系统建设方案6.2.1数据库和网络行为综合审计实时统计监控管理人员可以通过实时统计功能清楚地看到网内部告警事件、活动会话（ActiveSession），以及对被保护对象的访问情况。实时统计功能能够统计最近5分钟的数据，及时地反应出网络内部的动态。在实时统计中，用户可以实时的查看当前活动对象、当前活动会话等的事件列表。用户点击某个活动会话，即可看到当前会话中用户登录、操作、注销指令执行及其返回结果的全过程。事件查询事件查询为用户提供了历史事件查询的手段。用户可以指定复杂的查询条件，快速检索到需要的事件信息，从而协助管理员进行计算机取证分析，收集外部访问或者内部违规的证据。事件查询细分为综合事件查询，数据库事件查询，主机事件查询，Ftp事件查询。针对不同类别的查询，系统精心地为用户提供了不同的查询条件组合，方便用户找到自己需要的信息。用户可以指定的查询条件包括：审计类型、事件接收时间、事件等级、源地址、目的地址、用户名、策略名、会话ID（SessionID）等。趋势分析能够进行事件访问的趋势分析，对最近一段时间的事件进行统计分析，并描绘趋势曲线。这样，系统监控管理员能够清晰的看到最近一段时间内部的的事件走向，并且可以清楚地看到敏感时间内什么人对什么样的保护对象进行过访问，以及访问了保护对象的什么资源。针对不同的审计类型，产品提供不同的趋势分析，系统监控人员可以根据需要查看不同的趋势分析。6.2.2审计策略审计策略是为审计功能服务的，它为系统提供数据包采集引擎所需的策略配置，对通过引擎的数据包进行基于审计策略的过滤，将符合审计策略的数据包提取出来、产生安全事件，然后再对安全事件进行审计分析。同时，审计策略也决定了审计的颗粒度，用户可以通过对审计策略的设定来决定审计的各种细节。系统可以根据用户要求自由组织审计策略，提供便捷的添加、修改、删除、导入、导出、启用和禁用等功能。可以将针对同一业务的不同方面的审计策略选项集中到一条审计策略中进行配置，这样用户无需切换页面和进行复杂的选项配置，简化了用户操作，同时并未减少需要配置的审计对象的元素。在策略配置中，用户可以从各类协议中提取出公共部分进行统一配置，各类协议的私有部分再根据不同的细节进行相应的配置，从而避免了重复配置，减轻了用户的审计配置工作量。策略配置内容：审计类型行为采集响应主机1．登录2．注销3一般操作1．全部：审计全部内容2．访问文件名称关键字过滤1．记录2．阻断数据库1．用户行为2．数据定义3．数据操作4．数据控制5．其他1．全部：审计全部内容2、关键字过滤（可以细化到库、表、记录、用户、存储过程、函数等）1．记录2．阻断FTP1．登录2．注销3一般操作1．全部2、文件/目录名称关键字过滤1．记录2．阻断6.2.3审计内容主机审计主机审计功能可审计VNC、Telnet、网上邻居和定制的主机协议的登录、注销和一般操作等行为。用户可以在业务综合审计中单独查看主机审计的实时统计信息和趋势分析；可以定义专门的主机审计策略；可以在报表管理中单独查看与主机审计相关的报表报告。数据库审计数据库审计功能可审计包括各个平台（Windows、Linux、Solaris、AIX）和版本的SQLServer、Oracle等在内的数据库的DDL，DML，DCL和其它操作等行为。操作行为内容和描述用户行为数据库用户的登录、注销数据定义语言（DDL）操作CREATE，ALTER，DROP等创建、修改或者删除数据库对象（表、索引、视图、存储过程、触发器、域，等等）的SQL指令数据操作语言（DML）操作SELECT，DELETE，UPDATE，INSERT等用于检索或者修改数据的SQL指令数据控制语言（DCL）操作GRANT，REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数。用户可以在业务综合审计中单独查看数据库审计的实时统计信息和趋势分析；可以定义专门的数据库审计策略；可以在报表管理中单独查看与数据库审计相关的报表报告。