极地内部网络控制统一安全解决方案

HYPERLINK极地内部网络控制统一安全方案 北京市海淀区上地安宁庄西路9号院金泰富地大厦808100085电话真务热线/p>

目录TOC\o"1-3"\h\z\u1 概述 -1-1.1 背景 -1-1.2 需求分析 -2-1.2.1 政策需求 -2-1.2.2 管理需求 -2-1.2.3 技术需求 -2-2 解决方案概述 -6-3 终端管理(JD-ESMS)解决方案 -6-3.1 产品概述 -6-3.2 产品基础功能 -8-3.2.1 策略管理 -8-3.2.2 日志功能 -9-3.2.3 终端资产管理 -9-3.2.4 终端用户管理 -10-3.2.5 报警与响应管理 -10-3.3 主要功能 -10-3.3.1 终端准入管理 -10-3.3.2 终端安全防护 -12-3.3.3 终端行为管理 -13-3.3.4 系统管理 -14-4 堡垒主机(JD-FORT)解决方案 -16-4.1 系统架构 -16-4.2 执行单元功能 -16-4.2.1 统一账号管理 -16-4.2.2 多种认证方式 -17-4.2.3 单点登录 -17-4.2.4 自动捕获用户命令行输入，智能识别命令和编辑输入 -17-4.2.5 支持TAB补齐等Readline功能 -17-4.2.6 支持组合命令的动作审计 -18-4.3 日志服务功能 -18-4.4 管理单元日志查询 -18-4.5 执行单元实时监控功能 -19-5 集中身份管理(JD-4A)解决方案 -19-5.1 概述 -19-5.2 功能介绍 -20-5.2.1 集中账号管理 -21-5.2.2 集中身份认证 -21-5.2.3 集中访问授权 -22-5.2.4 集中安全审计 -22-5.2.5 单点登录 -22-6 漏洞扫描(JD-SCAN)解决方案 -23-6.1 网络漏洞扫描的必要性 -23-6.1.1 漏洞扫描技术概述 -23-6.1.2 漏洞扫描产品特点 -24-6.2 用户现状分析 -24-6.3 产品部署 -25-6.4 产品特点介绍 -26-6.4.1 强大的检测分析能力 -26-6.4.2 支持分布式扫描 -27-6.4.3 自身高度安全性 -27-6.4.4 支持WEB扫描 -28-7 内部网络的统一管理 -28-7.1 统一管理方式 -28-7.2 统一管理功效 -29-7.2.1 无死角 -29-7.2.2 全网安全域管理 -29-7.2.3 远程终端与内网终端统一管理 -29-7.2.4 统一用户管理 -29-7.2.5 统一访问授权管理 -30-7.2.6 全网实名审计与统一事件管理 -30-8 《企业内部控制基本规范》的要求与解决 -30-8.1 内控原则 -30-8.2 技术要求 -31-8.3 风险评估 -32-8.4 控制活动 -32-8.5 信息与沟通 -32-8.6 内部监督 -32-概述背景信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患——安全问题，人们在享受着网络所带来的便捷同时，不得不承受着网络安全问题带来的隐痛。说到网络安全，人们自然就会想到网络边界安全，但是实际情况是网络的大部分安全风险均来自于内部。常规安全防御手段往往局限于网关级别、网络边界（防火墙、IDS、漏洞扫描）等方面的防御、重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控，来自网络外部的安全威胁大大减小。相反，来自网络内部的计算机的安全威胁却是众多安全管理人员所面临的棘手的问题。内部网络的安全管理分为四个方面：一类是前台计算机，通常指办公与业务的终端计算机；另一类是后台设备，通常是服务器或路由器交换机等网络设备；还有一类就是用户单位内部的各种应用软件系统；最后，还有一方面就是安全风险管理，它面对所有以上设备和应用，管理是否存在有安全隐患，是否存在安全风险，以及如何应对等问题。如何做好内部网络这四个方面的安全管理，是摆在每一个IT管理者面前的问题。极地内部网络控制统一安全方案即针对此情况，为管理者提供一个全面、细致的解决方案，解决终端、服务器以及应用系统安全管理问题。需求分析政策需求《等级保护》、萨班斯法案(Sarbanes-OxleyAct)等政策明确要求内网应进行严格的管理控制和细粒度的审计。国内也已经出台《企业内部控制基本规范》，对内部网络的信息安全管理提出明确要求。管理需求随着网络规模的不断扩大和IT应用的不断深入，对安全管理的要求越来越高，企业内部的管理成本越来越高。如何有效降低管理成本、减少安全风险、提高安全管理效能，成为管理者最先考虑的问题。技术需求前台计算机管理需求：终端管理前台计算机，如前所述，通常被称为终端（End-Point）。对这些计算机的管理也称为终端管理。终端管理主要有以下内容：资产管理对终端计算机的资产情况进行管理，对资产变更进行管理。准入管理不安全的计算机不应接入内网之中，以免在内网中引发安全问题。不应接触外网的计算机，也不能私自建立对外的网络连接。终端防护包括补丁分发管理、安全配置管理、外设管理、终端防火墙、终端文档保护等等。终端行为管理包括移动介质管理、程序使用管理、流量管理、网页访问管理等等信息防泄漏包括移动介质管理、加密优盘、文件加密、文档权限管理、文件操作审计等。另外，终端管理通常也包括病毒、木马的管理。因这方面有成熟的产品和方案，本方案对此不予赘述。后台计算机与设备管理需求：统一授权管理针对服务器的管理，主要指服务器的访问控制，这是服务器安全的根本所在。通常服务器放置在机房中，由管理员进行维护时，直接登录到服务器上，其过程缺乏监管，造成授权复杂、缺乏过程审计等诸多问题。在安全管理的4个A（账号Account、认证Authentication、授权Authorization、审计Audit），账号和认证没有统一管理，各服务器单独管理，管理员登录各服务器和应用系统时很容易混乱；没有统一授权，各服务器单独对不同账号进行授权，工作量大而容易出错；管理员登录后的操作也缺乏审计手段，现有手段严重不足，导致大量审计缺失。尤其当服务器数量和应用系统数量多时，问题尤其严重。应将的所有服务器的登录过程收集到一个统一入口，建立统一的账号管理和授权机制，每个服务器应用系统的账户与授权均由此统一平台进行，避免单独设置而导致的混乱。由此入口进行统一登录，登录确定身份后，可根据授权访问相应的服务器和业务系统。同时，应对操作做全程审计。应用管理需求：集中身份管理随着各个行业大公司业务的迅速发展，各种业务和经营支撑系统的不断增加，网络规模迅速扩大，原有的由各个系统分散管理用户和访问授权的管理方式造成了在业务管理和安全之间的失衡，用户往往在多个应用中均拥有独立的账号和口令，登录失败和发生错误的几率大大上升，许多情况下，为了便于记忆，用户不得不将账号和口令写在纸上，从而使这些账号和口令的安全性受到了极大影响。同时，用户忘记口令的事件的增多也增大了管理员的工作负担。另外管理员需要在不同的应用中维护独立的用户身份和存取管理，相当麻烦。例如有新员工加入企业以后，管理员需要在每一个应用中添加此用户信息，根据此用户的角色分配不同的权限；当用户的角色发生变化时，需要在不同的应用中修改此用户的权限。因此原有的账号口令管理措施已不能满足企业目前及未来业务发展的要求。用户面临以下几个方面问题：1．企业的支撑系统中有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的账号体系，用户为了方便登陆，经常有如下情况发生：多系统使用相同的账号和密码，配置强度非常弱的密码，或者多人共用账号等。多系统的账号管理混乱，难于对账号的扩散范围进行控制，难于确定账号的实际使用者，难免造成安全隐患。2．各系统都有一套独立的认证体系，如果想加强系统的安全性，就需要对各系统的认证进行加强，需要各系统都支持强认证方式，这基本是不现实的。3．各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加。安全性无法得到充分保证。4．各支撑系统独立运行、维护和管理，所以各系统的审计也是相互独立的。每个网络设备，每个主机系统，每个业务系统及每个数据库系统都分别进行审计，安全事故发生后需要排查各系统的日志，单是往往日志找到了，也不能最终定位到行为人。5．用户经常需要在各个系统之间切换，每次从一个系统切换到另一支撑系统时，都需要输入用户名和口令进行登录。给用户的工作带来不便，影响了工作效率。漏洞扫描漏洞扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，漏洞扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，漏洞扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。定期的网络安全自我检测、评估配备漏洞扫描系统，网络管理人员可以定期的进行网络安全检测服务，安全检测可帮助客户最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效的利用已有系统，优化资源，提高网络的运行效率。安装新软件、启动新服务后的检查由于漏洞和安全隐患的形式多种多样，安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来，因此进行这些操作之后应该重新扫描系统，才能是安全得到保障。网络建设和网络改造前后的安全规划评估和成效检验网络建设者必须建立整体安全规划，以统领全局，高屋建瓴。在可以容忍的风险级别和可以接受的成本之间，取得恰当的平衡，在多种多样的安全产品和技术之间作出取舍。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全规划评估和成效检验网络的安全系统建设方案和建设成效评估网络承担重要任务前的安全性测试网络承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全性测试。