鋼鐵作為傳統的制造行業，已經擺脫了傳統的業務模式，開始走向信息化生產時代。在多年的信息化建設過程中，“如何保障信息系統的安全正常運行”的課題，一直是行業中討論、嘗試的重點。雖然信息化程度提高了，但信息系統的安全問題不容忽視，尤其是針對業務系統的信息安全治理成為重中之重。 

ERP系統審計提高企業風險管理能力 

重慶鋼鐵集團公司是重慶市最大的一家國有企業，也是一家在歷史上為中國冶金行業的發展做出過貢獻的老企業。重鋼集團公司93年開始實施財務管理系統，現在已全部實現電算化，97年實現了營銷管理、生產管理及原材料管理信息化改造，建立了生產、銷售、管理一體化的信息系統（ERP系統）。精準的戰略定位、卓越的研發創新實力，奠定了重慶鋼鐵突出的主業競爭優勢，其主導產品中厚板材被譽為中國第一板。重鋼ERP系統經過不斷建設，已經形成了能夠提供諸如銷售（訂單）管理、質量控制、生成流程管理等綜合業務功能的綜合系統。 

可以說，ERP已經成為重鋼的生命線，在未來的發展過程中，企業需要利用這個系統，進行鋼鐵的生產、新鋼材的研究以及產品銷售管理。但眾所周知，信息系統的建設過程、使用過程、以及相關的環境因素中都存在著大量的風險因素。如果不能對ERP系統的信息安全問題進行有效的管理，不但可能增加系統的實施成本，稍有不慎，還可能造成巨大的損失。為了防范和降低風險，必須加強風險管理和風險控制，建立一套良好的ERP系統的信息安全管理機制。這其中就包括了信息安全審計。審計已經成為企業內控、信息系統治理、完善風險管理的不可或缺的關鍵手段。 

通過對市場上安全審計技術的評測和試用，重慶鋼鐵集團最終選擇了啟明星辰的天?h安全審計解決方案。重慶鋼鐵希望通過安全審計技術來解決針對重要的業務系統提供基于CA證書（USB令牌）的二次強身份認證，同時針對關鍵主機訪問采取專項控制和管理；針對企業ERP系統的應用操作與維護行為進行記錄、審計、回放；針對企業ERP系統的后臺Oracle數據庫的訪問行為進行記錄、審計、回放。 

細粒度審計報告，全面定位網絡風險 

ERP系統的應用和發展為在市場經濟大潮中奮力搏擊的眾多企業注入新的血液，在中國和世界都掀起了一場管理思想和管理技術的革命。對企業ERP系統進行安全審計不能僅僅局限在FIS，ERP軟件的其他功能模塊，如銷售和分銷（SD）、物料管理（MM）、生產計劃（PP）、人力資源（HR）等，對于核實企業資產負債的真實性、交易過程的合規合法性，檢查企業內部控制的執行情況，都有重要的參考作用。ERP系統雖然實現了會計處理中間過程的無紙化，但同時對ERP系統審計中如何取得充分、有效的證據也提出了挑戰。 
計報告是業務審計系統價值的具體體現，它起到為制定決策提供重要依據的作用。面對用戶越來越復雜的業務系統，面對海量的信息和復雜的技術環境，報告的細粒度已經成為業務網絡審計系統發展的必然。為了方便用戶取證、追查和建立制度，報告應該越細越好。 

在該案例中，天?h網絡安全審計系統能夠通過實時鏡像捕獲通過各交換機的網絡流量和網絡行為進行高強度監控，利用計算機輔助審計技術更快速、更有效地對電子化的經濟信息進行抽樣、檢查、核對、分析、比較和計算，有效地提高審計效率、擴大審查范圍、提高審計質量，避免安全事故的發生，有效滿足ERP系統對審計的挑戰。 

據介紹，天?h網絡安全審計系統提供設計一套完善的審計報告輸出機制，審計報告多達上百種，包括符合SOX法案的專業報表，還可以根據用戶需求定制審計報告。一方面將海量的日志信息通過多種有效、快捷的手段精確定位用戶關注的審計結果，另一方面以美觀、多樣的呈現方式從各個角度直觀展現業務系統的全局運行狀況，為用戶的IT內控治理提供多樣化的分析數據。 

從網絡架構來看，重慶鋼鐵集團ERP系統涉及一個總廠和六個分廠，在總廠和六個分廠均配置有本次項目需要審計的Oracle數據庫和應用服務器。根據自身的這種網絡和系統架構，重慶鋼鐵集團結合啟明星辰在大企業實施內控審計項目的相關經驗，在總廠和六個分廠的骨干交換機處總共部署天?h審計引擎7臺，通過實時對經過各交換機的網絡流量和網絡行為進行高強度監控，能夠有效規范內部工作人員對企業ERP系統重要資源的維護與訪問行為，避免安全事故的發生。同時，通過總廠的審計管理控制中心，工作人員可以實時監控每個分廠的網絡運行狀況，實時對審計策略進行調整，以防護關鍵數據的完整性、減少物料浪費、提高運營效率、降低經營成本。