FTP审计FTP审计功能可审计FTP协议的登录、注销和一般操作等行为，可以审计FTP操作的文件/目录名称。用户可以在业务综合审计中单独查看FTP审计的实时统计信息和趋势分析；可以定义专门的FTP审计策略；可以在报表管理中单独查看与FTP审计相关的报表报告。流量审计系统实时监测用户网络七层结构中各层的流量分布，进行协议、流量的综合分析，从而可以根据业务网需要改变网络状况。在流量分析中，主要以报表的形式形象地展示网络中的状况。流量审计功能可以审计从三层到七层协议的流量，能够审计20种以上的应用层协议，包括IM、P2P、HTTP、POP3、SMTP等。流量审计的内容包括数据包分布审计、流量分布审计、应用协议流量审计、端口流量审计，用户可以进行基本流量信息查看、协议分析、会话分析、节点分析。基本信息主要分析了数据包在网络中的分布状况，例如多播、广播、点播包的分布，不同大小的包分布，等等。还涉及了数据流量在不同时段的分布情况。协议分析主要体现了网络中IP层和应用层的流量分布，还包括不同端口的流量分布，等等。会话分析描述了活动会话（Session）的状况。节点分析中主要是网络中各个节点（包括主机、无IP设备）在网络中的应用层和IP层中的流量分布，并对单个节点的流量状况进行了详细的分析，包括单个节点的基本网络信息，以及流量时段分布、协议和应用协议的具体分布。6.2.4告警与响应管理在事件分析引擎的驱动下，根据告警规则，针对符合规则的安全事件进行实时分析，抽取出对于安全管理人员真正有用的安全信息，从而协助安全管理人员快速识别安全事故，进行安全审计。告警规则应具有如下特性：规则分为系统预定义规则和用户自定义规则两大类用户在制定规则的时候，既可以设定告警的触发条件，也可以设定触发告警后的自动响应动作修订告警规则无需重启系统或者某个模块，规则一旦被应用立即生效规则编写支持各种运算符在审计出安全事件并告警后，监控管理人员能够及时进行响应处理（发送邮件、SNMPTrap、执行程序脚本、设备联动，等等）。6.2.5报表管理安全管理人员可以将网络行为审计的结果生成报表，作为工作内容汇报的一部分提交给相关部门。报表可以导出为各种格式，例如PDF、Excel、XML、RTF，等等。报表运行还可以进行调度，定期自动产生周报、月报，并通过邮件发送给指定接收人。7系统部署方案7.1安全审计综合管理平台系统部署方案部署结构图如下：部署图说明如下：（1）在业务系统的主机操作系统部署Agent，采集操作系统的日志信息。（2）外网各网络设备、安全设备、操作系统、应用系统将日志通过系统接口发送给安全中心。（3）在外网管理区部署日志安全审计中心及存储备份设备，负责集中收集各网络设备、安全设备、应用系统、业务系统的日志信息，进行日志标准化及关联分析，发现告警安全事件；同时通过存储设备对日志进行定期存储备份。（4）数据库和网络审计系统通过镜像的方式获取数据，高警信息发送给日志审计系统。7.2系统部署环境要求7.2.1日志审计系统1、服务器端硬件环境处理器：IntelX86系列或兼容CPU最低PIV2.0GHz或相当推荐Xeon2.0GHz*2或相当内存：最低1GB，推荐2GB硬盘：最低IDE80G*1，推荐SCSI72GB*2网卡： 最低10/100自适应网卡*1,推荐双网卡推荐品牌：IBM、DELL、HP等软件环境操作系统：1、Windows2000、WindowsXP、Windows2003Server。2、Linux3、Solaris（SPARC）Java环境：JavaSDk1.5WEB服务器：Tomcat5.5.20以上数据库：ORACLE9i/10gserver或者SQLserver20052、客户端支持类型：支持MicrosoftInternetExplorer浏览器支持版本：6.0以上版本支持语言：简体中文、英文+简体中文支持包插件要求：安装MacromediaFlashPlayerVersion9.0.28以上版本7.2.2数据库和网络审计系统数据库和网络审计系统为硬件产品，系统应采用功能分担、分布式多处理机结构。