网络安全事故后的分析调查网络安全事故后可以通过网络漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在，帮助弥补漏洞，尽可能多得提供资料方便调查攻击的来源。重大网络安全事件前的准备重大网络安全事件前网络漏洞扫描/网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞，帮助用户及时的弥补漏洞。解决方案概述根据以上需求分析，极地安全提出了自己的内网安全管理解决方案，此方案由终端管理、内控堡垒主机、集中身份管理系统、网络漏洞扫描这四个解决方案构成，可以单独使用、满足终端管理或服务器管理、应用管理的需要，也可以协同使用，满足全网统一管理的需要。这四个解决方案都基于先进成熟的产品，均由极地安全自行开发。四个产品所使用的信息可以相互融合，以构成一个有机统一的整体，提供全网整体内控解决方案。终端管理(JD-ESMS)解决方案极地终端管理解决方案由极地终端安全管理系统实现。产品概述在传统的网络体系、硬件体系，软件体系基础之上，依靠主动防御技术、端点准入技术、漏洞扫描以及补丁修复技术、智能防火墙技术、身份认证、设备管理、及数据加密技术等关键的技术手段的支撑下，形成了终端准入管理、终端环境安全和终端行为监控三个子系统，三个子系统的运行、控制和审计都由系统管理平台统一管理呈现。在三个部分的共同作用下，构成终端计算机安全管理平台。如下图所示：如图所示，系统分为终端管理引擎、策略中心、综合展示三个平台，其中终端管理引擎做为关键支撑平台，是承载所有终端管理的基础平台，向上输出身份信息、资产信息，并提供基础的统一的报警与响应引擎供各功能模块调用；策略中心负责所有终端管理的功能性模块，调用基础平台的身份管理信息、资产信息，并对各功能模块在管理过程中发生的安全事件进行报警与响应，所有信息上报给综合展示平台；综合展示平台收集所有终端的资产信息、所有安全事件，并进行统一的展示。同时，通过全网联动，将其他安全管理系统的信息和事件联动到系统中，在终端上进行统一的报警与响应。如下图所示：产品基础功能策略管理系统所有功能，均通过策略方式将指令下发到客户端进行执行。而策略本身就包含了各个功能的所有管理要求，可以为管理员提供详细的控制手段，并且通过丰富的默认设置，可以提供完善的便捷性，管理员可以针对各个策略采用大量默认设置而轻松完成策略设定。除以上策略要素之外，还有两个要素需要详细说明如下。基于策略优先级的用户行为管理功能系统提供了策略优先级的管理功能，管理员可以设置不同级别的策略，各种策略可以按照优先级进行排序，当策略间发生冲突时，高优先级的策略可以覆盖低优先级的策略。基于场景的管理策略系统提供了基于场景的安全管理策略，管理员可以设置不同的场景，如根据工作时间和休息时间设定不同的策略，在工作时间设定的策略在休息时间不生效，休息时间场景的策略在工作时间亦不生效。对于违反策略的客户端操作，可以以多种方式触发报警，通知管理员进行处理，例如按文件名、资产类型等信息触发警报。极地终端与内网安全管理系统可以对终端在线/离线2种状态下应用的策略分别予以设置。客户端和服务器连接能够进行通信时为在线状态，无法和服务器完成通信时即为离线状态。通过对在线/离线2种状态设置不同的策略，对于经常移动办公的设备（如笔记本）可以提供更加灵活实用的管理。日志功能系统以策略的形式，提供全套日志服务，日志内容包括下述所有功能的日志，以及管理员通过控制台对服务器进行的所有操作等日志，终端资产管理通过自动登记和管理检查的方法，记录各类终端计算机资产清单、软硬件配置信息和使用者用户信息，作为终端安全管理的基础依据。资产内容包括：终端名称、IP地址、MAC地址、硬件配置信息（CPU、内存、硬盘、设备接口）、软件信息（操作系统类型/版本、安装软件列表）、用户信息（姓名、所属组织机构、岗位、联系方式），等等。同时，对资产的变更进行管理：及时发现终端计算机上是否有变更，对非法资产变更行自动处理。终端用户管理通过建立终端角色和用户，定义角色的操作和控制权限，并为用户分配相应角色的权限，以此作为制定安全管理策略的基础依据。报警与响应管理当终端计算机违反设定的安全策略，或根据策略设定进行报警响应时，可自动将事件上报服务器，并且在终端上对安全事件进行自动处理。报警与响应做为基础平台，供所有功能模块调用，实现报警与响应的统一化、标准化、自动化。在终端上进行自动响应，响应手段包括：桌面消息提示、锁定终端计算机、断开网络、弹出指定URL页面、断开准入连接等。终端计算机自动将安全事件的报警信息上传服务器，并在报警控制台上向管理员进行报警提示。提供报警信息的查看分析和汇总统计。支持红色报警、橙色报警、黄色报警和蓝色报警等四个级别。主要功能终端准入管理通过准入控制管理，可以对所有客户端进行合法性检验和控制，非法的、不接受管理的客户端将被隔离在网络之外，而合法的客户端可以接入网络进行正常操作。系统提供了最全面的准入控制方式，可以充分满足用户网络各种不同环境下的准入控制需求。802.1x准入控制：按照802.1x协议认证内部接受管理的终端计算机，标识和审批“合法”终端，通过交换机联动方式拒绝未经认证的“非法”终端接入网络。ARP准入控制：在低端网络环境中，可使用基于ARP协议的准入控制方式，对终端进行控制。因ARP方式的特殊性，一般用于要求低成本、效果要求不高的场合。网络边界准入控制：通过安全准入网关管理的终端计算机。应用网关准入控制：通过在Portal等关键应用上部署应用准入网关，控制不符合准入条件的终端计算机禁止访问指定的网络资源、允许符合准入条件的计算机进行访问。应用准入网关是一个软件，适用于各种web应用系统。远程终端准入控制：通过远程接入网关，对远程终端进行准入控制。不符合准入条件的终端计算机禁止连入内网、允许符合准入条件的计算机可以连入内网。终端安全防护终端安全防护的目标是保护终端计算机环境安全、数据安全和关联网络通讯安全，目的是为业务创造良好的安全运行环境，保障公司业务正常运营。系统漏洞修复检查发现辖内终端计算机操作系统和通用系统软件安全漏洞，通过自动化的技术措施及时修复漏洞，规避系统漏洞被黑客、蠕虫利用的风险。防病毒检查检测终端计算机是否安装防病毒软件，避免因防病毒的缺失带来病毒问题。终端安全配置管理在终端计算机上进行关键安全配置的实时检查，防止用户随意修改这些关键配置而导致安全问题。主要包括“禁用控制面板”、“禁用网络属性”、“禁止‘发送到’”、“禁止修改IP地址”……等多项操作全面提升客户端的安全性。同时，支持对ARP病毒的防范。外设管理根据终端计算机的业务需要和管理需要，设定是否允许使用外设。可管理的外设包括：软驱（Floppy）、光驱（CD/DVD/HD-DVD/BlueRay）、磁带机、Flash存储设备（U盘及MP3播放器）、串口和并口（COM/LPT）、SCSI接口、蓝牙设备、红外线设备、打印机、调制解调器、USB接口、火线接口（1394）、PCMCIA插槽等。终端防火墙在终端计算机上部署基于桌面的防火墙技术措施，通过企业级的安全策略对访问活动进行控制，防止外来网络非法连接访问、黑客入侵和利用终端对内部网络其它服务系统发起的网络攻击。文档操作审计与防泄密保护通过文档访问操作审计，详细了解终端上的文件操作情况。通过文档加密等防泄密的综合防控措施，有效防范文档失窃和泄密给公司带来的业终端行为管理移动介质管理通过对移动介质（例如U盘）的使用限制和安全审计，降低引入安全威胁和文档泄密的风险。系统支持两类不同的移动介质管理，外部介质管理和内部介质管理。外来介质一般是普通U盘，在内网中的使用管理方式为注册+授权。外来移动介质必须在管理员处注册、分配其使用授权后才能在内网计算机中使用。授权分为允许使用、只读、禁止使用三种。内部介质通常只能在内网使用，原则上不能在内网以外使用。管理方法同样为注册+授权，不同的是注册时采用加密方式。加密后的介质只能由授权终端读出，非授权终端无法读出介质内容。介质拿到内网以外更无法读出。程序滥用管理通过程序滥用管理策略，可以明确规定哪些程序可以使用、哪些程序不能使用。由此可以预防终端计算机违规使用程序可能带来的风险，并以此协助公司管理，提高员工劳动生产率。流量管理通过检查和分析终端计算机的网络分类流量，发现异常流量可能带来的带宽资源消耗和可疑的网络攻击风险，并对异常流量做出控制。非法外联控制通过在终端计算机本地的安全策略控制措施，预防终端计算机违规联网可能带来的安全风险。网页访问控制与审计通过在终端计算机本地的安全策略控制措施，监控终端计算机违规访问危害网站可能带来的安全风险。并可审计所有网页访问。系统管理屏幕监控策略通过对终端上的操作屏幕进行及时监控和录像，防止员工违规操作单位的电脑。终端运维管理能够对对远程终端计算机执行锁定、注销、重启、关机等操作。锁定计算机除非管理员解锁，否则无论强制重新启动或者进入安全模式均不能使用。同时，管理人员可以通过控制台远程取得客户机的控制权，身临其境般进行操作。对于远端客户机出现的问题，管理人员能够即时、方便的解决。在远程维护或者远程操作业务系统中发挥多方面的作用。级联管理通过级联管理，实现上级对下级的管理。级别数无限。支持策略优先级的传递。综合分析呈现通过统一的终端安全管理平台，提供直观的、可视化的、全局的终端计算机安全运行状态、安全事件分布和安全保护效果，使得高层管理人员能够据此全面掌握终端计算机安全状况、掌控全局，为安全调度、管理决策以及合规检查提供依据。综合统计支持按终端资产、按部门、按安全级别、按地域等，进行安全事件的综合查询统计，真实有效地展现终端安全现状。以图文、报表、统计报告等方式，直观展示整体安全运行状态、安全风险状态、从全局上对资源和事件进行全程监控和预警，及时体现安全防范的效果。双机热备系统支持双机热备功能，可在重要网络中部署两台服务器互相备份，实现无间断运行。