亚信科技(中国)有限公司

文/亚信市场部轩晓荷

随着中国移动业务的快速发展，业务支撑系统的规模不断扩大。所有的企业核心数据如企业运营数据、客户资料等都集中在支撑系统中。面对如此庞杂的支撑系统，加强内部控制、建立高效的监督和管理体系已成为中国移动必需之举。与此同时，作为美国上市企业的中国移动集团公司也必须满足资本市场的要求，按时、全面、系统地建立符合SOX404的内控体系。

IT系统的安全加固和改造需求

中国移动内部控制体系安全加固项目对业务支撑系统提出大量改造要求，涉及计费、帐务、营业、经分等多个系统和业务，具体在业务支撑系统上主要体现在四个方面：

·数据安全：

确保BOSS系统、经营分析系统在运行过程当中数据不被非法修改。这需要从业务支撑系统本身操作员管理、备份、程序管理等各个环节加强管理和操作的规范性。

·职责分工：

由于BOSS系统、经营分析系统的操作人员构成复杂，需要进行明确的职责分工定义，建立操作人员和审查人员、程序开发人员和维护人员等不同职责的分工机制。

·报表准确：

确保BOSS系统、经营分析系统提交的最终报表的准确性，需要对系统内部报表从产生至财务部门过程中的程序进行检查，确保报表数据的准确性。

·配置无误：

确保对BOSS系统的相关配置数据，如资费数据、结算规则数据、相关局数据、系统运行参数等对BOSS系统最终运行结果产生影响的数据的准确性，在配置过程中设置相应的核查环节。

亚信公司根据自身对BOSS系统、经营分析系统和安全管理系统建设的长期研究和丰富的实施经验，结合对中国移动业务支撑系统现状的了解，提出完整、有效的业务支撑系统SOX404满足性安全加固方案。同时，亚信作为中国通信业中唯一在美国NASDAQ上市的软件服务企业，已顺利通过美国证券交易委员会(SEC) SOX404法案。这也为亚信帮助运营商成功应对萨班斯法案挑战提供了宝贵的实践经验。

目前，亚信公司已成功为内蒙移动、甘肃移动、广西移动、贵州移动、西藏移动等公司实施了安全加固工程，不仅满足了萨班斯的要求，而且大大提升了系统的安全控制和管理能力。

安全加固主要从业务流程和信息控制两个方面进行，内容如下：

对业务支撑系统的应用改造和流程优化

应用改造和流程加固主要根据中国移动集团内控要求和系统安全现状，对BOSS系统和经营分析系统为主的业务支撑系统应用方面进行安全改造和流程优化。同时，通过相关技术手段进行信息技术的控制，有效防止通过非正常途径修改系统数据。主要体现在如下方面：

·新业务和产品定价业务流程：

对新业务上线和新产品资费在BOSS系统中的相关设置，按照相关规则进行有效管理，完善审核环节，确保其准确性。对产品资费、优惠规则的修改进行审查。资费、优惠规则设置好后，提交审查人员，审查人员审查通过后方可在系统中正式生效。同时，保留审核记录以备内控审核。

·业务受理和计费帐务流程：

必须确保BOSS系统计费的准确性和收入不产生跑、冒、滴、漏现象。因此，必须针对包括互联网营业厅、短信营业厅、客服系统等营业受理的业务操作进行稽核，并提供必要的审核报表。针对采集环节的话单连续性检查、非空检查，预处理环节、批价环节等环节的话单进行平衡性检查并形成审核报表。

·收款和结算业务流程：

结算业务流程必须确保结算规则的准确性，包括新的结算规则制定出来后，在进行系统结算规则设置时进行审查，与电信运营商、SP、内部结算的结算规则设置审查，审查人员通过后方可正式生效。同时，每个营业厅对当天的现金流、财务帐进行核对，而财务对营业区域内的现金、财务帐进行核对并且保留审核记录。

对IT整体信息技术控制的优化

IT信息控制方面的薄弱环节如数据库审计、局域网接入控制、终端管理等进行加固与完善。这些控制手段主要有以下几个方面：

·建立登录帐号和权限视图

通过对所有登录帐号和权限进行一次统一分配，特别是管理员一级的帐号和权限。着重考虑不同角色职责分工不同，权限也不同。在权限分配过程中做到职责分工明确、相关职责分开设置，最终通过对操作人员所拥有的帐号调控和角色限制来确保权限分配的合理性。

·加强登录鉴权及密码控制

针对业务支撑系统的前端应用登录进行改造，加强前端人员登陆的安全登录控制和认证。控制身份鉴权和密码管理，保障密码定期更新和强度策略。针对后台维护、集成商、开发商,提供二次登陆验证。对关键帐号的使用进行跟踪、审计分析和告警，包括：登陆主机、终端地址、时间、操作记录等。针对可能存在的程序帐号密码明文情况，采用自动配置文件方式，并控制文件访问权限。

·丰富业务安全审计策略和管理

建立业务支撑应用、操作系统及数据库的关键操作审计日志记录，并提供丰富的SOX报表。加装相应Unix命令策略库、数据库系统策略库等方式，来完成面向核心业务支撑系统的业务逻辑、数据库与操作命令的操作监控和审计管理。提供多种审计/查询手段和审计报告，以多种方式获取系统的相关审计信息。并对前台业务操作、后台管理操作的日志提供审核查询、统计报告界面。

通过对信息技术控制以及计费业务流程的梳理，中国移动明确了对数据和其他IT资源的访问规则，加强了安全管理，消除了众多隐患；同时加强了内部人员的安全意识，遵守公司的安全政策、并建立了充分的控制措施预防组织资产（包括数据、程序和设备）的非法访问。监测违反安全规定的行为并采取纠正行动，并且定期审查和评估操作行为。业务支撑系统安全加固项目的实施，帮助中国移动满足了萨班斯法案对内部控制的要求，更进一步提升了安全管理水平和运营竞争实力。