主要模块冗余度为1+1，易于扩容和维护。7.3系统实施建议由于总行正在进行内联网的内外网划分建设,根据内外网建设策略，将新建内网。内网建设后会将总行机关办公自动化系统等管理系统全部迁入，办公系统将受内外网划分工作影响较大；外网基于现有各主要业务系统，如货币发行信息管理系统、国库信息处理系统等重要业务系统，各业务系统基本不受内外网建设影响。基于内外网的建设情况，从保证实际安全审计项目效果，安全审计系统建设将分阶段建设，考虑XX为新建系统，目前正在试点，货币发行管理信息系统需进行升级改造，拟先选择XX系统或货金系统作为日志采集对象，开展日志审计系统建设工作。同时，网络作为应用系统的基础设施且支持标准协议，也将作为日志采集对象。通过试点采集网络基础设施和应用系统的日志信息，进一步完善日志管理规范，总结日志审计系统建设经验，不断扩大日志审计系统日志信息的采集范围。为了保证系统的安全性，日志审计系统的部署必须建立在不影响正常系统的基础之上。日志审计系统部署之前，必须做好充分的准备工作。1）要充分的调研被监控对象：调研内容包含产品名称、型号、支持接口类型等。2）日志审计系统必须明确给出支持审计设备情况，不支持的设备要通过定制开发实现日志采集。我行要负责协调相关厂商进行配合。4）供应商需要给出详细的实施方案，实施过程严格按照实施方案进行。7.4二次开发我行日志审计系统将采用标准化的Syslog、SNMP协议（目前绝大多数被审计设备都支持这两种标准协议）。个别新系统如需经过二次开发才能由日志审计系统审计，我行将协调日志审计系统厂商、新系统厂商配合进行二次开发工作，具体开发周期可在三方协商后确定，具体开发费用将在与日志审计系统厂商签订合同时确定。

财务部经理（岗位职责说明书）一、基本信息岗位名称财务部经理职位编码CY05001隶属部门总经办隶属职系管理系列二、工作概要组织领导公司财务管理、成本管理、资产管理、预算管理、会计核算、会计监督及税收筹划等方面的工作，督促下属员工全面完成本部门职责范围内的各项工作任务。三、职位关系直接上级总经理内部协调关系公司各部门直接下级会计主管、资金主管、税务会计等外部协调关系银行、税务、工商、财政、购销客户等四、工作内容1根据公司发展战略，制定财务管理战略和年度规划；2根据年度经营目标，组织编制、审查财务预算并监督执行；3拟订财务管理制度，协助拟订各部门内部控制制度；4组织财产清查，盘点与核实货币资金、存货，提交不良资产处置方案；5拟订会计政策和核算流程，提交财务报告；6根据资金预算，审查付款计划，合理调度使用营运资金；7组织成本预测、核算、分析、控制和考核；8建立和完善财务稽核体系，严格控制成本费用；9审查公司经营计划和经济合同，参与公司产品开发、经营、基本建设及其他项目的可行性论证评估；10审查价格、工资、奖金等涉及财务收支的各种方案，参与采购和销售价格的制定与调整；11组织税收筹划，及时申报纳税，规避税务风险；12实施财务信息化管理，组织考核、分析，定期或不定期向董事会、总经理汇报财务状况及经营成果。五、责任和权力责任权力1对年度和中长期计划数据及财务管理制度负责；公司生产经营决策及重大财务问题决策参与权；2对开发、投资、基建等项目的可行性报告负责；开发、投资、基建项目评价权；3对规范管理经济合同及价格、薪资等负责；经济合同审查权；4对资产管理特别是资金安全、完整负责；授权范围内资金审批权；5对年度预算的执行、调整负责；各部门提交的预算提出修改意见或建议权；6对会计核算、监督、税收筹划及财务报告负责；财务报告有审批权；7对成本核算及成本费用控制负责；各项成本费用开支核准权；8对本部门机构设置、人员配置、培训和考核负责。下属岗位调配、任命和奖惩的建议权。六、关键考核指标及奖罚依据标准关键考核指标考核奖罚依据及评分标准1财务报表及时准确率；=100%2预算费用控制率；≥5%3财务报告满意度；=100%4资金调度计划达成率；≥90%5应收账款周转率；≥12次6存货周转率；≥4次7总资产周转率；≥2次8总资产报酬率。