堡垒主机(JD-FORT)解决方案极地服务器管理解决方案由极地内控堡垒主机实现。系统架构极地内控堡垒主机由管理单元和执行单元两部分组成。管理单元用于完成用户管理、授权管理及策略设置等操作。执行单元包含用户输入模块、命令捕获引擎、策略控制和日志服务。产品组件关系拓扑如下：执行单元功能执行单元负责完成命令的采集、策略动作执行等功能。执行单元安装在服务器上，同用户使用环境和习惯相配合，完成对用户行为的监视与控制功能。统一账号管理管理员通过账号信息管理界面维护主账号的整个生命周期，对账号进行增加、修改、删除及锁定、解锁等操作，同时设置账号的密码使用策略及用户的级别定义。系统用户可以通过自服务功能管理自身账号信息，对手机、邮件及密码等个人信息进行编辑。多种认证方式用户通过用户密码方式登录到极地内控堡垒主机，选择资产账号，直接登录目标资产用户通过数字证书、动态令牌等方式登录到管理单元，由管理单元向执行单元发放一次性口令登录目标资产。单点登录用户登录到极地内控堡垒主机后，直接选择目标资产及账号，由堡垒主机完成账号及密码的代填，完成登录。自动捕获用户命令行输入，智能识别命令和编辑输入执行单元可以自动捕获用户命令行输入，如ls,ps,ifconfig等。执行单元支持多行长命令的捕获，多行命令的编辑操作（如回退，DEL，光标移位等）不影响命令捕获结果。执行单元智能的支持历史操作，支持UP，DOWN功能键，支持对历史操作命令的抓取，支持对以“！”方式执行历史命令的控制和相关命令抓取。执行单元智能识别编辑状态和命令状态，支持对所有shell下命令的抓取，支持mysql，telnet，ssh等客户端程序内部呈现命令的捕获功能。支持TAB补齐等Readline功能执行单元支持命令的TAB补全，支持回退键，删除键，方向键等功能键。支持组合命令的动作审计执行单元支持命令的组合使用，支持管道“|”，支持逻辑或“||”和与“&&”操作，支持分号命令“；”。执行单元支持拒绝和允许两个策略动作对拒绝的命令，执行单元能够保证该命令不被执行，忠实地履行安全策略执行动作。 日志服务功能执行单元日志服务负责记录服务器上发生过的命令，输出屏幕和原始硬拷贝流，以供事后分析和调查取证。极地内控堡垒主机日志服务将日志记录为文本文件，同时可以向其他日志服务器发送SYSLOG日志。执行单元日志服务记录每个用户登录系统的用户名，登陆IP地址，登陆时间以及在服务器上操作的所有命令。执行单元日志服务和管理单元配合，完成对日志的记录、分析和查询等工作。管理单元日志查询支持按服务器方式进行查询通过对特定服务器地址进行查询，可以发现该服务器上发生的命令和行为。支持按用户名方式进行查询通过对用户名进行查询，可以发现该用户的所有行为。支持按登陆地址方式进行查询通过对特定IP地址进行查询，可以发现该地址对应主机及其用户在服务器上进行的所有操作。支持按照登陆时间进行查询通过对登录时间进行查询，可以发现特定时间内登录服务器的用户及其进行过的所有操作。支持对命令发生时间进行查询可以通过对命令发生的时间进行查询，可以查询到特定时间段服务器上发生过的所有行为。支持对命令名称进行查询通过查询特定命令如ls，可以查询到使用过该命令的所有用户及其使用的时间等。支持上述六个查询条件的任意组合查询如，可以查询“谁（用户名）”“什么时间登录（登录时间）”服务器并在“什么时间（命令发生时间）”在“服务器（目标服务器）”上执行过“什么操作（命令）”。支持对日志的备份操作处理支持对日志的删除处理执行单元实时监控功能执行单元实时监视服务器上正在发生的行为，可以实时察看用户执行的命令、执行结果等；实时查看用户行为支持查看用户的实时切换支持对用户历史命令的查看集中身份管理(JD-4A)解决方案概述极地集中身份管理系统是集账号（Account）管理、授权（Authorization）管理、认证（Authentication）管理和综合审计（Audit）于一体的集中账号管理系统。极地集中身份管理系统采用模块化设计，不但可以根据用户需要和环境特点进行选择、组合，而且可以提供定制化的开发，能够方便地实现与用户应用的有机结合。同时，极地集中身份管理系统产品的每个模块采用开放接口，便于用户按照网络和应用需要整合符合用户需求的4A管理平台，达到以下目的：1．统一的资源访问入口。为集中管理各个业务系统、应用、主机、网络设备提供了技术手段，可以集中管理、登陆各个业务系统，包括各种C/S应用和B/S应用，主机和网络设备，在未来增加新业务系统时也能迅速、方便的通过该系统进行发布。用户访问4A系统时，可以根据用户的访问权限，系统为每个用户提供自己的操作平台，显示所有所能访问的业务系统、主机系统和网络设备。2．集中账号管理。管理员在一点上即可对不同系统中的账号进行管理，不同系统下都能自动收集账号和推送账号，另外账号创建、分配过程均有审计日志。3．集中身份认证。管理员可以根据账号身份，选择不同的身份认证方式。可以在不更改或只进行有限更改的情况下，对原有系统增加强身份认证手段，提高系统安全性。4．集中访问授权。对企业资产进行集中授权，防止私自授权或权限未及时收回对企业信息资产造成的安全损害。在人员离职、岗位变动时，只需要在一处进行更改，即可在所有应用中改变权限。可以细粒度授权，如只有在规定的时间段或是特定的人员才能访问指定的资源。5．集中安全审计。能够对人员的所有操作进行审计，所有审计信息可以关联到行为人，达到实名审计的效果。6．单点登录。访问授权资源时，只需要登录极地集中身份管理平台。7．细粒度访问控制。通过堡垒主机实现内部网络行为细粒度策略控制，即时操作“现场直播”，实时监控，实时操作回放。功能介绍极地集中身份管理系统功能模块分为：集中账号管理、集中身份认证、集中访问授权、集中安全审计、单点登录五大部分。集中账号管理集中账号管理包含对所有子系统账号的集中管理。账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对用户整个生命周期的监控和管理，而且还降低了企业管理大量用户账号的难度和工作量。同时，通过统一的管理还能够发现账号中存在的安全隐患，并且制定统一的、标准的用户账号安全策略。通过建立集中账号管理，企业可以实现将账号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足合规审计的需要。集中账号管理系统能够自动发现主机、网络设备、数据库上的已有账号。系统可以定期手动触发或自动搜索所有被管理的系统，从中发现、收集所有新创建的账号。系统还可以通过账号推送机制，通过集中账号管理系统在被管系统中创建新的账号。 集中账号管理对账号的产生到删除的各种状态进行管理。包括统一的用户创建、维护、删除等功能。统一的用户审批管理流程（添加、修改、禁用、启用、删除）。制定人员兼职、调动、离职的管理机制。集中身份认证极地集中身份管理系统为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。集中身份认证提供静态密码、Windows域、WindowsKerberos、双因素、一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口，可以方便的与其它第三方认证服务器之间结合。集中访问授权极地集中身份管理系统提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对主机、网元和各业务系统的访问进行审计和阻断。在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、主机系统、应用系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员在极地集中身份管理系统上，可以对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作这样应用内部的细粒度授权。集中安全审计集中安全审计管理主要审计人员的账号分配情况、权限分配情况、账号使用（登录、资源访问）情况、资源使用情况等。在各主机、网络设备、应用系统的访问日志记录都采用统一的账号、资源进行标识后，集中审计能更好地对账号的完整使用过程进行追踪。极地集中身份管理系统通过系统自身的用户认证系统、用户授权系统，以及访问控制和堡垒主机等详细记录整个会话过程中用户的全部行为日志。还可以通过远程日志，文件等形式获得其它系统产生的日志。单点登录极地集中身份管理系统提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多账号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高生产效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。集中不同(B/S架构和C/S架构)业务应用系统(如OA，ERP，MIS等)，主机系统(如UNIX，LINUX，WINDOWS等)，网络设备（如交换机，防火墙）的用户身份认证。单点登录可以实现与用户授权管理的无缝连接，这样可以通过对用户、角色、行为和资源的授权，增加对资源的保护，和对用户行为的监控及审计。漏洞扫描(JD-SCAN)解决方案网络漏洞扫描的必要性内部网络的统一管理，必须对内网的安全及时作出安全风险评估，这里可以采用极地网络漏洞扫描（JD-SCAN）来实现。通过风险评估，可以更有针对性的采取内控安全管理措施。漏洞扫描技术概述漏洞扫描通常采用两种策略，第一种是被动式策略，第二种是主动式策略。所谓被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查；而主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。利用被动式策略扫描称为系统安全扫描，利用主动式策略扫描称为网络安全扫描。

现有的信息安全产品中主要包括以下五大件：防火墙、入侵检测、安全评估（漏洞扫描或者脆弱性分析）、身份认证、数据备份。这样，在部署安全策略时，有许多其它的安全基础设施要考虑进来，如防火墙，防病毒，认证与识别产品，访问控制产品，加密产品，虚拟专用网等等。如何管理这些设备，是安全扫描系统和入侵检测系统的职责。通过监视事件日志，系统受到攻击后的行为和这些设备的信号，作出反应。这样，漏洞扫描系统就把这些设备有机地结合在一起。因此，而漏洞扫描是一个完整的安全解决方案中的一个关键部分，在企业部署安全策略中处于非常重要的地位。

防火墙和漏洞扫描的必须同时存在，这是因为仅有防火墙是不够的。防火墙充当了外部网和内部网的一个屏障，但是并不是所有的外部访问都是通过防火墙的。比如，一个未经认证的调制解调器把内部网连到了外部网，就对系统的安全构成了威胁。此外，安全威胁往往并不全来自外部，很大一部分来自内部。另外，防火墙本身也很有可能被黑客攻破。

结合了入侵检测功能后，漏洞扫描系统具有以下功能：①

协调了其它的安全设备；②

使枯燥的系统安全信息易于理解，告诉了你系统发生的事情；③

跟踪用户进入，在系统中的行为和离开的信息；④

可以报告和识别文件的改动；⑤

纠正系统的错误设置；⑥

识别正在受到的攻击；⑦

减轻系统管理员搜索最近黑客行为的负担；⑧

使得安全管理可由普通用户来负责；⑨

为制定安全规则提供依据。漏洞扫描产品特点模拟攻击黑客的攻击一般分为3步：第一步，扫描端口，探测那些端口是开放的；第二步，发现漏洞，对开放的端口调用测试程序或数据串，通过特定的反应检测是否存在漏洞。第三步，发起攻击，发现漏洞后，黑客就查找相关的攻击工具进行攻击。漏洞扫描系统的前两步和黑客的攻击很相似，不同的是在第三步，发现漏洞后会立即向用户提示漏洞的存在和解决办法，而不是发起攻击。因为前两布的相似性，漏洞扫描系统也称为模拟攻击测试。进攻是最好的防守，传统的安全产品都是单纯从防御的角度来达到目的，而漏洞扫描产品是唯一从进攻的角度检测系统安全性的安全工具，可以发挥其他安全产品无法发挥的作用未雨绸缪通过事前的模拟攻击测试，漏洞扫描系统可以在黑客发起进攻之前就发现黑客可能发起攻击的隐患，提示用户修补漏洞和采取防范措施，防范于未然。事前防范比事件发生时的防范更从容完整的入侵检测技术包括事前的检测，事中的探测和报警，事后的分析和应对。漏洞扫描系统在攻击发起之前进行自我防护和积极应对，比事中、事后的措施更有效。直接保护被攻击对象传统手段是通过层层设防，防止黑客接触到主机（或其他被保护节点），但是一旦各种保护层被突破，主机仍然要承受攻击。漏洞扫描是直接加强被攻击对象的强壮性，即使外部的保护措施失效，本身强壮的主机仍然可以保证安全。性价比高在目前的安全产品中，漏洞扫描产品的价位比防火墙稍高，远远低于其他安全产品的投资。漏洞扫描产品的安装运行简单、效果好、见效快，同时该类产品网络运行相对独立，不会影响到正常的业务，具有很高的性能价格比。使用方便安全扫描产品不仅能发现漏洞，还装载了大量的信息安全知识。通过使用安全扫描产品，系统管理员可以借鉴专业安全工程师的知识和信息积累，大大减轻了自己的劳动强度，有利于全网安全策略的统一和稳定。产品部署通常在核心交换机上部署一台机架式漏洞扫描服务器，同时在其他的各个不同的网段配置一台分布式漏洞扫描仪，定期地对网络中多个不同的网段的主机进行检测，同时给出相应的解决建议，用户根据这些解决建议来做出相应的防护。产品特点介绍强大的检测分析能力能够对操作系统、网络设备和数据库进行扫描，指出有关网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告和相应的修补措施，安全建议；能够通过本机扫描插件下载的方式，下载插件进行本地补丁扫描，突破防火墙的限制，或者最准确的主机漏洞信息。软件设计采用了最先进的层次化软件体系结构，框架清晰、运行稳定；漏洞库的升级不会影响到程序的稳定，从而使先进性和可靠性得到了完美的统一。综合了国外著名安全产品的优点和思路，起点高技术先进，检测范围广，可覆盖Internet/Intranet的所有主流部件。拥有强大的检测漏洞库，根据服务分为19大类别，现有漏洞数量20000余条（2009年11月）。每条漏洞都包含详细漏洞描述和可操作性强的解决方案。通过网络和本地数据包，每周至少升级更新漏洞库一次，以保证能够检测最新的漏洞；拥有强大的结果文件分析能力，可以预定义、自定义和多角度多层次的分析结果文件，提供html、doc等多种格式。支持分布式扫描随着网络规模的逐步庞大、逐步复杂，核心级网络、部门级网络、终端/个人用户级网络的建设，各个网络之间存在着防火墙、交换机等过滤机制的存在，漏洞扫描发送的数据包大部分将被这些设备过滤，降低了扫描的时效性和准确性。针对这种分布式的复杂网络，不能依旧采用传统的软件安装方式或者机架方式那种不易移动的产品，漏洞扫描系统能够充分发挥自身可移动的优势，能够很好的适应这种分布式网络扫描。自身高度安全性IP地址限定每个扫描系统所能扫描的IP地址范围被严格锁定和限制，并在国家授权机关进行安全备案，杜绝了网络漏洞扫描系统被恶意使用的可能。抗攻击设计扫描系统运行的操作系统是经过专门优化的LINUX系统，对操作系统的漏洞进行了全面的修补，并对扫描系统本身进行了各种攻击下的防范测试。多级的安全权限系统有完备的安全设计，防止超越权限操作现象发生；系统分级分层授权，以保证信息的安全和保密；充分考虑在网络、操作系统、数据库、应用等方面的安全性传输数据的加密采用多种数据加密方法对重要数据进行加密，保证数据的安全读取与传输。不论是扫描脚本还是用户的扫描结果，都以严格加密的形式进行传送。既保证了测试脚本不会被窃取，也保证了用户的评估情况不会泄漏。支持WEB扫描Web漏洞扫描方法主要有两类：信息获取和模拟攻击。