≥30%考核说明：按《婴姿坊公司考核试行方案》考核；根据考核结果根据《婴姿坊公司薪资方案》进行奖励；按《员工违规行为规定》处罚；违反管理制度按制度规定进行处罚。七、任职资格要求年龄33岁以上性别不限学历大学本科及以上专业财务会计或审计专业接受相关培训经济管理、工商企业管理任职资格证书或等级中级（会计师）及以上职称，CPA工作经验5年以上大中型企业会计工作经验，2年以上财务管理经验熟悉财务管理和会计核算操作流程熟悉国家财经法律、法规、方针、政策，1年以上纺织服装行业管理经验能力素质要求基本要求：良好的敬业精神和职业道德操守熟练使用办公软件关键能力：具有独立从事公司财务管理实务工作的能力能够运用专业知识，解决比较复杂的财务管理实际问题具备较强的领导、判断、决策、沟通协调、计划、执行能力和影响力素质要求：正直、勤勉、廉洁、公正、严谨、务实八、参加会议1董事会2总理办公例会3年度计划、总结、平衡、协调会议4公司重要、紧急或临时会议5部门会议6专题协调会议及其他会议九、工作环境工作环境办公场所工作时间性正常工作时间，视工作情况加班使用工具设备计算机、网络、办公设备、财务软件出差频率偶尔所需文档记录财务会计资料、ERP系统信息、公司文件、报告、制度等备注：由总经理提名，报董事会批准任命，对总经理负责，定期向总经理汇报财务状况、经营成果及财务管理战略。十、修订记录修订日期修订内容修订者审核者审批者会计主管（岗位职责说明书）一、基本信息岗位名称会计主管职位编码CY05002隶属部门财务部隶属职系职能系列二、工作概要在财务总监领导下，履行预测、预算、核算、控制、监督职能，汇总编制财务预算并进行分解、落实，检查、监督财务预算执行情况，组织成本核算和分析，实施会计稽核，控制成本费用，编制审核财务会计报告，实施ERP和财务信息系统管理。三、职位关系直接上级 财务总监内部协调关系公司各部门直接下级成本会计、销售会计、往来会计外部协调关系普升岗位轮换岗位四、工作职责1汇总编制各部门预算，定期报告预算执行情况；2协助拟订会计政策和核算流程，组织会计核算工作；3管理总账和明细分类账，编制会计报表；4组织开展财务收支分析，成本分析，提交财务报告；5实施财产清查，盘点与核实货币资金、存货；6审核会计凭证，复核付款凭证及资金请款报告；7组织成本核算，实施成本控制；8拟订应收账款收账政策等操作流程和标准并监督执行；9管理ERP档案中心，存货编码，审查库存管理；10实施财务软件系统管理，保证财务数据安全、准确、完整。五、责任和权力责任权力1对财务数据的及时性、准确性负责；对各部门预算有提出修改建议的权力；2对成本费用的真实性、合规性、合理性负责；对财务报表、分析、报告有审核权，3对财务会计报告的可靠性、完整性负责；对统计数据及库存记录有考评权，4对财务分析评价提供财务决策参考负责；对各项成本费用开支有复核权，5对ERP及财务系统信息管理负责。对下属的业务水平、工作能力和业绩的评价权。六、关键考核指标及奖罚依据标准关键考核指标考核奖罚依据及评分标准1财务报表及时准确率；=100%2预算费用控制率；≥5%3财务报告满意度；=100%4资金调度计划达成率；≥90%5应收账款周转率；≥12次6存货周转率；≥4次7总资产周转率≥2次8总资产报酬率。≥30%考核说明：按《婴姿坊公司考核试行方案》考核；根据考核结果根据《婴姿坊公司薪资方案》进行奖励；按《员工违规行为规定》处罚；违反管理制度按制度规定进行处罚。七、任职资格要求年龄28岁以上性别不限学历大专及以上学历专业财务会计或审计专业接受相关培训经济管理、工商企业管理任职资格证书或等级助理会计师及以上职称 工作经验3年以上相关会计、财务管理工作经验熟悉财务管理和会计核算操作流程能力素质要求基本要求：良好的敬业精神和职业道德操守熟练使用办公软件关键能力：拟订和实施财务管理流程和标准具备较强的判断、决策、沟通协调、计划、执行能力较强语言能力、文字能力、观察能力素质要