信息获取就是通过与目标主机TCP／IP的Http服务端口发送连接请求，记录目标主机的应答。通过目标主机应答信息中状态码和返回数据与Http协议相关状态码和预定义返回信息做匹配，如果匹配条件则视为漏洞存在。模拟攻击就是通过使用模拟黑客攻击的方法，对目标主机Web系统进行攻击性的安全漏洞扫描，比如认证与授权攻击、支持文件攻击、包含文件攻击、SQL注入攻击和利用编码技术攻击等对目标系统可能存在的已知漏洞进行逐项进行检查，从而发现系统的漏洞。远程字典攻击也是漏洞扫描中模拟攻击的一种，其原理与其他攻击相差较大，若攻击成功，可以直接得到登陆目标主机系统的用户名和口令。Web漏洞扫描原理就是利用上面的扫描方法，通过分析扫描返回信息，来判断在目标系统上与测试代码相关的漏洞是否存在或者相关文件是否可以在某种程度上得以改进，然后把结果反馈给用户端(即浏览端)，并给出相关的改进意见。内部网络的统一管理统一管理方式在用户内网中，统一部署极地终端与内网安全管理系统、极地内控堡垒主机、极地网络漏洞扫描系统后，可与用户已经部署的防火墙、IDS、VPN等设备联动，联动接口为标准规范。实施联动后，所有设备实现信息共享，并按照统一的原则和策略实现统一管理。例如IDS检测到某终端有攻击行为后向终端管理系统报告，终端管理系统立即禁止此终端所有网络连接，防止攻击行为对内网产生影响。统一管理功效有了针对终端计算机和服务器的管理系统以后，结合用户已经建设的防火墙、IDS、VPN等系统，可以实现真正意义上的全网统一管理：无死角通过抓住所有安全事件的源头：终端与服务器，可以将全网所有事件纳入管理范围，无论安全事件从哪里发生都能准确定位和处理。全网安全域管理通过终端虚拟安全域，可划分更细粒度的安全域，将安全域由传统的网络边界粒度扩展到单台终端，与传统的基于网络边界访问控制的安全域结合，实现更细粒度、更自由的安全域管理。远程终端与内网终端统一管理通过远程终端安全准入控制，终端计算机不再区分远程接入或局域网接入，可以按相同的管理策略进行管理。统一用户管理全网统一身份，服务器与终端基于统一的一套身份管理，实现不同的人、不同的机器运用不同权限，实现了终端上的真正实名管理，解决了长久以来存在在终端上的“一人多机、一机多人”的顽疾，解决了大量的服务器管理维护问题，同时统一了各网络设备、安全设备的管理。统一访问授权管理通过统一用户管理，实现全网范围内从终端到服务器到网络设备和安全设备的统一授权，避免了大量重复低效劳动，同时也避免错误发生，提高劳动效率、提高安全等级。全网实名审计与统一事件管理通过终端实名策略和服务器统一管理，无论安全事件发生在哪里、由哪些捕获，通过将源头抓获，可以轻松定位安全事件何时、何地、何人所为，将IDS等传统网络设备和安全设备的审计结果与人员身份轻松对应，实现真正意义上的全网实名审计。《企业内部控制基本规范》的要求与解决内控原则《企业内部控制基本规范》中第四条明确要求：第四条企业建立与实施内部控制，应当遵循下列原则：（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。对此，内控管理应考虑以下事项：应从终端计算机、服务器与网络设备管理、应用管理、内网评估等方面进行全面安全管理体系的建设，以满足全面性原则要求。使用极地内部网络控制统一安全管理解决方案可以全面覆盖这四个方面的安全管理需要，满足此要求；应将终端管理、服务器与网络设备管理、应用管理在安全建设的重要等级进行相应提高，对满足重要性原则要求。使用极地内部网络控制统一安全管理解决方案可以覆盖高等级安全管理要求，满足此要求；应考虑体系建设完成后，利用技术体系提供的角色管理手段，合理分配管理职能，以满足制衡性原则。使用极地内部网络控制统一安全管理解决方案可以提供丰富的角色管理手段，满足此要求；应在体系建设中考虑系统适应性，选用适应性强的产品进行建设。使用极地内部网络控制统一安全管理解决方案所使用的系列产品均有非常强的环境适应能力，充分满足此要求；应考虑体系建设的成本问题。使用极地内部网络控制统一安全管理解决方案可以以低廉的成本完成高等级安全建设的需要，满足成本要求。技术要求《企业内部控制基本规范》中第四条明确要求：第七条企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。极地内部网络控制统一安全管理解决方案就是这样一套满足内控要求的技术体系，以技术平台实现对业务和安全事项的自动管控，减少人为操纵。风险评估《企业内部控制基本规范》中第三章条对风险评估提出了明确要求，而风险评估离不开资产这个基础。极地内部网络控制统一安全管理解决方案即以资产管理为基础，对所有计算机和设备进行管理，为实施风险评估提供了良好的基础。控制活动《企业内部控制基本规范》中第四章对控制活动提出了明确要求，极地内部网络控制统一安全管理解决方案可以按照内控要求，对各种信息访问进行控制，以达到内控中对控制活动的要求。另外，第四章第三十七条还对预警机制和应急响应机制提出要求，极地内部网络控制统一安全管理解决方案可以提供全网统一的报警管理和事件处理机制，为预警体系建设和应急响应体系建设提供良好的基础。信息与沟通《企业内部控制基本规范》中第五章对信息与沟通提出了确要求，极地内部网络控制统一安全管理解决方案可以将所有计算机和网络设备以及应用的运行状态进行统一展示，提供最全面、最直观、最有效的信息展示，以求在各管理级次、责任单位、业务环节之间，以及部门、单位之间进行有效的沟通与反馈，及时发现问题并解决。内部监督《企业内部控制基本规范》中第六章对内部监督提出了明确要求。极地内部网络控制统一安全管理解决方案丰富的角色设置、灵活的策略平台和报表平台，都为监督体系、变更体系、内部缺陷管理等各个管理需求提供了良好的技术支持。

集成的会计系统财务四大基础模块ERP系统是分模块的，在财务会计领域，一般总会有如下的4大模块：总帐，应收帐款，应付帐款和固定资产。如图1-1所示，这四个模块本身是相互集成的（图中以连接模块的线条代表模块间的集成），比如当用户对应收，应付和资产三个明细分类帐进行操作时，系统会自动更新总分类帐中的数据。图1-1财务四大基础模块这四大基础模块可以构成一个独立的会计软件–它具有和其他会计软件一样的特征：帐务处理和业务处理是分开的。所谓业务处理是指企业日常运作的具体业务，比如根据销售定单和定单履行情况开出销售发票；根据采购定单和收货情况校验收到的发票；以及所有的库存收发业务等等。而所谓帐务处理是指财务人员根据原始凭证（包括外部的，如发票，和内部的，如入库单）编制会计分录，在系统中记录下来。对于一般会计软件而言帐务处理和业务处理是分开的，它们之间是通过单据在企业内部其他部门和财务部门间的传递和核对完成的，同时财务人员需要利用专业知识分析业务和编制分录。同时除了最基础的借贷，科目和金额以外，财务人员可能还需要手工录入一些附加信息，以利于日后做一些简单的汇总分析，这些附加信息是以凭证输入时的附加字段体现的。图1-1右下角红色的粗箭头代表了这种分开处理的过程。虽然大方向上是一致的，但是不同的软件之间在功能上还是会有很大的差别的，图1-1中列举了一些这四大基础模块的功能。模块外部的红色箭头是需要手工输入的功能，模块内部的则是系统可以自动完成的功能。事实上有些功能已经体现了ERP业务处理和帐务处理统一的特征，比如图1-1中的红圈所示的自动付款功能。集成下的财务会计如果ERP的财务会计模块仅仅是一般会计软件的功能延伸和加强，那它不会在最近的10年间对全球企业的财务实践带来如此巨大的变革。而ERP本身的集成性，决定了它的财务会计模块完全融入到了企业整体的流程中，图1-2描述了在集成环境下的财务会计模块。图1-2财务会计和物流的集成在物流领域有四个基本的模块：销售，生产，采购和库存管理，企业物流管理的流程和功能不是本书所要讨论的内容，图1-2中我们大致例举了一些物流模块的基本功能（在图中各模块内部）。在下面我们要着重介绍的是物流模块和财务会计的集成关系，本章主要介绍以下7个集成点：销售开票，销售发货，采购收货，发票校验，其他收发货，盘点和估价。销售开票销售开票的过程其实是在ERP系统中生成一帐开票凭证（BillingDocuments）。发票，形式发票，红字发票和贷项凭证都是不同类型的开票凭证。我们通常提到的发票（如增值税专用发票或普通发票）是根据系统中的开票凭证在金税系统中套打出来（或直接套打出来）的实物凭证。在下文中如果不特别指明实物发票，那“发票”都是指系统中保存的开票凭证。ERP系统是集成的，而销售开票又是销售流程的最后一个环节。因此发票在系统中不是孤立的，它一般是参照先行的其他凭证（如销售定单或发货单）建立的，系统会根据一定的规则自动的复制这些先行凭证的信息，从而使得开票的过程尽可能的简单，也防止了错误的产生。发票的结构发票由一个发票抬头和多条行项目构成。在发票抬头系统保存了关于整张发票的信息，比如付款方（客户），开票日期，整张发票的净金额，币种，付款条款，国际贸易条件，售达方（有时候付款方和售达方是不同的），价格条款（比如针对整张发票的折扣）。行项目中保存了仅对该行有用的信息，比如商品，数量，该行净金额，重量和体积，参照凭证的编号（比如，该发票针对的发货单号），价格条款（比如货款，运费，折扣，增值税等等）。可以发现系统中的发票所保存的信息大大超过了实物发票所需要的，在套打实物发票时，系统会根据各国家和企业的规定选取相关的信息，按规定的格式打印出来。开票方式从参照凭证（定单或发货单）生成发票，系统提供了如下一些可能的方法：只要某些数据吻合，你可以合并多张不同的凭证（销售定单和/或发货单）的全部或一部分，开出一张发票。前提条件是：首先，需要从这些参考凭证中复制的发票抬头数据在这些凭证中都是一致的。其次，拆分开票的条件不成立。比如在处理到期的开票清单时，系统会合并那些具有相同的客户编号，销售组织和开票类型的参照凭证，如果上述的前提条件都满足，系统将开出一张发票。如果你希望在某些情况下发票是分开的，比如希望同一张交货单上的很多商品按不同的商品组分开开票，那么可以通过定义拆分开票规则来实现。当然你也可以针对每张销售凭证开一张发票，比如每张发货单一张发票。在具体执行开票时，系统提供了如下方法：定单或发货单个别开票。我们可以针对整张定单，个别行项目或行项目的部分数量进行个别开票。手工处理到期开票清单。我们可以使用到期开票清单来处理开票，在这种情况下财务人员不需要针对某张销售定单或发货单单独开票。我们只需要输入选择条件，系统会自动挑选那些符合条件的定单或发货单，生成到期开票清单。经过手工编辑和模拟后就可以实际开票了。后台自动处理到期开票清单。为了减少处理时间和人力，可以将到期开票清单的处理安排在系统后台完成，比如每天下午4点由系统自动生成。财务会计过帐当开票这一业务处理在系统中完成后，通过ERP系统的集成功能，在财务会计模块会自动生成相应的会计分录。图1-2中“开票”标签所指的箭头就代表了这种自动过帐。但是为了增强灵活性，也可以对于某些类型的开票凭证自动冻结过帐，这样在流程设计时在正式过帐前可以加入控制点。而当控制完成后，过帐也仅仅是一个按钮的工作了。对于会计科目，系统是综合4个数据自动判断的，它们分别是销售组织，客户组，商品组和价格条款。这样系统可以自动将货款和增值税分别计入“产品销售收入”和“应交税金-增值税-销项”科目中。同样的，如果价格条款中还有运费和折扣，可以分别计入“产品销售收入”的二级科目中。此外这种科目确定的机制也使得我们可以根据销售组织，客户组和商品组设置二级或三级科目。不过需要指出的是虽然系统提供了这些灵活性，但是在实际实施中我们未必需要这样做，特别是当我们同时实施了盈利分析模块时，此类分析将没有必要通过科目来完成。盈利分析将在第4章中具体介绍。对于金额的确定，系统是根据发票中各价格条款的金额来决定的。定价功能是ERP销售模块的一个非常有力也非常有趣的功能。本书不做详细的介绍。有一点需指出的是我们在实施时，可以根据企业的实际情况和管理要求，决定开票时是直接从销售定单复制价格呢，还是允许修改或重定价（这种配置是基于发票类别的）。对于定价功能和科目自动确定功能的一个应用是消费税的计算和过帐，我们可以在销售定价模板中增加一增一减两个价格条款，它们的计算规则是货款的百分比，两者分别指向“产品销售税金和附加-消费税”和“应交税金-消费税”科目，同时消费税率维护在和商品相关的定价表中。因为消费税是价内税，所以我们的实物发票中并不体现，但是财务会计上却即时地记帐了。这个问题的另一个解决方法是月末定期地运行报表计算消费税额，并自动批输入过帐。两者都是可行的，也都可以自动生成纳税申报表，前者的好处是记录的实时性，从而有利于盈利分析。折扣和折让如果销售已经完成，但是客户对于产品的质量或者别的方面存在异议，双方协商以折扣和折让的方式处理。在系统中可以有如下3种处理方案：第一：用贷项凭证的形式来处理折扣和折让。贷项凭证在系统中和发票一样，是一种不同类型的开票凭证。贷项凭证可以参照发票或者贷项凭证申请来创建，而且既可以针对整张发票也可以针对部分行项目，还可以针对行项目中的部分数量。使用贷项凭证申请，我们可以走正规的客户投诉和扣款流程，保证完善的内部控制。如果我们不准备对实物发票，特别是增值税发票做任何处理，那么通过配置，可以让系统自动生成如下会计分录：借：产品销售折扣和折让贷：应收帐款-客户明细。对于这种处理方法需要注意如下两点：第一，贷项凭证没有增值税发票作为原始凭证，因此在我国是不能减少增值税销项额的，因此折扣应该给不含税价，否则折扣中的增值税部分就只能由销售方作为费用多承担了。但是在实际业务中这往往会使双方的业务人员夹缠不清，无法理解。第二，正由于贷项凭证没有发票做原始凭证，在我国的实施中可能会引起企业所得税上的麻烦。但这种方案的优点是明显的：它不涉及对原增值税发票的处理，而众所周知，这类处理在我国是非常难的。第二：用取消发票并重开来解决折扣和折让的问题。取消发票在系统中会生成反方向的红字发票和冲销会计分录，业务人员取消原发票后重新开票，并更改价格条款。从实物发票的角度，会有如下两种情况：1如果对方能够返还两联增值税发票,我们可以开出红字发票，其中记帐联作为减少销项税的原始凭证。其他三联和返还的原发票的两联应妥善保管。2如果对方不能返还两联中的任何一联，必须做如下操作：客户应从当地税务部门取得退货或折扣证明单并交给销售方。销售方开出红字发票，其中两联作为其减少销项税的原始凭证，另两联交给客户。第三仍然用贷项凭证的功能，只是通过配置，让系统自动生成如下会计分录：借：产品销售收入借：应交税金-增值税-销项贷：应收帐款-客户明细，金额为折扣金额。同时开具实物红字发票，金额为原发票金额。再根据折扣后金额重开实物发票。将红字发票和重开发票同时作为贷项凭证的原始凭证。需要注意的是ERP中在很多情况下使用贷项凭证，贷项凭证是直接以后续的调整金额记帐的。但是我国增值税管理要求对于增值税发票变更的处理，一般都是先用红字发票冲销，随后在对变更后的金额开具发票。所以在实施中要么仍然使用贷项凭证的方法，只是实物红字发票和重开发票两者一起作为贷项凭证的原始凭证，如本节中的第三种方案和下一节中的第二种方案。要么在ERP流程中也使用这种先冲销，再重开的方式，如本节中的第二种方案和下一节中的第三种方案。不过这两种方案都避免不了红字发票难开的问题，这已经不是ERP系统的问题，在实务中企业也会考虑其他的避免方法，比如本节第一种方案和下一节中第一种方案，以避免开红字发票。退货对于客户投诉的另一种解决方法是退货。在系统中有3种处理方案：第一：标准的退货流程。首先是建立退货凭证，退货凭证可以是针对销售定单或针对发票。当货物实际退回时，仓库参照退货凭证做入库处理，系统自动生成会计分录借：存货贷：产品销售成本。如果需要补货，那么做补货的发货处理，系统自动生成会计分录借：产品销售成本贷：存货。这种情况不影响开票和实物发票。第二：如果客户不要补货，而要退回货款，那系统将针对退货开出贷项凭证，并自动生成如下分录：借：产品销售收入借：应交税金-增值税-销项贷：应收帐款-客户明细，金额为退回部分的售价。同时财务人员开具红字发票，金额为原发票金额。再根据退货后余额重开发票。将红字发票和重开发票同时作为贷项凭证的原始凭证。第三：对于不要求补货的退货，我们也可以不建立退货凭证，而直接取消原发票（对应红字发票），退货入库后，再重新开出发票（对应重开的增值税发票）。返利返利是指根据客户或者经销商在一定期间里的购买量，而定期返还给他们的款项。在销售模块，我们需要维护返利协议。在返利协议中，必须指明：<1>谁可以得到返利。<2>返利的标准。<3>协议的有效期。<4>是否需要在会计上记提返利。同时销售部门需要维护各种产品或产品组的返利比例。返利比例可以是直线的，也可以是坎级的：对于越大的购买量，返利比例也越高。销售模块会跟踪所有和返利相关的开票凭证。根据返利协议计算返利的金额。在协议有效期内可以先定期结算部分返利，在最终结算时，系统会自动扣减累积的部分结算的返利。从财务会计的角度看，返利会有如下影响：<1>根据预提比例，系统可以自动预提返利费用。分录如下：借：产品销售收入或销售费用贷：预提费用<2>当返利协议结算时，系统会自动生成贷项凭证申请（Creditmemorequests），申请批准后，系统会自动生成分录如下：借：产品销售收入或销售费用贷：应收帐款-客户明细。该笔贷方的金额或者直接和该客户原先帐户中的未清发票对清，或者在发生贷方余额时，纳入付款流程。同时自动冲销先前的预提凭证。由于返利和贷项凭证没有增值税发票作为原始凭证（以双方的返利协议结算报告作为原始凭证），在我国的实施中可能会面临一些麻烦，因此企业有时候会用票面返利的形式处理，所谓票面返利是指返利不记录在表内科目里，而是在表外另行记录。返利的金额被用于扣减今后销售定单的价格而不是直接对清发票或者付款。但是这样的处理往往在系统配置上较为麻烦，对于今后的分析也不够清晰。收入的确认从上文的介绍，我们会发现一个问题：ERP标准设置是在开票时确认销售收入，而在交货时结转销售成本。系统本身是不保证收入和成本配比的，这主要是因为两者各有支持的原始凭证（发票和出库单）。对于这个问题我们认为：除非是行业特殊性造成的原因，收入和成本的配比，主要应当从流程的角度通过控制开票和交货的时机来解决，比较理想的状态是开票直接指向交货，交货后即时开票或者定期（每天或至少月底）开票。我国的增值税法也要求企业在销售交货之后应当及时开具增值税专用发票。但是，在有些情况下企业由于种种原因无法实现这种流程上的匹配，就需要一些别的功能和手段来实现这种匹配：<1>在期末执行收入确认程序调整收入。当使用这种方法时，开票时，系统不直接确认销售收入，而是计入“递延收入”科目：借：应收帐款-客户明细贷：递延收入贷：应交税金-增值税-销项（如果是服务业，则没有税金行）。当期末执行收入确认程序时，系统根据预先设定的规则确定当期应确认的收入，做分录如下：借：递延收入贷：主营业务收入。具体的规则可以是根据实际交货或确认的服务，也可以是根据期间分配收入（如长期合同的收入）。<2>类似的处理是在交货时不结转成本，而是先计入“递延成本”，当实际开票时将“递延成本”确认为“产品销售成本”。<3>对于大型项目来说，收入和成本是通过项目定期的结果分析计算出来的，而不是开票以及成本的原始凭证决定的，两者之间的差额通过调整“预提”和“存货”等科目实现。关于项目管理和结果分析我们将在第10章中介绍。其他还有一些方法，比如走寄售流程，或者建立客户虚拟库，但是这些方法一方面会增加操作的步骤和复杂程度，另一方面也曲解了业务本身，变成了为了会计处理而改变业务流程，有点得不偿失。最后，仍然想重申的是：除非真正源自行业的特殊性，否则应尽量考虑从流程的角度解决这个问题。毕竟实施ERP的目的之一是简洁流畅清晰的企业运作，舍弃一些模糊混乱带来的“好处”是值得的。销售发货销售定单的交货是销售定单执行的一个环节，通常会先于开票环节。在ERP中交货是一个多步骤的过程，包括交货单（交货申请），拣配，包装，装载，装运和发货过帐等步骤。其中大多数步骤属于物流管理的范畴，好的ERP软件提供了整个交货过程的全程监控，包括交货期管理，自动确定装运点等等功能。从财务会计的角度集成出现在发货过帐这个步骤，此时系统通过库存管理模块的自动记帐功能，生成了会计分录，更新了总帐。一般我们配置自动记帐功能时，让系统生成如下分录：借：产品销售成本贷：存货。存货的计价既可以是标准成本，也可以是移动平均价或个别认定的批次成本。但是对于制造型企业来说，由于实际成本必须在月末才能得到，而发货是实时的，所以此时一般应使用标准成本，到月末再根据实际成本重估库存和产品销售成本。图1-2中“销售发货”标签指向的箭头就代表了这种集成。同时可以发现销售发货本身是销售模块和库存管理模块的一个集成点，它是由仓储部门完成的，实现的又是销售业务的一个步骤。采购收货采购定单的收货是采购定单执行的一个环节，通常会先于发票校验。和销售发货类似，采购收货本身是采购和储运部门的共同职责，同时系统通过自动记帐功能，生成会计凭证。一般手工或简单会计软件的记帐，要求收货要等到收到发票以后再入帐，如果月末发票未到就暂估入帐。这样做是为了方便会计工作，但是一方面这样容易造成库存帐实不符，另一方面虽然平时的工作简化了，但是却增加了期末的核对工作。ERP系统是一个实时的系统，同时又讲究帐实相符和集成。因此它采取了收货和发票校验两个业务都记帐，两者通过“商品采购”（或称为“货或发票未到”）科目对清，同时还能完成三单匹配（指采购定单，收货和发票校验）的内部控制机制。关于采购收货的系统自动帐务处理我们在下一小节发票校验中一起介绍。发票校验发票校验功能充分显示了ERP系统的高度集成性，图1-2中是以“发票校验”标签指向的箭头表示的。该功能从采购模块的采购定单和收货中获取信息。当发票校验完毕并过帐时，数据被自动传入财务会计模块。在发票校验时很重要的一点是参照采购定单和收货单，这样系统可以自动检查发票的内容，单价并计算准确性。当发票过帐时，系统会在供应商的帐户上创建一条未清项，它会在财务会计的付款业务中被结清。在配置系统时我们还可以规定每个系统操作者能够处理的最大发票金额。输入发票输入发票时可以有三种选择：<1>参照采购定单。此时我们只需要输入采购定单号。系统会自动建议发票的数量，金额，税率和付款条款（指到期日和现金折扣比率）。因为实际收到的发票可能和这些缺省值有差异，所以缺省值是可以更改的。当我们输入发票时系统会通知我们这些差异。我们可以设置对于单条发票行的差异的容差。如果差异小于容差，它们将被系统接受。如果它们大于容差，我们将收到系统的警告信息，通知我们检查该发票，但是仍然可以过帐。如果容差的上限被超出了，这张发票仍可过帐，但是对它的付款将被冻结。只有当财务会计通过另外一个操作释放这张发票后，这张被冻结的发票才可以被付款。当我们过帐发票时，系统将自动生成会计凭证。<2>参照采购收货单。此时应付帐款会计输入收货单号，系统查找并建议相应的数据。每笔收货单都将被这样结算。当然我们也可以输入采购定单号，系统会帮助查找此采购定单相关的收货单。<3>不做参照。最后也可以不参照任何凭证输入发票，这时可以手工输入发票项，分别计入总帐，存货或固定资产。财务会计过帐采购收货和发票校验完成后都会在系统中自动生成会计凭证，科目可以在系统配置时预先设定。自动记帐的科目和金额的处理受到存货计价方法和收货与收发票的先后次序等因素影响。具体规则如下：ERP系统有两种典型的存货计价方法：标准成本和移动平均价。如果发票晚于收货，根据存货计价方法的不同自动记帐的科目和金额会有所不同：如果是标准成本法，价差将计入“发票价差”科目。价差包括收货时标准成本和采购定单价格的差异，也包括发票校验时采购定单价格和发票价格的差异。如果是移动平均价，收货时直接按采购定单价格计入存货价值。收发票时的价差，如果库存充足则直接更新库存价值，如果库存低于发票数量，则按比例一部分更新“库存”价值，一部分计入“发票价差”科目。如果发票早于收货，那么收发票时按发票金额计入“商品采购”科目，如果采用标准成本法，收货时价差计入“发票价差”科目。如果采用移动平均价，收货时按发票金额更新“库存”价值。这些规则听起来有点复杂，但主要是因为各种情况的排列组合比较多，所以只要看看下面的具体例子就很好理解了。例一标准成本法/先收货标准成本:1.2元/件 库存数量:100件采购定单:1.3元/件 数量:100件收货 : 数量:100件发票: 1.24元/件 数量:100件这种情况下，系统自动记帐如表1-1。表1-1“标准成本法/先收货”的自动记帐科目收货发票校验存货120+发票价差10+6-商品采购130-130+应付帐款-供应商明细124-此时，该物料数量，金额和成本的变化如表1-2: 表1-2物料数量，金额和成本变化数量金额标准成本开始时100件120元1.2元/件收货后200件240元1.2元/件收发票后200件240元1.2元/件例二移动平均法/先收货/库存充足初始移动平均价: 1.2元/件 库存数量:100件采购定单: 1.3元/件 数量:100件收货 : 数量:100件发票: 1.24元/件 数量:100件这种情况下，系统自动记帐如表1-3。表1-3“移动平均法/先收货/库存充足”的自动记帐科目收货发票校验存货130+6-商品采购130-130+应付帐款-供应商明细124-此时，该物料数量，金额和成本的变化如表1-4: 表1-4物料数量，金额和成本变化数量金额移动平均价开始时100件120元1.20元/件收货后200件250元1.25元/件收发票后200件244元1.22元/件例三移动平均法/先收货/库存不足初始移动平均价： 1.2元/件 库存数量:100件采购定单: 1.3元/件 数量:100件收货 : 数量:100件领用: 数量:120件发票: 1.4元/件 数量:100件这种情况下，系统自动记帐如表1-5。表1-5“移动平均法/先收货/库存不足”的自动记帐科目收货发票校验存货130+8+发票价差2+商品采购130-130+应付帐款-供应商明细140-此时，该物料数量，金额和成本的变化如表1-6: 表1-6物料数量，金额和成本变化数量金额移动平均价开始时100件120元1.20元/件收货后200件250元1.25元/件领用后80件100元1.25元/件收发票后80件108元1.35元/件例四移动平均法/先收发票初始移动平均价: 1.2元/件 库存数量:100件采购定单: 1.3元/件 数量:100件发票: 1.24元/件 数量:100件收货 : 数量:100件这种情况下，系统自动记帐如表1-7。表1-7“移动平均法/先收发票”的自动记帐科目发票校验收货存货124+商品采购124+124-应付帐款-供应商明细124-此时，该物料数量，金额和成本的变化如表1-8: 表1-8物料数量，金额和成本变化数量金额移动平均价开始时100件120元1.20元/件收发票后100件120元1.20元/件收货后200件244元1.22元/件增值税上文的例子为清晰起见，都没有考虑增值税。实际在输入发票时，如果是增值税专用发票，我们也输入税码（包含了税率的一个参数）和税额。系统会自动检查含税价，税率和税额是